“网络访问:不允许 SAM 帐户的匿名枚举”设置控制匿名用户枚举安全帐户管理器 (SAM) 中的帐户的能力。启用此设置可防止匿名连接的用户枚举环境中工作站上的域帐户用户名。此设置也对匿名连接增加了额外限制。
因此,在本指南定义的两种环境中,“网络访问:不允许 SAM 帐户的匿名枚举”设置被配置为“已启用”。
网络访问:不允许 SAM 帐户和共享的匿名枚举
表 3.52:设置
企业客户端台式计企业客户端便携式计高安全级台式计高安全级便携式计算机 算机 算机 算机 已启用 已启用 已启用 已启用 “网络访问:不允许 SAM 帐户和共享的匿名枚举”设置控制匿名用户枚举 SAM 帐户和共享的能力。启用此设置可防止匿名用户枚举环境中工作站上的域帐户用户名和网络共享名。
因此,当用户登录到本指南定义的两种环境中的网络时,“网络访问:不允许 SAM 帐户和共享的匿名枚举”设置被配置为“已启用”。
网络访问:不允许为网络身份验证储存凭据或 .NET Passports
表 3.53:设置
企业客户端台式计企业客户端便携式计高安全级台式计高安全级便携式计算机 算机 算机 算机 已启用 已启用 已启用 已启用 “网络访问:不允许为网络身份验证储存凭据或 .NET Passports”设置控制身份验证凭据和密码在本地系统中的存储。
Microsoft 推荐启用此设置,除非存在业务需求允许雇员在自己的工作站上储存他们的凭证。
因此,当用户登录到本指南定义的两种环境中的网络时,“网络访问:不允许为网络身份验证储存凭据或 .NET Passports”设置被配置为“已启用”。
网络访问:限制匿名访问命名管道和共享
表 3.54:设置
企业客户端台式计企业客户端便携式计高安全级台式计高安全级便携式计算机 算机 算机 算机 已启用 已启用 已启用 已启用 启用“网络访问:限制匿名访问命名管道和共享”设置可阻挡匿名用户访问运行 Windows XP Professional 的计算机上的命名管道和共享。此设置通过在 HKEY_LM\\System\\CurrentControlSet\\Services\\LanManServer\\Parameters 注册表项内添加 RestrictNullSessAccess 并将值设为“1”,来控制对计算机中共享的空会话访问。切换此注册表值可打开或关闭空会话共享,以确定服务器服务是否限制对登录系统帐户时未经用户名和密码身份验证的客户端进行访问。 因此,当用户登录到本指南定义的两种环境中的网络时,“网络访问:限制匿名访问命名管道和共享”设置被配置为“已启用”。
网络访问:本地帐户的共享和安全模式
表 3.55:设置
企业客户端台式计企业客户端便携式高安全级台式计算高安全级便携式计算机 计算机 机 算机
经典 - 本地用户以经典 - 本地用户以经典 - 本地用户以经典 - 本地用户以自己的身份验证 自己的身份验证 自己的身份验证 自己的身份验证 “网络访问:本地帐户的共享和安全模式”设置控制如何对使用本地帐户的网络登录进行身份验证。“经典”设置允许对资源访问进行精确控制。使用“经典”设置可以针对同一资源为不同的用户授予不同类型的访问权限。使用“仅来宾”设置可以同等对待所有用户。在此上下文中,所有作为“仅来宾”进行身份验证的用户,可以获得给定资源的相同级别的访问权限。启用此设置不会影响使用域帐户的网络登录和使用服务(如 Telnet 或终端服务)的交互式登录。 因此,当用户登录到本指南定义的两种环境中的网络时,“网络访问:本地帐户的共享和安全模式”设置被配置为“经典 - 本地用户以自己的身份验证”。
网络安全:不要在下次更改密码时存储 LAN Manager 的哈希值
表 3.56:设置
企业客户端台式计企业客户端便携式计高安全级台式计高安全级便携式计算机 算机 算机 算机 已启用 已启用 已启用 已启用 “网络安全:不要在下次更改密码时存储 LAN Manager 的哈希值”设置确定在更改密码时,是否存储新密码的 LAN Manager (LM) 哈希值。与加密性更强的
Windows NT 哈希相比,LM 哈希相对较弱,更易于遭受攻击。LAN Manager 哈希用于实现与运行 Windows NT 4.0 和更早版本以及某些应用程序的计算机的后向兼容。
因此,在本指南定义的两种环境下,“网络安全:不要在下次更改密码时存储 LAN Manager 的哈希值”设置被配置为“已启用”。
注意:启用此设置后,比较早的旧操作系统和一些第三方的应用程序可能无法运行。在启用此设置后,还需要更改所有帐户的密码。
网络安全:在超过登录时间后强制注销
表 3.57:设置
企业客户端台式计企业客户端便携式计高安全级台式计高安全级便携式计算机 算机 算机 算机 已启用 已禁用 已启用 已禁用 如果启用“网络安全:在超过登录时间后强制注销”设置,当客户端的登录时间超过用户帐户指定的登录时间限制时,会强制断开与 SMB 服务器的客户端会话。启用此设置可防止在非正常工作时间对工作站进行未授权使用,并阻止入侵者接管在正常登录时间内建立的现有会话。
因此,在本指南定义的两种环境下,“网络安全:在超过登录时间后强制注销”设置在台式计算机客户端上被配置为“已启用”。但是,在这两种环境中,此设置在便携式计算机客户端上被配置为“已禁用”,这是因为便携式计算机用户可能需要在不同时区或非正常工作时间进行远程工作。
注意:如果组织内未建立登录时间标准,则不适用此设置推荐。
网络安全:LAN Manager 身份验证级别
表 3.58:设置
企业客户端台企业客户端便携高安全级台式计算机 高安全级便携式计算机 式计算机 式计算机 仅发送 NTLMv2 仅发送 NTLMv2 仅发送 NTLMv2 响应\\仅发送 NTLMv2 响应\\响应 响应 拒绝 LM & NTLM 拒绝 LM & NTLM “网络安全:LAN Manager 身份验证级别”设置指定使用非 Windows 2000 和 Windows XP Professional 客户端登录网络时使用哪个质询/响应身份验证。LAN Manager 身份验证 (LM) 是最低级的安全方法,经过加密的密码很容易在网络上被侦听或破译。
NT LanManager (NTLM) 更安全一些。NTLMv2 是一种更强健的 NTLM 版本,可在 Windows XP Professional、Windows 2000 和 Windows NT 4.0 Service Pack 4 以及更新的版本中获得。安装了可选目录服务客户端的 Windows 95/98 也可以提供 NTLMv2。此设置包括下列参数选项:
? 发送 LM 和 NTLM 响应 ? 发送 LM 和 NTLM - 若协商使用 NTLMv2 会话安全 ? 仅发送 NTLM 响应 ? 仅发送 NTLMv2 响应 ? 仅发送 NTLMv2 响应\\拒绝 LM ? 仅发送 NTLMv2 响应\\拒绝 LM & NTLM
Microsoft 推荐将此参数设置为环境中所允许的最强身份验证级别。在仅运行 Windows 2000 Server 或 Windows Server 2003(带 Windows XP Professional 工作站)的环境中,此参数可设置为“仅发送 NTLMv2 响应\\拒绝 LM 和 NTLM”选项,以实现最高安全性。
因此,“网络安全:LAN Manager 身份验证级别”设置的参数选项在企业客户端环境中被配置为“仅发送 NTLMv2 响应”。而在高安全级环境中,此设置的参数被配置为“仅发送 NTLMv2 响应\\拒绝 LM 和 NTLM”。
网络安全:基于 NTLM SSP(包括安全 RPC)客户端的最小会话安全
表 3.59:设置
企业客户端企业客户端便高安全级台式计算机 高安全级便携式计算机 台式计算机 携式计算机 没有最小 没有最小 要求 NTLMv2 会话安全 要求 NTLMv2 会话安全
要求 128-位加密 要求 128-位加密 “网络安全:基于 NTLM SSP(包括安全 RPC)客户端的最小会话安全”设置确
定客户端从应用程序到应用程序通信的最低安全标准。此设置的选项包括: ? 要求消息的完整性 ? 要求消息的保密性 ? 要求 NTLMv2 会话安全 ? 要求 128-位 加密
如果网络中的所有计算机都运行 Windows XP Professional 或 Windows Server 2003,并启用了 128 位加密,则为了实现最大的安全,可以选中所有四个设置选项。
在企业客户端环境中,“网络安全:基于 NTLM SSP(包括安全 RPC)客户端的最小会话安全”设置没有最小选项。可以选择尽可能多的选项来满足企业的安全
相关推荐:
loading