组策略设置系列篇之安全选项
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
已启用
已禁用
没有定义
注意:此策略设置不影响在控制台上以物理方式执行的交互式登录,也不影响使用域帐户的登录。
警告:使用远程交互式登录的第三方应用程序有可能跳过此策略设置。
漏洞:空白密码会对计算机安全造成严重威胁,应当通过组织的策略和适当的技术措施来禁止。实际上,Windows Server 2003 Active Directory目录服务域的默认设置需要至少包含七个字符的复杂密码。但是,如果能够创建新帐户的用户跳过基于域的密码策略,则他们可以创建具有空白密码的帐户。例如,某个用户可以构建一个独立的计算机,创建一个或多个具有空白密码的帐户,然后将该计算机加入到域中。具有空白密码的本地帐户仍将正常工作。任何人如果知道其中一个未受保护的帐户的名称,都可以用它来登录。
对策:将“帐户:来宾帐户状态”设置配置为“已禁用”,以便内置的Guest帐户不再可用。
潜在影响:所有的网络用户都将必须先进行身份验证,才能访问共享资源。如果禁用Guest帐户,并且“网络访问:共享和安全模式”选项设置为“仅来宾”,则那些由Microsoft网络服务器(SMB服务)执行的网络登录将失败。对于大多数组织来说,此策略设置的影响应该会很小,因为它是Microsoft Windows 2000、Windows XP和Windows Server 2003中的默认设置。
帐户:重命名来宾帐户
无论攻击者可能使用多少次错误密码,内置的Administrator帐户都不能被锁定。此功能使得Administrator帐户成为强力攻击(尝试猜测密码)的常见目标。这个对策的价值之所以减少,是因为此帐户有一个众所周知的SID,而且第三方工具允许使用SID而非帐户名来进行身份验证。因此,即使您重命名Administrator帐户,攻击者也可能会使用该SID来登录以发起强力攻击。
组策略设置系列篇之安全选项
组策略设置系列篇之“安全选项”-1
设置,选项
组策略的“安全选项”部分启用或禁用数字数据签名、Administrator和Guest帐户名、软盘驱动器和CD-ROM驱动器的访问、驱动程序安装操作和登录提示的计算机安全设置。
安全选项设置
您可以在组策略对象编辑器的下列位置配置安全选项设置:计算机配置\WiБайду номын сангаасdows设置\安全设置\
“帐户:来宾帐户状态”设置的可能值为:
已启用
已禁用
没有定义
漏洞:默认Guest帐户允许未经身份验证的网络用户以没有密码的Guest身份登录。这些未经授权的用户能够通过网络访问Guest帐户可访问的任何资源。此功能意味着任何具有允许Guest帐户、Guests组或Everyone组进行访问的权限的网络共享资源,都可以通过网络对其进行访问,这可能导致数据暴露或损坏。
如果当前的Administrator密码不满足密码要求,则Administrator帐户被禁用之后,无法重新启用。如果出现这种情况,Administrators组的另一个成员必须使用“本地用户和组”工具来为该Administrator帐户设置密码。
帐户:来宾帐户状态
此策略设置确定是启用还是禁用来宾帐户。
对策:将“帐户:管理员帐户状态”设置配置为“已禁用”,以便在正常的系统启动中不能再使用内置的Administrator帐户。
潜在影响:如果禁用Administrator帐户,在某些情况下可能会造成维护问题。例如,在域环境中,如果成员计算机和域控制器间的安全通道因任何原因而失败,而且没有其他本地Administrator帐户,则您必须以安全模式重新启动才能修复这个中断安全通道的问题。
帐户:使用空白密码的本地帐户只允许进行控制台登录
此策略设置确定是否允许使用空白密码的本地帐户通过网络服务(如终端服务、Telnet和文件传输协议(FTP))进行远程交互式登录。如果启用此策略设置,则本地帐户必须有一个非空密码,才能从远程客户端执行交互式或网络登录。
“帐户:使用空白密码的本地帐户只允许进行控制台登录”设置的可能值为:
对策:在“帐户:重命名系统管理员帐户”设置中指定一个新名称,以重命名Administrator帐户。
注意:在后面的章节中,此策略设置既未在安全模板中进行配置,也不是本指南所建议帐户的新用户名。模板中忽略了这项策略设置,这样做是为了让使用本指南的众多组织将不在其环境中实现同样的新用户名。
潜在影响:您必须将这个新帐户名通知给授权使用此帐户的用户。(有关此设置的指导假定Administrator帐户没有被禁用,这是本章前面建议的设置。)
对策:启用“帐户:使用空白密码的本地帐户只允许进行控制台登录”设置。
潜在影响:无。这是默认配置。
帐户:重命名系统管理员帐户
此策略设置确定另一个帐户名是否与Administrator帐户的SID相关联。
“帐户:重命名系统管理员帐户”设置的可能值为:
用户定义的文本
没有定义
漏洞:Administrator帐户存在于运行Windows 2000、Windows Server 2003或Windows XP Professional操作系统的所有计算机上。如果重命名此帐户,会使未经授权的人员更难猜测这个具有特权的用户名和密码组合。
本地策略\安全选项
帐户:管理员帐户状态
此策略设置启用或禁用Administrator帐户的正常操作条件。如果以安全模式启动计算机,Administrator帐户总是处于启用状态,而与如何配置此策略设置无关。
“帐户:管理员帐户状态”设置的可能值为:
已启用
已禁用
没有定义
漏洞:在某些组织中,维持定期更改本地帐户的密码这项常规计划可能会是很大的管理挑战。因此,您可能需要禁用内置的Administrator帐户,而不是依赖常规密码更改来保护其免受攻击。需要禁用此内置帐户的另一个原因就是,无论经过多少次登录失败它都不会被锁定,这使得它成为强力攻击(尝试猜测密码)的主要目标。另外,此帐户还有一个众所周知的安全标识符(SID),而且第三方工具允许使用SID而非帐户名来进行身份验证。此功能意味着,即使您重命名Administrator帐户,攻击者也可能使用该SID登录来发起强力攻击。
已禁用
没有定义
注意:此策略设置不影响在控制台上以物理方式执行的交互式登录,也不影响使用域帐户的登录。
警告:使用远程交互式登录的第三方应用程序有可能跳过此策略设置。
漏洞:空白密码会对计算机安全造成严重威胁,应当通过组织的策略和适当的技术措施来禁止。实际上,Windows Server 2003 Active Directory目录服务域的默认设置需要至少包含七个字符的复杂密码。但是,如果能够创建新帐户的用户跳过基于域的密码策略,则他们可以创建具有空白密码的帐户。例如,某个用户可以构建一个独立的计算机,创建一个或多个具有空白密码的帐户,然后将该计算机加入到域中。具有空白密码的本地帐户仍将正常工作。任何人如果知道其中一个未受保护的帐户的名称,都可以用它来登录。
对策:将“帐户:来宾帐户状态”设置配置为“已禁用”,以便内置的Guest帐户不再可用。
潜在影响:所有的网络用户都将必须先进行身份验证,才能访问共享资源。如果禁用Guest帐户,并且“网络访问:共享和安全模式”选项设置为“仅来宾”,则那些由Microsoft网络服务器(SMB服务)执行的网络登录将失败。对于大多数组织来说,此策略设置的影响应该会很小,因为它是Microsoft Windows 2000、Windows XP和Windows Server 2003中的默认设置。
帐户:重命名来宾帐户
无论攻击者可能使用多少次错误密码,内置的Administrator帐户都不能被锁定。此功能使得Administrator帐户成为强力攻击(尝试猜测密码)的常见目标。这个对策的价值之所以减少,是因为此帐户有一个众所周知的SID,而且第三方工具允许使用SID而非帐户名来进行身份验证。因此,即使您重命名Administrator帐户,攻击者也可能会使用该SID来登录以发起强力攻击。
组策略设置系列篇之安全选项
组策略设置系列篇之“安全选项”-1
设置,选项
组策略的“安全选项”部分启用或禁用数字数据签名、Administrator和Guest帐户名、软盘驱动器和CD-ROM驱动器的访问、驱动程序安装操作和登录提示的计算机安全设置。
安全选项设置
您可以在组策略对象编辑器的下列位置配置安全选项设置:计算机配置\WiБайду номын сангаасdows设置\安全设置\
“帐户:来宾帐户状态”设置的可能值为:
已启用
已禁用
没有定义
漏洞:默认Guest帐户允许未经身份验证的网络用户以没有密码的Guest身份登录。这些未经授权的用户能够通过网络访问Guest帐户可访问的任何资源。此功能意味着任何具有允许Guest帐户、Guests组或Everyone组进行访问的权限的网络共享资源,都可以通过网络对其进行访问,这可能导致数据暴露或损坏。
如果当前的Administrator密码不满足密码要求,则Administrator帐户被禁用之后,无法重新启用。如果出现这种情况,Administrators组的另一个成员必须使用“本地用户和组”工具来为该Administrator帐户设置密码。
帐户:来宾帐户状态
此策略设置确定是启用还是禁用来宾帐户。
对策:将“帐户:管理员帐户状态”设置配置为“已禁用”,以便在正常的系统启动中不能再使用内置的Administrator帐户。
潜在影响:如果禁用Administrator帐户,在某些情况下可能会造成维护问题。例如,在域环境中,如果成员计算机和域控制器间的安全通道因任何原因而失败,而且没有其他本地Administrator帐户,则您必须以安全模式重新启动才能修复这个中断安全通道的问题。
帐户:使用空白密码的本地帐户只允许进行控制台登录
此策略设置确定是否允许使用空白密码的本地帐户通过网络服务(如终端服务、Telnet和文件传输协议(FTP))进行远程交互式登录。如果启用此策略设置,则本地帐户必须有一个非空密码,才能从远程客户端执行交互式或网络登录。
“帐户:使用空白密码的本地帐户只允许进行控制台登录”设置的可能值为:
对策:在“帐户:重命名系统管理员帐户”设置中指定一个新名称,以重命名Administrator帐户。
注意:在后面的章节中,此策略设置既未在安全模板中进行配置,也不是本指南所建议帐户的新用户名。模板中忽略了这项策略设置,这样做是为了让使用本指南的众多组织将不在其环境中实现同样的新用户名。
潜在影响:您必须将这个新帐户名通知给授权使用此帐户的用户。(有关此设置的指导假定Administrator帐户没有被禁用,这是本章前面建议的设置。)
对策:启用“帐户:使用空白密码的本地帐户只允许进行控制台登录”设置。
潜在影响:无。这是默认配置。
帐户:重命名系统管理员帐户
此策略设置确定另一个帐户名是否与Administrator帐户的SID相关联。
“帐户:重命名系统管理员帐户”设置的可能值为:
用户定义的文本
没有定义
漏洞:Administrator帐户存在于运行Windows 2000、Windows Server 2003或Windows XP Professional操作系统的所有计算机上。如果重命名此帐户,会使未经授权的人员更难猜测这个具有特权的用户名和密码组合。
本地策略\安全选项
帐户:管理员帐户状态
此策略设置启用或禁用Administrator帐户的正常操作条件。如果以安全模式启动计算机,Administrator帐户总是处于启用状态,而与如何配置此策略设置无关。
“帐户:管理员帐户状态”设置的可能值为:
已启用
已禁用
没有定义
漏洞:在某些组织中,维持定期更改本地帐户的密码这项常规计划可能会是很大的管理挑战。因此,您可能需要禁用内置的Administrator帐户,而不是依赖常规密码更改来保护其免受攻击。需要禁用此内置帐户的另一个原因就是,无论经过多少次登录失败它都不会被锁定,这使得它成为强力攻击(尝试猜测密码)的主要目标。另外,此帐户还有一个众所周知的安全标识符(SID),而且第三方工具允许使用SID而非帐户名来进行身份验证。此功能意味着,即使您重命名Administrator帐户,攻击者也可能使用该SID登录来发起强力攻击。