【正文】 通道。這些通道對計算機帳戶進行身份驗證，當遠程用戶連接到網(wǎng)絡(luò)資源，而且該用戶的帳戶存在于受信任域中時，這些通道還對用戶帳戶進行身份驗證。這種身份驗證被稱作通過式身份驗證，它允許加入到某個域的計算機訪問位于它所在的域以及任何受信任域中的用戶帳戶數(shù)據(jù)庫。注意：要在成員工作站或服務(wù)器上啟用“域成員：對安全通道數(shù)據(jù)進行數(shù)字加密或簽名（總是）”設(shè)置，該成員所屬的域中的所有域控制器都必須能夠?qū)θ堪踩ǖ罃?shù)據(jù)進行簽名或加密。這項要求意味著所有這類域控制器必須運行 Windows NT Service Pack 6a 或 Windows 操作系統(tǒng)的更高版本。如果啟用“域成員：對安全通道數(shù)據(jù)進行數(shù)字加密或簽名（總是）”設(shè)置，則會自動啟用“域成員：對安全通道數(shù)據(jù)進行數(shù)字簽名（如果可能）”設(shè)置。此策略設(shè)置的可能值為：? 已啟用? 已禁用? 沒有定義漏洞：當 Windows Server 200Windows XP、Windows 2000 或 Windows NT 計算機加入某個域時，將創(chuàng)建一個計算機帳戶。加入該域之后，計算機在每次重新啟動時，都使用此帳戶的密碼，與它所在域的域控制器創(chuàng)建一個安全通道。在安全通道上發(fā)送的請求將被驗證，敏感信息（如密碼）將被加密，但不會對通道進行完整性檢查，也不會加密所有的信息。如果計算機被配置為總是對安全通道數(shù)據(jù)進行加密或簽名，但域控制器無法對安全通道數(shù)據(jù)的任何部分進行簽名或加密，則計算機和域控制器無法建立安全通道。如果計算機被配置為在可能的情況下對安全通道數(shù)據(jù)進行加密或簽名，則可以建立安全通道，但是會對加密和簽名的級別進行協(xié)商。對策：? 將“域成員：對安全通道數(shù)據(jù)進行數(shù)字加密或簽名（總是）”設(shè)置配置為“已啟用”。? 將“域成員：對安全通道數(shù)據(jù)進行數(shù)字加密（如果可能）”設(shè)置配置為“已啟用”。? 將“域成員：對安全通道數(shù)據(jù)進行數(shù)字簽名（如果可能）”設(shè)置配置為“已啟用”。潛在影響：對“安全通道”進行數(shù)字加密和簽名（如果支持的話）是一個好主意。在域憑據(jù)被發(fā)送到域控制器時，安全通道保護這些憑據(jù)。但是，只有 Windows NT Service Pack 6a (SP6a) 和 Windows 操作系統(tǒng)的后續(xù)版本才支持對安全通道進行數(shù)字加密和簽名。Windows 98 Second Edition 客戶端不支持它（除非它們安裝了 Dsclient）。因此，對于支持將 Windows 98 客戶端作為域成員的域控制器，不能啟用“域成員：對安全通道數(shù)據(jù)進行數(shù)字加密或簽名（總是）”設(shè)置。潛在影響可能包括以下情況：? 創(chuàng)建或刪除下級信任關(guān)系的能力將被禁用。? 從下級客戶端登錄將被禁用。? 從下級受信任域中對其他域的用戶進行身份驗證的能力將被禁用。在從域中清除所有的 Windows 9x 客戶端、將受信任/信任域中的所有 Windows NT 服務(wù)器和域控制器升級到 Windows NT SP6a 之后，可以啟用此策略設(shè)置。對于域中的所有計算機，還可以啟用另外兩個策略設(shè)置：“域成員：對安全通道數(shù)據(jù)進行數(shù)字加密（如果可能）”和“域成員：對安全通道數(shù)據(jù)進行數(shù)字簽名（如果可能）”，但前提是這些計算機支持這兩個設(shè)置而且不影響下級客戶端和應(yīng)用程序。域成員：禁用更改機器帳戶密碼此策略設(shè)置確定域成員是否可以定期更改其計算機帳戶密碼。如果啟用此策略設(shè)置，域成員不能更改其計算機帳戶密碼。如果禁用此策略設(shè)置，將允許域成員根據(jù)“域成員：最長機器帳戶密碼壽命”設(shè)置更改其計算機帳戶密碼，在默認情況下是每 30 天更改一次。警告：請不要啟用此策略設(shè)置。計算機帳戶密碼用于在成員和域控制器之間以及域中的域控制器之間建立安全通道通信。在建立了這類通信之后，安全通道會傳輸進行身份驗證和作出授權(quán)決策所必需的敏感信息。使用此策略設(shè)置，不要嘗試支持使用同一個計算機帳戶的雙引導方案。如果您希望對加入到同一個域中的兩個安裝支持這類方案，請賦予這兩個安裝不同的計算機名。此策略設(shè)置已加入到 Windows，這更便于組織貯存在數(shù)月之后投入生產(chǎn)的預置計算機。無需再將這些計算機重新加入到域中。此策略設(shè)置有時也用于映像計算機或禁止硬件或軟件級別更改的計算機。對于映像計算機，更正映像過程不必使用此策略。“域成員：禁用更改機器帳戶密碼”設(shè)置的可能值為：? 已啟用? 已禁用? 沒有定義漏洞：屬于某個域、基于 Windows Server 2003 的計算機默認配置為，自動要求每隔 30 天更改一次其帳戶密碼。如果禁用此策略設(shè)置，運行 Windows Server 2003 的計算機將保留與其計算機帳戶相同的密碼。如果計算機不能再自動更改其帳戶密碼，則它會處于攻擊者可確定該計算機域帳戶密碼的危險之中。對策：驗證“域成員：禁用更改機器帳戶密碼”設(shè)置是否配置為“已禁用”。潛在影響：無。這是默認配置。域成員：最長機器帳戶密碼壽命此策略設(shè)置確定計算機帳戶密碼的最長允許期限。此設(shè)置還可以應(yīng)用于 Windows 2000 計算機，但不能通過這些計算機上的“安全配置管理器”工具來使用?！坝虺蓡T：最長機器帳戶密碼壽命”設(shè)置的可能值為：? 用戶定義的天數(shù)，在 0 至 999 之間? 沒有定義漏洞：在基于 Active Directory 的域中，與每個用戶一樣，每臺計算機都有一個帳戶和密碼。默認情況下，域成員每隔 30 天自動更改其域密碼。如果顯著增加此時間間隔或?qū)⑵湓O(shè)置為 0，都會導致計算機不再更改其密碼，那么攻擊者將會有更多的時間對其中一個或多個計算機帳戶采取強力攻擊以猜出密碼。對策：將“域成員：最長機器帳戶密碼壽命”設(shè)置配置為 30 天。潛在影響：無。這是默認配置。域成員：需要強（Windows 2000 或以上版本）會話密鑰此策略設(shè)置確定是否可以與不能用強的 128 位會話密鑰加密安全通道通信的域控制器建立安全通道。如果啟用此策略設(shè)置，則無法與不能用強密鑰加密安全通道數(shù)據(jù)的任何域控制器建立安全通道。如果禁用此策略設(shè)置，則允許 64 位會話密鑰。注意：要針對某個成員工作站或服務(wù)器啟用此策略設(shè)置，該成員所屬的域中的所有域控制器都必須能夠用強的 128 位密鑰加密安全通道數(shù)據(jù)。換句話說，所有這類域控制器必須運行 Windows 2000 或 Windows 操作系統(tǒng)的更高版本?！坝虺蓡T：需要強（Windows 2000 或以上版本）會話密鑰”設(shè)置的可能值為：? 已啟用? 已禁用? 沒有定義漏洞：用于在域控制器和成員計算機之間建立安全通道通信的會話密鑰，在 Windows 2000 中的強度比在以前的 Microsoft 操作系統(tǒng)中要大。如有可能，您應(yīng)當利用這些更強的會話密鑰來幫助防止安全通道通信受到嘗試劫持網(wǎng)絡(luò)會話和偷聽的攻擊。（偷聽是一種形式的竊取，網(wǎng)絡(luò)數(shù)據(jù)會在傳輸過程中被讀取或修改。數(shù)據(jù)可被修改以隱藏或更改發(fā)送方，或者被重定向。）對策：將“域成員：需要強（Windows 2000 或以上版本）會話密鑰”設(shè)置配置為“已啟用”。如果啟用此策略設(shè)置，所有傳出的安全通道通信要求強、Windows 2000 或更高版本加密密鑰。如果禁用此策略設(shè)置，則協(xié)商密鑰強度。只有當所有受信任域中的域控制器都支持強密鑰時才應(yīng)啟用此策略設(shè)置。在默認情況下，此策略設(shè)置為“已禁用”。潛在影響：啟用此策略設(shè)置的計算機將無法加入 Windows NT 域，并且 Active Directory 域和 Windows NT 風格的域之間的信任可能無法正常工作。此外，不支持此策略設(shè)置的計算機將不能加入其域控制器已啟用此策略設(shè)置的域。16 / 16