组策略设置系列篇之“安全选项”-2选项, 设置交互式登录：不显示上次的用户名此策略设置确定“登录到Windows”对话框是否显示上次登录到该计算机的用户的名称。

如果启用此策略设置，不显示上次成功登录的用户的名称。

如果禁用此策略设置，则显示上次登录的用户的名称。

“交互式登录：不显示上次的用户名”设置的可能值为：•已启用•已禁用•没有定义漏洞：能够访问控制台的攻击者（例如，能够物理访问的人或者能够通过终端服务连接到服务器的人）可以查看上次登录到服务器的用户的名称。

攻击者随后可能尝试猜测密码，使用字典或者依靠强力攻击以试图登录。

对策：将“不显示上次的用户名”设置配置为“已启用”。

潜在影响：用户在登录服务器时，必须始终键入其用户名。

交互式登录：不需要按CTRL+ALT+DEL此策略设置确定用户在登录前是否必须按Ctrl+Alt+Del。

如果启用此策略设置，用户登录时无需按此组合键。

如果禁用此策略设置，用户在登录到Windows 之前必须按Ctrl+Alt+Del，除非他们使用智能卡进行Windows 登录。

智能卡是一种用来存储安全信息的防篡改设备。

“交互式登录：不需要按CTRL+ALT+DEL”设置的可能值为：•已启用•已禁用•没有定义漏洞：Microsoft 之所以开发此功能，是为了更便于身体有某种残疾的用户登录到运行Windows 的计算机。

如果不要求用户按Ctrl+Alt+Del，他们容易受到尝试截获其密码的攻击。

如果要求用户在登录之前按Ctrl+Alt+Del，用户密码则会通过受信任路径进行通信。

攻击者可能会安装看似标准Windows 登录对话框的特洛伊木马程序，并捕获用户的密码。

攻击者随后将能够使用该用户具有的特权级别登录到被侵入的帐户。

对策：将“不需要按CTRL+ALT+DEL”设置配置为“已禁用”。

潜在影响：除非用户使用智能卡进行登录，否则他们必须同时按这三个键，才能显示登录对话框。

交互式登录：用户试图登录时消息文字“交互式登录：用户试图登录时消息文字”和“交互式登录：用户试图登录时消息标题”设置密切相关。

第一个策略设置指定用户登录时显示给他们的消息文字，而第二个策略设置指定显示在包含消息文字的窗口的标题栏中的标题。

许多组织将这些文本用于法律目的，例如，警告用户误用公司信息的后果，或者警告用户他们的操作可能被审核。

警告：Windows XP Professional 添加了如下支持：长度可以超过512 个字符、而且还可以包含回车换行序列的登录标题。

但是，Windows 2000 客户端不能理解和显示这些消息。

您必须使用Windows 2000 计算机创建适用于Windows 2000 计算机的登录消息策略。

如果您无意中在Windows XP Professional 计算机上创建了一个登录消息策略，但是发现它不能在Windows 2000 计算机上正确地显示，请执行下列操作：•将该设置重新配置为“没有定义”。

•使用Windows 2000 计算机重新配置该设置。

如果只是在Windows 2000 计算机上更改由Windows XP Professional 定义的登录消息设置，将不会奏效。

必须首先将该设置重新配置为“没有定义”。

这些策略设置的可能值为：•用户定义的文本•没有定义漏洞：在登录之前显示警告消息，可能有助于在攻击发生之前警告攻击者他们的不正当行为，从而防止攻击。

可能还有助于通过在登录过程中通知员工相应策略来加强公司策略。

对策：将“用户试图登录时消息文字”和“用户试图登录时消息标题”设置配置为适合组织的相应值。

注意：所显示的任何警告消息应先经您所在组织的法律代表和人力资源代表的许可。

潜在影响：用户在登录到服务器控制台之前将看到对话框中的一则消息。

交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况下）此策略设置确定多少位不同用户可以使用缓存的帐户信息登录到Windows 域。

域帐户的登录信息可以被本地缓存，以便在无法就后续登录联系域控制器时，用户仍可以登录。

此策略设置可以确定其登录信息在本地缓存的唯一用户的个数。

如果某个域控制器不可用，某个用户的登录信息被缓存，则该用户会被提示以下消息：不能联系您的域中的域控制器。

您已经使用缓存的帐户信息登录。

由于您上次登录的域控制器可能不可用，因此请更改您的配置文件。

如果某个域控制器不可用，某个用户的登录信息未被缓存，则该用户会被提示此消息：现在不能登录该系统，因为<域名> 域不可用。

“交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况下）”设置的可能值为：•用户定义的数值，在0 至50 之间•没有定义漏洞：分配给此策略设置的数字指出服务器将在本地缓存多少个用户的登录信息。

如果该数字被设置为10，则服务器缓存10 个用户的登录信息。

当第11 个用户登录到该计算机时，服务器会覆盖最旧的缓存登录会话。

访问服务器控制台的用户会将其登录凭据缓存到该服务器上。

能够访问服务器文件系统的攻击者可以查找这个缓存信息，并使用强力攻击试图确定用户密码。

为减轻这种类型的攻击，Windows 加密该信息并将其分散在多个物理位置。

对策：将“交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况下）”设置配置为0，可禁用在本地缓存登录信息。

其他对策包括强制使用强密码策略并对计算机的位置进行物理保护。

潜在影响：如果用户无法向任何域控制器验证其身份，他们将无法登录任何计算机。

对于最终用户计算机（尤其是移动用户），组织可能希望将此值配置为2。

如果将此值配置为2，则意味着用户的登录信息仍将位于缓存中，即使IT 部门的某个成员最近登录过用户的计算机以执行系统维护时也是如此。

此方法允许用户在未连接到组织网络时登录到他们的计算机。

交互式登录：在密码到期前提示用户更改密码此策略设置确定提前多少天提醒用户其密码即将到期。

有了这个提前警告，用户就有时间创建足够强的密码。

“交互式登录：在密码到期前提示用户更改密码”设置的可能值为：•用户定义的天数，介于 1 和999 之间•没有定义漏洞：Microsoft 建议将用户密码配置为定期过期。

用户将需要被提醒其密码即将过期，否则在其密码到期时他们可能会被无意中锁定在计算机外。

此情况可能会导致用户在本地访问网络时造成混乱，或者使用户不能通过拨号或虚拟专用网络(VPN) 连接访问组织网络。

对策：将“交互式登录：在密码到期前提示用户更改密码”设置配置为14 天。

潜在影响：当用户的密码过期日期配置为14 天或更短时，用户在每次登录到域时都将看到一个对话框，提示其更改密码。

交互式登录：要求域控制器身份验证以解锁工作站对已锁定的计算机进行解锁时需要登录信息。

对于域帐户来说，“交互式登录：要求域控制器身份验证以解锁工作站”设置确定为了解锁计算机是否有必要联系域控制器。

如果启用此设置，域控制器必须验证用来解锁计算机的域帐户的身份。

如果禁用此设置，用户解锁计算机时域控制器并不需要登录信息确认。

但是，如果将“交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况下）”设置配置为大于零的值，则用户的缓存凭据将被用于解锁计算机。

注意：此设置可以应用于Windows 2000 计算机，但不能通过这些计算机上的“安全配置管理器”工具来使用。

“交互式登录：要求域控制器身份验证以解锁工作站”设置的可能值为：•已启用•已禁用•没有定义漏洞：默认情况下，计算机将已通过身份验证的任何用户的凭据缓存在本地内存中。

计算机使用这些缓存凭据来对尝试解锁控制台的任何人进行身份验证。

如果使用缓存凭据，将不考虑或应用在验证帐户身份之后对帐户进行的任何最新更改（如用户权限分配、帐户锁定或禁用帐户）。

不更新用户特权，而且更重要的是，被禁用的帐户仍能够解锁计算机的控制台。

对策：将“交互式登录：要求域控制器身份验证以解锁工作站”设置配置为“已启用”，并将“交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况下）”设置配置为0。

潜在影响：如果某台计算机上的控制台由某个用户锁定，或者因屏幕保护程序超时而自动被锁定时，则只有当该用户重新向域控制器验证自己的身份时，该控制台才能被解锁。

如果没有可用的域控制器，则用户不能解锁他们的工作站。

如果将“交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况下）”设置配置为0，其域控制器不可用的用户（如移动或远程用户）将不能登录。

交互式登录：要求智能卡此策略设置要求用户使用智能卡登录计算机。

注意：此设置可以应用于Windows 2000 计算机，但不能通过这些计算机上的“安全配置管理器”工具来使用。

“交互式登录：要求智能卡”设置的可能值为：•已启用•已禁用•没有定义漏洞：要求使用又长又复杂的密码进行身份验证可增强网络安全性，当用户必须定期更改其密码时尤其如此。

此方法会减少攻击者通过强力攻击猜出用户密码的机会。

但是，用户难以选择强密码，如果攻击者有足够时间和计算资源，即使是强密码也容易受到强力攻击。

使用智能卡（而非密码）来进行身份验证会大大增强安全性，这是由于，当今的技术使攻击者几乎不可能模拟另一个用户。

需要个人识别码(PIN) 的智能卡提供双因素身份验证。

换句话说，用户必须既拥有智能卡又知道它的PIN。

捕获到用户计算机和域控制器之间身份验证通信的攻击者会发现很难对该通信进行解密，而且即使他们进行了解密，用户在下次登录网络时，也会生成一个新的会话密钥，用来加密用户和域控制器之间的通信。

对策：对于敏感帐户，向用户颁发智能卡，并将“交互式登录：要求智能卡”设置配置为“已启用”。

潜在影响：所有的用户将必须使用智能卡登录网络；这意味着组织将必需针对所有用户的可靠公钥基础结构(PKI)以及智能卡和智能卡读取器。

这些要求会带来巨大的挑战，因为这些技术的规划和部署需要专业知识和资源。

但是，Windows Server 2003 包括证书服务，一种用来实现和管理证书的非常高级的服务。

当证书服务与Windows XP 结合使用时，将有诸如自动用户和计算机注册和续订等功能可用。

交互式登录：智能卡移除操作此策略设置确定将已登录用户的智能卡从智能卡阅读器中移除时会发生的操作。

“交互式登录：智能卡移除操作”设置的可能值为：•无操作•锁定工作站•强制注销•没有定义漏洞：如果使用智能卡进行身份验证，则在智能卡被移除时，计算机应当会自动地自行锁定。

此方法将防止其他恶意用户在用户离开、忘了手动锁定其工作站时访问其计算机。

对策：将“智能卡移除操作”设置配置为“锁定工作站”。

如果在“属性”对话框中为此策略设置选择“锁定工作站”，工作站会在智能卡被移除时锁定。

用户可以离开工作区，随身携带其智能卡，并仍维护受保护的会话。