組策略設(shè)置系列篇之平安選項3

1、組策略設(shè)置系列篇之“平安選項”-3選項，設(shè)置網(wǎng)絡(luò)平安：不要在卜次更改密碼時存儲LANManager的哈希值此策略設(shè)置確信在下次更改密碼時LANManager是不是能夠存儲新密碼的哈希值。“網(wǎng)絡(luò)平安：不要在下次更改密碼時存儲LANManager的哈希值”設(shè)置的可能值為：已啟用已禁用沒有概念漏洞：試圖訪問用戶名和密碼哈希的解決者可能會以SAM文件作為目標。這種解決利用特殊工具破解密碼，然后利用這些密碼來模擬用戶并取得對網(wǎng)絡(luò)資源的訪問。啟用此策略設(shè)置可不能禁止這些類型的解決，但會使這種解決的成功變得困寶貴多。計謀：將“網(wǎng)絡(luò)平安：不要在下次更改密碼時存儲LANManager的哈希值”設(shè)置配置為“已啟用

2、”。要求所有效戶在下次登錄域時都設(shè)置新密碼，以便LANManager哈希被刪除。潛在阻礙：初期操作系統(tǒng)（如Windows9五、Windows98和WindowsME）和一些第三方應(yīng)用程序?qū)⑹?。網(wǎng)絡(luò)平安：在超過登錄時刻后強制注銷此策略設(shè)置確信在超過用戶帳戶的有效登錄時刻后，是不是要斷開連接到本地運算機的用戶。此設(shè)置阻礙SMB組件。若是啟用此策略設(shè)置，會在客戶端的登錄時刻用完時斷開與SMB效勞器的客戶端會話。若是禁用此策略設(shè)置，己成立的客戶端會話在超過客戶端登錄時刻后繼續(xù)進行。“網(wǎng)絡(luò)平安：在超過登錄時刻后強制注銷”設(shè)置的可能值為:已啟用己禁用沒有概念漏洞：若是禁用此策略設(shè)置，那么在為用戶分派的登

3、錄時刻用完以后，用戶仍能繼續(xù)連接到運算機。計謀：將“網(wǎng)絡(luò)平安：在超過登錄時刻后強制注銷”設(shè)置配置為“已啟用”。此策略設(shè)置不適用于治理員帳戶。潛在阻礙：當用戶的登錄時刻用完時，SMB會話將終止。用戶在他們的下一次打算訪問時刻開始之前將無法登錄到運算機。網(wǎng)絡(luò)平安：LANManager身份驗證級別LANManager(LM)是初期Microsoft客戶端/效勞器軟件系列，它許諾用戶將多辦個人運算機連接在單個網(wǎng)絡(luò)上。網(wǎng)絡(luò)功能包括透明文件和打印共享、用戶平安性功能和網(wǎng)絡(luò)治理工具。在ActiveDirectory域中，Kerberos協(xié)議是默許的身份驗證協(xié)議。可是，若是因某種緣故未協(xié)商Kerberos協(xié)議

4、，那么ActiveDirectory將利用LM、NTLM或NTLMv2oLANManager身份驗證協(xié)議(包括LM、NTLM和NTLM版本2(NTLMv2)變體)用于在所有Windows客戶端執(zhí)行以下操作時對其進行身份驗證：加入到域中-在ActiveDirectory林之間進行身份驗證向低級別域驗證身份向非運行Windows2000sWindowsServer2003或WindowsXP的運算機驗證身份-向不在域中的運算機驗證身份“網(wǎng)絡(luò)平安：LANManager身份驗證級別”設(shè)置的可能值為：發(fā)送LM和NTLM響應(yīng)發(fā)送LM和NTLM-假設(shè)協(xié)商利用NTLMv2會話平安僅發(fā)送NTLM響應(yīng)僅發(fā)送NTL

5、Mv2響應(yīng)僅發(fā)送NTLMv2響應(yīng)'拒絕LM僅發(fā)送NTLMv2響應(yīng)'拒絕LM和NTLM-沒有概念“網(wǎng)絡(luò)平安：LANManager身份驗證級別”設(shè)置確信將哪些質(zhì)詢/響應(yīng)身份驗證協(xié)議用于網(wǎng)絡(luò)登錄。此選項阻礙客戶端利用的身份驗證協(xié)議級別、運算機所協(xié)商的會話平安級別和效勞器所同意的身份驗證級別，如下所示：發(fā)送LM和NTLM響應(yīng)?？蛻舳死肔M和NTLM身份驗證，從不利用NTLMv2會話平安性。域操縱器同意LM、NTLM和NTLMv2身份驗證。發(fā)送LM和NTLM-假設(shè)協(xié)商利用NTLMv2會話平安?？蛻舳死肔M和NTLM身份驗證，若是效勞器支持的話，還利用NTLMv2會話平安。域操縱器同意

6、LM、NTLM和NTLMv2身份驗證。僅發(fā)送NTLM響應(yīng)?？蛻舳酥焕肗TLM身份驗證，若是效勞器支持的話，還利用NTLMv2會話平安。域操縱器同意LM、NTLM和NTLMv2身份驗證。僅發(fā)送NTLMv2響應(yīng)?？蛻舳藘H利用NTLMv2身份驗證，若是效勞器支持的話，還利用NTLMv2會話平安。域操縱器同意LM、NTLM和NTLMv2身份驗證.僅發(fā)送NTLMv2響應(yīng)'拒絕LM。客戶端僅利用NTLMv2身份驗證，若是效勞器支持的話，還利用NTLMv2會話平安。域操縱器拒絕LM（只同意NTLM和NTLMv2身份驗證）。-僅發(fā)送NTLMv2響應(yīng)'拒絕LM和NTLM。客戶端僅利用NTLMv

7、2身份驗證，若是效勞器支持的話，還利用NTLMv2會話平安。域操縱器拒絕LM和NTLM（只同意NTLMv2身份驗證）。這些設(shè)置與其他Microsoft文檔中討論的級別相對應(yīng)，如下所示：級別0-發(fā)送LM和NTLM響應(yīng)：從不利用NTLMv2會話平安。客戶端利用LM和NTLM身份驗證，從不利用NTLMv2會話平安。域操縱器同意LM、NTLM和NTLMv2身份驗證。級別1-假設(shè)協(xié)商利用NTLMv2會話平安?？蛻舳死肔M和NTLM身份驗證，若是效勞器支持的話，還利用NTLMv2會話平安。域操縱器同意LM、NTLM和NTLMv2身份驗證°級別2-僅發(fā)送NTLM響應(yīng)?？蛻舳酥焕肗TLM身份驗證

8、，若是效勞器支持的話,還利用NTLMv2會話平安。域操縱器同意LM、NTLM和NTLMv2身份驗證。級別3-僅發(fā)送NTLMv2響應(yīng)。客戶端利用NTLMv2身份驗證，若是效勞器支持的話，還利用NTLMv2會話平安。域操縱器同意LM.NTLM和NTLMv2身份驗證。級別4-域操縱器拒絕LM響應(yīng)。客戶端利用NTLM身份驗證，若是效勞器支持的話，還利用NTLMv2會話平安。域操縱器拒絕LM身份驗證，即，它們同意NTLM和NTLMv2o-級別5-域操縱器拒絕LM和NTLM響應(yīng)（只同意NTLMv2）0客戶端利用NTLMv2身份驗證，若是效勞器支持的話，還利用NTLMv2會話平安。域操縱器拒絕NTLM和LM

9、身份驗證（它們只同意NTLMv2）o漏洞：Windows2000、WindowsServer2003和WindowsXP客戶端在默許情形下均配置為發(fā)送LM和NTLM身份驗證響應(yīng)（Windows9x客戶端只發(fā)送LM）0效勞器的默許設(shè)置許諾所有的客戶端都向效勞器驗證身份并利用效勞器上的資源?？墒牵@意味著LM響應(yīng)（一種最弱的身份驗證響應(yīng)）通過網(wǎng)絡(luò)進行發(fā)送，而且解決者有可能嗅探該通信，以便更易地再現(xiàn)用戶的密碼。Windows9x和WindowsNT操作系統(tǒng)不能利用Kerberosv5協(xié)議進行身份驗證。因此，在WindowsServer2003域中，這些運算機在默許情形下會用LM和NTLM協(xié)議驗證身份

10、，以便進行網(wǎng)絡(luò)身份驗證。利用NTLMv2,能夠為Windows9x和WindowsNT實施更平安的身份驗證協(xié)議。關(guān)于登錄進程，NTLMv2利用平安通道來愛惜身份驗證進程。即便您對舊式客戶端和效勞器利用NTLMv2,作為域成員的、基于Windows的客戶端和效勞器也將利用Kerberos身份驗證協(xié)議向WindowsServer2003域操縱器驗證身份。計謀：將“網(wǎng)絡(luò)平安:LANManager身份驗證級別”設(shè)置配置為“僅發(fā)送NTLMv2響應(yīng)”。當所有的客戶端都支持NTLMv2時,Microsoft和許多獨立組織都強烈建議利用這種身份驗證級別。潛在阻礙：不支持NTLMv2身份驗證的客戶端將無法在域中

11、進行身份驗證，而且將無法利用LM和NTLM來訪問域資源。網(wǎng)絡(luò)平安：LDAP客戶端簽名要求此策略設(shè)置確信數(shù)據(jù)簽名的級別，此數(shù)據(jù)簽名是代表發(fā)出LDAPBIND請求的客戶端而請求的，具體級別如下：無。LDAPBIND請求是用挪用方指定的選項發(fā)出的協(xié)商簽名。若是傳輸層平安性/平安套接字層（TLS/SSL）尚未啟動，那么LDAPBIND請求是用LDAP數(shù)據(jù)簽名選項集和挪用方指定的選項啟動的。若是TLS/SSL已經(jīng)啟動，那么LDAPBIND請求是用挪用方指定的選項啟動的要求簽名。此級別與“協(xié)商簽名”相同?？墒牵羰荓DAP效勞器的中間saslBindlnProgress響應(yīng)不指出LDAP通信簽名是必需的，

12、那么挪用方會被告知LDAPBIND命令請求已失敗。注意：此策略設(shè)置對ldap_simple_bind或1dap_simp1e_bind_s沒有任何阻礙。WindowsXPProfessional隨附的任何MicrosoftLDAP客戶端都不利用ldap_simple_bind或ldap_simple_bind_s來與域操縱器進行通信。“網(wǎng)絡(luò)平安：LDAP客戶端簽名要求”設(shè)置的可能值為：*無協(xié)商簽名要求簽名沒有概念漏洞：未簽名的網(wǎng)絡(luò)通信易受中間人解決（入侵者捕捉客戶端和效勞器之間的數(shù)據(jù)包，修改它們，然后將它們轉(zhuǎn)發(fā)到效勞器）。關(guān)于LDAP效勞器，這極可能意味著解決者可能致使效勞器依照LDAP查詢的

13、錯誤或修悔改的數(shù)據(jù)作出決定。通過在企業(yè)網(wǎng)絡(luò)中實施強物理平安方法來愛惜網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)，能夠降低此風險。另外，若是要求所有的網(wǎng)絡(luò)數(shù)據(jù)包都借助于IPsec身份驗證頭來進行數(shù)字簽名，能夠使所有類型的中間人解決變得極為困難。計謀：將“網(wǎng)絡(luò)平安：LDAP效勞器簽名要求”設(shè)置配置為“要求簽名”。潛在阻礙：若是將效勞器配置為要求LDAP簽名，那么還必需對客戶端進行配置。若是不配置客戶端它將不能與效勞器通信，這可能致使許多功能失敗，包括用戶身份驗證、組策略和登錄腳本。網(wǎng)絡(luò)平安：基于NTLMSSP（包括平安的RPC）客戶端的最小會話平安此策略設(shè)置許諾客戶端運算機要求協(xié)商消息的保密性（加密）、消息完整性、128位加密

14、或NTLMv2會話平安。這些值依托“LANManager身份驗證級別”策略設(shè)置的值?！熬W(wǎng)絡(luò)平安：基于NTLMSSP（包括平安的RPC）客戶端的最小會話平安”設(shè)置的可能值為：要求消息的保密性。若是不對加密進行協(xié)商，連接將失敗。加密功能將數(shù)據(jù)轉(zhuǎn)換為如不解密就無法讀取的形式要求消息的完整性。若是不對消息的完整性進行協(xié)商，連接將失敗。消息的完整性可通過消息簽名進行評估。消息簽名證明消息未被竄改：它附加加密的簽名（用來標識發(fā)送方，而且以數(shù)字形式來表示消息內(nèi)容）。-要求128位加密。若是不對強加密（128位）進行協(xié)商，連接將失敗。要求NTB!v2會話平安。若是不對NTLMv2協(xié)議進行協(xié)商，連接將失敗。沒有

15、概念。漏洞：您能夠啟用此策略設(shè)置的所有選項，以幫忙避免利用NTLM平安支持提供程序（NTLMSSP）的網(wǎng)絡(luò)通信被已經(jīng)獲取相同網(wǎng)絡(luò)的訪問權(quán)限的解決者公布或竄改。換句話說，這些選項有助于避免受到中間人解決。計謀：啟用“網(wǎng)絡(luò)平安：基于NTLMSSP（包括平安的RPC）客戶端的最小會話平安”策略設(shè)置的所有四個可用選項。潛在阻礙：實施了這些設(shè)置的客戶端運算機將無法與不支持它們的舊式效勞器進行通信,網(wǎng)絡(luò)平安：基于NTLMSSP（包括平安的RPC）效勞器的最小會話平安此策略設(shè)置許諾效勞器要求協(xié)商消息的保密性（加密）、消息完整性、128位加密或NTLMv2會話平安。這些值依托“LANManager身份驗證級別

16、”平安設(shè)置的值?！熬W(wǎng)絡(luò)平安：基于NTLMSSP（包括平安的RPC）效勞器的最小會話平安”設(shè)置的可能值為：*要求消息的保密性。若是不對加密進行協(xié)商，連接將失敗。加密功能將數(shù)據(jù)轉(zhuǎn)換為如不解密就無法由任何人讀取的形式。要求消息的完整性。若是不對消息的完整性進行協(xié)商，連接將失敗。消息的完整性可通過消息簽名進行評估。消息簽名證明消息未被竄改；它附加加密的簽名（用來標識發(fā)送方，而且以數(shù)字形式來表示消息內(nèi)容）。要求128位加密。若是不對強加密（128位）進行協(xié)商，連接將失敗。要求NTLMv2會話平安。若是不對NTLMv2協(xié)議進行協(xié)商，連接將失敗。沒有概念。漏洞：您能夠啟用此策略設(shè)置的所有選項，以幫忙避免利用

17、NTLX平安支持提供程序（NTLMSSP）的網(wǎng)絡(luò)通信被已經(jīng)獲取相同網(wǎng)絡(luò)的訪問權(quán)限的解決者公布或竄改。即，這些選項有助于避免受到中間人解決。計謀：啟用“網(wǎng)絡(luò)平安：基于NTLMSSP（包括平安的RPC）效勞器的最小會話平安”策略的所有四個可用選項。潛在阻礙：不支持這些平安設(shè)置的舊式客戶端將無法與該運算機進行通信。故障恢復操縱臺：許諾自動系統(tǒng)治理級登錄此策略設(shè)置確信是不是必需先提供Administrator帳戶的密碼才許諾訪問運算機。若是啟用此設(shè)置，Administrator帳戶自動登錄到運算機的故障恢復操縱臺：不需要密碼?！肮收匣謴筒倏v臺：許諾自動系統(tǒng)治理級登錄”設(shè)置的可能值為：已啟用已禁用沒有概

18、念漏洞：當您需要對無法啟動的運算機進行故障排除和修復時，故障恢復操縱臺超級有效?？墒牵S諾自動登錄操縱臺是超級危險的。因為任何人都能夠走到效勞器前，通過斷開電源關(guān)閉它，再從頭啟動，從“從頭啟動”菜單當選擇“故障恢復操縱臺”，于是取得對效勞器的完全操縱。計謀：將“故障恢復操縱臺：許諾自動系統(tǒng)治理級登錄”設(shè)置配置為“已禁用”。潛在阻礙：用戶將必需輸入用戶名和密碼才能訪問故障恢復操縱臺。故障恢復操縱臺：許諾對所有驅(qū)動器和文件夾進行軟盤復制和訪問啟用此策略設(shè)置會使故障恢復操縱臺的SET命令處于可用狀態(tài)，從而能夠設(shè)置以下故障恢復操縱臺環(huán)境變量：AllowWildCards0對某些命令（如DEL命令）啟用

19、通配符支持。AllowAllPaths«許諾訪問運算機上的所有文件和文件夾。AllowRemovableMediao許諾將文件復制到可移動媒體，如軟盤。NoCopyPrompto禁止顯示在現(xiàn)有文件被覆蓋前通常顯示的提示。“故障恢復操縱臺：許諾對所有驅(qū)動器和文件夾進行軟盤復制和訪問”設(shè)置的可能值為：已啟用-已禁用-沒有概念漏洞：能夠致使系統(tǒng)從頭啟動到故障恢復操縱臺的解決者可能會竊取靈敏數(shù)據(jù)而且不留下任何審核或訪問記錄。計謀：將“故障恢復操縱臺：許諾對所有驅(qū)動器和文件夾進行軟盤復制和訪問”設(shè)置配置為“已禁用潛在阻礙：若是用戶通過故障恢復操縱臺啟動效勞器，而且利用內(nèi)置的Administra

20、tor帳戶進行登錄，他們將無法把文件和文件夾復制到軟盤。關(guān)機：許諾系統(tǒng)在未登錄前關(guān)機此策略設(shè)置確信是不是沒必要登錄到Windows就能夠夠關(guān)閉運算機。若是啟用此策略設(shè)置,Windows登錄屏幕上會提供“關(guān)機”命令。若是禁用此策略設(shè)置，會從Windows登錄屏幕上刪除“關(guān)機”選項。此配置要求用戶能夠成功登錄運算機而且具有“關(guān)閉系統(tǒng)”用戶權(quán)限,才能關(guān)閉運算機?！瓣P(guān)機：許諾系統(tǒng)在未登錄前關(guān)機”設(shè)置的可能值為：已啟用己禁用沒有概念漏洞：能夠在本地訪問操縱分的用戶可能關(guān)閉運算機。解決者也可能會走到本地操縱臺前并從頭啟動效勞器，這可能致使臨時的DoS條件。解決者還可能會關(guān)閉效勞器，并使其所有應(yīng)用程序和效勞

21、均不可用。計謀：將“許諾系統(tǒng)在未登錄前關(guān)機”設(shè)置配置為“已禁用”。潛在阻礙：操作員將必需登錄效勞器才能關(guān)閉或從頭啟動它們。關(guān)機：清除虛擬內(nèi)存頁而文件此策略設(shè)置確信在關(guān)閉運算機時是不是清除虛擬內(nèi)存頁面文件。當內(nèi)存頁未被利歷時，虛擬內(nèi)存支持如下操作：利用系統(tǒng)頁面文件將內(nèi)存頁互換到磁盤中。在正在運行的運算機上，那個頁面文件是由操作系統(tǒng)以獨占方式打開的，而且會取得專門好的愛惜。可是，被配置為許諾啟動到其他操作系統(tǒng)的運算機可能必需確保在運算機關(guān)閉時，系統(tǒng)頁面文件被完全清除。此信息將確保進程內(nèi)存中可能進入頁面文件中的靈敏信息，在關(guān)機后關(guān)于未經(jīng)授權(quán)的設(shè)法直接訪問頁而文件的用戶不可用。啟用此策略設(shè)置時，會在正

22、常關(guān)機時清除系統(tǒng)頁面文件。另外，當在便攜式運算機上禁用休眠時，此策略設(shè)置還將強制運算機清除休眠文件?！瓣P(guān)機：清除虛擬內(nèi)存頁面文件”設(shè)置的可能值為：已啟用己禁用沒有概念漏洞：保留在實際內(nèi)存中的重要信息可能會按期寫入到頁而文件中，以幫忙WindowsServer2003處置多任務(wù)功能。能夠物理訪問已關(guān)閉效勞器的解決者能夠查看頁面文件的內(nèi)容。解決者可能會將系統(tǒng)卷移到另一臺運算機，然后分析頁面文件的內(nèi)容。盡管此進程很耗時，可是它能夠?qū)⒕彺嬖陔S機存取內(nèi)存（RAM）中的數(shù)據(jù)公布給頁面文件。警告：能夠物理訪問效勞器的解決者只需斷開效勞器的電源即可擺脫此計謀的約束。計謀：將“關(guān)機：清除虛擬內(nèi)存頁而文件”設(shè)置配

23、置為“已啟用”。此配置使WindowsServer2003在運算機關(guān)閉時清除頁面文件。完成此進程所需的時刻取決于頁面文件的大小。可能需要幾分鐘才會完全關(guān)閉運算機。潛在阻礙：尤其是關(guān)于具有大量頁面文件的效勞器，將會花費更長時刻關(guān)閉并從頭啟動效勞器。關(guān)于具有2GBRAM和2GB頁面文件的效勞器，此策略設(shè)置可能會使關(guān)閉進程增加20到30分鐘或更長。關(guān)于一些組織，那個停機時刻違背了它們的內(nèi)部效勞級別協(xié)議。因此,在您的環(huán)境中實現(xiàn)此計謀之前必然要額外警惕。系統(tǒng)加密：存儲在運算機上的用戶密鑰強制利用強密鑰愛惜此策略設(shè)置確信譽戶是不是能夠利用沒有密碼的私鑰（如他們的S/MIME密鑰）?！跋到y(tǒng)加密：存儲在運算機

24、上的用戶密鑰強制利用強密鑰愛惜”設(shè)置的可能值為:存儲和利用新密鑰時不需要用戶輸入第一次利用密鑰時提示用戶輸入用戶每次利用密鑰時必需輸入密碼沒有概念漏洞”：能夠配置此策略設(shè)置，以便用戶在每次利用密碼時都必需提供一個不同于其域密碼的密碼。此配置使解決者更難訪問存儲在本地的用戶密鑰，即便是在解決者操縱了用戶運算機并確信了用戶的登錄密碼時也是如此。計謀：將“系統(tǒng)加密：存儲在運算機上的用戶密鑰強制利用強密鑰愛惜”設(shè)置配置為“用戶每次利用密鑰時必需輸入密碼二潛在阻礙：用戶在每次訪問存儲在其運算機上的密鑰時都必需輸入其密碼。例如，若是用戶利用S-MINE證書對他們的電子郵件進行數(shù)字簽名，那么在他們發(fā)送簽名的

25、電子郵件時，將被迫輸入該證書的密碼。關(guān)于某些組織來講，利用此配置涉及的開銷可能會超級高。但至少應(yīng)當將此設(shè)置設(shè)置為“第一次利用密鑰時提示用戶輸入”。系統(tǒng)加密：利用FIPS兼容的算法來加密、哈希和簽名此策略設(shè)置確信TLS/SSL平安提供程序是不是將僅支持TLS_RSA_WITH_3DES_EDE_CBC_SHA強密碼套件，這意味著該提供程序只支持將TLS協(xié)議作為客戶端和效勞器(若是適合)。它只利用三重數(shù)據(jù)加密標準(DES)加密算法進行TLS通信加密，只利用Rivest-Shamir-Adleman(RSA)公鑰算法進行TLS密鑰互換和身份驗證，只利用平安哈希算法版本1(SHA-1)哈希算法來知足T

26、LS哈希要求。啟用此設(shè)置時，加密文件系統(tǒng)效勞(EFS)僅支持利用三重DES加密算法來加密文件數(shù)據(jù)。默許情形下，WindowsServer2003實施的EFS利用具有256位密鑰的高級加密標準(AES)oWindowsXP實施利用DESX。“系統(tǒng)加密：利用FIPS兼容的算法來加密、哈希和簽名”設(shè)置的可能值為:已啟用己禁用*沒有概念漏洞：能夠啟用此策略設(shè)置來確保運算機將利用可用于數(shù)字加密、哈希和簽名的功能最壯大的算法。利用這些算法可將未經(jīng)授權(quán)的用戶損害數(shù)字加密或簽名數(shù)據(jù)的風險降到最低。計謀：將“系統(tǒng)加密：利用FIPS兼容的算法來加密、哈希和簽名”設(shè)置配置為“已啟用”。潛在阻礙：啟用此策略設(shè)置的客戶

27、端運算機將無法通過數(shù)字加密或數(shù)字簽名協(xié)議與那些不支持這些算法的效勞器進行通信。不支持這些算法的網(wǎng)絡(luò)客戶端還將無法利用需要加密網(wǎng)絡(luò)通信的效勞器。例如，就無法將許多基于Apache的Web效勞器配置為支持TLS。若是啟用此設(shè)置，還將需要將InternetExplorer配置為利用TLS。此策略設(shè)置還會阻礙用于遠程桌面協(xié)議（RDP）的加密級別。遠程桌面連接工具利用RDP協(xié)議與運行終端效勞和客戶端運算機（配置為遠程操縱）的效勞器進行通信：若是兩類運算機都沒有配置為利用同一加密算法，那么RDP連接將失敗。使InternetExplore能夠利用TLS1.在InternetExplorer的"工

28、具”菜單上,打開uInternet選項”對話框。2.單擊“高級”選項卡。3.選中“利用TLS”復選框。您還能夠通過組策略或利用InternetExplorer治理員工具包對此策略設(shè)置進行配置。系統(tǒng)對象：由治理員（Administrators）組成員所創(chuàng)建的對象默許所有者此策略設(shè)置確信Administrators組或?qū)ο髣?chuàng)建者是不是是所創(chuàng)建的任何系統(tǒng)對象的默許所有者。“系統(tǒng)對象：由治理員（Administrators）組成員所創(chuàng)建的對象默許所有者”設(shè)置的可能值為：治理員組對象創(chuàng)建者沒有概念漏洞：若是將此策略設(shè)置配置為“治理員組”，個人將不可能負責新系統(tǒng)對象的創(chuàng)建。計謀：將“系統(tǒng)對象：由治理員（A

29、dministrators）組成員所創(chuàng)建的對象默許所有者”設(shè)置配置為“對象創(chuàng)建者”。潛在阻礙：在創(chuàng)建系統(tǒng)對象時，所有權(quán)將反映是哪個帳戶（而不是泛指哪個Administrators組）創(chuàng)建了對象。此策略設(shè)置的后果是，當用戶帳戶被刪除時該對象將變成孤立的。例如,當信息技術(shù)組的某位成員離開時，他在域中任何位置創(chuàng)建的任何對象將沒有所有者。此情形將對治理員造成負擔，這是因為治理員將必需手動取得這些孤立對象的所有權(quán)以更新它們的權(quán)限。若是能夠確保老是為域組（如DomainAdmins）的新對象分派“完全操縱”權(quán)限，那么可將此潛在負擔減至最小。系統(tǒng)對象：對非Windows子系統(tǒng)不要求區(qū)分大小寫此策略設(shè)置確信是

30、不是對所有子系統(tǒng)不要求區(qū)分大小寫。MicrosoftWin32公子系統(tǒng)不區(qū)分大小寫。可是，內(nèi)核支持其他子系統(tǒng)（如可移植UNIX操作系統(tǒng)接口（POSIX）區(qū)分大小寫。若是啟用此設(shè)置，那么所有目錄對象、符號鏈接，和10和文件對象均不要求區(qū)分大小寫。若是禁用此設(shè)置，Win32子系統(tǒng)可不能區(qū)分大小寫?！跋到y(tǒng)對象：對非Windows子系統(tǒng)不要求區(qū)分大小寫”設(shè)置的可能值為：已啟用已禁用沒有概念漏洞：由于Windows不區(qū)分大小寫，可是POSIX子系統(tǒng)將支持區(qū)分大小寫，因此，若是未啟用此策略設(shè)置，該子系統(tǒng)的用戶將有可能創(chuàng)建一個與另一個文件同名、可是混有不同大小寫字母的文件。當用戶嘗試從正常的Win32工具訪

31、問這些文件時，這種情形可能使他們感到混淆，因為將只有其中的一個文件可用。計謀：將“系統(tǒng)對象：對非Windows子系統(tǒng)不要求區(qū)分大小寫”設(shè)置配置為“已啟用二潛在阻礙：所有的子系統(tǒng)都將被迫遵守不區(qū)分大小寫這一規(guī)那么。此配置可能使熟悉某個基于UNIX的操作系統(tǒng)（區(qū)分大小寫）的用戶感到混淆。系統(tǒng)對象：增強內(nèi)部系統(tǒng)對象的默許權(quán)限（例如SymbolicLinks）此策略設(shè)置確信對象的默許DACL的強度。Windows保護共享運算機資源（如MS-DOS設(shè)備名稱、多用戶終端執(zhí)行程序和信號燈）的全局列表，以便于在進程間定位和共享對象?！跋到y(tǒng)對象：增強內(nèi)部系統(tǒng)對象的默許權(quán)限（例如SymbolicLinks）”設(shè)置的可能值為：已啟用已禁用沒有概念漏洞：此設(shè)置確信對象的默許DACL的強度。WindowsServer2003保護共享運算機資源的全局列表，以便于在進程間定位和共享對象。各類類型的對象在創(chuàng)建時都附帶了默許的DACL,指定誰能夠訪問該對象并以何種權(quán)限訪問。若是啟用此設(shè)置，默許的DACL會增強,因為許諾非治理員用戶讀取共享對象，可是不能修