2024年1月9日发(作者:阅读心得体会)
组策略设置系列篇之“安全选项”-3
选项, 设置
网络安全:不要在下次更改密码时存储 LAN Manager 的哈希值
此策略设置确定在下次更改密码时 LAN Manager 是否可以存储新密码的哈希值。
“网络安全:不要在下次更改密码时存储 LAN Manager 的哈希值”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:试图访问用户名和密码哈希的攻击者可能会以 SAM 文件作为目标。这类攻击使用特殊工具破解密码,然后使用这些密码来模拟用户并获得对网络资源的访问。启用此策略设置不会禁止这些类型的攻击,但会使这类攻击的成功变得困难得多。
对策:将“网络安全:不要在下次更改密码时存储 LAN Manager 的哈希值”设置配置为“已启用”。要求所有用户在下次登录域时都设置新密码,以便 LAN Manager 哈希被删除。
潜在影响:早期操作系统(如 Windows 95、Windows 98 和 Windows ME)以及一些第三方应用程序将失败。
网络安全:在超过登录时间后强制注销
此策略设置确定在超过用户帐户的有效登录时间后,是否要断开连接到本地计算机的用户。此设置影响 SMB 组件。如果启用此策略设置,会在客户端的登录时间用完时断开与 SMB
服务器的客户端会话。如果禁用此策略设置,已建立的客户端会话在超过客户端登录时间后继续进行。
“网络安全:在超过登录时间后强制注销”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:如果禁用此策略设置,则在为用户分配的登录时间用完之后,用户仍能继续连接到计算机。
对策:将“网络安全:在超过登录时间后强制注销”设置配置为“已启用”。此策略设置不适用于管理员帐户。
潜在影响:当用户的登录时间用完时,SMB 会话将终止。用户在他们的下一次计划访问时间开始之前将无法登录到计算机。
网络安全:LAN Manager 身份验证级别
LAN Manager (LM) 是早期 Microsoft 客户端/服务器软件系列,它允许用户将多台个人计算机连接在单个网络上。网络功能包括透明文件和打印共享、用户安全性功能以及网络管理工具。在 Active Directory 域中,Kerberos 协议是默认的身份验证协议。但是,如果因某种原因未协商 Kerberos 协议,则 Active Directory 将使用 LM、NTLM 或 NTLMv2。
LAN Manager 身份验证协议(包括 LM、NTLM 和 NTLM 版本 2 (NTLMv2) 变体)用于在所有 Windows 客户端执行以下操作时对其进行身份验证:
• 加入到域中• 在 Active Directory 林之间进行身份验证• 向低级别域验证身份• 向非运行 Windows 2000、Windows Server 2003 或 WindowsXP 的计算机验证身份• 向不在域中的计算机验证身份
“网络安全:LAN Manager 身份验证级别”设置的可能值为
:• 发送 LM 和 NTLM 响应• 发送 LM 和 NTLM - 若协商使用
NTLMv2 会话安全• 仅发送 NTLM 响应• 仅发送 NTLMv2 响应•
仅发送 NTLMv2 响应拒绝 LM• 仅发送 NTLMv2 响应拒绝 LM 和 NTLM•
没有定义“网络安全:LAN Manager 身份验证级别”设置确定将哪些质询/响应身份验证协议用于网络登录。此选项影响客户端使用的身份验证协议级别、计算机所协商的会话安全级别以及服务器所接受的身份验证级别,如下所示:• 发送 LM 和 NTLM 响应。客户端使用 LM 和 NTLM 身份验证,从不使用 NTLMv2 会话安全性。域控制器接受 LM、NTLM 和 NTLMv2 身份验证。• 发送 LM 和 NTLM - 若协商使用 NTLMv2 会话安全。客户端使用 LM 和 NTLM 身份验证,如果服务器支持的话,还使用 NTLMv2 会话安全。域控制器接受 LM、NTLM 和 NTLMv2 身份验证。• 仅发送 NTLM 响应。客户端只使用 NTLM 身份验证,如果服务器支持的话,还使用 NTLMv2 会话安全。域控制器接受 LM、NTLM 和 NTLMv2 身份验证。• 仅发送 NTLMv2 响应。客户端仅使用 NTLMv2 身份验证,如果服务器支持的话,还使用 NTLMv2 会话安全。域控制器接受 LM、NTLM 和 NTLMv2 身份验证。• 仅发送 NTLMv2 响应拒绝 LM。客户端仅使用 NTLMv2 身份验证,如果服务器支持的话,还使用 NTLMv2 会话安全。域控制器拒绝 LM(只接受 NTLM 和 NTLMv2 身份验证)。• 仅发送 NTLMv2 响应拒绝 LM 和 NTLM。客户端仅使用 NTLMv2 身份验证,如果服务器支持的话,还使用
NTLMv2 会话安全。域控制器拒绝 LM 和 NTLM(只接受 NTLMv2 身份验证)。这些设置与其他 Microsoft 文档中讨论的级别相对应,如下所示:• 级别 0 – 发送 LM
和 NTLM 响应;从不使用 NTLMv2 会话安全。客户端使用 LM 和 NTLM 身份验证,从不使用 NTLMv2 会话安全。域控制器接受 LM、NTLM 和 NTLMv2 身份验证。•
级别 1 – 若协商使用 NTLMv2 会话安全。客户端使用 LM 和 NTLM 身份验证,如果服务器支持的话,还使用 NTLMv2 会话安全。域控制器接受 LM、NTLM 和 NTLMv2 身份验证。• 级别 2 – 仅发送 NTLM 响应。客户端只使用 NTLM 身份验证,如果服务器支持的话,还使用 NTLMv2 会话安全。域控制器接受 LM、NTLM 和 NTLMv2 身份验证。• 级别 3 – 仅发送 NTLMv2 响应。客户端使用 NTLMv2 身份验证,如果服务器支持的话,还使用 NTLMv2 会话安全。域控制器接受 LM、NTLM 和 NTLMv2 身份验证。• 级别 4 – 域控制器拒绝 LM 响应。客户端使用 NTLM 身份验证,如果服务器支持的话,还使用 NTLMv2 会话安全。域控制器拒绝 LM 身份验证,即,它们接受 NTLM 和 NTLMv2。• 级别 5 – 域控制器拒绝 LM 和 NTLM 响应(只接受 NTLMv2)。客户端使用 NTLMv2 身份验证,如果服务器支持的话,还使用 NTLMv2 会
话安全。域控制器拒绝 NTLM 和 LM 身份验证(它们只接受 NTLMv2)。漏洞:Windows
2000、Windows Server 2003 和 Windows XP 客户端在默认情况下均配置为发送 LM 和
NTLM 身份验证响应(Windows 9x 客户端只发送 LM)。服务器的默认设置允许所有的客户端都向服务器验证身份并使用服务器上的资源。但是,这意味着 LM 响应(一种最弱的身份验证响应)通过网络进行发送,而且攻击者有可能嗅探该通信,以便更容易地再现用户的密码。
Windows 9x 和 Windows NT 操作系统不能使用 Kerberos v5 协议进行身份验证。因此,在
Windows Server 2003 域中,这些计算机在默认情况下会用 LM 和 NTLM 协议验证身份,以便进行网络身份验证。使用 NTLMv2,可以为 Windows 9x 和 Windows NT 实施更安全的身份验证协议。对于登录过程,NTLMv2 使用安全通道来保护身份验证过程。即使您对旧式客户端和服务器使用 NTLMv2,作为域成员的、基于 Windows 的客户端和服务器也将使用 Kerberos 身份验证协议向 Windows Server 2003 域控制器验证身份。
对策:将“网络安全:LAN Manager 身份验证级别”设置配置为“仅发送 NTLMv2 响应”。当所有的客户端都支持 NTLMv2 时,Microsoft 以及许多独立组织都强烈建议使用这种身份验证级别。
潜在影响:不支持 NTLMv2 身份验证的客户端将无法在域中进行身份验证,而且将无法使用 LM 和 NTLM 来访问域资源。
网络安全:LDAP 客户端签名要求
此策略设置确定数据签名的级别,此数据签名是代表发出 LDAP BIND 请求的客户端而请求的,具体级别如下
:• 无。LDAP BIND 请求是用调用方指定的选项发出的。• 协商签名。如果传输层安全性/安全套接字层 (TLS/SSL) 尚未启动,则 LDAP BIND 请求是用 LDAP 数据签名选项集以及调用方指定的选项启动的。如果 TLS/SSL 已经启动,则 LDAP BIND 请求是用调用方指定的选项启动的。• 要求签名。此级别与“协商签名”相同。但是,如果 LDAP 服务器的中间 saslBindInProgress 响应不指出 LDAP 通信签名是必需的,则调用方会被告知 LDAP BIND 命令请求已失败。注意:此策略设置对 ldap_simple_bind 或
ldap_simple_bind_s 没有任何影响。Windows XP Professional 随附的任何 Microsoft LDAP
客户端都不使用 ldap_simple_bind 或 ldap_simple_bind_s 来与域控制器进行通信。
“网络安全:LDAP 客户端签名要求”设置的可能值为:
•
无
•
协商签名
•
要求签名
•
没有定义
漏洞:未签名的网络通信易受中间人攻击(入侵者捕获客户端和服务器之间的数据包,修改它们,然后将它们转发到服务器)。对于 LDAP 服务器,这很可能意味着攻击者可能导致服务器根据 LDAP 查询的错误或修改过的数据作出决定。通过在企业网络中实施强物理安
全措施来保护网络基础结构,可以降低此风险。此外,如果要求所有的网络数据包都借助于
IPc 身份验证头来进行数字签名,可以使所有类型的中间人攻击变得极其困难。
对策:将“网络安全:LDAP 服务器签名要求”设置配置为“要求签名”。
潜在影响:如果将服务器配置为要求 LDAP 签名,则还必须对客户端进行配置。如果不配置客户端它将不能与服务器通信,这可能导致许多功能失败,包括用户身份验证、组策略和登录脚本。
网络安全:基于 NTLM SSP(包括安全的 RPC)客户端的最小会话安全
此策略设置允许客户端计算机要求协商消息的保密性(加密)、消息完整性、128 位加密或
NTLMv2 会话安全。这些值依赖“LAN Manager 身份验证级别”策略设置的值。
“网络安全:基于 NTLM SSP(包括安全的 RPC)客户端的最小会话安全”设置的可能值为:
• 要求消息的保密性。如果不对加密进行协商,连接将失败。加密功能将数据转换为如不解密就无法读取的形式。• 要求消息的完整性。如果不对消息的完整性进行协商,连接将失败。消息的完整性可通过消息签名进行评估。消息签名证明消息未被篡改;它附加加密的签名(用来标识发送方,而且以数字形式来表示消息内容)。• 要求 128
位加密。如果不对强加密(128 位)进行协商,连接将失败。• 要求 NTLMv2 会话安全。如果不对 NTLMv2 协议进行协商,连接将失败。• 没有定义。
漏洞:您可以启用此策略设置的所有选项,以帮助防止使用 NTLM 安全支持提供程序
(NTLM SSP) 的网络通信被已经获取相同网络的访问权限的攻击者公开或篡改。换句话说,这些选项有助于防止受到中间人攻击。
对策:启用“网络安全:基于 NTLM SSP(包括安全的 RPC)客户端的最小会话安全”策略设置的所有四个可用选项。
潜在影响:实施了这些设置的客户端计算机将无法与不支持它们的旧式服务器进行通信。
网络安全:基于 NTLM SSP(包括安全的 RPC)服务器的最小会话安全
此策略设置允许服务器要求协商消息的保密性(加密)、消息完整性、128 位加密或 NTLMv2
会话安全。这些值依赖“LAN Manager 身份验证级别”安全设置的值。
“网络安全:基于 NTLM SSP(包括安全的 RPC)服务器的最小会话安全”设置的可能值为:
•
要求消息的保密性。如果不对加密进行协商,连接将失败。加密功能将数据转换为如不解密就无法由任何人读取的形式。
•
要求消息的完整性。如果不对消息的完整性进行协商,连接将失败。消息的完整性可通过消息签名进行评估。消息签名证明消息未被篡改;它附加加密的签名(用来标识发送方,而且以数字形式来表示消息内容)。
•
要求 128 位加密。如果不对强加密(128 位)进行协商,连接将失败。
•
要求 NTLMv2 会话安全。如果不对 NTLMv2 协议进行协商,连接将失败。
•
没有定义。
漏洞:您可以启用此策略设置的所有选项,以帮助防止使用 NTLM 安全支持提供程序
(NTLM SSP) 的网络通信被已经获取相同网络的访问权限的攻击者公开或篡改。即,这些选项有助于防止受到中间人攻击。
对策:启用“网络安全:基于 NTLM SSP(包括安全的 RPC)服务器的最小会话安全”策略的所有四个可用选项。
潜在影响:不支持这些安全设置的旧式客户端将无法与该计算机进行通信。
故障恢复控制台:允许自动系统管理级登录
此策略设置确定是否必须先提供 Administrator 帐户的密码才允许访问计算机。如果启用此设置,Administrator 帐户自动登录到计算机的故障恢复控制台;不需要密码。
“故障恢复控制台:允许自动系统管理级登录”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:当您需要对无法启动的计算机进行故障排除和修复时,故障恢复控制台非常有用。但是,允许自动登录控制台是非常危险的。因为任何人都可以走到服务器前,通过断开电源关闭它,再重新启动,从“重新启动”菜单中选择“故障恢复控制台”,于是获得对服务器的完全控制。
对策:将“故障恢复控制台:允许自动系统管理级登录”设置配置为“已禁用”。
潜在影响:用户将必须输入用户名和密码才能访问故障恢复控制台。
故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问
启用此策略设置会使故障恢复控制台的 SET 命令处于可用状态,从而可以设置以下故障恢复控制台环境变量:
• AllowWildCards。对某些命令(如 DEL 命令)启用通配符支持。•
AllowAllPaths。允许访问计算机上的所有文件和文件夹。• AllowRemovableMedia。允许将文件复制到可移动媒体,如软盘。• NoCopyPrompt。禁止显示在现有文件被覆盖前通常显示的提示。“故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问”设置的可能值为:• 已启用• 已禁用• 没有定义
漏洞:能够导致系统重新启动到故障恢复控制台的攻击者可能会窃取敏感数据并且不留下任何审核或访问记录。
对策:将“故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问”设置配置为“已禁用”。
潜在影响:如果用户通过故障恢复控制台启动服务器,并且使用内置的 Administrator 帐户
进行登录,他们将无法把文件和文件夹复制到软盘。
关机:允许系统在未登录前关机
此策略设置确定是否不必登录到 Windows 就可以关闭计算机。如果启用此策略设置,Windows 登录屏幕上会提供“关机”命令。如果禁用此策略设置,会从 Windows 登录屏幕上删除“关机”选项。此配置要求用户能够成功登录计算机并且具有“关闭系统”用户权限,才能关闭计算机。
“关机:允许系统在未登录前关机”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:能够在本地访问控制台的用户可能关闭计算机。
攻击者也可能会走到本地控制台前并重新启动服务器,这可能导致临时的 DoS 条件。攻击者还可能会关闭服务器,并使其所有应用程序和服务均不可用。
对策:将“允许系统在未登录前关机”设置配置为“已禁用”。
潜在影响:操作员将必须登录服务器才能关闭或重新启动它们。
关机:清除虚拟内存页面文件
此策略设置确定在关闭计算机时是否清除虚拟内存页面文件。当内存页未被使用时,虚拟内存支持如下操作:使用系统页面文件将内存页交换到磁盘中。在正在运行的计算机上,这个页面文件是由操作系统以独占方式打开的,并且会得到很好的保护。但是,被配置为允许启动到其他操作系统的计算机可能必须确保在计算机关闭时,系统页面文件被完全清除。此信息将确保进程内存中可能进入页面文件中的敏感信息,在关机后对于未经授权的设法直接访问页面文件的用户不可用。
启用此策略设置时,会在正常关机时清除系统页面文件。此外,当在便携式计算机上禁用休眠时,此策略设置还将强制计算机清除休眠文件 。
“关机:清除虚拟内存页面文件”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:保留在实际内存中的重要信息可能会定期写入到页面文件中,以帮助 Windows Server
2003 处理多任务功能。能够物理访问已关闭服务器的攻击者可以查看页面文件的内容。攻击者可能会将系统卷移到另一台计算机,然后分析页面文件的内容。尽管此过程很耗时,但
是它可以将缓存在随机存取内存 (RAM) 中的数据公开给页面文件。
警告:可以物理访问服务器的攻击者只需断开服务器的电源即可摆脱此对策的约束。
对策:将“关机:清除虚拟内存页面文件”设置配置为“已启用”。此配置使 Windows Server
2003 在计算机关闭时清除页面文件。完成此过程所需的时间取决于页面文件的大小。可能需要几分钟才会完全关闭计算机。
潜在影响:尤其是对于具有大量页面文件的服务器,将会花费更长时间关闭并重新启动服务器。对于具有 2 GB RAM 和 2 GB 页面文件的服务器,此策略设置可能会使关闭过程增加
20 到 30 分钟或更长。对于一些组织,这个停机时间违反了它们的内部服务级别协议。因此,在您的环境中实现此对策之前一定要格外小心。
系统加密:存储在计算机上的用户密钥强制使用强密钥保护
此策略设置确定用户是否可以使用没有密码的私钥(如他们的 S/MIME 密钥)。
“系统加密:存储在计算机上的用户密钥强制使用强密钥保护”设置的可能值为:
•
存储和使用新密钥时不需要用户输入
•
第一次使用密钥时提示用户输入
•
用户每次使用密钥时必须输入密码
•
没有定义
漏洞“:可以配置此策略设置,以便用户在每次使用密码时都必须提供一个不同于其域密码的密码。此配置使攻击者更难访问存储在本地的用户密钥,即使是在攻击者控制了用户计算机并确定了用户的登录密码时也是如此。
对策:将“系统加密:存储在计算机上的用户密钥强制使用强密钥保护”设置配置为“用户每次使用密钥时必须输入密码”。
潜在影响:用户在每次访问存储在其计算机上的密钥时都必须输入其密码。例如,如果用户使用 S-MIME 证书对他们的电子邮件进行数字签名,则在他们发送签名的电子邮件时,将被迫输入该证书的密码。对于某些组织来说,使用此配置涉及的开销可能会非常高。但至少应当将此设置设置为“第一次使用密钥时提示用户输入”。
系统加密:使用 FIPS 兼容的算法来加密、哈希和签名
此策略设置确定 TLS/SSL 安全提供程序是否将仅支持
TLS_RSA_WITH_3DES_EDE_CBC_SHA 强密码套件,这意味着该提供程序只支持将 TLS
协议作为客户端和服务器(如果合适)。它只使用三重数据加密标准 (DES) 加密算法进行
TLS 通信加密,只使用 Rivest-Shamir-Adleman (RSA) 公钥算法进行 TLS 密钥交换和身份验证,只使用安全哈希算法版本 1 (SHA-1) 哈希算法来满足 TLS 哈希要求。
启用此设置时,加密文件系统服务 (EFS) 仅支持使用三重 DES 加密算法来加密文件数据。默认情况下,Windows Server 2003 实施的 EFS 使用具有 256 位密钥的高级加密标准
(AES)。Windows XP 实施使用 DESX。
“系统加密:使用 FIPS 兼容的算法来加密、哈希和签名”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:可以启用此策略设置来确保计算机将使用可用于数字加密、哈希和签名的功能最强大的算法。使用这些算法可将未经授权的用户损害数字加密或签名数据的风险降到最低。
对策:将“系统加密:使用 FIPS 兼容的算法来加密、哈希和签名”设置配置为“已启用”。
潜在影响:启用此策略设置的客户端计算机将无法通过数字加密或者数字签名协议与那些不支持这些算法的服务器进行通信。不支持这些算法的网络客户端还将无法使用需要加密网络通信的服务器。例如,就无法将许多基于 Apache 的 Web 服务器配置为支持 TLS。如果启用此设置,还将需要将 Internet Explorer 配置为使用 TLS。此策略设置还会影响用于远程桌面协议 (RDP) 的加密级别。远程桌面连接工具使用 RDP 协议与运行终端服务和客户端计算机(配置为远程控制)的服务器进行通信;如果两类计算机都没有配置为使用同一加密算法,则 RDP 连接将失败。
使 Internet Explore 能够使用 TLS
1.
在 Internet Explorer 的“工具”菜单上,打开“Internet 选项”对话框。
2.
单击“高级”选项卡。
3.
选中“使用 TLS 1.0”复选框。
您还可以通过组策略或使用 Internet Explorer 管理员工具包对此策略设置进行配置。
系统对象:由管理员 (Administrators) 组成员所创建的对象默认所有者
此策略设置确定 Administrators 组或对象创建者是否是所创建的任何系统对象的默认所有者。
“系统对象:由管理员 (Administrators) 组成员所创建的对象默认所有者”设置的可能值为:
•
管理员组
•
对象创建者
•
没有定义
漏洞:如果将此策略设置配置为“管理员组”,个人将不可能负责新系统对象的创建。
对策:将“系统对象:由管理员 (Administrators) 组成员所创建的对象默认所有者”设置配置为“对象创建者”。
潜在影响:在创建系统对象时,所有权将反映是哪个帐户(而不是泛指哪个 Administrators
组)创建了对象。此策略设置的后果是,当用户帐户被删除时该对象将变为孤立的。例如,当信息技术组的某位成员离开时,他在域中任何位置创建的任何对象将没有所有者。此情况将对管理员造成负担,这是因为管理员将必须手动取得这些孤立对象的所有权以更新它们的权限。如果能够确保总是为域组(如 Domain Admins)的新对象分配“完全控制”权限,则可将此潜在负担减至最小。
系统对象:对非 Windows 子系统不要求区分大小写
此策略设置确定是否对所有子系统不要求区分大小写。Microsoft Win32® 子系统不区分大小写。但是,内核支持其他子系统(如可移植 UNIX 操作系统接口 (POSIX))区分大小写。如果启用此设置,则所有目录对象、符号链接,和 IO 以及文件对象均不要求区分大小写。如果禁用此设置,Win 32 子系统不会区分大小写。
“系统对象:对非 Windows 子系统不要求区分大小写”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:由于 Windows 不区分大小写,但是 POSIX 子系统将支持区分大小写,因此,如果未启用此策略设置,该子系统的用户将有可能创建一个与另一个文件同名、但是混有不同大小写字母的文件。当用户尝试从正常的 Win32 工具访问这些文件时,这类情况可能使他们感到混淆,因为将只有其中的一个文件可用。
对策:将“系统对象:对非 Windows 子系统不要求区分大小写”设置配置为“已启用”。
潜在影响:所有的子系统都将被迫遵守不区分大小写这一规则。此配置可能使熟悉某个基于
UNIX 的操作系统(区分大小写)的用户感到混淆。
系统对象:增强内部系统对象的默认权限(例如 Symbolic Links)
此策略设置确定对象的默认 DACL 的强度。Windows 维护共享计算机资源(如 MS-DOS
设备名称、多用户终端执行程序和信号灯)的全局列表,以便于在进程间定位和共享对象。
“系统对象:增强内部系统对象的默认权限(例如 Symbolic Links)”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:此设置确定对象的默认 DACL 的强度。Windows Server 2003 维护共享计算机资源的全局列表,以便于在进程间定位和共享对象。各种类型的对象在创建时都附带了默认的
DACL,指定谁可以访问该对象并以何种权限访问。如果启用此设置,默认的 DACL 会加强,因为允许非管理员用户读取共享对象,但是不能修改不是由他们创建的共享对象。
对策:将“系统对象:增强全局系统对象的默认权限(例如,Symbolic Links)”设置配置为“已启用”。
潜在影响:无。这是默认配置。
系统设置:可选子系统
此策略设置确定哪些子系统支持您的应用程序。可以使用此安全设置根据环境的需要指定任意多个子系统。
“系统设置:可选子系统”设置的可能值为:
•
用户定义的子系统列表
•
没有定义
漏洞:POSIX 子系统是用来定义一组操作系统服务的电气与电子工程师协会 (IEEE) 标准。如果服务器支持使用 POSIX 子系统的应用程序,则这个子系统是必需的。
POSIX 子系统引进了安全风险,该风险与可能在登录之间持续存在的进程相关。如果用户启动某个进程并随后注销,就可能出现以下情况:登录该计算机的下一位用户可以访问上一位用户的进程。这种潜在可能性是非常危险的,因为第二位用户在该进程中所做的任何操作都将用第一位用户的特权来执行。
对策:将“系统设置:可选子系统”设置配置为空值。默认值为 POSIX。
潜在影响:依赖 POSIX 子系统的应用程序将不再能够工作。例如,Microsoft Services for
Unix (SFU) 安装一个需要 POSIX 子系统的更新版本,这样,对于使用 SFU 的任何服务器,您将必须在组策略中重置此设置。
系统设置:为软件限制策略对 Windows 可执行文件使用证书规则
此策略设置确定如果启用了软件限制策略,在用户或进程试图运行具有 .exe 文件扩展名的软件时是否处理数字证书。这个安全设置启用或禁用证书规则(一种类型的软件限制策略规则)。在软件限制策略下,您可以创建一种证书规则以允许或禁止运行由 Authenticode® 签名的软件,软件是否能够运行将由与该软件相关的数字证书确定。要使证书规则在软件限制策略中起作用,必须启用此安全设置。
“系统设置:为软件限制策略对 Windows 可执行文件使用证书规则”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:软件限制策略有助于保护用户和计算机,因为它们可以防止执行未经授权的代码(如病毒和特洛伊木马)。
对策:将“系统设置:为软件限制策略对 Windows 可执行文件使用证书规则”设置配置为“已启用”。
潜在影响:如果启用证书规则,软件限制策略会检查证书吊销列表 (CRL),以确保软件的证书和签名有效。在签名程序启动时,此检查过程可能会对性能造成负面影响。您可以在所需的 GPO 中编辑软件限制策略以禁用此功能。在“受信任的发布者属性”对话框中清除“发布者”和“时间戳”复选框。
本文发布于:2024-01-09 00:28:55,感谢您对本站的认可!
本文链接:https://www.wtabcd.cn/zhishi/a/1704731336134041.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
本文word下载地址:组策略设置系列篇之“安全选项”-3.doc
本文 PDF 下载地址:组策略设置系列篇之“安全选项”-3.pdf
留言与评论(共有 0 条评论) |