【文章內(nèi)容簡介】 務(wù)器并覆蓋默認安全設(shè)置，請確認應(yīng)用程序特定調(diào)用權(quán)限 ACL 為相應(yīng)用戶分配了正確權(quán)限。如果不是，您將必須更改應(yīng)用程序特定權(quán)限 ACL 來為相應(yīng)用戶提供激活權(quán)限，以便使用 DCOM 的應(yīng)用程序和 Windows 組件不會失敗。DCOM：在安全描述符定義語言 (SDDL) 語法中的計算機啟動限制此策略設(shè)置與“DCOM：在安全描述符定義語言 (SDDL) 語法中的計算機訪問限制”設(shè)置相類似，因為它允許管理員定義可管理對計算機上所有基于 DCOM 應(yīng)用程序的訪問的附加計算機范圍訪問控制。但是，此策略設(shè)置中指定的 ACL 控制計算機上的本地和遠程 COM 啟動請求（不是訪問請求）?？紤]此訪問控制最簡單的方法是對計算機上任何 COM 服務(wù)器的每個啟動，根據(jù)計算機范圍的 ACL 作為附加訪問檢查調(diào)用執(zhí)行。如果訪問檢查失敗，調(diào)用、激活或啟動請求將被拒絕。（此檢查是針對服務(wù)器特定的 ACL 運行的任何訪問檢查以外的附加檢查。）實際上，它提供了在計算機上啟動任何 COM 服務(wù)器時必須通過的最低授權(quán)標準。早期策略有所不同，因為它提供最低的訪問檢查，應(yīng)用該檢查以試圖訪問已啟動的 COM 服務(wù)器。這些計算機范圍的 ACL 提供了一種可覆蓋由特定應(yīng)用程序通過 CoInitializeSecurity 或應(yīng)用程序特定的安全設(shè)置指定的弱安全性設(shè)置的方式。它們提供必須通過的最低安全標準，而不管特定 COM 服務(wù)器的設(shè)置如何。這些 ACL 為管理員提供了一個用于設(shè)置應(yīng)用于計算機上的所有 COM 服務(wù)器的一般授權(quán)策略的集中位置?！癉COM：在安全描述符定義語言 (SDDL) 語法中的計算機啟動限制”設(shè)置允許您以兩種不同方式指定一個 ACL。您可以以 SDDL 鍵入安全描述符，或者選擇用戶和組并授予或拒絕其本地訪問和遠程訪問權(quán)限。Microsoft 建議您使用內(nèi)置的用戶界面以指定您想要使用此設(shè)置應(yīng)用的 ACL 內(nèi)容。漏洞：許多 COM 應(yīng)用程序包括一些安全特定代碼（例如，用于調(diào)用 CoInitializeSecurity），但卻使用弱設(shè)置，通常允許未經(jīng)驗證就可訪問進程。在 Windows 的較早版本中，若不修改應(yīng)用程序，管理員不能覆蓋這些設(shè)置以強制強安全性。攻擊者可能會通過 COM 調(diào)用來進行攻擊以嘗試利用單個應(yīng)用程序中的弱安全性。此外，COM 結(jié)構(gòu)還包括 RPCSS，一種在計算機啟動過程中運行并在啟動后始終運行的系統(tǒng)服務(wù)。此服務(wù)管理 COM 對象的激活和運行的對象表，并為 DCOM 遠程處理提供幫助服務(wù)。它公開可遠程調(diào)用的 RPC 接口。由于某些 COM 服務(wù)器允許未經(jīng)驗證的遠程組件激活（如前面部分所述），因此任何人都可調(diào)用這些接口，包括未經(jīng)驗證的用戶。因此，使用遠程、未經(jīng)驗證的計算機的惡意用戶能夠攻擊 RPCSS。對策：為保護單個基于 COM 的應(yīng)用程序或服務(wù)，請將“DCOM：在安全描述符定義語言 (SDDL) 語法中的計算機啟動限制”設(shè)置設(shè)置為相應(yīng)計算機范圍的 ACL。潛在影響Windows XP SP2 和 Windows Server 2003 SP1 按照各自的文檔中所指定的內(nèi)容實施默認的 COM ACL。如果實施 COM 服務(wù)器并覆蓋默認安全設(shè)置，請確認應(yīng)用程序特定啟動權(quán)限 ACL 為相應(yīng)用戶分配了激活權(quán)限。如果不是，您將必須更改應(yīng)用程序特定啟動權(quán)限 ACL 來為相應(yīng)用戶提供激活權(quán)限，以便使用 DCOM 的應(yīng)用程序和 Windows 組件不會失敗。設(shè)備：允許不登錄移除此策略設(shè)置確定用戶是否必須登錄才能請求權(quán)限以從擴展塢移除便攜式計算機。如果啟用此策略設(shè)置，用戶將能夠通過按已插接的便攜式計算機上的物理彈出按鈕來安全移除計算機。如果禁用此策略設(shè)置，用戶必須登錄才能收到移除計算機的權(quán)限。只有具有“從擴展塢中取出計算機”特權(quán)的用戶才能獲得此權(quán)限。注意：只有針對不能以機械方式移除的便攜式計算機，才應(yīng)禁用此策略設(shè)置?？梢砸詸C械方式移除的計算機能夠被用戶物理取出，不管他們是否使用 Windows 移除功能?！霸O(shè)備：允許不登錄移除”設(shè)置的可能值為：? 已啟用? 已禁用? 沒有定義漏洞：如果啟用此策略設(shè)置，則任何人只要能夠物理訪問放置在其擴展塢中的便攜式計算機，就都可以取出計算機并有可能損害它們。對于沒有擴展塢的計算機，此策略設(shè)置沒有任何影響。對策：禁用“設(shè)備：允許不登錄移除”設(shè)置。潛在影響：已經(jīng)固定其計算機的用戶將必須先登錄到本地控制臺，才能移除其計算機。設(shè)備：允許格式化和彈出可移動媒體此策略設(shè)置確定允許誰格式化和彈出可移動媒體?！霸O(shè)備：允許格式化和彈出可移動媒體”設(shè)置的可能值為：? Administrators? Administrators 和 Power Users? Administrators 和 Interactive Users? 沒有定義漏洞：用戶可以將可移動磁盤上的數(shù)據(jù)移到他們具有管理特權(quán)的另一臺計算機上。然后，該用戶可以獲取任何文件的所有權(quán)，授予自己完全控制權(quán)限，查看或修改任何文件。由于大多數(shù)可移動存儲設(shè)備都可以通過按一個機械按鈕來彈出媒體這一事實，此策略設(shè)置的優(yōu)勢會有所減弱。對策：將“允許格式化和彈出可移動媒體”設(shè)置配置為 Administrators。潛在影響：只有管理員才能夠彈出 NTFS 格式化的可移動媒體。設(shè)備：防止用戶安裝打印機驅(qū)動程序?qū)τ谝蛴〉侥硞€網(wǎng)絡(luò)打印機的計算機，必須在本地計算機上安裝該網(wǎng)絡(luò)打印機的驅(qū)動程序?！霸O(shè)備：防止用戶安裝打印機驅(qū)動程序”設(shè)置確定誰可以安裝打印機驅(qū)動程序（作為添加網(wǎng)絡(luò)打印機的一部分）。如果啟用此策略設(shè)置，只有 Administrators 和 Power Users 組的成員允許在添加網(wǎng)絡(luò)打印機時安裝打印機驅(qū)動程序。如果禁用此策略設(shè)置，任何用戶在添加網(wǎng)絡(luò)打印機時都可以安裝打印機驅(qū)動程序。此策略設(shè)置可防止典型用戶下載和安裝不受信任的打印機驅(qū)動程序。注意：如果管理員已經(jīng)配置了下載驅(qū)動程序的受信任路徑，則此策略設(shè)置沒有任何影響。如果使用受信任路徑，打印子系統(tǒng)會嘗試使用受信任路徑下載驅(qū)動程序。如果受信任路徑下載成功，則可以代表任何用戶安裝驅(qū)動程序。如果受信任路徑下載失敗，則驅(qū)動程序不會進行安裝，網(wǎng)絡(luò)打印機不進行添加?！霸O(shè)備：防止用戶安裝打印機驅(qū)動程序”設(shè)置的可能值為：? 已啟用? 已禁用? 沒有定義漏洞：在某些組織中允許用戶在其自己的工作站上安裝打印機驅(qū)動程序可能是適當(dāng)?shù)?。但是，?yīng)不允許用戶在服務(wù)器上進行這類安裝。在服務(wù)器上安裝打印機驅(qū)動程序可能會在無意中使計算機變得不太穩(wěn)定。只有管理員在服務(wù)器上具有此特權(quán)。惡意用戶可能會安裝不適當(dāng)?shù)拇蛴C驅(qū)動程序來故意試圖損害計算機，或者用戶也可能會意外安裝一些偽裝成打印機驅(qū)動程序的惡意代碼。對策：將“設(shè)備：防止用戶安裝打印機驅(qū)動程序”設(shè)置配置為“已啟用”。潛在影響：只有具有 Administrative、Power User 或 Server Operator 特權(quán)的用戶才能夠在服務(wù)器上安裝打印機。如果啟用了此策略設(shè)置，但是網(wǎng)絡(luò)打印機的驅(qū)動程序已經(jīng)存在于本地計算機上，則用戶仍可以添加網(wǎng)絡(luò)打印機。設(shè)備：只有本地登錄的用戶才能訪問 CDROM此策略設(shè)置確定 CDROM 是否可供本地和遠程用戶同時訪問。如果啟用此策略設(shè)置，將僅允許交互式登錄的用戶訪問可移動的 CDROM 媒體。如果啟用了此策略設(shè)置，且沒有人交互登錄，則可以通過網(wǎng)絡(luò)訪問 CDROM。“設(shè)備：只有本地登錄的用戶才能訪問 CDROM”設(shè)置的可能值為：? 已啟用? 已禁用? 沒有定義漏洞：遠程用戶可能會訪問包含敏感信息、已裝入的 CDROM。這種風(fēng)險的可能性很小，因為 CDROM 驅(qū)動器不會自動成為網(wǎng)絡(luò)共享資源