組策略設(shè)置系列篇之“安全選項(xiàng)”-1設(shè)置,選項(xiàng)組策略的“安全選項(xiàng)”部分啟用或禁用數(shù)字?jǐn)?shù)據(jù)簽名、Administrator和Guest帳戶名、軟盤驅(qū)動(dòng)器和CD-ROM驅(qū)動(dòng)器的訪問(wèn)、驅(qū)動(dòng)程序安裝操作和登錄提示的計(jì)算機(jī)安全設(shè)置。安全選項(xiàng)設(shè)置您可以在組策略對(duì)象編輯器的下列位置配置安全選項(xiàng)設(shè)置：計(jì)算機(jī)配置\Windows設(shè)置\安全設(shè)置\本地策略\安全選項(xiàng)帳戶：管理員帳戶狀態(tài)此策略設(shè)置啟用或禁用Administrator帳戶的正常操作條件。如果以安全模式啟動(dòng)計(jì)算機(jī)，Administrator帳戶總是處于啟用狀態(tài)，而與如何配置此策略設(shè)置無(wú)關(guān)?！皫簦汗芾韱T帳戶狀態(tài)”設(shè)置的可能值為：?已啟用?已禁用攪?格晨沒(méi)有定義血漏洞：在某嬌些組織中，駁維持定期更挪改本地帳戶辟的密碼這項(xiàng)遮常規(guī)計(jì)劃可反能會(huì)是很大管的管理挑戰(zhàn)追。因此，您劃可能需要禁侄用內(nèi)置玻的嶺Admi扒nistr娛ator且校帳戶，而不詞是依賴常規(guī)卸密碼更改來(lái)赤保護(hù)其免受水攻擊。需要昂禁用柴此報(bào)內(nèi)暗置帳戶的另礦一個(gè)原因就喊是，無(wú)論經(jīng)統(tǒng)過(guò)多少次登載錄失敗它都澡不會(huì)被鎖定野，這使得它悟成為強(qiáng)力攻飽擊（嘗試猜同測(cè)密碼）的徐主令要目標(biāo)。另籠外，此帳戶巾還有一個(gè)眾刪所周知的安概全標(biāo)捷識(shí)擇符復(fù)(SID科)爺，而且第三委方工具允許轉(zhuǎn)使晚用撇SID艦謝而非帳戶名吩來(lái)進(jìn)行身份窮驗(yàn)證。此功變能意味著，光即使您重命殖名煙Admi五nistr藥ator交景帳戶，攻擊領(lǐng)者也可能使亂用嚷該戀SID客銹登錄來(lái)發(fā)起圈強(qiáng)力攻擊。踢對(duì)策：森將盈“詢帳戶：管理準(zhǔn)員帳戶狀肅態(tài)默”佩設(shè)置配置耐為究“列已禁煤用縮”段，以便在正與常的系統(tǒng)啟靜動(dòng)中不能再頃使用內(nèi)置斗的獻(xiàn)Admi客nistr漿ator干耀帳戶。邀潛在影響：叔如果禁介用批Admi鐵nistr夸at陷o不r疑勇帳戶，在某蓮些槳情況下可能購(gòu)會(huì)造成呈維護(hù)問(wèn)題。駕例如，在域賽環(huán)境中，如固果成員計(jì)算休機(jī)和域控制招器間的安全云通道因任何斜原窯因而失敗，塌而且沒(méi)有其貢他本長(zhǎng)地設(shè)Admi化nist慕rator限玻帳戶，則您樓必須以安全瘡模式重新啟部動(dòng)才能修復(fù)思這個(gè)中斷安蠶全通道的問(wèn)判題。奴如果當(dāng)前保的租Admi刺nistr聯(lián)ator盾肌密碼不滿足然密碼要求，桃則殿A(yù)dmi旱nistr育ator劍努帳戶被禁用漏之后，無(wú)法川重新啟用。召如果出現(xiàn)這抱種情況攜，弓Admin屈istra盲tors斥秤組的另一個(gè)救成員必須使抖用音“串本地用戶和崗組騾”搞工具來(lái)為友該甘Admi撈nistr父ator童潑帳戶設(shè)置密爸碼。刻帳戶：來(lái)賓睡帳戶狀雅態(tài)略此貝策若略設(shè)置確定命是啟用還是肅禁用來(lái)賓帳肺戶。躲“炒帳戶：來(lái)賓含帳戶狀消態(tài)復(fù)”友設(shè)置的可能裂值為遠(yuǎn)：幣?勸其已啟用冤?雙望已禁用降?固蔬確沒(méi)有定義身漏洞：默皆認(rèn)冷Gues聯(lián)t熱甜帳戶允許未長(zhǎng)經(jīng)身份驗(yàn)證毀的網(wǎng)絡(luò)用戶傳以沒(méi)有密碼蠟的揮Gues雙t餐你身份登錄。女這些未經(jīng)授帳權(quán)的用戶能暴夠通過(guò)網(wǎng)絡(luò)幻訪奏問(wèn)造Gues歡t猜偵帳戶可訪問(wèn)缺的任何資源運(yùn)。此功能意右味著任何具鞏有允乞許貞Gues水t貨榆帳戶交、本Guest景s腸鉛組拿或菜Ever滴yone標(biāo)劣組進(jìn)行訪問(wèn)留的權(quán)限的網(wǎng)沙絡(luò)共享資源顧，都可以通露過(guò)網(wǎng)絡(luò)對(duì)其昆進(jìn)行訪問(wèn)，掙這可能導(dǎo)致飛數(shù)據(jù)暴露或舊損壞。匆對(duì)策：將染“帳帳戶：國(guó)來(lái)展賓脆帳俊戶狀謙態(tài)慢”譽(yù)設(shè)置配置截為擦“雄已禁閑用拆”個(gè)，以便內(nèi)置精的魚(yú)Gues懶t叨鉛帳戶不再可緊用。菌潛在影響：淺所有的網(wǎng)絡(luò)抬用戶都將必說(shuō)須先進(jìn)行身防份驗(yàn)證，才摟能訪問(wèn)共享紗資源。如果爹禁赴用飄Gues強(qiáng)t泄頓帳戶，并曠且升“寫網(wǎng)絡(luò)訪問(wèn)：墾共享和安全舌模遍式杯”持選項(xiàng)設(shè)置上為潤(rùn)“昌僅來(lái)廚賓摘”仆，則那些堵由獅Micr爛osoft懇怎網(wǎng)絡(luò)服務(wù)器泉（象SMB走賺服務(wù)）執(zhí)行漢的網(wǎng)絡(luò)登錄撤將失敗。對(duì)撫于大多數(shù)組盡織來(lái)說(shuō)，此趟策略設(shè)置的崗影響應(yīng)該會(huì)及很小，因?yàn)楹袼袷敲萂icr漏osoft千Wind抹ows泰?目200輪0工、罷Windo耐wsXP辟其和駝Wind段owsS注erve潛r亂?置2003茫寶中的默認(rèn)設(shè)母置。廳帳戶：使用顏空準(zhǔn)白密碼為的屋本繡地獨(dú)帳戶只允許半進(jìn)行控制臺(tái)章登錄趴此蘋策略設(shè)置確材定是否允許雀使用空白密環(huán)碼的本地帳吩戶通過(guò)網(wǎng)絡(luò)太服務(wù)（如終殲端服務(wù)梨、坐Telne侍t矮禾和文件傳輸悠協(xié)瓶議甩(FTP有)額）進(jìn)行遠(yuǎn)籌程交互式登嚷錄。如果啟放用此策略設(shè)戶置，則本地腎帳戶必須有乘一個(gè)非空密策碼，才能從萬(wàn)遠(yuǎn)程客戶端銹執(zhí)行交互式蔑或網(wǎng)絡(luò)登錄慎。筑“珍帳戶：使用早空白密碼的鮮本地帳戶只追允許進(jìn)行控捕制臺(tái)登況錄單”勾設(shè)置的可能蠢值為：尖?該副已啟用疤?蘋嗎已禁用千?喚偏沒(méi)有定義傻注意：此策朗略設(shè)置不影驢響在控制臺(tái)爽上以物理方佛式執(zhí)行的交創(chuàng)互式登錄，歪也不影響使墨用域帳戶的感登錄。響警告：使用撕遠(yuǎn)育程蓮交互式開(kāi)登錄的第三往方應(yīng)用程序出有可蘿能跳過(guò)此策怠略設(shè)置。雞漏洞：空白加密碼會(huì)對(duì)計(jì)奇算機(jī)安全造示成想嚴(yán)重威脅，書(shū)應(yīng)當(dāng)通過(guò)組架織的策略和竹適當(dāng)?shù)募夹g(shù)廣措施來(lái)禁止外。實(shí)際上就，論Wi捐ndows斷Serv肆er20夏03Ac饑tive鵝Direc貧tory回?宗長(zhǎng)目錄服務(wù)域匹的默認(rèn)設(shè)置手需要至少包肺含七個(gè)字符情的復(fù)雜密碼統(tǒng)。但是，如凈果能夠創(chuàng)建擔(dān)新帳戶的用虛戶跳過(guò)基于漁域的密碼策根略，則他們仇可以創(chuàng)建具愉有空白密碼禿的帳戶。例耽如，某個(gè)用成戶可以構(gòu)建鑼一個(gè)獨(dú)立的濃計(jì)算機(jī)，創(chuàng)亭建一個(gè)或多牽個(gè)具有空白塊密碼的帳戶處，然后將該套計(jì)算機(jī)加入獵到域中。具檢有空白密碼仙的本地帳戶捎仍將正常工隙作。任何人陷如果知道其本中酒一都個(gè)未受保護(hù)移的帳戶的名原稱，都可以耕用它來(lái)登錄菜。萄對(duì)策：?jiǎn)Ⅰg用棗“乞帳戶：使用某空白密碼的果本地帳戶只物允許進(jìn)行控辟制臺(tái)登蹈錄陵”窯設(shè)置。銳潛在影響：孔無(wú)。這是默絞認(rèn)配置。辜帳脖戶：重命名壓系統(tǒng)管理員青帳戶者此策略設(shè)置簽確定另一個(gè)信帳戶名是否裕與伙Admi著nistr兼ator婚編帳戶近的餅SID脖祝相關(guān)聯(lián)。湊“慎帳戶：重命廢名系統(tǒng)管理界員帳窄戶湊”榜設(shè)置的可能菠值為：麻?炒豆錘用戶定義的杜文本震?染夸沒(méi)有定義意漏洞毛：悼Admin趕istra暈tor牌鹿帳戶存在于遼運(yùn)徒行遵Wind止ows2棋00抱0紛、氏Windo脾wsSe痕rver慌2003曲招或拳Wind蠢o繁w柄sXP盆Profe賄ssion許a球l何芬操作系統(tǒng)的禽所有計(jì)算機(jī)鑰上。如果重輝命名此帳戶肺，會(huì)使未經(jīng)景授權(quán)的人員閑更難夸猜測(cè)這個(gè)具鮮有特權(quán)的用堅(jiān)戶名和密碼妻組合。膊無(wú)論攻擊臨者可能使用沿多少次錯(cuò)誤黑密碼，內(nèi)置型的侄Admi陰nistr筍ator訊護(hù)帳戶都不能鈔被鎖定。此平功能使估得賀Admi逆nistr返ator爆齊帳戶成為強(qiáng)耗力攻擊（嘗闖試猜測(cè)密碼?。┑某Ｒ?jiàn)目朋標(biāo)。這個(gè)對(duì)發(fā)策的價(jià)值之汁所以減少，蕉是因?yàn)榇藥だ矐粲幸粋€(gè)眾熔所周知丈的側(cè)SI熊D同，而且第三啊方工具允許攜使南用久SID勸鈔而非帳戶名楊來(lái)進(jìn)行身份紋驗(yàn)證。因此孫，即使您重炊命她名途Admi微nistr達(dá)ator醬斯帳戶，攻擊卻者也可能會(huì)晶使用反該六閱S爺ID浴負(fù)來(lái)登錄以發(fā)漏起強(qiáng)力攻擊潔。還對(duì)在策：逢在投“芳帳戶：重命殲名系統(tǒng)管理揉員帳止戶熊”甘設(shè)置中指定沒(méi)一個(gè)新名稱悲，以重命談名記Admi順nistr班ator遺償帳戶。籍注意：在后乳面的章節(jié)中財(cái)，此策略設(shè)柏置既未在安瓶全模板中進(jìn)夢(mèng)行配置，也蟲(chóng)不是本指南妥所建議帳戶統(tǒng)的新用戶名銷。模板中忽隆略了這項(xiàng)策溫略設(shè)置，這賺樣做是為了糾讓使用本指朝南的眾多組孫織將不在其榮環(huán)境中實(shí)現(xiàn)洗同樣的新用墳戶名。昨潛在影響：旗您必須將這興個(gè)新帳戶名班通知給授權(quán)附使用此帳戶斷的用戶。（雕有關(guān)此設(shè)置朋的指導(dǎo)假輸定揮Admi榮nistr協(xié)ator宅谷帳戶沒(méi)有被章禁用，這是致本章前面建毀議的設(shè)置。域）習(xí)帳戶：重命施名來(lái)賓帳戶巾“州帳戶：喊重徒命虎名草來(lái)賓帳戀戶游”贈(zèng)設(shè)置確定另葵一個(gè)帳戶機(jī)名是否述與喊Gues蛛t悉藏帳戶摧的飯SID捐某相關(guān)聯(lián)。趴此組策略設(shè)案置的可能值燒為：就?委僻僵用戶定義的舒文本唱?逃莫沒(méi)有定義話漏洞焰：折Guest溉灘帳戶存在于伍運(yùn)宣行紙Wind匆ows2棚00稈0彎、憂Windo夾wsSe耗rver批2003搏讓或塵Wind澤owsX付PPro坦fessi孕onal莖脅操作系統(tǒng)的穿所有計(jì)算機(jī)惕上。如果重教命名此帳戶造，會(huì)使未經(jīng)訓(xùn)授權(quán)的人員既更難猜測(cè)這敗個(gè)具有特權(quán)猛的用戶名和激密碼組合。移對(duì)策：教在蝴“歇帳戶：重命乓名來(lái)賓帳誦戶責(zé)”倚設(shè)置中指定剖一個(gè)新名稱兇，以重命演名斷Gues礦t兄嘗帳呆戶跌。天注意：在后懇面的章節(jié)中會(huì)，此完策略設(shè)置既濾未在安全模閑板中進(jìn)行配臺(tái)置，也不是除本指南所建離議帳戶的新套用戶名。模光板即中忽略了這及項(xiàng)策略設(shè)置琴，這樣做是瓣為了讓使用壩本指萄南的眾多組鹽織將不在其譜環(huán)境中實(shí)現(xiàn)制同樣的新用記戶名。擊潛在影響：工影響應(yīng)該會(huì)故很小，因?yàn)榱吭谀J(rèn)情況趙下英，拖Windo趴ws20尤0討0嫂、遙Windo緣wsXP脖興和顯Wind桂owsS珍erver漏2003麗火中已禁慈用烤“仔Gues艙t是”獅帳戶。株對(duì)備每份和還原權(quán)徹限的使用進(jìn)奸行審核瞎如果啟用此芝策略設(shè)置，段在計(jì)算機(jī)創(chuàng)欄建系統(tǒng)對(duì)象悲（如多用戶摸端執(zhí)行程序捷、事件、信薯號(hào)燈鼓和港MS-D瓶OS癥?羨匹設(shè)備）時(shí)，亦將應(yīng)輛用迅默夾認(rèn)的系統(tǒng)訪關(guān)問(wèn)控制列鳳表飽(SAC徹L猾)茶。如果如本式指南繪第楚3可前章中所述，察您還啟用拔了反“思審核對(duì)象訪規(guī)問(wèn)韻”曬審核設(shè)置，萄則會(huì)審核對(duì)門這些系統(tǒng)對(duì)雅象的訪問(wèn)。須全局系統(tǒng)對(duì)唐象劃（又被稱茫作畏“冬基本系統(tǒng)對(duì)弊象原”印或忌“較基本命名對(duì)薦象榜”縫是存活時(shí)間害很短的內(nèi)核妹對(duì)象，它們老的名稱是由掉創(chuàng)建它們的懲應(yīng)用程序或駁系統(tǒng)組件分救配的。這些踢對(duì)象經(jīng)常用悅于同步多個(gè)堤應(yīng)用程序或勺一個(gè)復(fù)雜應(yīng)脅用程序的多怒個(gè)部分。由嘆于它們具有賤名稱，因此盲這些對(duì)象在窗作用域內(nèi)是鐘全局的，從酬而對(duì)于計(jì)算建機(jī)上的所有燥進(jìn)程均可見(jiàn)儲(chǔ)。這些對(duì)象涉都具有一個(gè)刻安全描述符馳，但是它們睡通常有一個(gè)腐空的系統(tǒng)訪連問(wèn)控制列表屋。如果在啟枝動(dòng)時(shí)啟用此求策略設(shè)置蓮，伶內(nèi)賞核將在這些洽對(duì)象被創(chuàng)建嶄時(shí)向它們分勸配一個(gè)系統(tǒng)乖訪問(wèn)控制列捆表。殊“能對(duì)全牽局系統(tǒng)載對(duì)象的訪問(wèn)睡進(jìn)行審勵(lì)核挪”卻設(shè)置的可能容值為迷：叫?仙啦已啟用勾?息突已禁用報(bào)?狀閥沒(méi)有定義通漏洞：如果羽沒(méi)有正確地居保護(hù)某個(gè)全嘩局可見(jiàn)的命蔽名對(duì)象，則色知道該對(duì)象醉名稱的惡意分程序可能會(huì)診針對(duì)該對(duì)象勿進(jìn)行操作。鬼例如，如果拿某個(gè)同步對(duì)機(jī)象（如多用罩戶終端執(zhí)行介程序）有一誼個(gè)錯(cuò)誤選擇技的任意訪問(wèn)媽控制列欄表喬(DAC廊L拋)臂，則惡意程草序可以按名刃稱訪問(wèn)這個(gè)胸多用戶終端盈執(zhí)行程序，境并且導(dǎo)致創(chuàng)柄建這個(gè)多用后戶終端執(zhí)行醬程序的程序陸無(wú)法正常工恰作。但是，觸出現(xiàn)這種學(xué)情律況號(hào)的風(fēng)險(xiǎn)會(huì)非優(yōu)常低。滋對(duì)策：?jiǎn)⒂脧V“墨對(duì)全葵局系統(tǒng)對(duì)象忘的訪問(wèn)進(jìn)行英審忠核穗”設(shè)設(shè)置。寺潛在影響：扣如果啟貍用露“侍對(duì)全怕局系統(tǒng)對(duì)象鑰的訪問(wèn)進(jìn)行怠審東核艱”此設(shè)置，可能清會(huì)凡生成大量安洗全事件，尤腰其是在繁忙典的域控制器核和應(yīng)用程序猜服務(wù)器上。醬這類情況可修能導(dǎo)致服務(wù)忠器響應(yīng)緩慢額，并迫使安窮全事件日志碗記錄許多無(wú)叫關(guān)緊要的事微件。此策略貌設(shè)置只能被霧啟用或禁用饑，并且沒(méi)有殺篩選記錄哪宣些事件和不客記錄哪些事雁件的辦法。歷即使組織有渾能夠分析由移此策略設(shè)置金所生成事件鎮(zhèn)的資源，它瀉們也不可能雷具有每個(gè)命謠名對(duì)象的源喂代碼或關(guān)于截其用途的說(shuō)綢明。因此，派對(duì)于許多組柿織來(lái)說(shuō)，將澤此策略設(shè)置撞配置專為堡“知已啟拔用炎”眉，不大可能塵獲得什么好燙處。防審核散：對(duì)備份和蓬還原權(quán)限的綿使用進(jìn)行審皮核度此策餅略設(shè)置確定金在穿“仔審核權(quán)限使民用炒”今設(shè)置生效時(shí)飛，是否對(duì)所寸有用戶權(quán)限魯（包天括版“描備份和還贈(zèng)原壟”趙權(quán)限）的使嫩用進(jìn)行審核豎。如果啟用被這兩個(gè)策略偵設(shè)置，會(huì)為聞備份或還原叉的每個(gè)文件丟生成一個(gè)審符核事件。樂(lè)如果啟用此糾策略設(shè)置并訴結(jié)合使鉛用途“萌審核權(quán)限使掛用貞”圣設(shè)置，用戶百權(quán)限的任何鎮(zhèn)行使?fàn)顩r都冒會(huì)記錄在安乖全日志中。鋼如果禁用此餃策略設(shè)置，章則即使啟站用朋“飄審核權(quán)限使瓦用康”曠，也不會(huì)對(duì)緩用戶行使備朵份或還原權(quán)豆限的操作進(jìn)另行審核。溝“與對(duì)備律份和還原權(quán)擱限的使用進(jìn)負(fù)行審寫核襪”相設(shè)置的可能符值為：瓜?君練已啟用嫩?乘陣已禁用所?霜象沒(méi)有定義背漏洞：如這果在啟沙用撿“飛審核權(quán)限使嶼用湊”暗設(shè)置的同時(shí)拿啟用此選項(xiàng)欄，則備份或蠻還原每個(gè)文北件都會(huì)生成來(lái)一妹個(gè)審核事件囑。此信息會(huì)剛幫助您識(shí)別貌被用于以未絹經(jīng)授權(quán)的方爛式意外或惡鉤意還原數(shù)據(jù)禾的帳戶。因?qū)Σ撸簡(jiǎn)溣脽挕吧龑?duì)備份和還班原權(quán)限的使翁用進(jìn)行審戒核蒼”唐設(shè)置?；蛘呦?，也可以通段過(guò)配剃置酷Auto仁Backu宴pLogF僅iles甲響注冊(cè)表項(xiàng)來(lái)久實(shí)施自動(dòng)記僵錄備份，胖潛在影響：釀如果啟用此看策略設(shè)置，籌可能會(huì)生成柴大量安全事公件，這可能蝦導(dǎo)致服務(wù)器地響應(yīng)緩慢，誓并迫使安全懸事件日志記赴錄許多無(wú)關(guān)制緊要的事件烈。如果增加公安全日詠志刷大賠小以減少系童統(tǒng)關(guān)閉的機(jī)亦率，過(guò)大的姑日志文件可測(cè)能影響系統(tǒng)液性能。凈如果奧無(wú)法記賴錄安全審核獲則立即關(guān)閉累系統(tǒng)慎此策略設(shè)置婆確定在無(wú)法炕記錄安全事洋件時(shí)是否關(guān)擊閉計(jì)算瞞機(jī)?？尚庞?jì)桂算機(jī)系統(tǒng)評(píng)田測(cè)標(biāo)稠準(zhǔn)奇(TCS繭EC援)病（連C2崗粉和通用標(biāo)準(zhǔn)廁認(rèn)證）需要淋在審核系統(tǒng)數(shù)無(wú)法記錄可梢審核事件時(shí)安，計(jì)算機(jī)能捉夠防止出現(xiàn)誼這些事件押。秘Micro面soft私屠所選擇的以淺滿足此要求億的方法是：紐在無(wú)法審核隔系統(tǒng)時(shí)，暫腔停計(jì)算機(jī)并辰顯示一則停嚴(yán)止消息。如扎果啟用此策旁略設(shè)置，計(jì)擋算機(jī)會(huì)在出跡于任何原因帆不能記錄安史全審核時(shí)?，F(xiàn)止。通常，端當(dāng)安全事件疫日志已滿，機(jī)而且為它指熄定的保留方督法繼為辰“殲不覆蓋事崗件阻”框或艱“假按在天煮數(shù)覆蓋事分件雕”檔時(shí)，將無(wú)法匯記錄事件袍。泄啟用此策略肅設(shè)置時(shí)，如品果安全日志濕已滿且不能助覆蓋現(xiàn)有條翼目，則會(huì)顯庸示下圓列停止消息炭：斯STOP:財(cái)C0000服244揚(yáng){巖審編核失智敗拆}煮嘗試生成安躁全審核失敗處。焦要進(jìn)行恢復(fù)煮，管理員必筐須登錄，對(duì)饑日志進(jìn)行存慣檔（可選）任，清除日志付，然后禁用懸此選項(xiàng)以允冤許計(jì)算機(jī)重蜻新啟動(dòng)。此模時(shí)，可能需歸要先手動(dòng)清放除安全事件際日志，然后各才能將此策擁略設(shè)置配置地為遵“夜已啟鳳用曬”贏?？臁把┤绻麑o(wú)法記錄安踩全審核則立帝即關(guān)閉系復(fù)統(tǒng)剖”薦設(shè)置的可能杜值為：贈(zèng)?河毒已啟用娃?簽蔽已禁用獨(dú)?絲元或沒(méi)有定義購(gòu)漏洞：如果哭計(jì)算機(jī)無(wú)法哄將事件記宿錄到安全日蚊志中，則在知出現(xiàn)安全事創(chuàng)件之后，可三能無(wú)法使用米關(guān)鍵的證據(jù)嚷或重要的疑無(wú)難他解答信息來(lái)層進(jìn)行審查。詢此外，還有萍攻擊者會(huì)生僚成大醬量安全事件里日志消息以巾故意強(qiáng)制計(jì)式算機(jī)關(guān)閉的努潛在可能。循對(duì)策：?jiǎn)⑷居脩汀爸e如果無(wú)法記撐錄安全審核脈則立即關(guān)閉涼系訊統(tǒng)蚊”辨設(shè)置。貨潛在影響：猶如果啟用此挎策略設(shè)置，枕管理負(fù)擔(dān)可屈能會(huì)非常大顛，尤其是當(dāng)板您還將安全再日志熔的腰“索保敗留喚”招方法配置問(wèn)為軌“傳不覆蓋事件殃（手動(dòng)清除劉日志求）桐”改時(shí)更是如此凡。此配置會(huì)薪導(dǎo)致抵賴威沃脅（備份操戲作員可能否遍認(rèn)他們備份警或還原了數(shù)叼據(jù)）成為拒童絕服攪務(wù)群(DoS大)廟塵漏洞，因?yàn)閲L服務(wù)器會(huì)因洽寫入到安鍵全己日啟志中的大量免登錄事件和琴其他曉安全事漫件而被迫關(guān)辯閉。另外，貪由于是非正哭常關(guān)閉，因煤此可能會(huì)對(duì)哀操作系統(tǒng)、幸應(yīng)用程序或嚇數(shù)彎據(jù)造成不可屋修復(fù)的損害樣。盡橡管跡NTFS淹贈(zèng)文件系抖統(tǒng)項(xiàng)(NTF希S)鐵新將保證在系濃統(tǒng)非正常關(guān)善閉過(guò)程中保盞持文件系統(tǒng)情的完整性，巡但是它不能把保證在計(jì)算聾機(jī)重新啟動(dòng)耐時(shí)，每個(gè)應(yīng)改用程序的每激個(gè)數(shù)據(jù)文件夠都仍真然處于可用怒狀態(tài)。譯DCO僚M川：在安全描匆述符定義語(yǔ)鬧言計(jì)(SDD聞L)盯規(guī)語(yǔ)法中的計(jì)剪算機(jī)訪問(wèn)限閱制晴此策略設(shè)置犧允許管理員憐在計(jì)算機(jī)上碎定義用于管形理對(duì)基于所患有分布式組佛件對(duì)象模販型謊(DCO鐘M)杯灘的應(yīng)用程序亡訪問(wèn)的其他易計(jì)算機(jī)范圍丈訪問(wèn)控件。吼這些控件限愿制計(jì)著算使機(jī)辱上的調(diào)用、客激活或啟動(dòng)脂請(qǐng)求?？紤]侮這些訪問(wèn)控舅件最簡(jiǎn)單的脾方法就是對(duì)真計(jì)算機(jī)上任念何網(wǎng)COM使守服務(wù)器的每貴個(gè)調(diào)用、激嗎活或啟動(dòng)，躬根據(jù)計(jì)算機(jī)污范圍的訪問(wèn)感控制列汽表孤(A鵲CL)幸嫩作為附加訪綢問(wèn)檢查調(diào)用驕執(zhí)行。如果避訪問(wèn)檢查失爪敗，調(diào)用、租激活或啟動(dòng)暗請(qǐng)求將被拒搞絕。（此檢層查是根據(jù)服蔬務(wù)器特定疲的僵ACL耽坐運(yùn)行的任何觀訪問(wèn)檢查以龜外的附加檢害查。）實(shí)際塑上，它提供割了在計(jì)算機(jī)悉上訪問(wèn)任活何涉COM犬穩(wěn)服務(wù)器時(shí)必望須通過(guò)的最洪低授權(quán)標(biāo)準(zhǔn)撤。葛“霧DCO燙M題：在安全描腹述符定義語(yǔ)鋸言揀(SDD效L)輝筋語(yǔ)法中的計(jì)沈算機(jī)訪問(wèn)限府制領(lǐng)”墾設(shè)置控制訪對(duì)問(wèn)權(quán)限以保午護(hù)調(diào)用權(quán)限產(chǎn)。傻這些計(jì)算機(jī)巾范圍紹的糠ACL策偷提旨供了一種可勝覆蓋由特定冶應(yīng)用程序通負(fù)過(guò)漂CoIn根itial載izeSe旨cur衛(wèi)ity具語(yǔ)或應(yīng)用程序彩特定的安全勻設(shè)置指定的島弱安全性設(shè)慕置的方式。喊它們提供必希須通過(guò)的最攪低市安全標(biāo)準(zhǔn)，絲而不管特定蓮服務(wù)器的設(shè)叼置如何。肆這望些擋ACL麥擦為管理員提團(tuán)供了一個(gè)用癥于設(shè)置應(yīng)用針于計(jì)算機(jī)上久的所柱有灣COM躲盼服務(wù)器的一踩般授權(quán)策略側(cè)的集中位置娛。誤“退DCO驕M材：在安全描區(qū)述符定義語(yǔ)窯言洽(SDD喇L)悔少語(yǔ)法中的計(jì)乏算機(jī)訪問(wèn)限纖制碌”經(jīng)設(shè)置允許您擊以兩種不同平方式指定一守個(gè)悲AC聰L表。您可以仰以怠SDDL瘋浪鍵入安全描財(cái)述符，或者叢選擇用戶和濫組并授予或連拒絕其本地靜訪問(wèn)和遠(yuǎn)程伸訪問(wèn)權(quán)限喪。出Micr附o幕soft摧汪建議您使用擇內(nèi)置的用戶步界貌面以指定您俯想要使用此邁設(shè)置應(yīng)用白的斬AC閘L嫩缺內(nèi)容。致漏洞：許楚多散COM砌擦應(yīng)用程序包居括一些安全知特定代碼（丸例如，用于凡調(diào)慰用甩C井oInit打ializ同eSecu瞇rit奴y晃），但卻使妖用弱設(shè)置，末通常允許未饑經(jīng)驗(yàn)證就可鞭訪問(wèn)進(jìn)程。貴在墳Wind針ows烏列的較早版本劇中，若不修脾改應(yīng)用程序貌，管理員不暫能覆蓋這些錫設(shè)置以強(qiáng)制汽強(qiáng)安全性。國(guó)攻擊者可能隨會(huì)通愧過(guò)觀COM譯悉調(diào)用來(lái)進(jìn)行鋤攻擊以嘗試類利用單個(gè)應(yīng)聰用程序中的回弱安全性。振此外怨，襯COM謹(jǐn)敗結(jié)構(gòu)還包礎(chǔ)括喪RPCS哪S黎，一種在計(jì)庭算機(jī)啟動(dòng)過(guò)填程中運(yùn)行并賽在啟動(dòng)后始站終運(yùn)行的系確統(tǒng)服務(wù)。此富服務(wù)管各理?yè)艟疌園OM湊年對(duì)象的激活陸和運(yùn)行的對(duì)崗象表，鑼并錯(cuò)為昂DCOM胃索遠(yuǎn)程處理提肉供幫助服務(wù)串。它公開(kāi)可柄遠(yuǎn)程調(diào)用榴的蔥RPC撇軍接口。由于枝某萄些菌COM修燈服務(wù)器允許擴(kuò)未經(jīng)驗(yàn)證的信遠(yuǎn)程訪歪問(wèn)（如前面登部分所述）優(yōu)，因此任何節(jié)人都可調(diào)用擇這些接口，忍包括未經(jīng)驗(yàn)產(chǎn)證的用戶。腹因此，使用電遠(yuǎn)程、未經(jīng)嶄驗(yàn)證的計(jì)算碗機(jī)的惡意用雷戶能夠攻網(wǎng)擊緒RPCS嫂S司。困對(duì)策：為保誰(shuí)護(hù)單個(gè)基溝于漂COM玉愉的應(yīng)用程序鄰或服務(wù)，請(qǐng)炒將科“度DCO途M待：在安全描寨述符定義語(yǔ)備言轉(zhuǎn)(SDD伏L)斃畝語(yǔ)法中的計(jì)守算機(jī)訪問(wèn)限劈制普”逐設(shè)置設(shè)置為著相應(yīng)計(jì)算機(jī)湖范圍告的櫻AC丘L呈。售潛在影響統(tǒng)：副Windo在wsXP楊SP2尾澆和賤Wind己owsS鋼e四rver監(jiān)2003拾SP1郵由按照京其各自的文款檔中所指定益的內(nèi)容實(shí)施惜默認(rèn)珍的弦COM塘AC篩L拒。如果實(shí)籃施慧COM奮可服務(wù)器并覆語(yǔ)蓋默認(rèn)安全規(guī)設(shè)置，請(qǐng)確傻認(rèn)應(yīng)用程序吩特定顛調(diào)用權(quán)舟限習(xí)ACL濫況為相應(yīng)用戶蒙分配了正確浙權(quán)限。如果播不是，您將奪必須更改應(yīng)喉用程序特定蜻權(quán)撿限慣ACL懇蝴來(lái)為相應(yīng)用郵戶提供激活經(jīng)權(quán)限，以便材使率用良DCOM旁嘉的應(yīng)用程序痕和著Wind厚ows鏡翻組件不會(huì)失籌敗。恰DCO營(yíng)M門：在安全描濱述符定義語(yǔ)幟言探(SDD隸L)淺飽語(yǔ)法中的計(jì)漫算機(jī)啟動(dòng)限盞制施此策略設(shè)置燭與脊“灶DCO鴉M但：在安全描貍述符定義語(yǔ)根言豐(SDD攻L)差斗語(yǔ)法中的計(jì)朽算機(jī)訪問(wèn)限鐘制數(shù)”歸設(shè)置相類似抖，因?yàn)樗墅愒S管揚(yáng)理瘦員丸定義可管理池對(duì)計(jì)算機(jī)上很所有基雪于銹品DCOM嫩晚應(yīng)用程序的櫻訪問(wèn)的附加齒計(jì)算機(jī)范圍陷訪問(wèn)控制。透但是，此策豎略宋設(shè)置中指定降的匆ACL冰寇控制計(jì)算機(jī)維上的本地和褲遠(yuǎn)她程姿COM膊狹啟動(dòng)請(qǐng)求（云不是訪問(wèn)請(qǐng)緩求）?？紤]際此訪問(wèn)控制蒜最簡(jiǎn)單的方脾法是對(duì)計(jì)算翁機(jī)上任扣何與COM克耗服務(wù)器的每屢個(gè)啟動(dòng)，根聰據(jù)計(jì)算機(jī)范液圍篩的午ACL克閃作為附加訪湖問(wèn)檢查調(diào)用訓(xùn)執(zhí)行。如果蕉訪問(wèn)檢查失腳敗，調(diào)用、說(shuō)激活或啟動(dòng)譽(yù)請(qǐng)求將被拒練絕。（此檢奮查是針對(duì)服偷務(wù)器特定晚的礦ACL盯昆運(yùn)行的任何保訪問(wèn)檢查以攤外的附加檢灰查。）實(shí)際嗚上，它提供餅了在計(jì)算機(jī)謙上啟動(dòng)任唯何反COM惱孔服務(wù)器時(shí)必遲須通過(guò)的最閘低授權(quán)標(biāo)準(zhǔn)仿。早期策略側(cè)有所不同得，搜因牌為它提供最辭低的訪問(wèn)檢甩查，應(yīng)用該大檢查以試圖陰訪問(wèn)已啟動(dòng)爽的欣COM打續(xù)服務(wù)器。她這些計(jì)算機(jī)廣范圍妖的埋ACL葡鄭提供了一種繭可覆蓋由特群定應(yīng)用程序狹通富過(guò)查CoIn讀it攜ializ刊eSecu聞rity廣堆或應(yīng)用程序滅特定的安全凱設(shè)置指定的若弱安全性設(shè)相置的方式。們它們提供必宗須通過(guò)的最仿低安全標(biāo)準(zhǔn)演，而不管特她定處COM剃送服務(wù)器的設(shè)敏置如何。這希些胖ACL獸萬(wàn)為管理員提抵供了一個(gè)用仇于設(shè)置應(yīng)用番于計(jì)算機(jī)上慕的所糾有桑COM喜蘋服務(wù)器的一筆般授權(quán)策略乎的集中位置姥。藏“華DCO撲M電：在安全描河述符定義語(yǔ)美言提(SDD可L)此患語(yǔ)法中的計(jì)汽算機(jī)啟動(dòng)限勾制噸”遙設(shè)置允許您炒以兩種不同攤方式指定一制個(gè)錄桶A歸C候L弄。您可以降以烏SDDL業(yè)歲鍵入安伸全描述符，瘡或者選擇用智戶和組并授杜予或拒絕其幣本地訪問(wèn)和驢遠(yuǎn)程訪問(wèn)權(quán)項(xiàng)限暖。養(yǎng)Micro繡soft狐檔建議您使用挪內(nèi)置的用戶恢界面以指定謀您蜜想要使用此宮設(shè)置應(yīng)用敗的舊ACL況撫內(nèi)容。碧漏洞：許鳴多支COM掠鈴應(yīng)用程序包正括一些安全栗特定代碼（坊例如，用于身調(diào)擦用瓣CoIn淋itial康izeSe惕curit旋y們），但卻使英用弱設(shè)置，支通常允許未脹經(jīng)驗(yàn)證就可爹訪問(wèn)進(jìn)程。槳在迎Wind洗ows攻廳的較早版本窗中，若不修通改應(yīng)用程序拍，管理員不林能覆蓋這些漂設(shè)置以強(qiáng)制廳強(qiáng)安全性。她攻擊者可能允會(huì)通察過(guò)種COM倆臥調(diào)用來(lái)進(jìn)行章攻擊以嘗試丘利用單個(gè)應(yīng)么用程序中的屯弱安全性。瓶此外零，清COM舟蚊結(jié)構(gòu)還包聯(lián)括序RPC祖S撓S米，一種在計(jì)輸算機(jī)啟動(dòng)過(guò)依程中運(yùn)行并茶在啟動(dòng)后始過(guò)終運(yùn)行的系幟統(tǒng)服務(wù)。此鳳服務(wù)涌管穗理判COM結(jié)搭對(duì)象的激活洋和運(yùn)行的對(duì)撓象表，并掠為購(gòu)D旨COM字臥遠(yuǎn)程處理提極供幫助服務(wù)缺。它公開(kāi)可減遠(yuǎn)程調(diào)用加的陪RPC化馳接口。由于抹某巡些清COM隆聽(tīng)服務(wù)器允許爐未經(jīng)驗(yàn)證的書(shū)遠(yuǎn)程組件激艙活（如前面炎部分所述）齒，因此任何催人都可調(diào)用洞這些接口，酬包括未經(jīng)驗(yàn)徑證的用戶。堆因此，使用斥遠(yuǎn)程、未經(jīng)悼驗(yàn)證的計(jì)算鎖機(jī)的惡意用援戶能夠攻作擊瑞RPCS汗S聰。防對(duì)策：為保捎護(hù)單個(gè)基性于辦COM據(jù)殺的應(yīng)用程序誘或服務(wù)，請(qǐng)吳將詞“翅DCO東M震：在安全描舌述符定義語(yǔ)叼言喜(SDD膛L)謙識(shí)語(yǔ)法中的計(jì)付算機(jī)篇啟扇動(dòng)帝限忠制通”升設(shè)置設(shè)置為革相應(yīng)計(jì)算機(jī)咳范圍也的萍AC犯L搶。潛在影響果Windo矛w蓋sXP哭SP2躬封和傅Wind拌owsS手erver括2003順SP1倍胸按照各自的險(xiǎn)文檔中所指撇定的內(nèi)容實(shí)遺施默認(rèn)側(cè)的爸COM情AC防L兔。如果實(shí)銜施抵COM硬低服務(wù)器并覆凝蓋默認(rèn)安全繩設(shè)置，請(qǐng)確責(zé)認(rèn)應(yīng)用程序覽特定啟動(dòng)權(quán)薦限蛛ACL翁振為相應(yīng)用戶暮分配了激活哥權(quán)限。如果電不是，您將曾必須更改應(yīng)稍用程序特定珍啟動(dòng)權(quán)員限些ACL坊約來(lái)為相應(yīng)用鼓戶提供激活他權(quán)限，以便胡使勢(shì)用蚊DCOM各劈的應(yīng)用程序夏和研Wind誘ows腰埋組件不會(huì)失翠敗。拖設(shè)備：允許漲不登錄移除羨此策略設(shè)置遣確定用戶是痕否必須登錄垂才能請(qǐng)求權(quán)壽限以倉(cāng)從悔擴(kuò)國(guó)展塢移除便拘攜式計(jì)算機(jī)侮。如果啟用光此策略設(shè)置澤，用戶將能昌夠通過(guò)按已協(xié)插接的便攜增式計(jì)算機(jī)上汪的物理彈出岡按鈕來(lái)安全創(chuàng)移比除計(jì)算機(jī)。珍如果禁用此火策略設(shè)置，俘用戶必須登年錄才尊能收到移除咱計(jì)算機(jī)的權(quán)潔限。只有具阻有諷“奔從擴(kuò)展塢中割取出計(jì)算鵲機(jī)信”此特權(quán)的用戶賓才能獲得此酸權(quán)限。抽注意：只有趣針對(duì)不能以躍機(jī)械方式移行除的便攜式振計(jì)算機(jī)，才漂應(yīng)禁用此策案略設(shè)置?？蓮?fù)以以機(jī)械方架式移除的計(jì)誓算機(jī)能夠被諷用戶物理取姓出，不管他弟們是否使鏟用文Wind靈ows極售移除功能。固“明設(shè)備：允許猜不登錄移妙除確”使設(shè)置的可能委值為：洗?穗獎(jiǎng)已啟用發(fā)?抱秀已禁用懇?飯匆沒(méi)有定義乏漏洞：如果伯啟用此策略畫(huà)設(shè)置，則任秒何人只要能逼夠物理訪問(wèn)膚放置在其擴(kuò)游展塢中的便煩攜式計(jì)算機(jī)搞，就都可以拴取漂出計(jì)算機(jī)并疫有可能損害于它們。對(duì)于頂沒(méi)有擴(kuò)展塢幼的計(jì)麻算機(jī)，此策買略設(shè)置沒(méi)有茄任何影響。陣對(duì)策：禁營(yíng)用蜜“律設(shè)備：允許寶不登錄移片除須”羅設(shè)置。希潛在影響：肥已經(jīng)固定其凈計(jì)算機(jī)的用撓戶將必須先速登錄到本地歉控制臺(tái)，才韻能移除其計(jì)診算機(jī)。痛設(shè)備：允許蹄格式化和彈僵出可移動(dòng)媒豆體蒸此策略設(shè)置騙確定允許誰(shuí)摸格式化和彈季出可移動(dòng)媒籍體。胳“揭設(shè)備：允許癢格式化和彈扒出可移動(dòng)媒示體?！逼O(shè)置的可能媽值為再：聞?略鄙悲Admin戚istra遭tors匙?揚(yáng)弦購(gòu)Ad炮m費(fèi)inist絲rator揮s吹學(xué)和搖Po士werU艙sers鐮?勿織塌Admin樂(lè)istra正tors創(chuàng)杏和貍Inte姥racti安veUs消ers諸?侄養(yǎng)鄉(xiāng)沒(méi)有定義扒漏洞：用戶嶺可以將可移項(xiàng)動(dòng)磁盤上的矛數(shù)據(jù)移到他粒們具有管理飛特權(quán)的另一腦臺(tái)計(jì)算機(jī)上費(fèi)。然后，該狡用戶可以獲遞取任何文件丸的所有權(quán)，滅授予自己完柏全控制權(quán)限查，查看或修萬(wàn)改任何文件登。由于大多芬數(shù)可移動(dòng)存被儲(chǔ)設(shè)備都可睬以通過(guò)按一炕個(gè)機(jī)械按鈕闖來(lái)彈出媒體皂這一事實(shí)，拔此策略設(shè)置座的優(yōu)勢(shì)會(huì)有倒所減弱。尤對(duì)策：?jiǎn)枌亍靶釉试S格式化嘩和彈出可移善動(dòng)媒校體仆”蘋設(shè)置配置燃為揪Admi鉗nistr孔ator財(cái)s壘。墊潛為在影響：只印有管理員才斯能夠彈負(fù)出墾N棗TFS孟拌格式化的可沖移動(dòng)媒體。昆設(shè)備：防止醬用戶安裝打臨印機(jī)驅(qū)動(dòng)程雨序蝕對(duì)于要打印宋到某個(gè)網(wǎng)絡(luò)市打印機(jī)的計(jì)句算機(jī)，必須區(qū)在本地計(jì)算差機(jī)上安裝該編網(wǎng)絡(luò)打印機(jī)灘的驅(qū)動(dòng)程序彈。歇“冒設(shè)備：防止?jié)撚脩舭惭b打返印機(jī)驅(qū)動(dòng)程帖序嗓”壘設(shè)置確定誰(shuí)去可以安裝打庫(kù)印機(jī)驅(qū)動(dòng)程悶序（作為添披加網(wǎng)絡(luò)打印窄機(jī)的一部分掠）。如果啟掛用此策略設(shè)狠置，只姓有份Admi丈nistr休ators椒痰和筋Powe犯rUse菜rs學(xué)窩組的成員允哨許在添加網(wǎng)牧絡(luò)打印機(jī)時(shí)呀安裝打印機(jī)誠(chéng)驅(qū)動(dòng)程序。剃如果禁用此圍策略設(shè)置，睡任何用戶在定添加網(wǎng)絡(luò)打陷印機(jī)時(shí)都可碰以安裝打印柄機(jī)驅(qū)動(dòng)程序隊(duì)。此策略設(shè)策置可防止典歲型用戶徐下陣載和安裝不瞞受信任的打收印機(jī)驅(qū)動(dòng)程泉序蜘。雞注意：如果錯(cuò)管理員已經(jīng)灰配置了下載賽驅(qū)動(dòng)程序的躬受信任路徑盤，則此策略吸設(shè)置沒(méi)有任蟻何影響。如盤果使用受信智任路徑，打莊印子系統(tǒng)會(huì)夾嘗噸試使用受信遭任路徑下載運(yùn)驅(qū)動(dòng)程序。貓如果受信任豆路徑下載成味功，則可以犬代表任何用煤戶安裝驅(qū)動(dòng)短程序。如果蹦受信任路徑富下載失敗，陸則驅(qū)動(dòng)程序軌不會(huì)進(jìn)行安務(wù)裝，網(wǎng)絡(luò)打鵝印機(jī)不進(jìn)行胖添加。袋“款設(shè)備：防止邁用戶安裝打關(guān)印機(jī)驅(qū)動(dòng)程度序年”朵設(shè)置的可能吊值為泥：英?百咽已啟用乖?娃舅已禁用疼?刑賽沒(méi)有定義貨漏洞：在某湯些組織中允記許用戶在其張自己的工作待站上安裝打植印機(jī)驅(qū)動(dòng)程蔥序鍛可滋能是適當(dāng)?shù)膬x。但是，應(yīng)潑不允許用戶魔在書(shū)服務(wù)器上進(jìn)閘行這類安裝心。在服務(wù)器綁上安裝打印禾機(jī)驅(qū)動(dòng)程序慧可能會(huì)在無(wú)檢意中使計(jì)算琴機(jī)變得不太撥穩(wěn)定。只有授管理員在服靠務(wù)器上具有全此特權(quán)階。惡意用戶趴可能會(huì)安裝嘆不適當(dāng)?shù)拇蝤Q印機(jī)驅(qū)動(dòng)程貝序來(lái)故意試匪圖損害計(jì)算究機(jī)，或者用酸戶也可能會(huì)愈意外安裝一狀些偽裝成打敲印機(jī)驅(qū)動(dòng)程萍序的惡意代不碼。唉對(duì)策：卻將羽“蛋設(shè)備：防止緊用戶安裝打蜜印機(jī)驅(qū)動(dòng)程距序練”輝設(shè)置配置灰為蓮“絲已啟怖用縣”紅。爽潛在影響：槳只有具直有策Admi認(rèn)nistr具ativ額e皂、居Power胖User裝閑或姿Serv掃erOp驅(qū)erato援r尺數(shù)特權(quán)的用戶顛才能夠在服阻務(wù)器上安裝獲打印機(jī)。如尼果啟用了此餡策略設(shè)置，她但盆是網(wǎng)絡(luò)打印腹機(jī)的驅(qū)動(dòng)程抄序已經(jīng)存在洪于席本地計(jì)算機(jī)皆上，則用戶晝?nèi)钥梢蕴砑用W(wǎng)絡(luò)打印機(jī)園。眉設(shè)備：只有涼本地登錄的慘用戶才能訪其問(wèn)濃CD-R爭(zhēng)OM部此策略設(shè)置趁確淺定波CD-匆ROM碗菠是否可供本渴地和遠(yuǎn)程用蓄戶同時(shí)訪問(wèn)絡(luò)。如果啟用供此策略設(shè)置父，將僅允許仆交互式登錄轉(zhuǎn)的用戶訪問(wèn)箱可移動(dòng)只的市CD-R痰OM霜覺(jué)媒體。如果從啟用了此策康略設(shè)置，且耳沒(méi)有人交互壞登錄，則可五以通過(guò)網(wǎng)絡(luò)嫂訪榨問(wèn)群CD-R虜O繁M謙。角“及設(shè)備：只有俱本地登錄的裙用戶才能訪勾問(wèn)底CD-R家O靜M迫”殺設(shè)置的可能奪值為砌：抗?定早已啟用慮?粗轟已禁用燃?逝儀沒(méi)有定義環(huán)漏洞：遠(yuǎn)程策用國(guó)戶姿可能會(huì)訪問(wèn)該包含敏感信臘息、已裝入堅(jiān)的悠CD-R押O烘M舍。這種風(fēng)險(xiǎn)封的可能性很桃小，因蔑為膛CD-R艱OM款擴(kuò)驅(qū)動(dòng)器不會(huì)溪自動(dòng)成為網(wǎng)仔絡(luò)共享資源固，管理員必鎖須專門選擇稱共享此驅(qū)慘動(dòng)器。但是勿，管理員可擾能希望拒絕度網(wǎng)絡(luò)用戶查朽看數(shù)據(jù)或從閑服務(wù)器上的次可移動(dòng)媒體斃運(yùn)行應(yīng)用程唯序的能力。森對(duì)策：?jiǎn)⒗p用幕“向只有本地登遞錄的用戶才山能訪決問(wèn)片CD-R御O紹M賓”論設(shè)置。予潛在影響：蒜當(dāng)有人登錄謙到服務(wù)器的部本地控制臺(tái)冊(cè)時(shí)，通過(guò)網(wǎng)攏絡(luò)連接到服窯務(wù)器的用戶激將無(wú)法使用急安裝在服務(wù)若器上的任版何踢CD-R寺OM債產(chǎn)驅(qū)動(dòng)器。需鄙要訪漢問(wèn)式CD-R媽OM夾妄驅(qū)動(dòng)器的系從統(tǒng)工具將失滴敗。例如，免卷影復(fù)制服甜務(wù)試圖在計(jì)銀算機(jī)初始化楊時(shí)布訪問(wèn)計(jì)算機(jī)感上的所是有恭CD-R誕OM徹蝶和軟盤驅(qū)動(dòng)員器，并且如盒果服務(wù)無(wú)法阿訪問(wèn)其中一輕個(gè)驅(qū)動(dòng)器，艱它將失敗。舟如果已為備適份作業(yè)指定蛛卷影副本，夜這種情況將煉導(dǎo)悲致械Wind鼠ows耗蓄備份工具失播敗。任何使其用卷影副本突的第三方備燥份產(chǎn)品也將色失敗。對(duì)于狼充當(dāng)網(wǎng)絡(luò)用縱戶真CD吸永點(diǎn)唱機(jī)的計(jì)首算機(jī)，此策炭略設(shè)置不適呀合。躺設(shè)備：只有起本地登錄的墻用戶才能訪陪問(wèn)軟盤納此策略設(shè)置憤確定可移動(dòng)留軟盤媒體是竊否可供本地練和遠(yuǎn)程用戶巖同時(shí)訪問(wèn)。紙如果啟用此膝策略設(shè)置，尚將僅允許交倒互式登錄的到用戶訪問(wèn)可辱移動(dòng)的軟盤疫媒體。如果辯啟用了此策各略設(shè)置，且苦沒(méi)有人交互惑登錄，則可電以通過(guò)網(wǎng)絡(luò)蒜訪問(wèn)軟盤。臟“蒼設(shè)膽備戴：只有本地申登錄的用戶妹才能訪問(wèn)軟術(shù)盤笑”榴設(shè)置的可能抽值為鋸：蝴?吵今已啟用輩?郵遷已禁用趟?沙變沒(méi)有定義斥漏洞：遠(yuǎn)程碧用戶可能會(huì)柔訪問(wèn)包含敏怕感信息、已殃裝入的軟盤陰。這種風(fēng)險(xiǎn)漠的可能性很移小，因?yàn)檐浢辣P驅(qū)動(dòng)器不晃會(huì)自動(dòng)成為溉網(wǎng)絡(luò)共享資姓源，管理員玩必須專門選怕?lián)窆蚕泶蓑?qū)序動(dòng)器。但是惠，管理員可虎能希望拒絕育網(wǎng)絡(luò)用戶查幟看數(shù)據(jù)或從偽服務(wù)器上的粗可移動(dòng)媒體搏運(yùn)行應(yīng)用程默序的能力。帆對(duì)策：?jiǎn)⑿в冒l(fā)“喬只有本地登林錄的用戶才揚(yáng)能訪問(wèn)軟民盤販”胖設(shè)置。智潛在影響：剪當(dāng)有人登錄旦到服務(wù)器的動(dòng)本地控制臺(tái)象時(shí)，通過(guò)網(wǎng)緩絡(luò)連接到服神務(wù)器的用戶繼將無(wú)法使用頭安弄裝苗在服務(wù)器上坐的任何軟盤撒驅(qū)動(dòng)器。需電要自訪問(wèn)軟盤驅(qū)握動(dòng)器的系統(tǒng)行工具將失敗胳。例如，卷也影復(fù)制服務(wù)島試圖在計(jì)算崗機(jī)初始化時(shí)跌訪問(wèn)計(jì)算機(jī)杠上的所緒有巧CD-R肥OM睡僚和軟盤驅(qū)動(dòng)套器斬，并且如果城服務(wù)無(wú)法訪它問(wèn)其中一個(gè)爹驅(qū)動(dòng)器，它剝將失敗。如架果已為備份趁作業(yè)指定卷亡影副本，這雄種情況將導(dǎo)羨致耗Wind愿ows瘋暑備份工具失勝敗。任何使諷用卷影副本茄的第三方備腥份產(chǎn)品也將壟失敗。嚴(yán)設(shè)備：未簽修名驅(qū)動(dòng)程序挎的安裝操作無(wú)此策略設(shè)置舍確定在試圖聚安裝未呆經(jīng)極Wind握ows咐鴿硬件質(zhì)量實(shí)啞驗(yàn)哭室殲(WHQ息L)如祝認(rèn)證和簽名瓶的設(shè)備驅(qū)動(dòng)希程序（使用壤安裝應(yīng)用程言序編程接細(xì)口坐(API侵)啞抖方法）時(shí)，分將發(fā)生的操搭作笨。鉆“譜設(shè)備：未簽脖名驅(qū)動(dòng)程序育的安慕裝操確作散”稅設(shè)置的可能贏值為缸：域?趟害默認(rèn)繼續(xù)濾?露括訓(xùn)允許安裝但鮮發(fā)出警告忌?溪波禁止安裝富?段煉沒(méi)有定義繼漏洞：此策晃略設(shè)置可以傳防止安裝未市經(jīng)簽名的驅(qū)顧動(dòng)程序，或蛾向管理員發(fā)終出警告指出莖有人要安裝疾未經(jīng)簽名的句驅(qū)動(dòng)程序軟海件。此功能叔可以防止使竄用巷Setu協(xié)pAPI您雖安裝尚未通侵過(guò)認(rèn)證灰在陸Wind盟owsX咐P辛礙或家Wind狠owsS扭erver燦2003隆零上運(yùn)行的驅(qū)南動(dòng)程序。此巾策略設(shè)置將廚不能防止某惕些攻擊工具拍使用某種方褲法來(lái)復(fù)制和草注冊(cè)惡意竄的在.sys音咱文胡件，從而將成這些文件作笨為系統(tǒng)服務(wù)杯啟邪動(dòng)。悉對(duì)策：域?qū)⒚琛俺O(shè)備：未簽絨名驅(qū)動(dòng)程序歌的安裝操奮作肆”弦設(shè)置配置蘇為昂“賢允許安裝但玻發(fā)出警碧告督”崇，這猛是鳴Wind臟owsX膚PSP2劉荷的默認(rèn)配置葛。紹Windo臨wsSe蝦rver撥2003猶里的默認(rèn)配置冠為比“踏沒(méi)有定主義劣”嶼。管潛在影響：狗如果用戶具扛有安裝設(shè)備喂驅(qū)動(dòng)程序的緊足夠特權(quán)，婆則他們將能啦夠安裝未簽來(lái)名的設(shè)備驅(qū)銳動(dòng)程序。但躲是，此功能孤可能會(huì)導(dǎo)致粗服務(wù)器產(chǎn)生僻穩(wěn)定性問(wèn)題香。釘“窯允許安裝但蓄發(fā)出警容告關(guān)”睛配置還有另貿(mào)一個(gè)潛在問(wèn)亦題，那就是舅，無(wú)人參與壯的安裝腳本挪在嘗試安裝祖未簽名的驅(qū)貝動(dòng)程序時(shí)將延會(huì)失敗。宿域控制器：嬸允許服務(wù)器釀操作員計(jì)劃泥任務(wù)劑此策略設(shè)置菊確定是否允猾許服務(wù)器操姻作誓員通兄過(guò)到AT習(xí)搬計(jì)劃工具提匆交作業(yè)。榮注意：此安罰全選項(xiàng)設(shè)置睬只影紫響悶AT儲(chǔ)霉計(jì)劃工具。肆它不影監(jiān)響剝“和任務(wù)計(jì)劃程檢序兆”泰工具。束“煌域綢控制器：允靜許服務(wù)器操弦作員計(jì)劃任醉務(wù)閃”嗚設(shè)置的可能重值為戶：益?播溝已啟用痛?嗓光已禁用對(duì)?刊齡沒(méi)有定義瓶漏洞：如果色啟用此策略雪設(shè)置，由服錢務(wù)器操作員壩通父過(guò)累AT紡競(jìng)服務(wù)創(chuàng)建的屠作業(yè)將在運(yùn)象行該服務(wù)的怖帳戶的上下臂文中執(zhí)行。平在默認(rèn)情況略下，這是本帖地裁的錢SYST惑EM渠秤帳戶。如果評(píng)啟用此策略政設(shè)置，服務(wù)苦器操作員可促以執(zhí)徹行列SYST雙EM泰季能夠執(zhí)行、聲但是他們通稿常畏無(wú)法執(zhí)行的包任務(wù)，例如棟將他們的帳軋戶晴添加到本甚地組Admi濱nistr耽ators此裕組中。供對(duì)策：禁駱用獸“叮域控制器：誼允許服務(wù)器逆操作員計(jì)劃恰任撤務(wù)增”摸設(shè)置。萄潛在影響：園對(duì)于大多數(shù)功組織來(lái)說(shuō)，愧影響會(huì)很小噴。用戶（包婚括燭Serv役erOp胸erato騰rs欠仔組的用戶虜）崗臉仍然可以通鴉過(guò)村“幻任務(wù)計(jì)劃程訊序向斧導(dǎo)制”組創(chuàng)建作業(yè)。預(yù)但是，這些魯作業(yè)運(yùn)行的圣上下文將是渴用戶設(shè)置作炸業(yè)時(shí)進(jìn)行身誘份驗(yàn)證所用陪帳戶的上下麻文。田域控制器顫：片LDAP姓英服務(wù)器簽名拿要求蛛此策略設(shè)置可確定輕型目笨錄訪問(wèn)協(xié)簡(jiǎn)議淋(LDA位P)短鄰服務(wù)器是否鮮要狐求膊LDAP歇森客戶端協(xié)商用數(shù)據(jù)簽名。駛“屠域控制器凍：氣LDA喜P煤泊服務(wù)器簽名匯要品求貿(mào)”遞設(shè)置的可能猜值為襯：欠?蓋率華無(wú)。數(shù)據(jù)簽界名不是與服臨務(wù)器綁定所逢必需的。如貧果客戶端請(qǐng)辰求數(shù)據(jù)簽名開(kāi)，則服務(wù)器描會(huì)支持它。呼?稼悔游要求簽名。廣除非使用傳陣輸層安全陪性腹/驕安全套接字模層捷(TLS煤/SSL島)拾，否則必須壤協(xié)鞏商璃LDAP己腫數(shù)據(jù)簽名選棟項(xiàng)。保?戀涉沒(méi)有定義。減漏洞：未簽?zāi)木W(wǎng)絡(luò)通西信易遭受中炒間人攻擊。君在這類攻擊屬中，入侵者芹捕獲服務(wù)器打和客戶端之獅間的數(shù)據(jù)包愚，進(jìn)行修改促，然后將它距們轉(zhuǎn)發(fā)到客體戶端。在涉掠及銜LDAP吃化服務(wù)器的環(huán)書(shū)境中，攻擊尋者可以讓客料戶端根據(jù)來(lái)幸自言LDAP綱瓶目錄的錯(cuò)誤從記錄醉作負(fù)出決策。要股降低對(duì)組織普網(wǎng)絡(luò)的這類厚入扎侵的風(fēng)險(xiǎn)，狹可以實(shí)施強(qiáng)涼物理安全措柄施，從而保奏護(hù)網(wǎng)絡(luò)基礎(chǔ)崖結(jié)構(gòu)。此外壟，也可以實(shí)威施斑Inte牧rnet遍面協(xié)議安螺全績(jī)(IPS先ec)樸謀身份驗(yàn)證頭狡模櫻式淹(AH庭)搏，它可以針?shù)搶?duì)吧IP撤殺通信執(zhí)行相接互身份驗(yàn)證界和數(shù)據(jù)包完樓整性，從而幻使所有類型找的中間人攻世擊變得極其剃困難。誕對(duì)策：虛將各“盡域控制器成：嶄LDAP帶勝服務(wù)器簽名由要喂求構(gòu)”耕設(shè)置配置摔為訂“善要求簽衡名氧”牲。顫潛在影響：贏不支辯持忙LDAP積司簽名的客戶鮮端將無(wú)法針?biāo)簩?duì)域控制器我執(zhí)壞行施LDAP隸藝查詢。組織掃中從基線于幻Wind布o(jì)wsS罩erver屋2003摔蛇或喊Wind騎owsX賄P插怖的計(jì)算蔥機(jī)丘進(jìn)行管理的齒所有基迎于紐Wind聰ow蕉s200撕0釣除的計(jì)算機(jī)和獲使伏用潛Wind既owsN芝T銅?愚徐質(zhì)貍詢妖/壤響米應(yīng)縱(NTL述M)謎央身份驗(yàn)證的矮計(jì)算機(jī)都必嬌須安員裝詠Wind室ows2繪000S壟ervic晉ePac寬k3(丑SP3涌)樸?；蛘撸@滋些客戶端必先須進(jìn)象行井Micr納osoft粒券知識(shí)庫(kù)文善章德Q325駐46戰(zhàn)5蝴“伏使陸用會(huì)Wind矛owsS攀erver垮2003同億管理工具炊時(shí)帆Wind蘭ows2驗(yàn)000摩通域控制器需災(zāi)要懶SP3螺膏或更高版壁本致”剝中描述的注比冊(cè)表更改，僚該文章網(wǎng)址跑為居:燥//sup艦port.相micro轉(zhuǎn)soft.優(yōu)com/d李efaul霜t.as極p貢x?sci見(jiàn)d=325滑46客5莖。另外蝕，某些第三部方操作系統(tǒng)浴不支擇持件LDAP琴醉簽名。如果豈啟用此策略夕設(shè)置，使用瘦這些操作系階統(tǒng)的客戶端悼計(jì)算機(jī)可能穗無(wú)法訪問(wèn)域陰資源。竭域控制器：峰拒絕更改機(jī)陳器帳戶密碼桂此策略設(shè)置淺確定域控制坊器是否接受螺計(jì)算機(jī)帳戶品的密碼更改搜請(qǐng)求。失“露域控制器：扯拒絕更改機(jī)寸器帳戶密東碼想”木設(shè)置的可能洽值為：托?跡兄已啟用前?愿盯已禁用鄉(xiāng)?主降沒(méi)有定義筆漏洞：如果驅(qū)在域中的所沫有域控制器喉上啟用此策援略設(shè)置，域途成員將不能桂更改其計(jì)算蛛機(jī)帳戶密碼冤，并且這些伍密碼將更易泄遭受攻擊。符對(duì)策：禁蜜用齊“輪域貸控催制器：拒絕趙更改機(jī)器帳偶戶密戒碼軋”逐設(shè)置訊。半潛在影響：美無(wú)。這是默尼認(rèn)配置。勝域成員：對(duì)舊安全通道數(shù)乳據(jù)進(jìn)行數(shù)字窯加密或簽名碎（多個(gè)相關(guān)歪設(shè)置）仙下列策略設(shè)盲置確定是否飄與植不能對(duì)安全盜通道通信進(jìn)刊行簽名或加晉密的域控制要器建立安全誼通道：勤?佩樹(shù)灑所域成員：對(duì)闊安全通道數(shù)句據(jù)進(jìn)行數(shù)字棒加密或簽名隊(duì)（總是尤）執(zhí)?提布笑盒域成員：對(duì)斧安全通道數(shù)竿據(jù)進(jìn)行數(shù)字具加密（如果告可能詢）遵?時(shí)襪湊噸域成員：對(duì)捎安全通道數(shù)強(qiáng)據(jù)進(jìn)行數(shù)字叉簽名（如果滲可能）如果錦啟威用油“村域成員：對(duì)代安全通道數(shù)唉據(jù)進(jìn)行數(shù)字惹加密或簽名歐（總是臂）耀”授設(shè)置，則不弦能與不能對(duì)深所有安全通麻道數(shù)據(jù)進(jìn)行嘆簽名或加密營(yíng)的并任何域控制術(shù)器建立安全崗?fù)ǖ馈榱巳f(wàn)防革止身份驗(yàn)證夸通信受到中搭間人、重播描以及其他類石型的網(wǎng)絡(luò)攻槐擊，基研于網(wǎng)Wind銷ows聞的的計(jì)算機(jī)會(huì)怨通過(guò)名姿為煉“輝Secur圣eCha牌nnel醋s吐（安全通道碌）獵”曾的腦NetL吉ogon端種來(lái)創(chuàng)建通信曾通道。這些瞇通道對(duì)計(jì)算傍機(jī)帳戶進(jìn)行恒身份驗(yàn)證，堤當(dāng)遠(yuǎn)程用戶增連接到網(wǎng)絡(luò)固資源，而且舉該用戶的帳凍戶存在于受娘信任域中時(shí)恐，這些通道把還對(duì)用戶帳燈戶進(jìn)行身份求驗(yàn)證。這種眨身份驗(yàn)證被食稱作通過(guò)式慶身份驗(yàn)證，健它允許加入糾到某個(gè)域的倡計(jì)算機(jī)訪問(wèn)遭位于它所在恥的域以及任型何受信任域群中的用戶帳杜戶數(shù)據(jù)庫(kù)。醉注意：要在叉成員工作站乘或服務(wù)器上祖啟腳用稍“礦域成員：對(duì)群安全通道數(shù)體據(jù)外進(jìn)行數(shù)字加端密或簽名（害總是避）吐”科設(shè)置在，該成員所持屬的域中的禮所有域控制蘇器都必須能井夠?qū)θ堪苍氯ǖ罃?shù)據(jù)群進(jìn)行簽名或自加密。這項(xiàng)螞要求意味著飲所有這類域壘控制器必須赴運(yùn)砍行竄慣Windo膊wsNT效4.0虹Servi帝cePa摔ck6a擋牲或磨Wind貪ows群緊操作系統(tǒng)的條更高版本。已如果啟繁用文“僻域成員：對(duì)竿安全通道數(shù)站據(jù)進(jìn)行數(shù)字艱加密或簽名大（總是葡）矩”詳設(shè)置，則會(huì)箱自動(dòng)啟漆用侮“河域成員：對(duì)霞安全通道數(shù)輛據(jù)進(jìn)行數(shù)字財(cái)簽名（如果阻可能角）竄”摟設(shè)置?？棿瞬呗栽O(shè)置燦的可能值為砍：蠟?摩釋已啟用犁?軍也已禁用念?快狂沒(méi)有定義仙漏洞：乞當(dāng)找Wind椅owsS吊erver蔬被200視3磚、貴Windo削wsX鉗P返、懲Windo娛ws20撒00稀亦或警Wind觀owsN毒T餅毅計(jì)算機(jī)加入期某個(gè)域時(shí)，繡將創(chuàng)建一個(gè)茶計(jì)倒算機(jī)帳戶。尊加入該域之躺后，計(jì)算機(jī)針在每次重新魯啟動(dòng)時(shí)，都圾使用此帳戶餓的密碼，與政它所在域的敬域控制器創(chuàng)武建一個(gè)安全閑通道。在安財(cái)全通道上發(fā)礎(chǔ)送的請(qǐng)求將挪被驗(yàn)證，敏孟感信息（如株密碼）將被討加密，但不再會(huì)對(duì)通道進(jìn)勒行完整性檢志查，也不會(huì)驅(qū)加密所有的脅信息。如果刊計(jì)算機(jī)被配康置為總是對(duì)線安全通道數(shù)睛據(jù)進(jìn)行加密穗或簽名，但的域控制器無(wú)彈法對(duì)安全通霧道數(shù)據(jù)的任擁何部分進(jìn)行便簽名或加密水，則計(jì)算機(jī)率和域控制器凈無(wú)法建立安仔全通道。如才果捕計(jì)鐵算機(jī)被配置傷為在可能的尊情況下對(duì)安哲全違通道數(shù)據(jù)進(jìn)旋行加密或簽描名，則可以時(shí)建立安全通風(fēng)道，但是會(huì)燃對(duì)加密和簽恭名的級(jí)別進(jìn)迅行協(xié)商。對(duì)策：膚?襲壞第至將西“牧域成員跨：對(duì)安全通棗道數(shù)據(jù)進(jìn)行癢數(shù)字加密或復(fù)簽名（總是拾）狂”睛設(shè)置配置玩為盈“書(shū)已啟泳用風(fēng)”赴。名?衰再機(jī)柿將扣“承域成員：對(duì)墨安全通道數(shù)絕據(jù)進(jìn)行數(shù)字韻加密（如果附可能調(diào)）偽”語(yǔ)設(shè)置配置雅為頃“涉已啟支用爭(zhēng)”囑。離?槍政性南將護(hù)“團(tuán)域成員：對(duì)夏安全通道數(shù)仿?lián)M(jìn)行數(shù)字蔽簽名（如果扁可能搞）喜”村設(shè)置配置搜為沖“乏已啟概用淋”現(xiàn)。下潛在影響：氣對(duì)木“批安全通蜘道腰”眉進(jìn)行數(shù)字加辟密和簽名（靠如果支持的猾話）是一個(gè)抄好主意。在賀域憑據(jù)被發(fā)魂送到域控制沿器時(shí)，安全井通道反保睬護(hù)這些憑據(jù)積。但是，只扇有匆Wind辯owsN魄T4.0軟Serv霉iceP殘ack6袖a(SP臺(tái)6a)宿佩和殼Wind眾ows銅濟(jì)操作系統(tǒng)的草后續(xù)版本才企支持對(duì)安描全通道進(jìn)行郵數(shù)字加密和懸簽名永。約Windo澤ws98藍(lán)Seco增ndEd版ition撤聽(tīng)客戶端不支練持它（除非榜它們安裝獸了糖Dscl良ien礎(chǔ)t控）。因此，院對(duì)于支持鹽將旨Wind偶o(jì)ws9猶8酸止客戶端作為甩域成員的域僻控制器，不款能啟纏用階“仿域成員：對(duì)銷安全通道數(shù)忘據(jù)進(jìn)行數(shù)字?jǐn)r加密或簽名綢（總是藝）后”纖設(shè)置。潛在虎影響可能包煙括以下情況陡：立?去芽肅創(chuàng)建或刪除嘴下級(jí)信任關(guān)也系的能力將動(dòng)被禁用。蛛?辮峰本攀從下級(jí)客戶椒端登錄將被斑禁用。蛾?豐云害從下級(jí)受信歡任域中對(duì)其渣他域的用戶貸進(jìn)行身份驗(yàn)惱證的能力將責(zé)被禁用。擁在從域中清冠除所有凍的壽Wind貿(mào)ows9網(wǎng)x爹綠客戶端、將牙受信妖任嫂/豆信任域中的女所樂(lè)有甜Wind打owsN潔T4.0夫都服務(wù)器和域廚控制器升級(jí)奪到鋒Wind北owsN趴T4.0手SP6a疤助之后，可以爬啟用此策略釋設(shè)置。對(duì)于所域中的所有降計(jì)算機(jī)，還肯可以啟用另兩外兩個(gè)策略區(qū)設(shè)置漏：蜓“抗域成員：對(duì)擱安全通道數(shù)四據(jù)進(jìn)行數(shù)字鐵加密（如果切可能持）喘”軍和菌“旦域成員：對(duì)蓄安全通道數(shù)賺據(jù)進(jìn)行數(shù)字縱簽名（如果魄可能崗）清”劫，但前提是媽這些計(jì)算機(jī)點(diǎn)支持這兩個(gè)住設(shè)置而且不奇影順響凝下級(jí)客戶端眠和應(yīng)用程序緒。現(xiàn)域成員暗：禁用更改膝機(jī)器帳戶密撓碼梢此策略設(shè)置峽確定域成員濁是否可以定奸期更改其計(jì)曾算機(jī)帳戶密千碼。如果啟們用此策略設(shè)寇置，域成員孔不能更改其到計(jì)吉算機(jī)帳戶密追碼。如果禁三用此策略設(shè)久置，將允許謝域成員根四據(jù)竹“呈域成員：最擊長(zhǎng)機(jī)器帳戶少密碼壽曠命際”攀設(shè)置更改其邊計(jì)算機(jī)帳戶走密碼，在默仆認(rèn)情況下是畫(huà)每描30裹它天更改一次睡。相警告：請(qǐng)不考要啟用此策德略設(shè)置。計(jì)按算機(jī)帳戶密式碼用于在成命員和域控制要器之間以及見(jiàn)域中的域控軍制器之間建餓立安全通道那通信。在建絹立了這類通寶信之后，安植全通道會(huì)傳靠輸進(jìn)行身份