组策略设置系列篇之“安全选项”-1
设置, 选项
组策略的“安全选项”部分启用或禁用数字数据签名、Administrator 和 Guest 帐户名、软盘驱动器和 CD-ROM 驱动器的访问、驱动程序安装操作和登录提示的计算机安全设置。

安全选项设置
您能够在组策略对象编辑器的下列位置配置安全选项设置：计算机配置\Windows 设置\安全设置\
本地策略\安全选项
帐户：治理员帐户状态
此策略设置启用或禁用 Administrator 帐户的正常操作条件。

假如以安全模式启动计算机，Administrator 帐户总是处于启用状态，而与如何配置此策略设置无关。

“帐户：治理员帐户状态”设置的可能值为：•
已启用
•
已禁用
•
没有定义
漏洞：在某些组织中，维持定期更改本地帐户的密码这项常规打算可能会是专门大的治理挑战。

因此，您可能需要禁用内置的Administrator 帐户，而不是依靠常规密码更改来爱护其免受攻击。

需要禁用此内置帐户的另一个缘故确实是，不管通过多少次登录失败它都可不能被锁定，这使得它成为强力攻击（尝试推测密码）的要紧目标。

另外，此帐户还有一个众所周知的安全标识符 (SID)，而且第三方工具同意使用 SID 而非帐户名来进行身份验证。

此功能意味着，即使您重命名 Administrator 帐户，攻击者也可能使用该 SID 登录来发起强力攻击。

对策：将“帐户：治理员帐户状态”设置配置为“已禁用”，以便在正常的系统启动中不能再使用内置的 Administrator 帐户。

潜在阻碍：假如禁用 Administrator 帐户，在某些情况下可能会造成维护问题。

例如，在域环境中，假如成员计算机和域操纵器间的安全通道因任何缘故而失败，而且没有其他本地Administrator 帐户，则您必须以安全模式重新启动才能修复那个中断安全通道的问题。

假如当前的Administrator 密码不满足密码要求，则Administrator 帐户被禁用之后，无法重新启用。

假如出现这种情况，Administrators 组的另一个成员必须使用“本地用户和组”工具来为该 Administrator 帐户设置密码。

帐户：来宾帐户状态
此策略设置确定是启用依旧禁用来宾帐户。

“帐户：来宾帐户状态”设置的可能值为：•
已启用
•
已禁用
•
没有定义
漏洞：默认 Guest 帐户同意未经身份验证的网络用户以没有密码的 Guest 身份登录。

这些未经授权的用户能够通过网络访问Guest 帐户可访问的任何资源。

此功能意味着任何具有同意Guest 帐户、Guests 组或 Everyone 组进行访问的权限的网络共享资源，都能够通过网络对其进行访问，这可能导致数据暴露或损坏。

对策：将“帐户：来宾帐户状态”设置配置为“已禁用”，以便内置的 Guest 帐户不再可用。

潜在阻碍：所有的网络用户都将必须先进行身份验证，才能访问共享资源。

假如禁用 Guest 帐户，同时“网络访问：共享和安全模式”选项设置为“仅来宾”，则那些由 Microsoft 网络服务器（SMB 服务）执行的网络登录将失败。

关于大多数组织来讲，此策略设置的阻碍应该会专门小，因为它是Microsoft Windows® 2000、Windows XP 和 Windows Server™ 2003 中的默认设置。

帐户：使用空白密码的本地帐户只同意进行操纵台登录
此策略设置确定是否同意使用空白密码的本地帐户通过网络服务（如终端服务、Telnet 和文件传输协议 (FTP)）进行远程交互式登录。

假如启用此策略设置，则本地帐户必须有一个非空密码，才能从远程客户端执行交互式或网络登录。

“帐户：使用空白密码的本地帐户只同意进行操纵台登录”设置的可能值为：
•
已启用
•
已禁用
•
没有定义
注意：此策略设置不阻碍在操纵台上以物理方式执行的交互式登录，也不阻碍使用域帐户的登录。

警告：使用远程交互式登录的第三方应用程序有可能跃过此策略设置。

漏洞：空白密码会对计算机安全造成严峻威胁，应当通过组织的策略和适当的技术措施来禁止。

实际上，Windows Server 2003 Active Directory®目录服务域的默认设置需要至少包含七个字符的复杂密码。

然而，假如能够创建新帐户的用户跃过基于域的密码策略，则他们能够创建具有空白密码的帐户。

例如，某个用户能够构建一个独立的计算机，创建一个或多个具有空白密码的帐户，然后将该计算机加入到域中。

具有空白密码的本地帐户仍将正常工作。

任何人假如明白其中一个未受爱护的帐户的名称，都能够用它来登录。

对策：启用“帐户：使用空白密码的本地帐户只同意进行操纵台登录”设置。

潜在阻碍：无。

这是默认配置。

帐户：重命名系统治理员帐户
此策略设置确定另一个帐户名是否与 Administrator 帐户的SID 相关联。

“帐户：重命名系统治理员帐户”设置的可能值为：
•
用户定义的文本
•
没有定义
漏洞：Administrator 帐户存在于运行 Windows 2000、Windows Server 2003 或 Windows XP Professional 操作系统的所有计算机上。

假如重命名此帐户，会使未经授权的人员更难推测那个具有特权的用户名和密码组合。

不管攻击者可能使用多少次错误密码，内置的 Administrator 帐户都不能被锁定。

此功能使得 Administrator 帐户成为强力攻击（尝试推测密码）的常见目标。

那个对策的价值之因此减少，是因为此帐户有一个众所周知的 SID，而且第三方工具同意使用SID 而非帐户名来进行身份验证。

因此，即使您重命名Administrator 帐户，攻击者也可能会使用该 SID 来登录以发起强力攻击。

对策：在“帐户：重命名系统治理员帐户”设置中指定一个新名称，以重命名 Administrator 帐户。

注意：在后面的章节中，此策略设置既未在安全模板中进行配置，
也不是本指南所建议帐户的新用户名。

模板中忽略了这项策略设置，如此做是为了让使用本指南的众多组织将不在其环境中实现同样的新用户名。

潜在阻碍：您必须将那个新帐户名通知给授权使用此帐户的用户。

（有关此设置的指导假定 Administrator 帐户没有被禁用，这是本章前面建议的设置。

）
帐户：重命名来宾帐户
“帐户：重命名来宾帐户”设置确定另一个帐户名是否与 Guest 帐户的 SID 相关联。

此组策略设置的可能值为：
•
用户定义的文本
•
没有定义
漏洞：Guest 帐户存在于运行 Windows 2000、Windows Server 2003 或 Windows XP Professional 操作系统的所有计算机上。