域控制器:ldap服务器签名要求 灰色无法修改,组策略设置系列之“安全选项”(doc16页).docx...

-1

-1

组策略设置系列之

安全选

项” (doc 16 页)

组策略设置系列篇之“安全选项” 设置,选项 组策略的“安全选项”部分启用或禁用数字数据 签名、Administrator和Guest帐户名、软盘驱 动器和CD-ROM驱动器的访问、驱动程序安 装操作和登录提示的计算机安全设置。

安全选项设置 您可以在组策略对象编辑器的下列位置配置安 全选项设置:计算机配置'Windows设置\安全设 置\ 本地策略\安全选项 帐户:管理员帐户状态

此策略设置启用或禁用Administrator帐户的 正常操作条件。如果以安全模式启动计算机, Administrator帐户总是处于启用状态,而与如 何配置此策略设置无关。

“帐户:管理员帐户状态”设置的可能值为:? 已启用

己禁用 没有定义

漏洞:在某些组织中,维持定期更改本地帐户的 密码这项常规计划可能会是很大的管理挑战。因 此,您可能需要禁用内置的Administrator帐 户,而不是依赖常规密码更改来保护其免受攻 击。需要禁用此内置帐户的另一个原因就是,无 论经过多少次登录失败它都不会被锁定,这使得 它成为强力攻击(尝试猜测密码)的主要目标。

另外,此帐户还有一个众所周知的安全标识符

(SID),而且第三方工具允许使用SID而非帐户 名来进行身份验证。此功能意味着,即使您重命 名Administrator帐户,攻击者也可能使用该

S1D登录来发起强力攻击。

对策:将“帐户:管理员帐户状态”设置配置为 “已禁用”,以便在正常的系统启动中不能再使 用内置的 Administrator帐户。

潜在影响:如果禁用Administrator帐户,在某 些情况下可能会造成维护问题。例如,在域环境 中,如果成员计算机和域控制器间的安全通道因 任何原因而失败,而且没有其他本地 Administrator帐户,则您必须以安全模式重新 启动才能修复这个中断安全通道的问题。

如果当前的Administrator密码不满足密码要 求,则Administrator帐户被禁用之后,无法重 新启用。女口果出现这种情况,Administrators组 的另一个成员必须使用“本地用户和组”工具来 为该Administrator帐户设置密码。

帐户:来宾帐户状态

此策略设置确定是启用还是禁用来宾帐户。

“帐户:来宾帐户状态”设置的可能值为:? 已启用 已禁用

没有定义

漏洞:默认Guest帐户允许未经身份验证的网 络用户以没有密码的Guest身份登录。这些未 经授权的用户能够通过网络访问Guest帐户可 访问的任何资源。此功能意味着任何具有允许

Guest帐户、Guests组或Everyone组进行访 问的权限的网络共享资源,都可以通过网络对其 进行访问,这可能导致数据暴露或损坏。

对策:将“帐户:来宾帐户状态”设置配置为“已 禁用”,以便内置的Guest帐户不再可用。

潜在影响:所有的网络用户都将必须先进行身份 验证,才能访问共享资源。如果禁用Guest帐 户,并且“网络访问:共享和安全模式”选项设 置为“仅来宾”,则那些由Microsoft网络服务 器(SMB服务)执行的网络登录将失败。对于 大多数组织来说,此策略设置的影响应该会很 小,因为它是 Microsoft Windows? 2000、

Windows XP 和 Windows Server? 2003 中的 默认设置。 帐户:使用空白密码的本地帐户只允许进行控制 台登录

此策略设置确定是否允许使用空白密码的本地 帐户通过网络服务(如终端服务、Telnet和文件 传输协议(FTP))进行远程交互式登录。如果启 用此策略设置,则本地帐户必须有一个非空密 码,才能从远程客户端执行交互式或网络登录。

“帐户:使用空白密码的本地帐户只允许进行控 制台登录”设置的可能值为: 已启用 已禁用 没有定义

注意:此策略设置不影响在控制台上以物理方式 执行的交互式登录,也不影响使用域帐户的登 录。

警告:使用远程交互式登录的第三方应用程序有 可能跳过此策略设置。 漏洞:空白密码会对计算机安全造成严重威胁, 应当通过组织的策略和适当的技术措施来禁止。 实际上,Windows Server 2003 Active Directory?目录服务域的默认设置需要至少包 含七个字符的复杂密码。但是,如果能够创建新 帐户的用户跳过基于域的密码策略,则他们可以 创建具有空白密码的帐户。例如,某个用户可以 构建一个独立的计算机,创建一个或多个具有空 白密码的帐户,然后将该计算机加入到域中。具 有空白密码的本地帐户仍将正常工作。任何人如 果知道其中一个未受保护的帐户的名称,都可以 用它来登录。

对策:启用“帐户:使用空白密码的本地帐户只 允许进行控制台登录”设置。

潜在影响:无。这

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值