Windows 2003安全指南之创建成员服务器基线三

表格 3.49：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
管理员组	没有定义	没有定义	管理员组

获取文件或其它对象的所有权用户权限允许用户获取系统中任意安全对象的所有权，其中包括Active Directory对象、NTFS文件系统（NTFS）文件与文件夹、打印机、注册表键、服务、进程以及线程等。请确保只有本地管理员组拥有获取文件或其它对象所有权用户权限。

安全选项

组策略的安全选项部分用以配置针对计算机的安全设置，例如数据数字签署、管理员与Guest帐号名称、软盘驱动器与CD-ROM驱动器访问能力、驱动器安装方式以及登录提示信息等等。

在Windows Server 2003操作系统中，安全选项设置可以在组策略对象编辑器的以下位置上进行配置：

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

并非所有安全组均存在于所有系统类型中。同时，许多安全组SID在企业范围内的所有域中取值唯一。因此，组策略的安全选项部分可能需要在目标组业已存在的系统中进行手动修改。这部分内容面向MSBP对本指南定义的三种运行环境中所描述的安全选项进行了详细介绍。如需获取针对这部分所描述设置选项的总结归纳，请查看名为Windows Server 2003安全指导设置的Excel电子表格。如需获取缺省设置信息以及这部分所讨论之设置的详细解释内容，请查看参考指南《威胁与对策：Windows Server 2003与Windows XP中的安全设置》，该书可通过网址http://go.microsoft.com/fwlink/?LinkId=15159获得。

帐号: Guest 帐号状态

表格 3.50：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
禁用	禁用	禁用	禁用

帐号：Guest帐号状态安全选项设置用于指示Guest帐号是否已被启用或禁用。这种帐号允许未经身份验证的网络用户通过以来宾身份登录的方式获取系统访问权限。因此，这种安全选项设置在三种运行环境中均应配置为禁用。

帐号：限制本地帐号只能在控制台登录过程中使用空白密码

设置 3.51：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
启用	启用	启用	启用

帐号：限制本地帐号只能在控制台登录过程中使用空白密码安全选项设置决定了不受密码保护的本地帐号是否可以从物理计算机控制台以外的其它位置上进行登录。启用这项设置能够防止具有非空密码的本地帐号通过网络从远程客户端上进行登录，不受密码保护的本地帐号将只能通过计算机键盘进行物理登录。因此，我们在三种运行环境中针对这项措施强制应用了缺省取值。

审核：审核全局系统对象访问方式

表格 3.52：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
禁用	禁用	禁用	禁用

审核：审核全局系统对象访问方式安全设置选项将在生效后对全局系统对象访问方式加以审核。如果同时启用审核：审核全局系统对象访问方式和审核对象访问审核策略这两项设置，那么，系统将产生大量审核事件。针对本指南所定义的三种运行环境，这项设置均采用了缺省取值。

说明：针对这种安全选项设置所进行的更改将在重新启动Windows Server 2003操作系统后生效。

审核：审核备份与恢复权限使用情况

表格 3.53：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
禁用	禁用	禁用	禁用

审核：审核备份与恢复权限使用情况安全设置选项决定了是否在审核特权使用策略设置生效后对包括备份与恢复在内的所有用户权限使用情况进行审核。启用这种策略将产生大量安全事件，进而导致服务器响应速度降低并强制安全事件日志记录大量意义不大的事件。因此，对于这项设置，三种运行环境均采用了缺省取值。

说明：针对这种安全选项设置所进行的更改将在重新启动Windows Server 2003操作系统后生效。

审核：如果无法记录安全审核信息则立即关闭系统

表格 3.54：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
禁用	禁用	禁用	禁用

审核：如果无法记录安全审核信息则立即关闭系统安全设置选项决定了是否在无法记录安全事件的情况下立即关闭系统。在旧有客户机和企业客户机运行环境中启用这项设置的管理代价过于高昂，因此，组策略将如果无法记录安全审核信息则立即关闭系统设置为禁用状态。然而，在高安全性运行环境中，为避免除管理员刻意操作外出现从安全事件日志中删除事件的情况，额外管理负担是可以接受，因此，这种选项被设置为启用状态。

设备：允许在未登录情况下移除

表格 3.55：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
启用	禁用	禁用	禁用

设备：允许在未登录情况下移除安全选项设置决定了便携式计算机能否在用户未登录到系统的情况下移除。启用这项设置将消除登录需求并允许利用外部硬件设备弹出按钮移除计算机。禁用这项设置则意味着如需在未登录到系统前移除计算机，用户必须具备从扩展坞中移除计算机的用户权限（本指南中未定义）。

设备：允许格式化与弹出可移动媒体

表格 3.56：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
管理员组	管理员组	管理员组	管理员组

设备：允许格式化与弹出可移动媒体安全选项设置决定了哪些用户可以格式化或弹出可移动媒体。应当只有管理员能够从服务器上弹出可移动媒体。因此，本指南中所定义的三种运行环境针对这项设置均采用了缺省取值。

设备：防止用户安装打印机驱动程序

表格 3.57：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
启用	启用	启用	启用

对于需要通过网络打印机执行打印操作的计算机来说，必须首先安装相应网络打印机的驱动程序。通过启用设备：防止用户安装打印机驱动程序安全选项设置，只有管理员组或高级用户组成员以及那些具备服务器操作员权限的用户才能在添加网络打印机的过程中安装打印机驱动程序。针对本指南所定义的三种运行环境，这项设置均采用了缺省取值。

设备：仅限本地登录用户访问CD-ROM

表格 3.58：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
禁用	没有定义	没有定义	启用

设备：仅限本地登录用户访问CD-ROM安全选项设置决定了是否同时允许本地及远程用户访问CD-ROM。启用这项设置将只允许通过交互方式登录的用户访问可移动CD-ROM媒体。如果这项策略已被启用，且没有任何用户通过交互方式进行登录，那么，CD-ROM将能够通过网络进行访问。在旧有客户机和企业客户机运行环境中，这种选项被设置为没有定义。在高安全性运行环境中，其取值则被设置为启用。

设备：仅限本地登录用户访问软盘驱动器

表格 3.59：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
禁用	没有定义	没有定义	启用

 

设备：仅限本地登录用户访问软盘驱动器安全选项设置决定了是否同时允许本地及远程用户访问可移动软盘媒体。启用这项设置将只允许通过交互方式登录的用户访问可移动软盘媒体。如果这项策略已被启用，且没有任何用户通过交互方式进行登录，那么，软盘媒体将能够通过网络进行访问。在旧有客户机和企业客户机运行环境中，这种选项被设置为禁用。在高安全性运行环境中，其取值则被设置为启用。

设备：未经签署的驱动程序安装操作

表格 3.60：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
警告但允许安装	警告但允许安装	警告但允许安装	警告但允许安装

设备：未经签署的驱动程序安装操作安全选项设置决定了如何处理尝试（依靠安装程序API）安装未经Windows硬件设备质量实验室（WHQL）批准并签署的设备驱动程序的操作。这种选项将防止安装未经签署的驱动程序，或在安装未经签署的驱动程序时向管理员发出警告。这种方式能够避免安装尚未获得Windows Server 2003运行认证资格的驱动程序。针对警告但允许安装取值所存在的一种潜在问题是，当安装未经签署的驱动程序时，无人干预的安装脚本将执行失败。

域控制器：允许服务器操作员进行任务调度

表格 3.61：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
没有定义	禁用	禁用	禁用

域控制器：允许服务器操作员进行任务调度安全选项设置决定了是否允许服务器操作员通过AT调度机制提交作业。这项设置在本指南所定义的三种运行环境中均被禁用。对于大多数组织机构而言，禁用这项设置所造成的影响将非常小。包括服务器操作员组成员在内的用户仍将能够通过任务计划向导创建作业，但这些作业将在用户创建作业时完成身份验证所使用的帐号上下文环境中运行。

说明：为选择本地服务帐号以外的其它帐号，您可以对At服务帐号进行修改。如需修改这个帐号，请打开“系统工具”，依次点击“计划任务”和“附件”文件夹，并选择“高级”菜单中的“AT服务帐号”。

域控制器：LDAP服务器签署需求

表格 3.62：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
没有定义	没有定义	没有定义	需要签署

域控制器：LDAP服务器签署需求安全选项设置用于决定LDAP服务器在与LDAP客户端进行协商时是否需要签署。既未签署也未加密的网络通信内容容易在传输途中遭到人为攻击（入侵者捕获服务器与客户端之间的数据包并在继续向客户端进行转发前对其进行修改）。对于LDAP服务器而言，这意味着攻击者能够促使客户端在来自LDAP目录的虚假记录基础上做出决策。如果所有域控制器均运行在Windows 2000或更高版本操作系统平台上，应将这种安全选项设置为需要签署。否则，应保持其缺省取值——没有定义。由于高安全性运行环境中的所有计算机均运行在Windows 2000或Windows Server 2003操作系统之上，因此，该选项在这种运行环境中被设置为需要签署。

域控制器：拒绝更改计算机帐号密码

表格 3.63：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
没有定义	禁用	禁用	禁用

域控制器：拒绝更改计算机帐号密码安全选项设置用于决定域控制器是否拒绝来自成员服务器的计算机帐号密码更改请求。在域中所有域控制器上启用这项设置将禁止修改域成员计算机的帐号密码，从而使其容易遭到攻击。因此，针对本指南所定义的三种运行环境，这种安全选项的取值均被设置为禁用。

域控制器：对来自安全通道的数据进行数字加密或签署（始终）

表格 3.64：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
禁用	禁用	禁用	启用

域控制器：对来自安全通道的数据进行数字加密或签署（始终）安全选项设置用于决定是否必须对由域成员发起的所有安全通道通信内容进行签署或加密。如果系统被设置为始终对来自安全通道的数据进行加密或签署，那么，由于所有安全通道数据都将进行签署与加密，该系统将无法与不能对安全通道通信内容进行签署或加密的域控制器建立安全通道。在旧有客户机和企业客户机运行环境中，这种安全选项被设置为禁用；而在高安全性运行环境中，这种安全选项被设置为启用。

说明：为在成员工作站和服务器上利用这种安全选项设置，构成成员域的所有域控制器都必须运行配备Service Pack 6a的Windows NT 4.0或更高版本操作系统。这项设置将不支持Windows 98 Second Edition客户端（除非安装dsclient）。

域控制器：对来自安全通道的数据进行数字加密（在可能情况下）

表格 3.65：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
启用	启用	启用	启用

域控制器：对来自安全通道的数据进行数字加密（在可能情况下）安全选项设置用于决定域成员是否需要针对它们发起的所有安全通道通信操作尝试就加密事宜进行协商。启用这项设置将促使域成员为所有安全通道通信内容请求加密。禁用这项设置则会阻止域成员协商安全通道加密事宜。因此，在本指南所定义的三种运行环境中，这种安全选项的取值均被设置为启用。

域控制器：对来自安全通道的数据进行数字签署（在可能情况下）

表格 3.66：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
启用	启用	启用	启用

域控制器：对来自安全通道的数据进行数字签署（在可能情况下）安全选项设置用于决定域成员是否需要针对它们发起的所有安全通道通信操作尝试就签署事宜进行协商。签署方式能够保护通信数据在传输途中不会被截获者所修改。因此，在本指南所定义的三种运行环境中，这种安全选项的取值均被设置为启用。

域成员：禁用计算机帐号密码更改

表格 3.67：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
禁用	禁用	禁用	禁用

域成员：禁用计算机帐号密码更改安全选项设置用于决定域成员是否可以定期更改自身计算机帐号密码。启用这项设置将禁止域成员更改自身计算机帐号密码。禁用这项设置则允许域成员根据域成员：最大计算机帐号密码存留期设置（缺省值为30天）对自身计算机帐号密码进行更改。如果计算机无法自动更改自身帐号密码，那么，攻击者确定系统域帐号密码的风险将会增大。因此，对于本指南所定义的三种运行环境，这种选项均被设置为禁用。

域成员：最大计算机帐号密码存留期

表格 3.68：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
30天	30天	30天	30天

域成员：最大计算机帐号密码存留期安全选项设置决定了针对计算机帐号密码的最大允许存留期。这项设置同时还适用于运行Windows 2000操作系统的计算机，然而，在这些计算机上，它将无法从安全配置管理器中进行管理。缺省情况下，域成员将以30天为周期自动更改自身的域密码。显著增大这一间隔，或者将其设置为0以至使计算机无法更改自身密码的行为都将为攻击者提供更多时间来针对特定计算机帐号发动强行密码猜测攻击。因此，在本指南所定义的三种运行环境中，这种选项均被设置为30天。

域成员：需要增强型（Windows 2000或更高版本）会话密钥

表格 3.69：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
禁用	启用	启用	启用

域成员：需要增强型（Windows 2000或更高版本）会话密钥安全选项设置用于确定是否需要针对加密安全通道数据使用128位密钥强度。启用这项设置后将无法建立不具备128位加密措施的安全通道。禁用这项设置则需要域成员和域控制器共同协商密钥强度。在Windows 2000操作系统中，用以在域控制器和成员计算机间建立安全通道通信方式的会话密钥要比原先版本Microsoft操作系统中的会话密钥更为强壮。因此，由于本指南所描述的三种安全运行环境中均使用Widows 2000或更高版本操作系统构建域控制器，在三种运行环境中，这种选项均被设置为启用状态。

说明：您将无法向Windows NT 4.0域中加入启用这种选项的Windows 2000计算机。

交互式登录：不显示最后一个用户名

表格 3.70：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
禁用	启用	启用	启用

交互式登录：不显示最后一个用户名安全选项设置用于确定是否在Windows登录屏幕上显示最后一个登录到这台计算机的用户名称。启用这项设置后系统将不会在登录到Windows对话框中显示最后登录的用户名称。对于本指南所定义的三种运行环境，基线服务器策略中的交互式登录：不显示最后一个用户名安全选项均被设置为启用状态。

交互式登录：无需使用CTRL+ALT+DEL

表格 3.71：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
禁用	禁用	禁用	禁用

交互式登录：无需使用CTRL+ALT+DEL安全选项设置用于确定在用户登录前是否需要按下CTRL+ALT+DEL组合键。当禁用这项设置时，所有用户都必须在登录到Windows前按下CTRL+ALT+DEL（除非他们正在通过智能卡进行Windows登录）。为降低攻击者通过特洛伊木马程序截获用户密码的几率，在本指南所定义的三种运行环境中，这种选项均被设置为禁用状态。

交互式登录：针对尝试登录用户的消息文本

表格3.72：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
没有定义	这种系统仅限于授权用户使用。未经授权的访问尝试将被起诉。如果未经授权，请立即终止访问！单击确定以表示您接受屏幕背景上所显示的信息。	这种系统仅限于授权用户使用。未经授权的访问尝试将被起诉。如果未经授权，请立即终止访问！单击确定以表示您接受屏幕背景上所显示的信息。	这种系统仅限于授权用户使用。未经授权的访问尝试将被起诉。如果未经授权，请立即终止访问！单击确定以表示您接受屏幕背景上所显示的信息。

交互式登录：针对尝试登录用户的消息文本安全选项设置用于指定用户登录时所显示的文本消息。这些文本通常用于法律目的，例如警告用户滥用公司信息的后果或者警告他们相关操作将受到审核。对于三种运行环境，我们均建议使用这种消息文本设置。

说明：您所显示的警告信息必须首先经过所在组织机构法律顾问及人力资源代表的批准。此外，交互式登录：针对尝试登录用户的消息文本和交互式登录：针对尝试登录用户的消息标题选项必须同时启用，以便使两者均能正常工作。

交互式登录：针对尝试登录用户的消息标题

表格 3.73：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
没有定义	未经授权继续操作将被视为非法行为	未经授权继续操作将被视为非法行为	未经授权继续操作将被视为非法行为

交互式登录：针对尝试登录用户的消息标题安全选项设置允许为交互登录用户在系统登录过程中所看到的窗口指定标题栏信息。提供此项设置的原因与提供针对尝试登录用户的消息文本设置的原因完全相同。不使用这项设置的组织机构在法律上更容易遭受入侵者所发动的网络接口攻击。因此，对于本指南所定义的三种运行环境，这种选项均被设置为启用状态。

说明：您所显示的警告信息必须首先经过所在组织机构法律顾问及人力资源代表的批准。此外，交互式登录：针对尝试登录用户的消息文本和交互式登录：针对尝试登录用户的消息标题选项必须同时启用，以便使两者均能正常工作。

交互式登录：原先登录到高速缓存的次数（在域控制器不可用的情况下）

表格 3.74：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
10	1	0	0

交互式登录：原先登录到高速缓存的次数（在域控制器不可用的情况下）安全选项设置用于确定用户是否可以利用高速缓存中所保留的帐号信息登录到Windows域。域帐号登录信息可以缓存在本地，以便在后续登录过程中当无法与域控制器建立连接时，确保用户仍然能够进行登录。这项设置决定了允许在本地缓存登录信息的不同用户数目。将这种选项设置为0将禁用登录缓存特性，而这也正是针对三种运行环境的建议设置。

交互式登录：在过期前提示用户更改密码

表格 3.75：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
14天	14天	14天	14天

交互式登录：在过期前提示用户更改密码安全选项设置用于确定提前多少天向用户发出密码即将过期的警告信息。本指南的帐号策略部分中建议您将用户密码设置为使用一段时间后自动过期。如果用户在密码过期前未得到任何通知，那么，他们可能直到密码真正过期时才会发现这一点。这可能导致用户访问本地网络发生混淆，或使得用户无法通过拨号和虚拟专用网络（VPN）连接方式访问您的组织机构网络。因此，在本指南所定义的三种运行环境中，这种选项均被设置未缺省取值——即14天。

交互式登录：在解除工作站锁定状态时要求通过域控制器身份验证

表格 3.76：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
禁用	启用	启用	启用

对于域帐号来说，交互式登录：在解除工作站锁定状态时要求通过域控制器身份验证安全选项设置用于确定是否必须在解除计算机锁定状态时同域控制器取得联系。这项设置与交互式登录：原先登录到高速缓存的次数（在域控制器不可用的情况下）设置具有相同的弱点。用户可以断开网络连接电缆，并在无需进行身份验证的情况下利用原有密码解除服务器锁定状态。为避免出现这种情况，在本指南所定义的三种运行环境中，这种选项均被设置为启用状态。

重要提示：这项设置适用于运行Windows 2000或更高版本操作系统的计算机，但其无法在运行Windows 2000操作系统（只适用于Windows Server 2003）的计算机上通过安全配置管理器工具进行管理。

交互式登录：智能卡删除操作

表格 3.77：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
无操作	没有定义	锁定工作站	锁定工作站

交互式登录：智能卡删除操作安全选项设置决定了从智能卡读取设备上卸载已登录用户所使用的智能卡时系统所采取的措施。如将这种选项设置为锁定工作站，那么，当智能卡被卸载时，工作站将自动被锁定，从而允许用户携带智能卡离开工作区域，并自动锁定正在使用的工作站。如将这种选项设置为强制注销，那么，当智能卡被卸载时，系统将自动注销相应用户。

Microsoft网络客户端：对通信过程进行数字签署（始终）

表格 3.78：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
禁用	禁用	启用	启用

Microsoft网络客户端：对通信过程进行数字签署（始终）安全选项设置用于确定SMB客户端组件是否要求对数据包进行签署。启用这项设置后，除非Microsoft网络服务器同意执行SMB数据包签署，否则，Microsoft网络客户端将无法与其进行通信。在包含旧有客户机的混合型环境中，由于这些旧有客户机无法进行身份验证或获取域控制器访问权限，因此，应将这种选项设置为禁用。然而，您可以在Windows 2000或更高版本操作系统运行环境中使用这项设置。本指南所定义的企业客户机和高安全性运行环境只包含运行Windows 2000或更高版本操作系统的计算机。因此，为提高这种运行环境中系统之间的通信安全性，这种选项在企业客户机和高安全性运行环境中均被设置为启用。

Microsoft网络客户端：对通信过程进行数字签署（如果服务器同意）

表格 3.79：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
启用	启用	启用	启用

Microsoft网络客户端：对通信过程进行数字签署（如果服务器同意）安全选项设置用于确定SMB客户端是否需要尝试就SMB数据包签署问题进行协商。在Windows网络中实现数字签署机制有助于防止会话遭到拦截。通过启用这项设置，成员服务器上的Microsoft网络客户端将仅仅在与其通信的服务器能够接受数字签署通信方式时请求进行数字签署。在本指南所定义的三种运行环境中，这种选项均被设置为启用。

Microsoft网络客户端：向第三方SMB服务器发送未经加密的密码

表格 3.80：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
禁用	禁用	禁用	禁用

如果Microsoft网络客户端：向第三方SMB服务器发送未经加密的密码安全选项被设置为启用状态，SMB重定向器将被允许在非Microsoft SMB服务器无法在身份验证过程中支持密码加密方式的情况下以明文方式向其发送密码。除非应用需求要求确保密码安全性，否则，在本指南所定义的三种运行环境中，这种选项将均被设置为缺省取值——禁用。

Microsoft网络服务器：挂起会话前所需等待的空闲时间

表格 3.81：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
15分钟	15分钟	15分钟	15分钟

Microsoft网络服务器：挂起会话前所需等待的空闲时间安全选项设置用于确定在挂起SMB会话前所需等待的连续空闲时间。管理员可以利用这项策略来控制计算机何时挂起处于非活动状态的SMB会话。如果客户端恢复至活动状态，会话将被自动重建。在本指南所定义的三种运行环境中，这种选项均被设置为15分钟。

Microsoft网络服务器：对通信过程进行数字签署（始终）

表格 3.82：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
禁用	禁用	启用	启用

Microsoft网络服务器：对通信过程进行数字签署（始终）安全选项设置用于确定SMB服务器组件是否需要在与SMB客户端实现进一步通信操作前对数据包进行签署。Windows 2000 Server、Windows 2000 Professional、Windows Server 2003以及Windows XP Professional均包含支持相互身份验证的SMB版本，这种版本能够抵御会话拦截型攻击并且支持消息身份验证（因而能够抵御中途攻击）。SMB签署通过在每个SMB数据包中放置数字签署（该签署随后将由客户端和服务器进行验证）的方式实现身份验证机制。当计算机被设置为忽略所有未经签署的SMB通信时，旧版应用程序及操作系统将无法与其进行连接。相反，如果完全禁用SMB签署特性，计算机将很容易遭受会话拦截攻击。

Microsoft网络服务器：对通信过程进行数字签署（如果客户端同意）

表格 3.83：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
禁用	启用	启用	启用

Microsoft网络服务器：对通信过程进行数字签署（如果客户端同意）安全选项设置用于确定SMB服务器是否需要与向其发出请求的客户端就SMB数据包签署事宜进行协商。Windows 2000 Server、Windows 2000 Professional、Windows Server 2003以及Windows XP Professional均包含支持相互身份验证的SMB版本，这种版本能够抵御会话拦截型攻击并且支持消息身份验证（因而能够抵御中途攻击）。SMB签署通过在每个SMB数据包中放置数字签署（该签署随后将由客户端和服务器进行验证）的方式实现身份验证机制。当计算机被设置为忽略所有未经签署的SMB通信时，旧版应用程序及操作系统将无法与其进行连接。相反，如果完全禁用SMB签署特性，计算机将很容易遭受会话拦截攻击。

Microsoft网络服务器：当超过登录时限后与客户端断开连接

表格 3.84：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
启用	启用	启用	启用

Microsoft网络服务器：当超过登录时限后与客户端断开连接安全选项设置用于确定是否断开那些在超过帐号合法登录时间范围时仍与网络计算机建立连接的用户。这项设置将影响SMB组件。如果您所在的组织机构设置了用户登录时限，那么，启用这项设置将具有实际意义，此时，用户将无法在登录时限以外访问网络资源，或者，他们可能仍可通过允许时限内所建立的会话访问这些资源。因此，在本指南所定义的三种运行环境中，这种选项均被设置为启用。

网络访问：不允许进行匿名SAM帐号枚举操作

表格 3.85：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
启用	启用	启用	启用

网络访问：不允许进行匿名SAM帐号枚举操作安全选项设置用于确定是否为与计算机建立的匿名连接授予额外权限。在本指南所定义的三种运行环境中，这种选项均被设置为启用状态。

网络访问：不允许进行匿名SAM帐号与共享资源枚举操作

表格 3.86：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
禁用	启用	启用	启用

网络访问：不允许进行匿名SAM帐号与共享资源枚举操作安全选项设置用于确定是否运行进行匿名SAM帐号与共享资源枚举操作。在本指南所定义的三种运行环境中，这种选项均被设置为启用状态。

网络访问：不允许存储用于网络身份验证的凭据或.NET Passport

表格 3.87：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
禁用	启用	启用	启用

网络访问：不允许存储用于网络身份验证的凭据或.NET Passport安全选项设置用于确定存储用户名及密码设置是否在通过域身份验证后保存密码、凭据或Microsoft .NET Passport已备后续使用。在本指南所定义的三种运行环境中，这种选项均被设置为启用状态。

说明：当配置这种安全设置时，更改内容将在重新启动Windows后生效。

网络访问：允许针对匿名用户应用Everyone权限

表格 3.88：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
禁用	禁用	禁用	禁用

网络访问：允许针对匿名用户应用Everyone权限安全选项设置用于确定是否为与计算机建立的匿名连接授予额外权限。启用这项设置将允许匿名Windows用户执行诸如列举域帐号及网络共享资源名称之类的特定操作。未经授权的用户能够通过匿名方式列举帐号名称和共享网络资源，并利用所得到的信息猜测密码或执行社会工程型攻击。因此，在本指南所定义的三种运行环境中，这种选项均被设置为禁用状态。

说明：具备这项设置的域将无法与Windows NT 4.0域或域控制器建立并维持信任关系。

网络访问：可以通过匿名方式访问的名称管道

表格 3.89：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
没有定义	无	无	无

网络访问：可以通过匿名方式访问的名称管道安全选项设置用于确定哪些通信会话（名称管道）将拥有允许进行匿名访问的属性及权限。在企业客户机和高安全性运行环境中，网络访问：可以通过匿名方式访问的名称管道设置的取值应为无。

重要提示：如果您需要启用这项设置，请确保只添加那些需要在运行环境中为应用程序提供支持的名称管道。同本指南中的所有建议设置一样，这项设置同样需要在您的生产环境中进行严格测试。

网络访问：可以进行远程访问的注册表路径

表格 3.90：设置

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
System\CurrentContr olSet\Control\Product Options、System\Curr entControlSet\Contro \Server Applications、Software\Microsoft\ Windows NT\Current Version	System\CurrentContr olSet\Control\Product Options、System\Curr entControlSet\Contro \Server Applications、Software\Microsoft\ Windows NT\Current Version	System\CurrentContr olSet\Control\Product Options、System\Curr entControlSet\Contro \Server Applications、Software\Microsoft\ Windows NT\Current Version	System\CurrentContr olSet\Control\Product Options、System\Curr entControlSet\Contro \Server Applications、Software\Microsoft\ Windows NT\Current Version

网络访问：可以进行远程访问的注册表路径安全选项设置用于确定哪些注册表路径可以通过网络进行访问。对于本指南所定义的三种运行环境，我们建议您加强基准安全模板中所使用的缺省设置。

说明：即便设置了这种安全选项，如果授权用户希望通过网络访问注册表，您仍旧必须启动远程注册表系统服务。

网络访问：可以进行远程访问的注册表路径和子路径