【文章內(nèi)容簡介】 務(wù)器并覆蓋默認(rèn)安全設(shè)置，請(qǐng)確認(rèn)應(yīng)用程序特定調(diào)用權(quán)限 ACL 為相應(yīng)用戶分配了正確權(quán)限。如果不是，您將必須更改應(yīng)用程序特定權(quán)限 ACL 來為相應(yīng)用戶提供激活權(quán)限，以便使用 DCOM 的應(yīng)用程序和 Windows 組件不會(huì)失敗。DCOM：在安全描述符定義語言 (SDDL) 語法中的計(jì)算機(jī)啟動(dòng)限制此策略設(shè)置與“DCOM：在安全描述符定義語言 (SDDL) 語法中的計(jì)算機(jī)訪問限制”設(shè)置相類似，因?yàn)樗试S管理員定義可管理對(duì)計(jì)算機(jī)上所有基于 DCOM 應(yīng)用程序的訪問的附加計(jì)算機(jī)范圍訪問控制。但是，此策略設(shè)置中指定的 ACL 控制計(jì)算機(jī)上的本地和遠(yuǎn)程 COM 啟動(dòng)請(qǐng)求（不是訪問請(qǐng)求）?？紤]此訪問控制最簡單的方法是對(duì)計(jì)算機(jī)上任何 COM 服務(wù)器的每個(gè)啟動(dòng)，根據(jù)計(jì)算機(jī)范圍的 ACL 作為附加訪問檢查調(diào)用執(zhí)行。如果訪問檢查失敗，調(diào)用、激活或啟動(dòng)請(qǐng)求將被拒絕。（此檢查是針對(duì)服務(wù)器特定的 ACL 運(yùn)行的任何訪問檢查以外的附加檢查。）實(shí)際上，它提供了在計(jì)算機(jī)上啟動(dòng)任何 COM 服務(wù)器時(shí)必須通過的最低授權(quán)標(biāo)準(zhǔn)。早期策略有所不同，因?yàn)樗峁┳畹偷脑L問檢查，應(yīng)用該檢查以試圖訪問已啟動(dòng)的 COM 服務(wù)器。這些計(jì)算機(jī)范圍的 ACL 提供了一種可覆蓋由特定應(yīng)用程序通過 CoInitializeSecurity 或應(yīng)用程序特定的安全設(shè)置指定的弱安全性設(shè)置的方式。它們提供必須通過的最低安全標(biāo)準(zhǔn)，而不管特定 COM 服務(wù)器的設(shè)置如何。這些 ACL 為管理員提供了一個(gè)用于設(shè)置應(yīng)用于計(jì)算機(jī)上的所有 COM 服務(wù)器的一般授權(quán)策略的集中位置。“DCOM：在安全描述符定義語言 (SDDL) 語法中的計(jì)算機(jī)啟動(dòng)限制”設(shè)置允許您以兩種不同方式指定一個(gè) ACL。您可以以 SDDL 鍵入安全描述符，或者選擇用戶和組并授予或拒絕其本地訪問和遠(yuǎn)程訪問權(quán)限。Microsoft 建議您使用內(nèi)置的用戶界面以指定您想要使用此設(shè)置應(yīng)用的 ACL 內(nèi)容。漏洞：許多 COM 應(yīng)用程序包括一些安全特定代碼（例如，用于調(diào)用 CoInitializeSecurity），但卻使用弱設(shè)置，通常允許未經(jīng)驗(yàn)證就可訪問進(jìn)程。在 Windows 的較早版本中，若不修改應(yīng)用程序，管理員不能覆蓋這些設(shè)置以強(qiáng)制強(qiáng)安全性。攻擊者可能會(huì)通過 COM 調(diào)用來進(jìn)行攻擊以嘗試?yán)脝蝹€(gè)應(yīng)用程序中的弱安全性。此外，COM 結(jié)構(gòu)還包括 RPCSS，一種在計(jì)算機(jī)啟動(dòng)過程中運(yùn)行并在啟動(dòng)后始終運(yùn)行的系統(tǒng)服務(wù)。此服務(wù)管理 COM 對(duì)象的激活和運(yùn)行的對(duì)象表，并為 DCOM 遠(yuǎn)程處理提供幫助服務(wù)。它公開可遠(yuǎn)程調(diào)用的 RPC 接口。由于某些 COM 服務(wù)器允許未經(jīng)驗(yàn)證的遠(yuǎn)程組件激活（如前面部分所述），因此任何人都可調(diào)用這些接口，包括未經(jīng)驗(yàn)證的用戶。因此，使用遠(yuǎn)程、未經(jīng)驗(yàn)證的計(jì)算機(jī)的惡意用戶能夠攻擊 RPCSS。對(duì)策：為保護(hù)單個(gè)基于 COM 的應(yīng)用程序或服務(wù)，請(qǐng)將“DCOM：在安全描述符定義語言 (SDDL) 語法中的計(jì)算機(jī)啟動(dòng)限制”設(shè)置設(shè)置為相應(yīng)計(jì)算機(jī)范圍的 ACL。潛在影響Windows XP SP2 和 Windows Server 2003 SP1 按照各自的文檔中所指定的內(nèi)容實(shí)施默認(rèn)的 COM ACL。如果實(shí)施 COM 服務(wù)器并覆蓋默認(rèn)安全設(shè)置，請(qǐng)確認(rèn)應(yīng)用程序特定啟動(dòng)權(quán)限 ACL 為相應(yīng)用戶分配了激活權(quán)限。如果不是，您將必須更改應(yīng)用程序特定啟動(dòng)權(quán)限 ACL 來為相應(yīng)用戶提供激活權(quán)限，以便使用 DCOM 的應(yīng)用程序和 Windows 組件不會(huì)失敗。設(shè)備：允許不登錄移除此策略設(shè)置確定用戶是否必須登錄才能請(qǐng)求權(quán)限以從擴(kuò)展塢移除便攜式計(jì)算機(jī)。如果啟用此策略設(shè)置，用戶將能夠通過按已插接的便攜式計(jì)算機(jī)上的物理彈出按鈕來安全移除計(jì)算機(jī)。如果禁用此策略設(shè)置，用戶必須登錄才能收到移除計(jì)算機(jī)的權(quán)限。只有具有“從擴(kuò)展塢中取出計(jì)算機(jī)”特權(quán)的用戶才能獲得此權(quán)限。注意：只有針對(duì)不能以機(jī)械方式移除的便攜式計(jì)算機(jī)，才應(yīng)禁用此策略設(shè)置?？梢砸詸C(jī)械方式移除的計(jì)算機(jī)能夠被用戶物理取出，不管他們是否使用 Windows 移除功能?！霸O(shè)備：允許不登錄移除”設(shè)置的可能值為：? 已啟用? 已禁用? 沒有定義漏洞：如果啟用此策略設(shè)置，則任何人只要能夠物理訪問放置在其擴(kuò)展塢中的便攜式計(jì)算機(jī)，就都可以取出計(jì)算機(jī)并有可能損害它們。對(duì)于沒有擴(kuò)展塢的計(jì)算機(jī)，此策略設(shè)置沒有任何影響。對(duì)策：禁用“設(shè)備：允許不登錄移除”設(shè)置。潛在影響：已經(jīng)固定其計(jì)算機(jī)的用戶將必須先登錄到本地控制臺(tái)，才能移除其計(jì)算機(jī)。設(shè)備：允許格式化和彈出可移動(dòng)媒體此策略設(shè)置確定允許誰格式化和彈出可移動(dòng)媒體?！霸O(shè)備：允許格式化和彈出可移動(dòng)媒體”設(shè)置的可能值為：? Administrators? Administrators 和 Power Users? Administrators 和 Interactive Users? 沒有定義漏洞：用戶可以將可移動(dòng)磁盤上的數(shù)據(jù)移到他們具有管理特權(quán)的另一臺(tái)計(jì)算機(jī)上。然后，該用戶可以獲取任何文件的所有權(quán)，授予自己完全控制權(quán)限，查看或修改任何文件。由于大多數(shù)可移動(dòng)存儲(chǔ)設(shè)備都可以通過按一個(gè)機(jī)械按鈕來彈出媒體這一事實(shí)，此策略設(shè)置的優(yōu)勢(shì)會(huì)有所減弱。對(duì)策：將“允許格式化和彈出可移動(dòng)媒體”設(shè)置配置為 Administrators。潛在影響：只有管理員才能夠彈出 NTFS 格式化的可移動(dòng)媒體。設(shè)備：防止用戶安裝打印機(jī)驅(qū)動(dòng)程序?qū)τ谝蛴〉侥硞€(gè)網(wǎng)絡(luò)打印機(jī)的計(jì)算機(jī)，必須在本地計(jì)算機(jī)上安裝該網(wǎng)絡(luò)打印機(jī)的驅(qū)動(dòng)程序?！霸O(shè)備：防止用戶安裝打印機(jī)驅(qū)動(dòng)程序”設(shè)置確定誰可以安裝打印機(jī)驅(qū)動(dòng)程序（作為添加網(wǎng)絡(luò)打印機(jī)的一部分）。如果啟用此策略設(shè)置，只有 Administrators 和 Power Users 組的成員允許在添加網(wǎng)絡(luò)打印機(jī)時(shí)安裝打印機(jī)驅(qū)動(dòng)程序。如果禁用此策略設(shè)置，任何用戶在添加網(wǎng)絡(luò)打印機(jī)時(shí)都可以安裝打印機(jī)驅(qū)動(dòng)程序。此策略設(shè)置可防止典型用戶下載和安裝不受信任的打印機(jī)驅(qū)動(dòng)程序。注意：如果管理員已經(jīng)配置了下載驅(qū)動(dòng)程序的受信任路徑，則此策略設(shè)置沒有任何影響。如果使用受信任路徑，打印子系統(tǒng)會(huì)嘗試使用受信任路徑下載驅(qū)動(dòng)程序。如果受信任路徑下載成功，則可以代表任何用戶安裝驅(qū)動(dòng)程序。如果受信任路徑下載失敗，則驅(qū)動(dòng)程序不會(huì)進(jìn)行安裝，網(wǎng)絡(luò)打印機(jī)不進(jìn)行添加?！霸O(shè)備：防止用戶安裝打印機(jī)驅(qū)動(dòng)程序”設(shè)置的可能值為：? 已啟用? 已禁用? 沒有定義漏洞：在某些組織中允許用戶在其自己的工作站上安裝打印機(jī)驅(qū)動(dòng)程序可能是適當(dāng)?shù)?。但是，?yīng)不允許用戶在服務(wù)器上進(jìn)行這類安裝。在服務(wù)器上安裝打印機(jī)驅(qū)動(dòng)程序可能會(huì)在無意中使計(jì)算機(jī)變得不太穩(wěn)定。只有管理員在服務(wù)器上具有此特權(quán)。惡意用戶可能會(huì)安裝不適當(dāng)?shù)拇蛴C(jī)驅(qū)動(dòng)程序來故意試圖損害計(jì)算機(jī)，或者用戶也可能會(huì)意外安裝一些偽裝成打印機(jī)驅(qū)動(dòng)程序的惡意代碼。對(duì)策：將“設(shè)備：防止用戶安裝打印機(jī)驅(qū)動(dòng)程序”設(shè)置配置為“已啟用”。潛在影響：只有具有 Administrative、Power User 或 Server Operator 特權(quán)的用戶才能夠在服務(wù)器上安裝打印機(jī)。如果啟用了此策略設(shè)置，但是網(wǎng)絡(luò)打印機(jī)的驅(qū)動(dòng)程序已經(jīng)存在于本地計(jì)算機(jī)上，則用戶仍可以添加網(wǎng)絡(luò)打印機(jī)。設(shè)備：只有本地登錄的用戶才能訪問 CDROM此策略設(shè)置確定 CDROM 是否可供本地和遠(yuǎn)程用戶同時(shí)訪問。如果啟用此策略設(shè)置，將僅允許交互式登錄的用戶訪問可移動(dòng)的 CDROM 媒體。如果啟用了此策略設(shè)置，且沒有人交互登錄，則可以通過網(wǎng)絡(luò)訪問 CDROM?！霸O(shè)備：只有本地登錄的用戶才能訪問 CDROM”設(shè)置的可能值為：? 已啟用? 已禁用? 沒有定義漏洞：遠(yuǎn)程用戶可能會(huì)訪問包含敏感信息、已裝入的 CDROM。這種風(fēng)險(xiǎn)的可能性很小，因?yàn)?CDROM 驅(qū)動(dòng)器不會(huì)自動(dòng)成為網(wǎng)絡(luò)共享資源