组策略设置系列之“安全选项”VIP免费

第1页共16页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第1页共16页组策略设置系列篇之“安全选项”-1设置,选项组策略的“安全选项”部分启用或禁用数字数据签名、Administrator和Guest帐户名、软盘驱动器和CD-ROM驱动器的访问、驱动程序安装操作和登录提示的计算机安全设置。安全选项设置您可以在组策略对象编辑器的下列位置配置安全选项设置：计算机配置\Windows设置\安全设置\本地策略\安全选项帐户：管理员帐户状态此策略设置启用或禁用Administrator帐户的正常操作条件。如果以安全模式启动计算机，Administrator帐户总是处于启用状态，而与如何配置此策略设置无关。“帐户：管理员帐户状态”设置的可能值为：•已启用•已禁用•没有定义漏洞：在某些组织中，维持定期更改本地帐户的密码这项常规计划可能会是很大的管理挑战。因此，您可能需要禁用内置的Administrator帐户，而不是依赖常规密码更改来保护其免受攻击。需要禁用此内置帐户的另一个原因就是，无论经过多少次登录失败它都不会被锁定，这使得它成为强力攻击（尝试猜测密码）的主要目标。另外，此帐户还有一个众所周知的安全标识符(SID)，而且第三方工具允许使用SID而非帐户名来进行身份验证。此功能意味着，即使您重命名Administrator帐户，攻击者也可能使用该SID登录来发起强力攻击。第2页共16页第1页共16页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第2页共16页对策：将“帐户：管理员帐户状态”设置配置为“已禁用”，以便在正常的系统启动中不能再使用内置的Administrator帐户。潜在影响：如果禁用Administrator帐户，在某些情况下可能会造成维护问题。例如，在域环境中，如果成员计算机和域控制器间的安全通道因任何原因而失败，而且没有其他本地Administrator帐户，则您必须以安全模式重新启动才能修复这个中断安全通道的问题。如果当前的Administrator密码不满足密码要求，则Administrator帐户被禁用之后，无法重新启用。如果出现这种情况，Administrators组的另一个成员必须使用“本地用户和组”工具来为该Administrator帐户设置密码。帐户：来宾帐户状态此策略设置确定是启用还是禁用来宾帐户。“帐户：来宾帐户状态”设置的可能值为：•已启用•已禁用•没有定义漏洞：默认Guest帐户允许未经身份验证的网络用户以没有密码的Guest身份登录。这些未经授权的用户能够通过网络访问Guest帐户可访问的任何资源。此功能意味着任何具有允许Guest帐户、Guests组或Everyone组进行访问的权限的网络共享资源，都可以通过网络对其进行访问，这可能导致数据暴露或损坏。对策：将“帐户：来宾帐户状态”设置配置为“已禁用”，以便内置的Guest帐户不再可用。潜在影响：所有的网络用户都将必须先进行身份验证，才能访问共享资源。如果禁用Guest帐户，并且“网络访问：共享和安全模式”选项设置为“仅来宾”，则那些由Microsoft网络服务器（SMB服务）执行的网络登录将失败。对于大多数组织来说，此策略设置的影响应该会很小，因为它是MicrosoftWindows®2000、WindowsXP和WindowsServer™2003中的默认设置。帐户：使用空白密码的本地帐户只允许进行控制台登录此策略设置确定是否允许使用空白密码的本地帐户通过网络服务（如终端服务、Telnet和文件传输协议(FTP)）进行远程交互式登录。如果启用此策略设置，则本地帐户必须有一个非空密码，才能从远程客户端执行交互式或网络登录。“帐户：使用空白密码的本地帐户只允许进行控制台登录”设置的可能值为：•已启用•已禁用•没有定义注意：此策略设置不影响在控制台上以物理方式执行的交互式登录，也不影响使用域帐户第3页共16页第2页共16页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第3页共16页的登录。警告：使用远程交互式登录的第三方应用程序有可能跳过此策略设置。漏洞：空白密码会对计算机安全造成严重威胁，应当通过组织的策略和适当的技术措施来禁止。实际上，WindowsServer2003ActiveDirectory®目录服务域的默认设置需要至少包含七个字符的复杂密码。但是，如果能够创建新帐户的用户跳过基于域的密码...