Windows XP 客户端安全设置

本页内容

	本模块内容
	目标
	适用范围
	如何使用本模块
	安全模板
	帐户策略设置
	本地策略设置
	审核策略设置
	用户权限分配设置
	安全选项设置
	事件日志安全设置
	受限制的组
	系统服务
	保护文件系统
	摘要

本模块内容

本模块详细讨论了在 Microsoft^® Windows Server^™ 2003 域中通过“组策略”配置的主要安全设置。实现所建议的设置将确保组织中运行 Microsoft Windows^®XP Professional 的台式计算机和便携式计算机的安全。本模块并不为 Windows XP 中所有可用的设置提供全面指导。

返回页首

目标

本模块用于

返回页首

适用范围

本模块适用于下列产品和技术

返回页首

如何使用本模块

本模块提供详细划分的各种组策略设置，这些设置是保护 Windows Server 2003 域中的 Windows XP Professional 企业客户端或高安全级客户端所必需的。

要从本模块获取更多内容，请执行下列操作：

返回页首

安全模板

正如模块 1“Windows XP 安全指南简介”中所述，本模块中提供的指导特定于在本指南中定义的企业客户端环境和高安全级环境。在某些情况下，本指南建议在便携式计算机上使用与台式计算机不同的设置，这是由于便携式计算机是移动的，并且不总是通过企业网络连接到环境中的域控制器。本指南还假设便携式计算机用户在非正常工作时间工作，而此时没有现场技术支持。因此，对于便携式客户端来说，需要连接到域控制器或者控制登录时间的设置会有所不同。请记住，本模块中的指导所提出的建议只是为了让您便于根据自己的业务需求对其进行调整。

下表定义本指南中提供的基础结构 (.inf) 文件。这些文件包含在本指南中定义的两种环境的所有基准安全设置建议。

表 3.1：基准安全模板

有关本模块中所讨论的设置的更多详细信息，请参见配套指南《Threats and Countermeasures Security Settings in Windows Server 2003 and Windows XP》。

返回页首

帐户策略设置

本模块中未涵盖“帐户策略”设置，这些设置将在本指南的模块 2 “配置 Active Directory 域基础结构”中讨论。

返回页首

本地策略设置

“本地策略设置”可在运行 Windows XP Professional 的任何计算机上进行本地配置，这可通过使用“本地安全策略控制台”或通过基于 Microsoft Active Directory® 域的组策略对象 (GPO) 来配置。“本地策略”设置包括“审核策略”、“用户权限分配”和“安全选项”。

返回页首

审核策略设置

“审核策略”用于确定要向管理员报告的安全事件，以便记录具有指定事件类别的用户或系统活动。管理员可以监视与安全有关的活动，如谁访问某个对象、用户何时登录或注销某台计算机、是否对审核策略设置进行过更改。基于所有这些原因，Microsoft 建议您为管理员创建一个可在您的环境中实现的审核策略。

在实现审核策略之前，必须确定在您的企业环境中需要审核哪些类别的事件。企业审核策略由您在事件类别中选择的审核设置来定义。通过为特定的事件类别定义审核策略设置，管理员可以根据组织的安全需求创建审核策略。

如果未配置任何审核设置，将很难或者不可能确定在遇到安全事件时所发生的情况。不过，如果因为配置了审核而导致有太多的授权活动生成事件的话，安全事件日志中则将充满无用的数据。下面的建议旨在帮助您在确定要监视的内容以及确定如何为组织收集相关审核数据时找到平衡点。

可以使用“组策略对象编辑器”在以下位置配置 Windows XP 的审核策略设置：

计算机配置\Windows 设置\安全设置\本地策略\审核策略

表 3.2：用于保护 Windows XP 计算机的审核策略设置

审核帐户登录事件

表 3.3：设置

“审核帐户登录事件”设置用于跟踪使用域登录凭据从本地控制台、网络或服务帐户进行的登录尝试。要准确地确定用户何时成功或不成功地登录系统，必须启用此审核设置。

启用此审核策略设置后，管理员可以跟踪在您的环境中，组织中的网络上有哪些系统正由运行 Windows XP 的计算机访问。因此，在本指南中定义的两种环境中，“审核帐户登录事件”设置被配置为“成功”和“失败”。

审核帐户管理

表 3.4：设置

“审核帐户管理”设置用于跟踪以下企图：新建用户或组、重命名用户或组、启用或禁用用户帐户、更改帐户密码、启用对帐户管理事件的审核。

启用此审核策略设置后，管理员可跟踪事件，以检测恶意创建、意外创建和授权创建用户帐户和组帐户的情况。因此，在本指南中定义的两种环境中，“审核帐户管理”设置被配置为“成功”和“失败”。

审核目录服务访问

表 3.5：设置

启用“审核目录服务访问”设置只是为了针对域控制器执行审核。因此，未在工作站级别定义此设置。

此设置不适用于运行 Windows XP Professional 的计算机。因此，在本指南中定义的两种环境中，确保“审核目录服务访问”设置被配置为“无审核”。

审核登录事件

表 3.6：设置

“审核登录事件”设置用于跟踪使用本地计算机登录凭据从本地控制台和网络以及批帐户或服务帐户进行的成功和失败的登录尝试。

启用此审核策略设置后，管理员可以跟踪这些事件并获得如下记录：谁成功和谁未能成功登录到组织中运行 Windows XP 的计算机。因此，在本指南中定义的两种环境中，“审核登录事件”设置被配置为“成功”和“失败”。

审核对象访问

表 3.7：设置

在 Windows XP 中，可以跟踪用户对特定文件和文件夹的访问。“审核对象访问”设置允许您跟踪那些通过某些对象来对敏感数据的访问，这些对象可以是特定于文件、文件夹、打印机、注册表项的对象，还可以是其他可设置为要审核的对象。要跟踪用户对这些对象的访问，必须首先访问每个文件或文件夹，然后启用该对象的安全属性，以审核用户访问。而后必须启用“审核对象访问”设置，以返回成功和失败记录。

启用此审核策略设置可按照为特定对象定义的审核规则来记录事件。在此审核策略中选中“失败”选项，可确保能够监视入侵者对敏感数据的访问企图。随后，在安全事件日志中，将针对满足此审核功能的审核要求的指定文件和文件夹生成有关访问事件的记录。

因此，在本指南中定义的两种环境中，“审核对象访问”设置被配置为“成功”和“失败”。

下列过程详述如何对文件或文件夹手动设置审核规则，然后针对指定文件或文件夹中的每个对象测试每个审核规则。此过程可通过脚本自动执行。

使用下列过程测试已配置的每个审核规则。

审核策略更改

表 3.8：设置

“审核策略更改”设置允许您跟踪对用户权限、审核策略或信任策略进行的更改。如果为该设置配置值，可确保您能够验证对组策略的授权更改，并检测任何未经授权的更改。启用此设置后，可将对用户权限、审核策略或信任策略进行的更改作为事件记录在安全事件日志中。

因此，在本指南中描述的两种环境中，“审核策略更改”设置被配置为“成功”。如果包括“失败”这一设置值，将不会在安全事件日志中提供有意义的访问信息。有关其他信息，请参见本模块“其他信息”部分中提到的“Microsoft Windows Security Resource Kit”。

审核特权使用

表 3.9：设置

“审核特权使用”设置允许您审核符合以下条件的任何操作：要求用户帐户使用已分配给它的任何额外特权的任何操作。启用此设置后，如果有用户或进程尝试回避遍历检查、调试程序、创建令牌对象、替换进程级令牌或生成安全审核，则会导致在安全事件日志中记录已审核的事件。使用此设置，还可以在某个用户或帐户尝试使用“备份”或“还原”用户权限备份或还原文件或目录时，生成事件。但是，只有在启用了用来审核备份和还原企图的安全选项时，这些审核事件才会触发。

所有用户帐户都会定期使用特权。如果将此设置配置为同时审核成功和失败的事件，将导致在安全事件日志中快速聚积大量事件记录。如此之大的数量反映的是正常用户行为，对这些事件进行排序也就成为了详细审核开销成本的一部分。

对于企业客户端环境未提供有关此设置的指导，这是由于在该安全环境中建议不对大多数用户权限使用组策略。如果您的组织将用户权限分配给用户帐户或组，请考虑启用此设置，以审核组织中较高权限的使用情况。本指南中定义的高安全级环境中启用了此设置，这是因为在该环境中 Windows XP 中可用的大多数用户权限都是建议使用的。

因此，在企业客户端环境中，“审核特权使用”设置被配置为“无审核”。但是在高安全级环境中，此设置配置为“失败”，以便审核所有失败的使用额外特权的尝试。

审核过程跟踪

表 3.10：设置

“审核过程跟踪”设置允许您在应用程序或用户启动、停止或更改进程时进行审核，并在安全事件日志中记录有关每个实例的事件。启用过程跟踪对于排除应用程序故障和了解应用程序工作方式非常有用；只有在跟踪特定应用程序行为时，才建议使用此设置。但是，启用此设置将在安全事件日志中快速生成大量事件。

因此，在本指南中定义的两种环境中，“审核过程跟踪”设置被配置为“无审核”。

审核系统事件

表 3.11：设置

“审核系统事件”设置非常重要，因为它允许您监视成功和失败的系统事件，并提供有关这些事件的记录，从而帮助您确定未经授权的系统访问的实例。系统事件包括启动或关闭环境中的计算机、全部事件日志或其他与影响整个系统的安全相关事件。

因此，在企业客户端环境中，“审核系统事件”设置被配置为“成功”。但是，在高安全级环境中，此设置被配置为“成功”和“失败”，以便实现额外的安全性。

返回页首

用户权限分配设置

除了 Windows XP Professional 中的许多特权组之外，还可以为用户和组分配许多用户权限，以便授予他们高于普通用户的特权。在这些额外的用户权限中，有许多（但并非全部）用户权限都适用于 Windows XP Professional。

要将用户权限的值设置为“No One”，请启用此设置，但是不向其中添加任何用户或组。要将用户权限的值设置为“没有定义”，请不要启用此设置。

在 Windows XP 中，“用户权限分配”设置可在组策略对象编辑器中的如下位置进行配置：

计算机配置\Windows 设置\安全设置\本地策略\用户权限分配

表 3.12：用于保护 Windows XP 计算机的“用户权限分配”设置

从网络访问此计算机

表 3.13：设置

“从网络访问此计算机”用户权限用于确定允许哪些用户和组通过网络连接到计算机。此用户权限是许多网络协议所必需的，这些协议包括基于服务器消息块 (SMB) 的协议、网络基本输入/输出系统 (NetBIOS)、通用 Internet 文件系统 (CIFS)、超文本传输协议 (HTTP) 和组件对象模型 (COM+)。

一些程序会自动将“Everyone”组添加到此用户权限的用户帐户列表中。这个组允许授权用户以及其他所有来宾和匿名用户都访问您的网络上的计算机。如果将此用户权限限制为管理员和用户，将阻止本地安装的应用程序或登录用户尝试添加用户或组，从而防止出现上述情况。

因此，在本指南中定义的两种环境中，“从网络访问此计算机”用户权限仅限制于“Administrators”和“Users”组。

通过终端服务允许登录

表 3.14：设置

“通过终端服务允许登录”用户权限用于确定哪些用户或组有权作为终端服务客户端进行登录。远程桌面用户需要此权限。如果将“远程协助”用作企业技术支持策略的一部分，请创建一个组，并通过组策略向该组授予此权限。如果组织中的技术支持部门不使用远程协助，则仅向“Administrators”组授予此权限。

如果将此权限限制于“Administrators”组（可能还包括“Help Desk”技术人员组），将防止非法用户通过 Windows XP Professional 中新的“远程协助”功能从网络访问计算机。

因此，在企业客户端环境中，“通过终端服务允许登录”用户权限仅限制于“Administrators”组，在高安全级环境中，此权限限制为“No One”，以便实现额外的安全性。

备份文件和目录

表 3.15：设置

“备份文件和目录”用户权限允许用户越过文件和目录权限来备份系统。只有当应用程序尝试使用 NTFS 文件系统备份应用程序编程接口 (API)（例如 NTBACKUP.EXE）访问文件或目录时，才启用此权限。否则，请应用普通的文件和目录权限。

Microsoft 建议限制此用户权限，将对环境中客户端上的文件和文件夹的访问限制于高安全级环境中的本地“Administrators”组。

因此，只有在高安全级环境中，才将“备份文件和目录”用户权限限制于“Administrators”组。在企业客户端环境中，对于此用户权限未规定任何组。

跳过遍历检查

表 3.16：设置

“跳过遍历检查”用户权限允许访问文件或文件夹，而与它们所在的父文件夹的用户权限限制无关。换句话说，当用户导航 NTFS 文件系统或注册表中的对象路径时，此用户权限禁止检查特殊的访问权限“遍历文件夹”。如果将此用户权限授予 Users 组，则允许该组中的用户在您的环境中更改目录、访问文件或子目录，即使它们被限制访问父目录时也是如此。

因此，在本指南中定义的两种环境中，“跳过遍历检查”用户权限限制于“Users”组。

注意：请确保通过“组策略”将默认情况下出现的“Everyone”组替换为“Users”组，以便防止来宾和匿名用户获得对受限文件和文件夹的访问权限。

更改系统时间

表 3.17：设置

“更改系统时间”用户权限用于确定哪些用户和组能够更改您环境中计算机内部时钟上的时间和日期。分配了此用户权限的用户可以影响事件日志的外观。更改系统时间会导致所记录的事件反映新时间，而不是反映发生事件时的实际时间。在本指南中定义的高安全级环境中，只有“Administrators”组才具有此用户权限。

因此，在企业客户端环境中，“更改系统时间”用户权限被配置为“没有定义”，在高安全级环境中，此用户权限限制于“Administrators”组。

注意：环境中本地计算机与域控制器之间的时间差异可能会对 Kerberos 身份验证协议造成问题，这可能会使用户无法登录到域，或者在登录到网络之后，无法获得访问域资源的授权。另外，如果系统时间和域控制器的时间不同步，则在向客户端应用组策略时将出现问题。

调试程序

表 3.18：设置

“调试程序”用户权限用于确定哪些用户可以将调试程序附加到任何进程或附加到内核中。如果开发人员调试在其各自用户帐户上下文中运行的应用程序，则他们无需此用户权限。但是，如果开发人员调试系统组件或者在其他帐户上下文中运行的应用程序，则他们的确需要此用户权限。此用户权限提供对敏感和关键操作系统组件的完整访问权限。

此用户权限可能会被利用从系统内存中捕获敏感的系统信息。一些攻击工具利用“调试程序”用户权限来提取散列的密码和其他专用的安全信息。默认情况下“调试程序”用户权限仅会分配给“Administrators”组，这样可以降低攻击者利用此漏洞所带来的风险。但是在本指南中定义的两种环境中，此用户权限设置为了“No One”，这样可进一步降低此风险。

通过终端服务拒绝登录

表 3.19：设置

“通过终端服务拒绝登录”用户权限用于禁止用户使用远程桌面连接登录到您的环境中的计算机。限制“Everyone”组的成员通过“终端服务”登录，会同时防止默认“Administrators”组的成员使用“终端服务”登录到您的环境中的计算机。

因此，在高安全级环境中，“通过终端服务拒绝登录”用户权限限制为“Everyone”组，而在企业客户端环境中，此用户权限被配置为“没有定义”。

从远程系统强制关机

表 3.20：设置

“从远程系统强制关机”用户权限允许用户从网络上的远程位置关闭运行 Windows XP 的计算机。任何有权关闭您环境中的计算机的用户都可能会引起 DoS 情况，这将使该计算机无法为用户请求提供服务。因此，Microsoft 建议将此用户权限仅限制于高度信任的管理员。

因此，在高安全级环境中，“从远程系统强制关机”用户权限仅限制于“Administrators”组，而在企业客户端安全环境中，此权限配置为“没有定义”。

在本地登录

表 3.21：设置

“在本地登录”用户权限用于确定哪些用户可以通过交互方式登录到您的环境中的计算机。通过在连接到客户端的键盘上按 Ctrl+Alt+Del 键序列而启动的登录要求用户具有此登录权限。尝试通过“终端服务”或 Microsoft Internet 信息服务 (IIS) 进行登录的用户也需要此权限。

默认情况下，Guest 帐户会授予此用户权限。尽管此帐户在默认情况下已禁用，但是 Microsoft 建议通过“组策略”来启用此权限。不过，此特权通常应限制于“Administrators”和“Users”组。如果您的公司要求“Backup Operators”组具有此特权，请将此权限授予此组。

因此，在本指南中定义的两种环境中，“在本地登录”用户权限限制于“Users”组和“Administrators”组。

注意：Windows XP Professional 组策略对象编辑器中的“在本地登录”设置在 Windows Server 2003 中称为“允许在本地登录”。

配置单一进程

表 3.22：设置

“配置单一进程”用户权限用于确定哪些用户可以使用工具来监视非系统进程的性能。通常，您无需将此用户权限配置为使用“性能”管理单元。但是，如果“系统监视器”被配置为使用 Windows Management Instrumentation (WMI) 收集数据，则确实需要此用户权限。限制“配置单一进程”用户权限将防止入侵者获取某些附加信息（这些信息可用于在系统上装入攻击）。

因此，在高安全级环境中，“配置单一进程”用户权限限制于“Administrators”组，在企业客户端环境中，此用户权限配置为“没有定义”。

还原文件和目录

表 3.23：设置

“还原文件和目录”用户权限用于确定在从您的环境中运行 Windows XP 的计算机上还原备份的文件和目录时，哪些用户可以跳过文件、目录、注册表和其他永久对象权限。此用户权限还确定哪些用户可以将有效的安全主体设置为对象所有者。此权限在本质上类似于“备份文件和目录”用户权限。

因此，在台式计算机的高安全级环境中，“还原文件和目录”用户权限限制于“Administrators”组，而在便携式计算机的高安全级环境中，此用户权限限制于“Administrators”和“Users”组。“Users”组之所以包括在便携式计算机客户端的高安全级环境中，是因为移动用户可能需要在远离其企业办公室时还原文件。但是，在企业客户端环境中，此设置被配置为“没有定义”。

关闭系统

表 3.24：设置

“关闭系统”用户权限用于确定在本地登录到您环境中的计算机上的用户中，哪些用户可以使用“关机”命令关闭操作系统。误用此用户权限可能导致拒绝服务。在高安全级环境中，Microsoft 建议只将该权限授予“Administrators”和“Users”组。在企业客户端环境中，对于此用户权限未规定限制。

因此，在高安全级环境中，“关闭系统”用户权限限制于“Administrators”和“Users”组。 但是在企业客户端环境中，此用户权限保持默认的“没有定义”。

返回页首

安全选项设置

在环境中运行 Windows XP 的计算机中，通过“组策略”应用的“安全选项”设置用于启用或禁用多种功能，如数据的数字签名、管理员和来宾帐户名、软盘驱动器和 CD–ROM 驱动器访问、驱动程序安装行为和登录提示。

在 Windows XP 中，“安全选项”设置可在组策略对象编辑器中的如下位置进行配置：

计算机配置\Windows 设置\安全设置\本地策略\安全选项

这一部分中包括的安全设置并非在所有类型的系统上都有。因此，对于那些在这一部分中定义且构成“组策略”中“安全选项”部分的设置，可能需要在包含它们的系统上手动修改，才能使它们完全正常运行。或者，分别编辑“组策略”模板，使其包括相应的设置选项，以便这些设置规定完全生效。

表 3.25：用于保护 Windows XP 计算机的安全选项设置

帐户: 使用空白密码的本地帐户只允许进行控制台登录

表 3.26：设置

“帐户: 使用空白密码的本地帐户只允许进行控制台登录”设置用于控制是否可以使用具有空白密码的本地帐户从物理计算机控制台以外的位置进行登录。启用此设置将防止具有空白密码的本地帐户借助于“Windows 网络”或“终端服务”，通过网络连接到计算机。

此设置仅影响本地帐户，它不影响域帐户。因为具有空白密码的帐户易受到攻击，所以最好避免使用它们。攻击者可以很容易地侵入具有空白密码的帐户，这是因为只需确定帐户名即可使用它。

因此，在本指南中定义的两种环境中，“帐户: 使用空白密码的本地帐户只允许进行控制台登录”设置被配置为“已启用”。

帐户: 重命名系统管理员帐户

表 3.27：设置

内置的本地管理员帐户是众所周知的帐户名，易于成为攻击者的目标。Microsoft 建议您另外为该帐户选择一个名称，并且避免使用可表明管理身份或较高的访问权限帐户的名称。同时，务必还使用“计算机管理”控制台来更改本地管理员的默认描述。

如果对此帐户进行了重命名，但是忘了更改默认描述：“管理计算机(域)的内置帐户”，这不足以避开攻击者的注意力。还一定要记住，如果允许匿名帐户枚举系统上的用户，在很大程度上会与重命名管理员帐户所带来的安全好处相抵消。如果使用“帐户: 重命名系统管理员帐户”设置，重命名此帐户及其描述，会强制攻击者在破解此帐户时，必须找出帐户名和密码，而不是只找出密码。重命名后的帐户名及其描述不应当包括以下术语：root、su、admin、adm 或 supervisor。

因此，Microsoft 建议使用“帐户: 重命名系统管理员帐户”设置，将此帐户重命名为不表明管理或较高特权访问帐户的名称。这一建议对本指南中定义的两种环境都适用。

注意：此设置未在安全模板中配置，这里建议不使用帐户的新用户名，以便遵循本指南的组织不会在其环境中为管理员帐户使用同样的新用户名。

帐户: 重命名来宾帐户

表 3.28：设置

“帐户: 重命名来宾帐户”设置中的术语“来宾”对于黑客来说是另一个众所周知的名称。Microsoft 也建议将此帐户重命名为在这种情况下不表明来宾用户身份的名称。即使根据建议禁用了此来宾帐户设置，也应确保对其进行重命名，以提高安全性。

因此，Microsoft 建议使用“帐户: 重命名来宾帐户”设置，将此帐户重命名为不表明来宾身份或较高特权访问帐户的名称。这一建议对本指南中定义的两种环境都适用。

注意：此设置未在安全模板中配置，这里建议不使用帐户的新用户名，以便遵循本指南的组织不会在其环境中为来宾帐户使用同样的新用户名。

设备: 允许不登录移除

表 3.29：设置

“设备: 允许不登录移除”设置用于确定用户是否可以在不登录系统的情况下从扩展坞移除计算机。如果禁用此设置，就会要求用户先登录，然后才能发出移除计算机的请求。登录之后，用户必须具有“从扩展坞移除计算机”用户权限，才能使计算机正常地断开与网络的连接。此设置仅适用于具有扩展坞的便携式计算机。

此设置仅与受控制的移除过程有关，在该过程中，某些服务会在计算机移除后停止。此设置并不能防止攻击者在计算机没有断开与网络的连接的情况下，直接将其从扩展坞弹出。如果禁用此设置，就会要求便携式计算机用户先解除对计算机的锁定，然后再将它们从您的环境中的扩展坞移除。

因此，在企业客户端环境中，“设备: 允许不登录移除”设置仅对于企业客户端环境中的便携式计算机配置为“已启用”。对于高安全级环境中的便携式计算机，此设置为“已禁用”，它对于这两种环境中的台式计算机则没有任何影响。

设备: 允许格式化和弹出可移动媒体

表 3.30：设置

“设备: 允许格式化和弹出可移动媒体”设置用于确定允许谁格式化和弹出可移动媒体。如果限制此特权，将防止未经授权的用户从一台计算机中取出媒体，然后从他们具有本地管理员特权的另一台计算机访问该媒体。

因此，在企业客户端环境中，“设备: 允许格式化和弹出可移动媒体”设置限制于 Administrators 和 Interactive Users 组，在高安全级环境中，此设置限制于 Administrators 组，这样做的目的只是为了提高安全性。

设备: 防止用户安装打印机驱动程序

表 3.31：设置

黑客可能会将特洛伊木马程序伪装成打印机驱动程序。该程序的形式使用户误以为他们必须要使用此程序才能打印，而程序却会借此在计算机网络上传播恶意代码。在多数情况下，仅允许管理员安装打印机驱动程序，这样可以减少容易轻信的用户由于安装不可靠驱动程序而危害其计算机的可能性。

由于便携式计算机属于移动设备，便携式计算机用户需要时常从远程安装打印机驱动程序，以便继续正常工作。因此，对于便携式计算机用户，需要禁用此设置，但对于台式计算机用户应该始终启用此设置。

由于上述原因，对于本指南中定义的两种环境中的台式计算机，“设备: 防止用户安装打印机驱动程序 ”设置应配置为“启用”。对于两种环境中的便携式计算机用户，此设置应配置为“禁用”。

设备: 只有本地登录的用户才能访问 CD-ROM

表 3.32：设置

“设备: 只有本地登录的用户才能访问 CD-ROM”设置用于确定本地用户和远程用户是否都可以访问 CD-ROM 驱动器。启用此设置后，将只允许交互式登录的用户访问 CD-ROM 驱动器中的媒体。如果启用了此设置，且没有人登录，则可以通过网络访问 CD-ROM 驱动器。

启用此设置会阻止环境中计算机上的任何服务（包括 Windows Installer 服务）访问 CD-ROM 驱动器。由于 Windows Installer 服务是通过 CD-ROM 驱动器执行 Microsoft 安装程序 (MSI) 包，所以这些安装将失败。如果打算禁止用户或技术人员通过您的环境中客户端上的 CD-ROM 驱动器来安装软件，则可以考虑启用此设置。在高安全级环境中启用此设置可提高安全级别。

因此，在企业客户端环境中，“设备: 只有本地登录的用户才能访问 CD-ROM”设置被配置为“已禁用”。但是，此设置在“高安全级”环境中配置为“启用”。

设备: 只有本地登录的用户才能访问软盘

表 3.33：设置

“设备: 只有本地登录的用户才能访问软盘”设置用于确定本地用户和远程用户是否都可以访问软盘驱动器。启用此设置后，将只允许交互式登录的用户访问软盘驱动器中的媒体。如果启用了此设置，且没有人登录，则可以通过网络访问软盘驱动器中的媒体。

因此，在企业客户端环境中，“设备: 只有本地登录的用户才能访问软盘”设置被配置为“已启用”。

设备: 未签名驱动程序的安装操作

表 3.34：设置

“设备: 未签名驱动程序的安装操作”设置用于控制当有人尝试使用 Setup API 安装未经数字签名的设备驱动程序时，出现的响应。此设置包括下列选项：

要手动配置此设置，请先启用它，然后选择上面列出的三个选项之一。

在完美的计算世界中，所有好的驱动程序都应该经过签名，这会使此设置的首选项为“禁止安装”。不幸的是，许多驱动程序厂商仍不对他们的驱动程序进行签名，因此，此时此设置的最佳安全选项只能是“允许安装但发出警告”。

因此，在企业客户端环境中，“设备: 未签名驱动程序的安装操作”设置被配置为“允许安装但发出警告”选项，而在高安全级环境中，此设置被配置为“禁止安装”选项以提高安全性。

注意：如果在本指南中定义的高安全级环境中实现此设置，则在应用组策略之前，应当用所有的标准软件应用程序对客户端进行完全配置，以降低此设置导致安装错误的风险。

域成员: 需要强 (Windows 2000 或以上版本) 会话密钥

表 3.35：设置

如果启用“域成员: 需要强 (Windows 2000 或以上版本) 会话密钥”设置，则只能与能够使用强（128 位）会话密钥加密安全通道的域控制器建立安全通道。

为了启用此设置，域中的所有域控制器都必须能够使用强密钥加密安全通道数据。要使用强密钥加密数据，所有的域控制器都必须运行 Microsoft Windows^® 2000 或更高版本。如果需要与非 Windows 2000 域通信，Microsoft 建议禁用此设置。

因此，在本指南中定义的两种环境中，“域成员: 需要强 (Windows 2000 或以上版本) 会话密钥”设置被配置为“已启用”。

交互式登录: 不显示上次的用户名

表 3.36：设置

“交互式登录: 不显示上次的用户名”设置用于确定上次在您环境中的客户端上登录的用户的帐户名是否将显示在每台计算机各自的“Windows 登录”屏幕中。如果启用此设置，将防止入侵者从您组织中台式计算机或便携式计算机的屏幕上直接收集帐户名。

因此，在本指南定义的两种环境中，“交互式登录: 不显示上次的用户名”设置被配置为“已启用”。

交互式登录: 不需要按 CTRL+ALT+DEL

表 3.37：设置

当用户输入用户名和密码时，Ctrl+Alt+Del 组合键会建立一条通往操作系统的信任路径。如果启用“交互式登录: 不需要按 CTRL+ALT+DEL”设置，则用户无需使用此组合键即可登录网络。启用此设置后，用户就有机会通过使用弱登录凭据来登录客户端，从而造成安全风险。

因此，在企业客户端环境中，“交互式登录: 不需要按 CTRL+ALT+DEL”设置被配置为“已禁用”。

交互式登录: 用户试图登录时消息文字

表 3.38：设置

在用户登录之前，系统应当显示一则警告消息，表明系统受到保护。许多政府组织都使用“交互式登录: 用户试图登录时消息文字”设置中的消息框来向潜在用户发出如下通知：他们的计算机活动将受到监视，而且，如果他们企图在未经正确授权的情况下使用这些环境中的计算机，将承担法律责任。

为此设置定义警告消息有助于加强对组织中安全策略的认识。Microsoft 建议您在用此设置实现消息文字之前，获得您组织中法律部门对消息文字的批准。

在本指南中定义的两种环境中，在“交互式登录: 用户试图登录时消息文字”设置中使用下面的示例消息文字：

此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。

交互式登录: 用户试图登录时消息标题

表 3.39：设置

如果将“交互式登录: 用户试图登录时消息标题”设置中的消息标题警告与上一个设置结合使用，就会使 Windows XP Professional 另外还在登录对话框的标题栏上显示一个警告声明。为此设置定义警告消息有助于加强对组织中安全策略的认识。Microsoft 建议您在用此设置实现消息标题之前，获得您组织中法律部门对消息标题的批准。

在本指南中定义的两种环境中，在“交互式登录: 用户试图登录时消息标题”设置中使用下面的示例消息标题：

继续在没有适当授权的情况下使用是违法行为。

交互式登录: 可被缓存的前次登录个数 (在域控制器不可用的情况下)

表 3.40：设置

“交互式登录: 可被缓存的前次登录个数 (在域控制器不可用的情况下)”设置用于确定系统可保留的缓存登录凭据的数量。缓存的登录凭据使用户能够在计算机未连接到网络或者域控制器不可用时登录到系统。

如果将此设置配置为“0”，将提供最大安全性，但是在环境中的域控制器由于某种原因而不可用时，将完全禁止用户进行登录，因为便携式计算机用户不总是连接到企业网络，所以，对于便携式计算机用户，Microsoft 强烈建议您不要将此设置配置为“0”。如果将此设置配置为“2”，则允许无法连接到域控制器的用户用缓存的凭据进行登录，即使在该用户的上次控制台会话之后，IT 部门的成员为了执行维护或疑难解答任务而进行过登录时也不例外。如果将此设置配置为“1”，则允许在客户端上缓存一组凭据。如果另一个用户尝试使用此客户端，则他们必须将此客户端连接到企业网络，以便其登录凭据由域控制器来验证。

因此，在企业客户端环境中，“交互式登录: 可被缓存的前次登录个数 (在域控制器不可用的情况下)”设置对于台式计算机和便携式计算机均配置为“2”。但是，因为便携式计算机用户不总是连接到企业网络，所以在高安全级环境中，此设置对于台式计算机配置为“0”，对于便携式计算机则配置为“1”。

交互式登录: 在密码到期前提示用户更改密码

表 3.41：设置

“交互式登录: 在密码到期前提示用户更改密码”设置用于确定在密码过期前几天内提前警告用户。Microsoft 建议将此设置配置为“14 天”，这样足以警告用户他们的密码将过期。

因此，在本指南定义的两种环境中，“交互式登录: 在密码到期前提示用户更改密码”设置被配置为“14 天”。

交互式登录: 要求域控制器身份验证以解锁工作站

表 3.42：设置

如果启用“交互式登录: 要求域控制器身份验证以解锁工作站”设置，则域控制器必须对用于对计算机进行解锁的域帐户进行身份验证。如果已禁用此设置，则可以使用缓存的凭据来解除计算机锁定。由于移动用户不具备对域控制器的网络访问权限，因此 Microsoft 建议针对这两种环境中的便携式计算机用户禁用此设置。

因此，在本指南定义的两种环境中，“交互式登录: 要求域控制器身份验证以解锁工作站”设置对于台式计算机和便携式计算机均配置为“已禁用”。但是，在高安全级环境中，此设置对于台式计算机配置为“已启用”，对于便携式计算机则配置为“已禁用”。

交互式登录: 智能卡移除操作

表 3.43：设置

“交互式登录: 智能卡移除操作”设置确定当已登录用户从工作站中移除智能卡时系统的操作。此设置的选项包括：

将此设置配置为“锁定工作站”选项后，当用户从计算机中移除他们的智能卡时，工作站将锁定，从而确保未授权用户不能访问它们。

因此，在本指南定义的两种环境中，“交互式登录：智能卡移除操作”设置被配置为“锁定工作站”选项。

Microsoft 网络客户端：数字签名的通信（若服务器同意）

表 3.44：设置

如果启用“Microsoft 网络客户端：数字签名的通信（若服务器同意）”设置，那么与已启用或要求执行 SMB 数据包签名的 SMB 服务器进行通信时，SMB 客户端将执行 SMB 数据包签名。如果禁用此设置，会使 SMB 客户端在与 SMB 服务器通信时不对数据包进行数字签名，即使 SMB 服务器已经启用数字签名并从客户端请求数字签名。

因此，在本指南定义的两种环境中，“Microsoft 网络客户端：数字签名的通信（若服务器同意）”设置被配置为“已启用”。

注意：在网络中的 SMB 客户端中启用此设置，以使它们对环境中的所有客户端和服务器的数据包签名完全有效。

Microsoft 网络客户端：发送未加密的密码到第三方 SMB 服务器

表 3.45：设置

禁用“Microsoft 网络客户端：发送未加密的密码到第三方 SMB 服务器”设置可防止 SMB 重定向器在身份验证期间向不支持密码加密的非 Microsoft SMB 服务器发送纯文本密码。Microsoft 推荐禁用此设置，除非有强大的业务需求要求启用它。这是因为启用此设置将允许未加密的密码在网络上传输。

因此，在本指南定义的两种环境中，“Microsoft 网络客户端：发送未加密的密码到第三方 SMB 服务器”设置被配置为“已禁用”。

Microsoft 网络服务器：在挂起会话之前所需的空闲时间

表 3.46：设置

启用“Microsoft 网络服务器：在挂起会话之前所需的空闲时间”设置，可以确定在 SMB 会话因为不活动而被挂起之前，在此会话中必须经过的连续空闲时间。管理员可以使用此设置来控制计算机何时挂起不活动的 SMB 会话。如果客户端活动恢复，会话将自动重建。

因此，在本指南定义的两种环境中，“Microsoft 网络服务器：在挂起会话之前所需的空闲时间”设置被配置为“已启用”，空闲时间设为“15 分钟”。

Microsoft 网络服务器：数字签名的通信（总是）

表 3.47：设置

“Microsoft 网络服务器：数字签名的通信（总是)”设置确定是否要求 SMB 服务器执行 SMB 数据包签名。如果在混合环境中启用此设置，还会有额外的优点，因为它防止下游客户端将工作站当作网络服务器使用。

如果企业内完全是 Active Directory 和 Windows XP Professional 环境，则应启用此设置。如果客户端有与 Microsoft Windows NT^® 4.0 域通信的要求，则应禁用此设置

因此，在本指南定义的两种环境中，“Microsoft 网络服务器：数字签名的通信（总是）”设置被配置为“已启用”。

Microsoft 网络服务器：数字签名的通信（若客户端同意）

表 3.48：设置

“Microsoft 网络服务器：数字签名的通信（若客户端同意）”设置确定 SMB 服务器是否执行 SMB 数据包签名。如果启用此设置，会使 SMB 服务器在与已启用并要求使用 SMB 签名的 SMB 客户端通信时对数据包进行数字签名。

因此，在本指南定义的两种环境中，“Microsoft 网络服务器：数字签名的通信（若客户端同意）”设置被配置为“已启用”。

注意：在网络中的 SMB 客户端中启用此设置，以使它们对环境中的所有客户端和服务器的数据包签名完全有效。

Microsoft 网络服务器：当登录时间用完时自动注销用户

表 3.49：设置

“Microsoft 网络服务器：当登录时间用完时自动注销用户”设置确定在超过用户帐户的有效登录时间后，是否断开连接到本地计算机的用户。此设置影响 SMB 组件。如果启用此设置，会在客户端的登录时间用完时强制断开与 SMB 服务的客户端会话。如果禁用此设置，则在超过客户端的登录时间后，仍然保留已建立的客户端会话。

因此，在本指南定义的两种环境中，“Microsoft 网络服务器：当登录时间用完时自动注销用户”在台式计算机客户端上被配置为“已启用”。但是，在这两种环境中，此设置在便携式计算机客户端上被配置为“已禁用”，这是因为便携式计算机用户可能需要在不同时区或非正常工作时间进行远程工作。

网络访问：允许匿名 SID/名称 转换

表 3.50：设置

“网络访问：允许匿名 SID/名称 转换”设置确定匿名用户能否请求另一用户的安全标识符 (SID) 属性或使用 SID 获得其对应的用户名。禁用此设置可防止用户获取与各自的 SID 相关的用户名。

因此，当用户登录到本指南定义的两种环境中的网络时，“网络访问：允许匿名 SID/名称 转换”设置被配置为“已禁用”。

网络访问：不允许 SAM 帐户的匿名枚举

表 3.51：设置

“网络访问：不允许 SAM 帐户的匿名枚举”设置控制匿名用户枚举安全帐户管理器 (SAM) 中的帐户的能力。启用此设置可防止匿名连接的用户枚举环境中工作站上的域帐户用户名。此设置也对匿名连接增加了额外限制。

因此，在本指南定义的两种环境中，“网络访问：不允许 SAM 帐户的匿名枚举”设置被配置为“已启用”。

网络访问：不允许 SAM 帐户和共享的匿名枚举

表 3.52：设置

“网络访问：不允许 SAM 帐户和共享的匿名枚举”设置控制匿名用户枚举 SAM 帐户和共享的能力。启用此设置可防止匿名用户枚举环境中工作站上的域帐户用户名和网络共享名。

因此，当用户登录到本指南定义的两种环境中的网络时，“网络访问：不允许 SAM 帐户和共享的匿名枚举”设置被配置为“已启用”。

网络访问：不允许为网络身份验证储存凭据或 .NET Passports

表 3.53：设置

“网络访问：不允许为网络身份验证储存凭据或 .NET Passports”设置控制身份验证凭据和密码在本地系统中的存储。

Microsoft 推荐启用此设置，除非存在业务需求允许雇员在自己的工作站上储存他们的凭证。

因此，当用户登录到本指南定义的两种环境中的网络时，“网络访问：不允许为网络身份验证储存凭据或 .NET Passports”设置被配置为“已启用”。

网络访问：限制匿名访问命名管道和共享

表 3.54：设置

启用“网络访问：限制匿名访问命名管道和共享”设置可阻挡匿名用户访问运行 Windows XP Professional 的计算机上的命名管道和共享。此设置通过在 HKEY_LM\System\CurrentControlSet\Services\LanManServer\Parameters 注册表项内添加 RestrictNullSessAccess 并将值设为“1”，来控制对计算机中共享的空会话访问。切换此注册表值可打开或关闭空会话共享，以确定服务器服务是否限制对登录系统帐户时未经用户名和密码身份验证的客户端进行访问。

因此，当用户登录到本指南定义的两种环境中的网络时，“网络访问：限制匿名访问命名管道和共享”设置被配置为“已启用”。

网络访问：本地帐户的共享和安全模式

表 3.55：设置

“网络访问：本地帐户的共享和安全模式”设置控制如何对使用本地帐户的网络登录进行身份验证。“经典”设置允许对资源访问进行精确控制。使用“经典”设置可以针对同一资源为不同的用户授予不同类型的访问权限。使用“仅来宾”设置可以同等对待所有用户。在此上下文中，所有作为“仅来宾”进行身份验证的用户，可以获得给定资源的相同级别的访问权限。启用此设置不会影响使用域帐户的网络登录和使用服务（如 Telnet 或终端服务）的交互式登录。

因此，当用户登录到本指南定义的两种环境中的网络时，“网络访问：本地帐户的共享和安全模式”设置被配置为“经典 - 本地用户以自己的身份验证”。

网络安全：不要在下次更改密码时存储 LAN Manager 的哈希值

表 3.56：设置

“网络安全：不要在下次更改密码时存储 LAN Manager 的哈希值”设置确定在更改密码时，是否存储新密码的 LAN Manager (LM) 哈希值。与加密性更强的 Windows NT 哈希相比，LM 哈希相对较弱，更易于遭受攻击。LAN Manager 哈希用于实现与运行 Windows NT 4.0 和更早版本以及某些应用程序的计算机的后向兼容。

因此，在本指南定义的两种环境下，“网络安全：不要在下次更改密码时存储 LAN Manager 的哈希值”设置被配置为“已启用”。

注意：启用此设置后，比较早的旧操作系统和一些第三方的应用程序可能无法运行。在启用此设置后，还需要更改所有帐户的密码。

网络安全：在超过登录时间后强制注销

表 3.57：设置

如果启用“网络安全：在超过登录时间后强制注销”设置，当客户端的登录时间超过用户帐户指定的登录时间限制时，会强制断开与 SMB 服务器的客户端会话。启用此设置可防止在非正常工作时间对工作站进行未授权使用，并阻止入侵者接管在正常登录时间内建立的现有会话。

因此，在本指南定义的两种环境下，“网络安全：在超过登录时间后强制注销”设置在台式计算机客户端上被配置为“已启用”。但是，在这两种环境中，此设置在便携式计算机客户端上被配置为“已禁用”，这是因为便携式计算机用户可能需要在不同时区或非正常工作时间进行远程工作。

注意：如果组织内未建立登录时间标准，则不适用此设置推荐。

网络安全：LAN Manager 身份验证级别

表 3.58：设置

“网络安全：LAN Manager 身份验证级别”设置指定使用非 Windows 2000 和 Windows XP Professional 客户端登录网络时使用哪个质询/响应身份验证。LAN Manager 身份验证 (LM) 是最低级的安全方法，经过加密的密码很容易在网络上被侦听或破译。

NT LanManager (NTLM) 更安全一些。NTLMv2 是一种更强健的 NTLM 版本，可在 Windows XP Professional、Windows 2000 和 Windows NT 4.0 Service Pack 4 以及更新的版本中获得。安装了可选目录服务客户端的 Windows 95/98 也可以提供 NTLMv2。此设置包括下列参数选项：

Microsoft 推荐将此参数设置为环境中所允许的最强身份验证级别。在仅运行 Windows 2000 Server 或 Windows Server 2003（带 Windows XP Professional 工作站）的环境中，此参数可设置为“仅发送 NTLMv2 响应\拒绝 LM 和 NTLM”选项，以实现最高安全性。

因此，“网络安全：LAN Manager 身份验证级别”设置的参数选项在企业客户端环境中被配置为“仅发送 NTLMv2 响应”。而在高安全级环境中，此设置的参数被配置为“仅发送 NTLMv2 响应\拒绝 LM 和 NTLM”。

网络安全：基于 NTLM SSP（包括安全 RPC）客户端的最小会话安全

表 3.59：设置

“网络安全：基于 NTLM SSP（包括安全 RPC）客户端的最小会话安全”设置确定客户端从应用程序到应用程序通信的最低安全标准。此设置的选项包括：

如果网络中的所有计算机都运行 Windows XP Professional 或 Windows Server 2003，并启用了 128 位加密，则为了实现最大的安全，可以选中所有四个设置选项。

在企业客户端环境中，“网络安全：基于 NTLM SSP（包括安全 RPC）客户端的最小会话安全”设置没有最小选项。可以选择尽可能多的选项来满足企业的安全要求。在高安全级环境中，此设置被配置为包括“要求 NTLMv2 会话安全”和“要求 128-位 加密”两个选项。

网络安全：基于 NTLM SSP（包括安全 RPC）服务器的最小会话安全

表 3.60：设置

“网络安全：基于 NTLM SSP（包括安全 RPC）服务器的最小会话安全”设置与上一设置类似，但它会影响与应用程序通信的服务器端。此设置的选项同样包括：

如果网络中的所有计算机都运行 Windows XP Professional 或 Windows Server 2003，并启用了 128 位加密，则为了实现最大的安全，可以选中所有四个选项。

在企业客户端环境中，“网络安全：基于 NTLM SSP（包括安全 RPC）服务器的最小会话安全”设置没有最小选项。可以选择尽可能多的选项来满足企业的安全要求。在高安全级环境中，此设置被配置为包括“要求 NTLMv2 会话安全”和“要求 128-位 加密”两个选项。

故障恢复控制台：允许自动系统管理级登录

表 3.61：设置

恢复控制台是用来从系统故障恢复正常的命令行环境。启用“故障恢复控制台：允许自动系统管理级登录”设置后，启动过程中调用此设置时会自动以管理员帐户登录到恢复控制台。Microsoft 推荐禁用此设置，以要求管理员在访问恢复控制台时输入密码。

因此，在本指南定义的两种环境中，“故障恢复控制台：允许自动系统管理级登录”设置被配置为“已禁用”。

故障恢复控制台：允许对所有驱动器和文件夹进行软盘复制和访问

表 3.62：设置

启用“故障恢复控制台：允许对所有驱动器和文件夹进行软盘复制和访问”设置将授予用户对系统中所有驱动器的完全访问权限。启用此设置也能允许用户从硬盘驱动器向软盘复制文件。通过允许用户设置下列恢复控制台环境变量，恢复控制台的 SET 命令同样提供此功能：AllowWildCards、AllowAllPaths、AllowRemovableMedia 和 NoCopyPrompt。

禁用此设置将禁止从硬盘驱动器向软盘驱动器复制文件。此外，可访问的目录和驱动器也会受到限制。

因此，在本指南定义的两种环境中，“故障恢复控制台：允许对所有驱动器和文件夹进行软盘复制和访问”设置在“企业客户端”环境中配置为“已启用”，以使技术人员在修复 Windows XP 安装时更容易。在“高安全级”环境下此设置被配置为“已禁用”。

关机: 允许系统在未登录前关机

表 3.63：设置

“关机：允许系统在未登录前关机”设置用于确定用户是否无需登录即可关闭系统。启用此设置后，Windows 登录屏幕上的“关机”命令可用。Microsoft 推荐禁用此设置，以便只有那些在系统上有凭据的用户才能关闭系统。

因此，在本指南定义的两种环境中，“关机：允许系统在未登录前关机”设置被配置为“已禁用”。

关机: 清除虚拟内存页面文件

表 3.64：设置

当内存页未被使用时，虚拟内存将使用系统页面文件将它们交换到磁盘中。启用“关机：清除虚拟内存页面文件”设置后，系统关机时将清除虚拟内存中所有敏感信息。这可以防止那些未经授权而能直接访问页面文件的用户在计算机关机时查看信息。

只有当您环境中的计算机上存有极其敏感的数据时，Microsoft 才推荐启用此设置。启用此设置将造成关机时间明显延长，这可能会让用户不快。

因此，在本指南定义的两种环境中，“关机：清除虚拟内存页面文件”设置在“企业客户端”环境中被配置为“已禁用”。但是，此设置在“高安全级”环境中配置为“启用”。

系统加密：使用 FIPS 兼容的算法来加密、哈希和签名

表 3.65：设置

“系统加密：使用 FIPS 兼容的算法来加密、哈希和签名”设置用于确定 TLS/SSL 安全提供程序是否使用 FIPS 兼容的算法来加密、哈希和签名。与 FIPS 兼容的算法符合美国政府的标准。FIPS Publication 197 是一种用于保护电子数据的加密算法。AES 算法使用 128、192 和 256 位的密钥，并以 128 位的数据块解密数据。

启用此设置可以使三重数据加密标准 (3DES) 进程使用 EFS 加密文件，EFS 是一种更强的加密形式。

因此，在本指南定义的两种环境中，“系统加密：使用 FIPS 兼容的算法来加密、哈希和签名”设置被配置为“已禁用”。

注意：启用此设置后，计算机的性能将降低，因为 3DES 进程需对文件中的每个数据块执行三次。只有当您的组织需要兼容 FIPS 时，才应启用此设置。

系统对象：由管理员 (Administrators) 组成员所创建的对象默认所有者

表 3.66：设置

“系统对象：由管理员 (Administrators) 组成员所创建的对象默认所有者”设置用于确定新的系统对象的默认所有者是“Administrators”组还是“Object Creator”组。为了提供更大的可说明性，Microsoft 推荐设置“Object Creator”组成员为新系统对象的默认所有者。

因此，在本指南定义的两种环境中，“系统对象：由管理员 (Administrators) 组成员所创建的对象默认所有者”设置被配置为“Object Creator”组。

系统设置：为软件限制策略对 Windows 可执行文件使用证书规则

表 3.67：设置