【正文】 CSS，一種在計算機啟動過程中運行并在啟動后始終運行的系統(tǒng)服務(wù)。如果不是，您將必須更改應(yīng)用程序特定權(quán)限 ACL 來為相應(yīng)用戶提供激活權(quán)限，以便使用 DCOM 的應(yīng)用程序和 Windows 組件不會失敗。這些計算機范圍的 ACL 提供了一種可覆蓋由特定應(yīng)用程序通過 CoInitializeSecurity 或應(yīng)用程序特定的安全設(shè)置指定的弱安全性設(shè)置的方式。攻擊者可能會通過 COM 調(diào)用來進行攻擊以嘗試利用單個應(yīng)用程序中的弱安全性。如果實施 COM 服務(wù)器并覆蓋默認安全設(shè)置，請確認應(yīng)用程序特定啟動權(quán)限 ACL 為相應(yīng)用戶分配了激活權(quán)限?！霸O(shè)備：允許不登錄移除”設(shè)置的可能值為：? 已啟用? 已禁用? 沒有定義漏洞：如果啟用此策略設(shè)置，則任何人只要能夠物理訪問放置在其擴展塢中的便攜式計算機，就都可以取出計算機并有可能損害它們。對策：將“允許格式化和彈出可移動媒體”設(shè)置配置為 Administrators。如果使用受信任路徑，打印子系統(tǒng)會嘗試使用受信任路徑下載驅(qū)動程序。對策：將“設(shè)備：防止用戶安裝打印機驅(qū)動程序”設(shè)置配置為“已啟用”。但是，管理員可能希望拒絕網(wǎng)絡(luò)用戶查看數(shù)據(jù)或從服務(wù)器上的可移動媒體運行應(yīng)用程序的能力。設(shè)備：只有本地登錄的用戶才能訪問軟盤此策略設(shè)置確定可移動軟盤媒體是否可供本地和遠程用戶同時訪問。需要訪問軟盤驅(qū)動器的系統(tǒng)工具將失敗。對策：將“設(shè)備：未簽名驅(qū)動程序的安裝操作”設(shè)置配置為“允許安裝但發(fā)出警告”，這是 Windows XP SP2 的默認配置?！坝蚩刂破鳎涸试S服務(wù)器操作員計劃任務(wù)”設(shè)置的可能值為：? 已啟用? 已禁用? 沒有定義漏洞：如果啟用此策略設(shè)置，由服務(wù)器操作員通過 AT 服務(wù)創(chuàng)建的作業(yè)將在運行該服務(wù)的帳戶的上下文中執(zhí)行?！坝蚩刂破鳎篖DAP 服務(wù)器簽名要求”設(shè)置的可能值為：? 無。在涉及 LDAP 服務(wù)器的環(huán)境中，攻擊者可以讓客戶端根據(jù)來自 LDAP 目錄的錯誤記錄作出決策。另外，某些第三方操作系統(tǒng)不支持 LDAP 簽名。為了防止身份驗證通信受到中間人、重播以及其他類型的網(wǎng)絡(luò)攻擊，基于 Windows 的計算機會通過名為“Secure Channels（安全通道）”的 NetLogon 來創(chuàng)建通信通道。在安全通道上發(fā)送的請求將被驗證，敏感信息（如密碼）將被加密，但不會對通道進行完整性檢查，也不會加密所有的信息。但是，只有 Windows NT Service Pack 6a (SP6a) 和 Windows 操作系統(tǒng)的后續(xù)版本才支持對安全通道進行數(shù)字加密和簽名。域成員：禁用更改機器帳戶密碼此策略設(shè)置確定域成員是否可以定期更改其計算機帳戶密碼。此策略設(shè)置已加入到 Windows，這更便于組織貯存在數(shù)月之后投入生產(chǎn)的預置計算機。潛在影響：無。潛在影響：無。如有可能，您應(yīng)當利用這些更強的會話密鑰來幫助防止安全通道通信受到嘗試劫持網(wǎng)絡(luò)會話和偷聽的攻擊。潛在影響：啟用此策略設(shè)置的計算機將無法加入 Windows NT 域，并且 Active Directory 域和 Windows NT 風格的域之間的信任可能無法正常工作。只有當所有受信任域中的域控制器都支持強密鑰時才應(yīng)啟用此策略設(shè)置。換句話說，所有這類域控制器必須運行 Windows 2000 或 Windows 操作系統(tǒng)的更高版本。如果顯著增加此時間間隔或?qū)⑵湓O(shè)置為 0，都會導致計算機不再更改其密碼，那么攻擊者將會有更多的時間對其中一個或多個計算機帳戶采取強力攻擊以猜出密碼。如果計算機不能再自動更改其帳戶密碼，則它會處于攻擊者可確定該計算機域帳戶密碼的危險之中。使用此策略設(shè)置，不要嘗試支持使用同一個計算機帳戶的雙引導方案。在從域中清除所有的 Windows 9x 客戶端、將受信任/信任域中的所有 Windows NT 服務(wù)器和域控制器升級到 Windows NT SP6a 之后，可以啟用此策略設(shè)置。潛在影響：對“安全通道”進行數(shù)字加密和簽名（如果支持的話）是一個好主意。此策略設(shè)置的可能值為：? 已啟用? 已禁用? 沒有定義漏洞：當 Windows Server 200Windows XP、Windows 2000 或 Windows NT 計算機加入某個域時，將創(chuàng)建一個計算機帳戶。這是默認配置。 質(zhì)詢/響應(yīng) (NTLM) 身份驗證的計算機都必須安裝 Windows 2000 Service Pack 3 (SP3)。漏洞：未簽名的網(wǎng)絡(luò)通信易遭受中間人攻擊。但是，這些作業(yè)運行的上下文將是用戶設(shè)置作業(yè)時進行身份驗證所用帳戶的上下文。注意：此安全選項設(shè)置只影響 AT 計劃工具。此功能可以防止使用 Setup API 安裝尚未通過認證在 Windows XP 或 Windows Server 2003 上運行的驅(qū)動程序。對策：啟用“只有本地登錄的用戶才能訪問軟盤”設(shè)置。任何使用卷影副本的第三方備份產(chǎn)品也將失敗?！霸O(shè)備：只有本地登錄的用戶才能訪問 CDROM”設(shè)置的可能值為：? 已啟用? 已禁用? 沒有定義漏洞：遠程用戶可能會訪問包含敏感信息、已裝入的 CDROM。只有管理員在服務(wù)器上具有此特權(quán)。此策略設(shè)置可防止典型用戶下載和安裝不受信任的打印機驅(qū)動程序。然后，該用戶可以獲取任何文件的所有權(quán)，授予自己完全控制權(quán)限，查看或修改任何文件。注意：只有針對不能以機械方式移除的便攜式計算機，才應(yīng)禁用此策略設(shè)置。對策：為保護單個基于 COM 的應(yīng)用程序或服務(wù)，請將“DCOM：在安全描述符定義語言 (SDDL) 語法中的計算機啟動限制”設(shè)置設(shè)置為相應(yīng)計算機范圍的 ACL。漏洞：許多 COM 應(yīng)用程序包括一些安全特定代碼（例如，用于調(diào)用 CoInitializeSecurity），但卻使用弱設(shè)置，通常允許未經(jīng)驗證就可訪問進程。）實際上，它提供了在計算機上啟動任何 COM 服務(wù)器時必須通過的最低授權(quán)標準。潛在影響：Windows XP SP2 和 Windows Server 2003 SP1 按照其各自的文檔中所指定的內(nèi)容實施默認的 COM ACL。在 Windows 的較早版本中，若不修改應(yīng)用程序，管理員不能覆蓋這些設(shè)置以強制強安全性?！癉COM：在安全描述符定義語言 (SDDL) 語法中的計算機訪問限制”設(shè)置控制訪問權(quán)限以保護調(diào)用權(quán)限。另外，由于是非正常關(guān)閉，因此可能會對操作系統(tǒng)、應(yīng)用程序或數(shù)據(jù)造成不可修復的損害。啟用此策略設(shè)置時，如果安全日志已滿且不能覆蓋現(xiàn)有條目，則會顯示下列停止消息：STOP:C0000244 {審核失敗}嘗試生成安全審核失敗。對策：啟用“對備份和還原權(quán)限的使用進行審核”設(shè)置。即使組織有能夠分析由此策略設(shè)置所生成事件的資源，它們也不可能具有每個命名對象的源代碼或關(guān)于其用途的說明。如果在啟動時啟用此策略設(shè)置，內(nèi)核將在這些對象被創(chuàng)建時向它們分配一個系統(tǒng)訪問控制列表。潛在影響：影響應(yīng)該會很小，因為在默認情況下，Windows 2000、Windows XP 和 Windows Server 2003 中已禁用“Guest”帳戶。潛在影響：您必須將這個新帳戶名通知給授權(quán)使用此帳戶的用戶。如果重命名此帳戶，會使未經(jīng)授權(quán)的人員更難猜測這個具有特權(quán)的用戶名和密碼組合。例如，某個用戶可以構(gòu)建一個獨立的計算機，創(chuàng)建一個或多個具有空白密碼的帳戶，然后將該計算機加入到域中。帳戶：使用空白密碼的本地帳戶只允許進行控制臺登錄此策略設(shè)置確定是否允許使用空白密碼的本地帳戶通過網(wǎng)絡(luò)服務(wù)（如終端服務(wù)、Telnet 和文件傳輸協(xié)議 (FTP)）進行遠程交互式登錄?！皫簦簛碣e帳戶狀態(tài)”設(shè)置的可能值為：?