组策略设系列篇之“安全选项”-3.doc

组策略设置系列篇之“安全选项”-3 选项, 设置 网络安全：不要在下次更改密码时存储 LAN Manager 的哈希值 此策略设置确定在下次更改密码时 LAN Manager 是否可以存储新密码的哈希值。 “网络安全：不要在下次更改密码时存储 LAN Manager 的哈希值”设置的可能值为： ? 已启用 ? 已禁用 ? 没有定义 漏洞：试图访问用户名和密码哈希的攻击者可能会以 SAM 文件作为目标。这类攻击使用特殊工具破解密码，然后使用这些密码来模拟用户并获得对网络资源的访问。启用此策略设置不会禁止这些类型的攻击，但会使这类攻击的成功变得困难得多。 对策：将“网络安全：不要在下次更改密码时存储 LAN Manager 的哈希值”设置配置为“已启用”。要求所有用户在下次登录域时都设置新密码，以便 LAN Manager 哈希被删除。 潜在影响：早期操作系统（如 Windows 95、Windows 98 和 Windows ME）以及一些第三方应用程序将失败。 网络安全：在超过登录时间后强制注销 此策略设置确定在超过用户帐户的有效登录时间后，是否要断开连接到本地计算机的用户。此设置影响 SMB 组件。如果启用此策略设置，会在客户端的登录时间用完时断开与 SMB 服务器的客户端会话。如果禁用此策略设置，已建立的客户端会话在超过客户端登录时间后继续进行。 “网络安全：在超过登录时间后强制注销”设置的可能值为： ? 已启用 ? 已禁用 ? 没有定义 漏洞：如果禁用此策略设置，则在为用户分配的登录时间用完之后，用户仍能继续连接到计算机。 对策：将“网络安全：在超过登录时间后强制注销”设置配置为“已启用”。此策略设置不适用于管理员帐户。 潜在影响：当用户的登录时间用完时，SMB 会话将终止。用户在他们的下一次计划访问时间开始之前将无法登录到计算机。 网络安全：LAN Manager 身份验证级别 LAN Manager (LM) 是早期 Microsoft 客户端/服务器软件系列，它允许用户将多台个人计算机连接在单个网络上。网络功能包括透明文件和打印共享、用户安全性功能以及网络管理工具。在 Active Directory 域中，Kerberos 协议是默认的身份验证协议。但是，如果因某种原因未协商 Kerberos 协议，则 Active Directory 将使用 LM、NTLM 或 NTLMv2。 LAN Manager 身份验证协议（包括 LM、NTLM 和 NTLM 版本 2 (NTLMv2) 变体）用于在所有 Windows 客户端执行以下操作时对其进行身份验证： ? 加入到域中? 在 Active Directory 林之间进行身份验证? 向低级别域验证身份? 向非运行 Windows 2000、Windows Server 2003 或 WindowsXP 的计算机验证身份? 向不在域中的计算机验证身份 “网络安全：LAN Manager 身份验证级别”设置的可能值为 ：? 发送 LM 和 NTLM 响应? 发送 LM 和 NTLM - 若协商使用 NTLMv2 会话安全? 仅发送 NTLM 响应? 仅发送 NTLMv2 响应? 仅发送 NTLMv2 响应\拒绝 LM? 仅发送 NTLMv2 响应\拒绝 LM 和 NTLM? 没有定义“网络安全：LAN Manager 身份验证级别”设置确定将哪些质询/响应身份验证协议用于网络登录。此选项影响客户端使用的身份验证协议级别、计算机所协商的会话安全级别以及服务器所接受的身份验证级别，如下所示：? 发送 LM 和 NTLM 响应。客户端使用 LM 和 NTLM 身份验证，从不使用 NTLMv2 会话安全性。域控制器接受 LM、NTLM 和 NTLMv2 身份验证。? 发送 LM 和 NTLM - 若协商使用 NTLMv2 会话安全。客户端使用 LM 和 NTLM 身份验证，如果服务器支持的话，还使用 NTLMv2 会话安全。域控制器接受 LM、NTLM 和 NTLMv2 身份验证。? 仅发送 NTLM 响应。客户端只使用 NTLM 身份验证，如果服务器支持的话，还使用 NTLMv2 会话安全。域控制器接受 LM、NTLM 和 NTLMv2 身份验证。? 仅发送 NTLMv2 响应。客户端仅使用 NTLMv2 身份验证，如果服务器支持的话，还使用 NTLMv2 会话