啟用“Microsoft 網絡服務器:在掛起會話之前所需的空閒時間”設置,可以確定在 SMB 會話因為不活動而被掛起之前,在此會話中必須經過的連續空閒時間。管理員可以使用此設置來控制計算機何時掛起不活動的 SMB 會話。如果客戶端活動恢復,會話將自動重建。
因此,在本指南定義的兩種環境中,“Microsoft 網絡服務器:在掛起會話之前所需的空閒時間”設置被配置為“已啟用”,空閒時間設為“15 分鐘”。
Microsoft 網絡服務器:數字簽名的通信(總是)
表 3.47:設置
“Microsoft 網絡服務器:數字簽名的通信(總是)”設置確定是否要求 SMB 服務器執行 SMB 數據包簽名。如果在混合環境中啟用此設置,還會有額外的優點,因為它防止下游客戶端將工作站當作網絡服務器使用。
如果企業內完全是 Active Directory 和 Windows XP Professional 環境,則應啟用此設置。如果客戶端有與 Microsoft Windows NT4.0 域通信的要求,則應禁用此設置
因此,在本指南定義的兩種環境中,“Microsoft 網絡服務器:數字簽名的通信(總是)”設置被配置為“已啟用”。
Microsoft 網絡服務器:數字簽名的通信(若客戶端同意)
表 3.48:設置
“Microsoft 網絡服務器:數字簽名的通信(若客戶端同意)”設置確定 SMB 服務器是否執行 SMB 數據包簽名。如果啟用此設置,會使 SMB 服務器在與已啟用並要求使用 SMB 簽名的 SMB 客戶端通信時對數據包進行數字簽名。
因此,在本指南定義的兩種環境中,“Microsoft 網絡服務器:數字簽名的通信(若客戶端同意)”設置被配置為“已啟用”。
注意:在網絡中的 SMB 客戶端中啟用此設置,以使它們對環境中的所有客戶端和服務器的數據包簽名完全有效。
Microsoft 網絡服務器:當登錄時間用完時自動注銷用戶
表 3.49:設置
“Microsoft 網絡服務器:當登錄時間用完時自動注銷用戶”設置確定在超過用戶帳戶的有效登錄時間後,是否斷開連接到本地計算機的用戶。此設置影響 SMB 組件。如果啟用此設置,會在客戶端的登錄時間用完時強制斷開與 SMB 服務的客戶端會話。如果禁用此設置,則在超過客戶端的登錄時間後,仍然保留已建立的客戶端會話。
因此,在本指南定義的兩種環境中,“Microsoft 網絡服務器:當登錄時間用完時自動注銷用戶”在台式計算機客戶端上被配置為“已啟用”。但是,在這兩種環境中,此設置在便攜式計算機客戶端上被配置為“已禁用”,這是因為便攜式計算機用戶可能需要在不同時區或非正常工作時間進行遠程工作。
網絡訪問:允許匿名 SID/名稱 轉換
表 3.50:設置
“網絡訪問:允許匿名 SID/名稱 轉換”設置確定匿名用戶能否請求另一用戶的安全標識符 (SID) 屬性或使用 SID 獲得其對應的用戶名。禁用此設置可防止用戶獲取與各自的 SID 相關的用戶名。
因此,當用戶登錄到本指南定義的兩種環境中的網絡時,“網絡訪問:允許匿名 SID/名稱 轉換”設置被配置為“已禁用”。
網絡訪問:不允許 SAM 帳戶的匿名枚舉
表 3.51:設置
“網絡訪問:不允許 SAM 帳戶的匿名枚舉”設置控制匿名用戶枚舉安全帳戶管理器 (SAM) 中的帳戶的能力。啟用此設置可防止匿名連接的用戶枚舉環境中工作站上的域帳戶用戶名。此設置也對匿名連接增加了額外限制。
因此,在本指南定義的兩種環境中,“網絡訪問:不允許 SAM 帳戶的匿名枚舉”設置被配置為“已啟用”。
網絡訪問:不允許 SAM 帳戶和共享的匿名枚舉
表 3.52:設置
“網絡訪問:不允許 SAM 帳戶和共享的匿名枚舉”設置控制匿名用戶枚舉 SAM 帳戶和共享的能力。啟用此設置可防止匿名用戶枚舉環境中工作站上的域帳戶用戶名和網絡共享名。
因此,當用戶登錄到本指南定義的兩種環境中的網絡時,“網絡訪問:不允許 SAM 帳戶和共享的匿名枚舉”設置被配置為“已啟用”。
網絡訪問:不允許為網絡身份驗證儲存憑據或 .Net Passports
表 3.53:設置
“網絡訪問:不允許為網絡身份驗證儲存憑據或 .Net Passports”設置控制身份驗證憑據和密碼在本地系統中的存儲。
Microsoft 推薦啟用此設置,除非存在業務需求允許雇員在自己的工作站上儲存他們的憑證。
因此,當用戶登錄到本指南定義的兩種環境中的網絡時,“網絡訪問:不允許為網絡身份驗證儲存憑據或 .Net Passports”設置被配置為“已啟用”。
網絡訪問:限制匿名訪問命名管道和共享
表 3.54:設置
啟用“網絡訪問:限制匿名訪問命名管道和共享”設置可阻擋匿名用戶訪問運行 Windows XP Professional 的計算機上的命名管道和共享。此設置通過在 HKEY_LM\System\CurrentControlSet\Services\LanManServer\Parameters 注冊表項內添加 RestrictNullSessAccess 並將值設為“1”,來控制對計算機中共享的空會話訪問。切換此注冊表值可打開或關閉空會話共享,以確定服務器服務是否限制對登錄系統帳戶時未經用戶名和密碼身份驗證的客戶端進行訪問。
因此,當用戶登錄到本指南定義的兩種環境中的網絡時,“網絡訪問:限制匿名訪問命名管道和共享”設置被配置為“已啟用”。
網絡訪問:本地帳戶的共享和安全模式
表 3.55:設置
“網絡訪問:本地帳戶的共享和安全模式”設置控制如何對使用本地帳戶的網絡登錄進行身份驗證。“經典”設置允許對資源訪問進行精確控制。使用“經典”設置可以針對同一資源為不同的用戶授予不同類型的訪問權限。使用“僅來賓”設置可以同等對待所有用戶。在此上下文中,所有作為“僅來賓”進行身份驗證的用戶,可以獲得給定資源的相同級別的訪問權限。啟用此設置不會影響使用域帳戶的網絡登錄和使用服務(如 Telnet 或終端服務)的交互式登錄。
因此,當用戶登錄到本指南定義的兩種環境中的網絡時,“網絡訪問:本地帳戶的共享和安全模式”設置被配置為“經典 - 本地用戶以自己的身份驗證”。
網絡安全:不要在下次更改密碼時存儲 LAN Manager 的哈希值
表 3.56:設置
“網絡安全:不要在下次更改密碼時存儲 LAN Manager 的哈希值”設置確定在更改密碼時,是否存儲新密碼的 LAN Manager (LM) 哈希值。與加密性更強的 Windows NT 哈希相比,LM 哈希相對較弱,更易於遭受攻擊。LAN Manager 哈希用於實現與運行 Windows NT 4.0 和更早版本以及某些應用程序的計算機的後向兼容。
因此,在本指南定義的兩種環境下,“網絡安全:不要在下次更改密碼時存儲 LAN Manager 的哈希值”設置被配置為“已啟用”。
注意:啟用此設置後,比較早的舊操作系統和一些第三方的應用程序可能無法運行。在啟用此設置後,還需要更改所有帳戶的密碼。
網絡安全:在超過登錄時間後強制注銷
表 3.57:設置
如果啟用“網絡安全:在超過登錄時間後強制注銷”設置,當客戶端的登錄時間超過用戶帳戶指定的登錄時間限制時,會強制斷開與 SMB 服務器的客戶端會話。啟用此設置可防止在非正常工作時間對工作站進行未授權使用,並阻止入侵者接管在正常登錄時間內建立的現有會話。
因此,在本指南定義的兩種環境下,“網絡安全:在超過登錄時間後強制注銷”設置在台式計算機客戶端上被配置為“已啟用”。但是,在這兩種環境中,此設置在便攜式計算機客戶端上被配置為“已禁用”,這是因為便攜式計算機用戶可能需要在不同時區或非正常工作時間進行遠程工作。
注意:如果組織內未建立登錄時間標准,則不適用此設置推薦。
網絡安全:LAN Manager 身份驗證級別
表 3.58:設置
“網絡安全:LAN Manager 身份驗證級別”設置指定使用非 Windows 2000 和 Windows XP Professional 客戶端登錄網絡時使用哪個質詢/響應身份驗證。LAN Manager 身份驗證 (LM) 是最低級的安全方法,經過加密的密碼很容易在網絡上被偵聽或破譯。
NT LanManager (NTLM) 更安全一些。NTLMv2 是一種更強健的 NTLM 版本,可在 Windows XP Professional、Windows 2000 和 Windows NT 4.0 Service Pack 4 以及更新的版本中獲得。安裝了可選目錄服務客戶端的 Windows 95/98 也可以提供 NTLMv2.此設置包括下列參數選項:
發送 LM 和 NTLM 響應
發送 LM 和 NTLM - 若協商使用 NTLMv2 會話安全
僅發送 NTLM 響應
僅發送 NTLMv2 響應
僅發送 NTLMv2 響應\拒絕 LM
僅發送 NTLMv2 響應\拒絕 LM & NTLM
Microsoft 推薦將此參數設置為環境中所允許的最強身份驗證級別。在僅運行 Windows 2000 Server 或 Windows Server 2003(帶 Windows XP Professional 工作站)的環境中,此參數可設置為“僅發送 NTLMv2 響應\拒絕 LM 和 NTLM”選項,以實現最高安全性。
因此,“網絡安全:LAN Manager 身份驗證級別”設置的參數選項在企業客戶端環境中被配置為“僅發送 NTLMv2 響應”。而在高安全級環境中,此設置的參數被配置為“僅發送 NTLMv2 響應\拒絕 LM 和 NTLM”。
網絡安全:基於 NTLM SSP(包括安全 RPC)客戶端的最小會話安全
表 3.59:設置
“網絡安全:基於 NTLM SSP(包括安全 RPC)客戶端的最小會話安全”設置確定客戶端從應用程序到應用程序通信的最低安全標准。此設置的選項包括:
要求消息的完整性
要求消息的保密性
要求 NTLMv2 會話安全
要求 128-位 加密
如果網絡中的所有計算機都運行 Windows XP Professional 或 Windows Server 2003,並啟用了 128 位加密,則為了實現最大的安全,可以選中所有四個設置選項。
在企業客戶端環境中,“網絡安全:基於 NTLM SSP(包括安全 RPC)客戶端的最小會話安全”設置沒有最小選項。可以選擇盡可能多的選項來滿足企業的安全要求。在高安全級環境中,此設置被配置為包括“要求 NTLMv2 會話安全”和“要求 128-位 加密”兩個選項。
網絡安全:基於 NTLM SSP(包括安全 RPC)服務器的最小會話安全
表 3.60:設置
要求消息的完整性
要求消息的保密性
要求 NTLMv2 會話安全
要求 128-位 加密
如果網絡中的所有計算機都運行 Windows XP Professional 或 Windows Server 2003,並啟用了 128 位加密,則為了實現最大的安全,可以選中所有四個選項。
在企業客戶端環境中,“網絡安全:基於 NTLM SSP(包括安全 RPC)服務器的最小會話安全”設置沒有最小選項。可以選擇盡可能多的選項來滿足企業的安全要求。在高安全級環境中,此設置被配置為包括“要求 NTLMv2 會話安全”和“要求 128-位 加密”兩個選項。
故障恢復控制台:允許自動系統管理級登錄
表 3.61:設置
恢復控制台是用來從系統故障恢復正常的命令行環境。啟用“故障恢復控制台:允許自動系統管理級登錄”設置後,啟動過程中調用此設置時會自動以管理員帳戶登錄到恢復控制台。Microsoft 推薦禁用此設置,以要求管理員在訪問恢復控制台時輸入密碼。
因此,在本指南定義的兩種環境中,“故障恢復控制台:允許自動系統管理級登錄”設置被配置為“已禁用”。
故障恢復控制台:允許對所有驅動器和文件夾進行軟盤復制和訪問
表 3.62:設置
啟用“故障恢復控制台:允許對所有驅動器和文件夾進行軟盤復制和訪問”設置將授予用戶對系統中所有驅動器的完全訪問權限。啟用此設置也能允許用戶從硬盤驅動器向軟盤復制文件。通過允許用戶設置下列恢復控制台環境變量,恢復控制台的 SET 命令同樣提供此功能:AllowWildCards、AllowAllPaths、AllowRemovableMedia 和 NoCopyPrompt.
禁用此設置將禁止從硬盤驅動器向軟盤驅動器復制文件。此外,可訪問的目錄和驅動器也會受到限制。
因此,在本指南定義的兩種環境中,“故障恢復控制台:允許對所有驅動器和文件夾進行軟盤復制和訪問”設置在“企業客戶端”環境中配置為“已啟用”,以使技術人員在修復 Windows XP 安裝時更容易。在“高安全級”環境下此設置被配置為“已禁用”。
關機: 允許系統在未登錄前關機
表 3.63:設置
“關機:允許系統在未登錄前關機”設置用於確定用戶是否無需登錄即可關閉系統。啟用此設置後,Windows 登錄屏幕上的“關機”命令可用。Microsoft 推薦禁用此設置,以便只有那些在系統上有憑據的用戶才能關閉系統。
因此,在本指南定義的兩種環境中,“關機:允許系統在未登錄前關機”設置被配置為“已禁用”。
關機: 清除虛擬內存頁面文件
表 3.64:設置