2024Windows7安全加固指导手册.docx

Windows7安全加固指导手册此参考侧重于视为安全设置的设置。配置安全策略设置介绍了在本地设备上、加入域的设备上和域控制器上配置安全策略设置的步骤。你必须在本地设备上具有管理员权限，或者必须具有在域控制器上更新组策略对象（GPO）的相应权限才能执行这些过程。当无法访问本地设置时，它指示GPO当前控制该设置。使用本地安全策略控制台配置设置1 .若要打开本地安全策略，请在“开始”屏幕上，键入Secpo1.msc,然后按Entero2 .在控制台树的“安全设置”下，执行下列操作之一：o单击“帐户策略”来编辑“密码策略”或“帐户锁定策略”。o单击“本地策略”来编辑“审核策略”、“用户权限分配”或“安全选项”。3 .当你在详细信息窗格中找到策略设置时，请双击你希望修改的安全策略。4 .修改安全策略设置，然后单击“确定”。现o一些安全策略设置需要重新启动设备才能使设置生效。o对帐户的用户权限分配进行的任何更改将在帐户的所有者下次登录时生效。使用本地组策略编辑器控制台配置安全策略设置你必须具有相应的权限才能安装和使用Microsoft管理控制台（MMC）并在域控制器上更新组策略对象（GPO）来执行这些过程。1 .打开本地组策略编辑器(gpedit.msc)02 .在控制台树中，依次单击“计算机配置"、"Windows设置”*和“安全设置”。3 .执行下列操作之一：o单击“帐户策略”来编辑“密码策略”或“帐户锁定策略”。o单击“本地策略”来编辑“审核策略”、“用户权限分配”或“安全选项”。4 .在详细信息窗格中，双击你希望修改的安全策略设置。注意如果尚未定义此安全策略，请选中“定义这些策略设置”复选框。5 .修改安全策略设置，然后单击“确定”*。注意如果你想要在网络上为多台设备配置安全设置，则可以使用组策略管理控制台。为域控制器配置设置以下过程介绍如何仅为域控制器配置安全策略设置(从域控制器)。1 .若要打开域控制器安全策略，请在控制台树中，找到GroupPolicybjectComputerName策略，然后依次单击“计算机配置"、"Windows设置”*和“安全设置”。2 .执行以下操作之一：o双击“帐户策略”*来编辑“密码策略”、“帐户锁定策略”*或wKerberos策略”。o单击“本地策略”*来编辑“审核策略”、“用户权限分配”*或“安全选项”。3 .在详细信息窗格中，双击你希望修改的安全策略。注意如果尚未定义此安全策略，请选中“定义这些策略设置”复选框。4 .修改安全策略设置，然后单击“确定”*。要点始终在测试组织单位中测试新创建的策略，然后再将其应用到你的网络。当你通过GPO更改安全设置并单击“确定”时，该设置将在你下次刷新设置时生效。配置本地安全策略方法一：运行“gpedit.msc”进入本地组策略编辑器，选择”计算机配置"下的"windows设置”下的“安全设置”，然后分别对“帐户策略”和“本地策略”进行设置方法二：运行"control”进入控制面板，选择“管理工具”中的“本地安全策略”即可进行安全设置。下图左边是方法一，右边是方法二。文件(F)操作（八）X(V)帮助（三）*1(H三1b-J本地计算机策略，於计算机配置>软件设置，QWindows设置域名解析策略国脚本(B动/关机)»SSS已部署的打印机，安全设置，4帐户策略> 3定码策略> q帐户锁定策略，Zfi本地策略> 口市核策略> a用户权限分配>Ca安全选项t>一高级安全Windows防头网箔列表告理器集略公钥策略> £软件限制策略> Q应用程序控制策略"昊IP安全策略，在本地用r>M高级亩核策略配置Jj基于策略的QoSr>:言理模板，层用户配置>软件设置»QWindows设置»二管理模板%本地安全策略.文件(F)操作（八）查看(V)帮助（三）尊*向Xgh> q帐户策略> lS本地策略t>高级安全Windows防火墙网络列表告理器策略公钥策略> 软件限制策略D应用程序控制策略ISIP安全策略，在本地计算机> 高级亩核第略配置安全设置帐户策略Windows中的帐户策略的概述，并提供指向策略说明的链接。使用组策略应用的所有帐户策略设置都在域级别上应用。默认值存在于密码策略设置、帐户锁定策略设置和Kerberos策略设置的内置默认域控制器策略中。域帐户策略变为任何属于该域的设备的默认本地帐户策略。如果在ActiveDirectory域服务(ADDS)中在域级别下的任何级别设置这些策略，它们将仅影响成员服务器上的本地帐户。注意每个域只能有一个帐户策略。帐户策略必须在默认域策略中或在链接到域的根并且优先于默认域策略的新策略中定义，此帐户策略由域中的域控制器强制执行。这些域范围的帐户策略设置(密码策略、帐户锁定策略和Kerberos策略)由域中的域控制器强制执行；因此域控制器始终从默认的域策略组策略对象(GPO)中检索这些帐户策略设置的值。唯一的例外是当为组织单位(OU)定义其他帐户策略时。OU的帐户策略设置会影响包含在该OU中的任何计算机上的本地策略。例如，如果OU策略定义不同于域级别帐户策略的密码最长使用期限，将仅在用户登录本地计算机时应用和强制执行OU策略。默认本地计算机策略仅适用于既不适用OU帐户策略也不适用域策略的工作组或域中的计算机。密码策略在许多操作系统中，对用户身份进行验证的最常用方法是使用密码。安全的网络环境要求所有用户使用强密码，它至少拥有八个字符并包括字母、数字和符号的组合。这类密码可以防止未经授权的用户通过使用手动方法或自动工具猜测弱密码来损害用户帐户和管理帐户。定期更改强密码可以减少成功攻击密码的可能性。Windows在WindowsServer2008R2和WindowsServer2008中引入对细化密码策略的支持。此功能向组织提供了为域中不同组的用户定义不同密码和帐户锁定策略的方法。细化密码策略仅适用于用户对象(在未使用用户对象的情况下则为使用的InetOrgPerson对象)和全局安全组。若要将细化密码策略应用到OU中的用户，可以使用卷影组。卷影组是逻辑上映射到OU以强制执行细化策略的一个全局安全组。将OU的用户添加为新创建的卷影组的成员，然后将细化密码策略应用于此卷影组。可以根据需要为其他OU创建其他卷影组。如果将某个用户从一个OU移动到另一个OU,则必须更新相应卷影组的成员身份。除帐户锁定设置以外，细化密码策略还包括可以在默认域策略(KerberOS设置除外)中定义的所有设置的属性。在指定细化密码策略时，必须指定所有这些设置。默认情况下，仅域管理员组成员可以设置细化密码策略。但是,也可以将设置这些策略的功能委派给其他用户。域必须运行WindowsServer2008R2或WindowsServer2008及以上版本的系统才能使用细化密码策略。细化密码策略无法直接应用到组织单位(OU)o¾本地安全策略文件(F)工作（八）查看(V)Sff助（三）*1歹B*Bl昌IQ品安全设置策略安全设置霸密码必须符合友杂性要求SS用X路缶Bgq怅户锁定策哈总密谙长度最小值客谙麻使用期限8个字符0天1.j高级安全Windows防火墙网络死表音理器策略t>因公捐策BS»(软件限制策略演制三gP安全策Bg.在本地计算机t>高级本核第酪配置定码最长使用期限乩强制容码历史用可还原的加密来储存密码90天用将“强制密码历史”*设置为24o这将有助于缓解由于密码重复使用导致的漏洞。设置密码最长使用期限，以使密码的到期日期介于60天到90天之间。尝试使密码在重要业务周期之间到期以防止工作损失。将“密码最长使用期限”天数设置为60到90之间的值，具体取决于你的环境。这样，攻击者用于破解用户密码并有权访问你的网络资源的时间量将非常有限。配置密码最短使用期限，以便不允许你立即更改密码。将“密码最短使用期限”*设置为2天的值。通过将天数设置为0,可立即更改密码(不建议)。如果你为用户设置密码，并希望该用户更改管理员定义的密码，必须选中“用户下次登录时须更改密码”复选框。否则，用户将不能更改密码，直到"密码最短使用期限"*指定的天数到期。将最短密码长度设置为至少为8的值。如果字符数设置为0,则不需要使用密码。在大多数环境中，建议使用8个字符的密码；因为其长度足以提供适当的安全性并且其长度仍短到可供用户轻松记住。此值将帮助针对暴力攻击提供适当防御。添加复杂性要求将有助于减少字典攻击的可能性。允许使用短密码会降低安全性，因为使用针对密码执行字典攻击或暴力攻击的工具就可以很容易地破解短密码。要求使用非常长的密码可能导致密码错误输入，这可能导致帐户锁定，随后将增加技术人员的呼叫量。此外，要求使用极长的密码实际上会降低组织的安全性，因为用户可能更倾向于写下其密码以免忘记它们。将“密码必须符合复杂性要求”设置为“启用”。此策略设置结合8位的最短密码长度可确保一个密码具有至少218340105584896种不同的可能性。这使得进行暴力攻击变得困难，但仍非不可能。使用A1.T键字符组合可以极大地增强密码复杂性。但是，要求组织中的所有用户遵循此类严格的密码要求可能会使得用户不满意，也会使技术支持极其忙碌。请考虑在组织中实现此要求：将0128到0159范围内的A1.T字符用作所有管理员密码的一部分。（此范围之外的A1.T字符可以表示不让密码变得更加复杂的标准字母数字字符。）仅包含字母数字字符的密码很容易通过公共可用的工具遭到泄露。为避免此间题，密码应包含其他字符，并满足复杂性要求。将“使用可逆加密储存密码”*的值设置为“已禁用”。如果你通过远程访问或IAS使用CHAP,或者使用IIS中的摘要式身份验证，则必须将此值设置为“已启用”。当你针对不同的用户使用组策略应用此设置时，这将带来安全风险，因为它需要在ActiveDirectory用户和计算机中打开相应的用户帐户对象。注意不要启用此策略设置,除非业务需求比保护密码信息更为重要。帐户锁定策略某些在尝试登录你的系统时尝试使用较多不成功密码的人员可能是尝试通过反复试验确定帐户密码的恶意用户。Windows域控制器跟踪登录尝试，并且可以将域控制器配置为响应此类型的潜在攻击，方法是在预设时间段内禁用该帐户。帐户锁定策略设置控制此响应的阈值和达到该阈值后要执行的操作。3本地安全策略文件(F)操作（八）SW(V)帮助（三）4l三MIO安全设置不适用不适用亳安全役置,-S帐户策BgQ竭黄昭9帐户额定策略安全设置本地策略审核策略、*tca±g号3.)上兽二.-三-<5三5rt.t÷WMrg上才下计IlR.*nlr.事倒匕.BiSMnR一P窜一B与一个用FW6一XBO一.MMA*½4StnBn品重*：二CM。号量*.eu三ftM./CUHmrMHTq融Ye.SJtMK.”次4SW)t.fittEr三JS<s*H.MtfSOftA一*i三1W3.>2J9.w>三<n三一，达坦M三为2P、."WWGmFagJWiM一IHUM济嗯一g三tmE三.1.三*>WtC!Mr一rnm.5VWW.n*-ZraMg3用户权限分配用户权限管理用户登录系统的方法。用户权限在本地设备级别上应用，并且允许用户在设备或域中执行任务。用户权限包括登录权限。登录权限控制有权登录设备的用户及登录方式。用户权限控制对计算机和域资源的访问权限，并且它们可以替代已在特定对象上设置的权限。除非有特别的要求和设置，否则默认的用户权限不能随便修改。签ZflAdmimtralcxt.BckupOprtotAdrmivtretort100U.«RVKE.N1WO*CSUVK3««IrMS,SWKCAd<TMctr4t0rtAd11M*trtorUwrgycMeAdMrtrMtfWR幺2vpOPgArfmimtretonIOCMaKV>a>d>maratcrIOCMSCRVKtMMWs»MoeSAdm>ntrtorUtr,cicupOperMor*AdnimtralortAdfnrittfelOft1BMkMpOperMortAdmiractretorMAtffiWMtrMoaGvMGe<AdmnctretorvM<vw的oc1NT$(RVKEW45««<eHostMtnritlreton(WfywAOCAlMfMClMTWOKSRVKf.$Q1.U«w<2005Mn(Ml>c«<$0«$KTOP-VtM»<A31!$»<T|C$QUXMlUuAdmractretorKUMsUckupOfwr«to«1.OCM«RVK1.NTWO«X$RV1C31，25内.2»SkSCRVKE1.OCA1.URVKf1NfTWOMS(RvKeJKAPKKXX3auMp<>odAdmiSttrlft,VndowMMMQA*MowMnQ<vGroap1.OCMtfltVCf.N(YWO<KMVlCt.UXUrwrOMMtUXUMrSMMTO»-V(MKUHtMT(CSQlfXPMtt.artAPProo<vUtApp*oolAddtrmOcIOCMRV>.MTWOCS(KVIa.SQU4*wrmMtgUwdB38MMMMiuMYKC$0UXPmfVlMtrMocHSPW×XgauUp¾>oAdminstretorv_MTWvar*1GU«tn>oc¾UwrBdc(Op*aBor*Mrr*E"o，&R«frto«»Des½0Ih4nUMrtAdniriftrmoeSQISeW200WQtBfewMrufWSKTMVMHA31.SQUew20WMKIUyioeS<T0PVW*U31WMTKSaXXW%NTSCRV1CEAUS£RV«S.II5AWKXX3uUppFoo*S(XSmr25M½Q1.UrSOUCTgVfMMAmaTHSQ1.fXW¼>dnBrMxtcfa*OprMon.*rfocmanc1.09UwfvjtVUIAS从远程系统强制关机此安全设置确定允许哪些用户从网络上的远程位置关闭计算机。误用此用户权限会导致拒绝服务。此用户权限是在默认域控制器组策略对象(GPC)以及工作站和服务器的本地安全策略中进行定义的。默认值：在工作站和服务器上:AdminiStTatOrs15在域控制器上:AdministratorSsServerOperatorso注意:一般administrators成员只有administrator,要确认组里面的用户都是合法用户，靛终端是否允许远程，允许远程的情况下可以只包含administrator组或更多自定义用户和组，改成单独的一个administrator也是可以的；不允许远程的条件下，可忽略本加固选项。I最从远程系统强制关机Administrators安全选项常用的安全选项如下所示，在安全加固的时候需要对终端所在网络环境有所了解，并对于安全选项的默认值有所认知，在实际情景当中是否发生变化，以及是否需要变化。关机：清除虚拟内存页面文件此安全设置确定关闭系统时是否清除虚拟内存页面文件。虚拟内存支持在内存页面未使用时使用系统页面文件将其交换到磁盘。在正在运行的系统上，此页面文件由操作系统以独占方式打开，并且受到很好的保护。但是，配置为允许启动到其他操作系统的系统可能要确保在此系统关闭时清除系统页面文件。这可确保可能会进入页面文件的进程内存中的敏感信息不会被设法通过直接访问页面文件的未经授权用户使用。启用此策略会在干净关机时清除系统页面文件。启用此安全选项时，如果禁用休眠，休眠文件(hiberfilsys)也会被清零。默认值：禁用。注意:一般的终端只有一个操作系统,启用后会提高系统的运行速度，也可以不启用，可根据电脑的性能来决定是否启用，若是终端硬盘上安装了多个操作系统，则是一定要开启的，确保可能会进入页面文件的进程内存中的敏感信息不会被设法通过直接访问页面文件的未经授权用户使用；一般选择启用这个选项。关机:清除虚拟内存页面文件属性关机：允许系统在未登录的情况下关闭此安全设置确定是否可以在无需登录Windows的情况下关闭计算机。如果启用了此策略，Windows登录屏幕上的“关机”命令可用。如果禁用了此策略，Windows登录屏幕上不会显示关闭计算机的选项。在这种情况下，用户必须能够成功登录到计算机并具有关闭系统的用户权限，然后才可以执行系统关闭。在工作站上的默认设置：已启用。在服务器上的默认设置：已禁用。谓：一个陌生人试图打开你的电脑猜测你的登录密码进入你的系统，如果他没有成功，你是希望他关机了不被你发现，还是留下最直接的罪证他动了你的电脑。所以在这里要选择禁用在未登录的情况下关机。交互式登录：登录时不显示用户名该安全设置确定在输入凭据后和显示电脑桌面前是否在Windows登录屏幕显示正在登录该台电脑的人员的用户名。如果启用该策略，将不显示用户名。如果禁用该策略，将显示用户名。默认：禁用。注意：同上，不显示终端的用户名更不利于陌生人试图动你的终端。交互式登录：锁定会话时显示用户信息此设置控制诸如电子邮件地址或域用户名等详细信息是否随用户一起显示在登录屏幕上。对于运行Windows10版本1511和1507(RTM)的客户端，此设置的作用与之前版本的Windows相似。由于Windows10版本1607中有新的隐私设置，因此此设置对于这些客户端有不同影响。此设置具有以下可能值：- 用户显示名称、域和用户名：对于本地登录，显示用户的全名。如果用户使用Microsoft帐户登录，将显示用户的电子邮件地址。对于域登录，显示域用户名。- 仅用户显示名称：显示锁定会话的用户的命名Q- 不显示用户信息：不显示名称，但对于Windows10以前的所有版本，将在切换用户桌面显不用户命名C- 空白：默认设置。这将被解读为“未定义”，但将以与选项“仅用户显示名称”相同的方式显示用户的命名。注意:最佳做法对此策略的实施取决于你对显示的登录信息的安全要求。如果你运行的计算机存储了敏感数据，显示器在不安全的位置显示，或者你的计算机上有需要远程访问的敏感数据，泄漏登录用户的全名或域帐户名可能违反了你的整个安全策略。根据你的安全策略，你可能需要启用"交互式登录：不显示上次登录信息”策略。交互式登录:锁定会话时显示用户信息属性Qfial交互式登录：提示用户在密码过期之前更改密码确定提前多长时间（以天为单位）向用户发出其密码即将过期的警告。借助该提前警告，用户有时间构造足够强大的密码°默认:5天。注意:按需更改交互式登录：无需按CTR1.+A1.T+DE1.此安全设置确定在用户登录之前是否需要按CTR1.+A1.T+DE1.o如果在计算机上启用了此策略，则用户无需按CTR1.÷A1.T+DE1.即可登录。不必按CTR1.÷A1.T÷DE1.,用户就容易受到试图拦截用户密码的攻击。如果用户在登录前需要按CTR1.+A1.T+DE1.则可确保用户在输入其密码时通过可信路径进行通信C如果禁用此策略，则任何用户在登录到Windows前都必须按CTR1.+A1.T÷DE1.o域计算机上的默认值：已启用：至少Windows8Effl:Windows7或更早版本。独立计算机上的默认值：已启用。设备：防止用户在连接共享打印机时安装打印机驱动程序对于要使用共享打印机进行打印的计算机,该本地计算机上必须安装有该共享打印机的驱动程序。此安全设置确定允许哪些人可以在连接共享打印机时安装打印机驱动程序。如果启用该设置，则只有管理员可以在连接共享打印机时安装打印机驱动程序。如果禁用该设置，则任何用户都可以在连接共享打印机时安装打印机驱动程序。服务器上的默认值：启用。工作站上的默认值：禁用。注意该设置不影响添加本地打印机的能力。该设置不影响管理员。设备：将CD-ROM的访问权限仅限于本地登录的用户该安全设置确定本地用户和远程用户是否可以同时访问CD-ROMo如果启用该策略，将仅允许交互式登录的用户访问可移动CD-ROM介质。如果启用该策略但没有用户以交互方式登录，则可以通过网络访问CD-Rc)MC默认值：未定义此策略，且没限制本地登录用户对CD-ROM的访问权限。设备：允许在未登录的情况下移除此安全设置确定是否不必登录就可以移除笔记本电脑。如果启用此策略，则不需要登录，且某个外部硬件弹出按钮可以用于移除计算机.如果禁用此策略，则用户必须登录且具有从扩展坞移除计算机的权限时才能移除计算机0默认：启用。鼓2tH口禁用此策略可能会诱使用户尝试使用除外部硬件弹出按钮之外的方法从扩展坞物理移除笔记本电脑。由于这会导致损坏硬件，一般情况下，仅应在物理上安全的笔记本电脑配置上禁用此设置。注意：适用于笔记本终端设备:允许在未登录的情况下弹出属性审核：对备份和还原权限的使用进行审核此安全设置确定当审核权限使用策略生效时是否审核包括备份和还原在内的所有用户权限的使用。启用审核权限使用策略的同时启用此选项，会为备份或还原的每个文件生成一个审核事件。如果禁用此策略，则即使启用了审核权限使用，也不会审核备份或还原权限的使用°注意:在WindowsVista之前的Windows版本上配置此安全设置时，只有重新启动Widows,更改才会生效。启用此设置可能会导致大量事件，在备份操作过程中有时每秒会产生数百个事件。默认值：禁用。注意：硬盘剩余空间足够大的情况下可以选择启用，不然不建议选择启用审核：对全局系统对象的访问权限进行审核此安全设置确定是否要审核全局系统对象的访问权限。如果启用此策略，则它会导致使用默认的系统访问控制列表(SAC1.)创建系统对象，如互斥、事件、信号和DOS设备。仅会为具有名称的对象提供SAC1.；不会为没有名称的对象提供SAC1.o如果还启用了审核对象访问权限审核策略，则会审核对这些系统对象的访问。注意:配置此安全设置时，只有重新启动Windows,更改才会生效。默认值：禁用C注意：全局系统对象(也称为“基本系统对象”或“基本命名对象”)是临时的内核对象，具有按创建它们的应用程序或系统组件分配给它们的名称。这些对象通常用于同步多个应用程序或复杂应用程序的多个部分。由于它们具有名称，因此这些对象的范围为全局，从而对设备上的所有进程可见。这些对象全都具有安全描述符；但通常情况下，它们没有NU1.1.SAC1.o如果你启用此策略设置并且它在启动时生效，内核会在创建对象时将一个SAC1.分配给这些对象。存在一个威胁，即如果未正确保护全局可见的命名对象，知道该对象名称的恶意程序可能会对其执行操作。例如，如果互斥等同步对象具有构造不佳的自定义访问控制列表(DAC1.)t恶意程序可按名称访问该互斥，并导致创建它的程序无法正常工作。但是，发生这种情况的风险很低。启用此策略设置可能会生成大量安全事件，在繁忙的域控制器和应用程序服务器上尤其如此。这可能导致服务器响应速度缓慢，并强制安全日志记录大量无关紧要的事件。审核对全局系统对象的访问是一项非此即彼的事务；无法筛选记录哪些事件，不记录哪些事件。即使组织具有用于分析在启用此策略设置时生成的事件的资源，它不太可能具有源代码或有关每个命名对象的用途的说明；因此，不可能有很多组织从启用此策略设置中受益。如果你启用“审核：对全局系统对象的访问进行审核"*设置，可能会生成大量安全事件，在繁忙的域控制器和应用程序服务器上尤其如此。此类情况可能会导致服务器响应速度缓慢，并强制安全日志记录大量无关紧要的事件。只能启用或禁用此策略设置，无法从此设置中选择记录哪些事件。即使组织有用于分析此策略设置生成的事件的资源，但他们也不可能具有源代码或有关每个命名对象的用途的说明。因此，大多数组织不可能通过启用此策略设置受益。若要减少生成的审核事件的数量，请使用高级审核策略。使用“高级安全审核策略设置”“对象访问”中的高级安全审核策略选项“审核内核对象”来减少你生成的不相关审核事件的数量。网络安全：在超过登录时间后强制注销此安全设置确定在连接到本地计算机的用户超出其用户帐户的有效登录时间时是否断开与其的连接。此设置会影响服务器消息块(SMB)组件。启用此策略时，一旦客户端的登录时间过期，该策略便会强制断开与SMB服务器建立的客户端会话。如果禁用此策略，即便在客户端登录时间过期后，仍允许维持已建立的客户端会话。默认设置：启用。注意:此安全设置与帐户策略的工作方式相同。域帐户只能有一个帐户策略。该帐户策略必须在默认域策略中定义，并且由组成域的域控制器来强制实施。域控制器始终使用默认域策略组策略对象(GPO)中的该帐户策略，即使存在一个应用于包含该域控制器的组织单位的其他帐户策略。默认情况下，加入域的工作站和服务器(例如，成员计算机)也会得到与它们的本地帐户相同的帐户策略。但是，通过为包含成员计算机的组织单位定义一个帐户策略，用于成员计算机的本地帐户策略可以与域帐户策略不同。Kerberos设置不会应用于成员计算机。网络访问：本地帐户的共享和安全模型此安全设置确定如何对使用本地帐户的网络登录进行身份验证。如果将此设置设为“经典”，使用本地帐户凭据的网络登录通过这些凭据进行身份验证。“经典”模型能够对资源的访问权限进行精细的控制。通过使用“经典"模型，你可以针对同一个资源为不同用户授予不同类型的访问权限。如果将此设置设为“仅来宾”，使用本地帐户的网络登录会自动映射到来宾帐户。使用"仅来宾”模型，所有用户都可得到平等对待。所有用户都以来宾身份进行验证，并且都获得相同的访问权限级别来访问指定的资源，这些权限可以为只读或修改。在域计算机上的默认值：经典。在独立计算机上的默认值：仅来宾。重要信息使用“仅来宾”模型时，所有可以通过网络访问计算机的用户（包括匿名Internet用户）都可以访问共享资源。你必须使用Windows防火墙或其他类似设备来防止对计算机进行未经授权的访问。同样，使用“经典”模型时，本地帐户必须受密码保护；否则，这些用户帐户可以被任何人用来访问共享的系统资源。注意:此设置不会影响通过使用如Telnet或远程桌面服务等服务远程执行的交互式登录。在以前版本的WindowsServer中，远程桌面服务称为终端服务。此策略将不会影响运行Windows2000的计算机。计算机未加入域时，此设置也会将文件资源管理器中的“共享和安全”选项卡修改为与正在使用的共享和安全模型对应的设置。网络访问:本地怅户的共享和安全模型厘性l网络访问：可远程访问的注册表路径此安全设置确定哪些注册表项可以通过网络进行访问，而不管Winreg注册表项的访问控制列表(AC1.)中列出的用户或组是什么。默认值：SystemCurretCotrolSetCotrolProductOptiosSystemCurretControlSetCotrolServerApplicationsSoftwarexMicrosoftXWindowsNTXCurrentVersion2t编辑注册表不当可能会严重损坏你的系统。在更改注册表之前，应在计算机上备份任何有价值的数据0注意:此安全设置在Windows的早期版本上不可用。运行WindowsXP的计算机上出现的该安全设置为“网络访问：可远程访问的注册表路径”，它对应于在WindowsServer2003家族的成员计算机上显示的“网络访问：可远程访问的注册表路径和子路径”安全选项。注意：将此策略设置为null值；即启用该策略设置，但未在文本框中输入任何路径。确定II朝网络访问：可远程访问的注册表路径和子路径此安全设置确定哪些注册表路径和子路径可以通过网络进行访问，而不管Winreg注册表项的访问控制列表(AC1.)中列出的用户或组是什么。默认设置：SystemCurretCotrolSetCotrolPrintPrintersSystemCurretCotrolSetServicesEventlogSoftwareMicrosoft01.APServerSoftwarexMicrosoftXWindowsNTCurrentVersioPrintSoftwareMicrosoftWidowsNTCurretVersioWidowsSystemCurretCotrolSetCotrolCotentlde×SystemCurretCotrolSetCotrolTerminalServerSystemCurretControlSetCotrolTerminalServerXUserConfigSystemCurretCotrolSetCotrolTerminalServerxDefaultUserConfigurationSoftwareMicrosoftWindowsNTCurrentVersionPerflibSystemCurrentControlSetServicesSysmon1.ogSystemCurrentControlSetServicesCertSvcSystemCurrentControlSetServicesWins警告编辑注册表不当可能会严重损坏你的系统。在更改注册表之前，应在计算机上备份任何有价值的数据。注意:在WindowsXP上，此安全设置称为"网络访问：可远程访问的注册表路径”。如果在加入域的WindowsServer2003家族的成员计算机上配置此设置，此设置会被运行WindowsXP的计算机继承，但是它将显示为"网络访问：可远程访问的注册表路径”安全选项。用户帐户控制：标准用户的提升提示行为此策略设置控制标准用户的提升提示行为。选项为: 提示凭据:（默认设置）当某个操作需要提升权限时，将提示用户输入管理用户名和密码。如果用户输入有效凭据，则该操作将使用适用的权限继续进行。 自动拒绝提升请求：当某个操作需要提升权限时，显示访问被拒绝的错误消息。作为标准用户运行桌面的企业可以选择该设置来减少技术支持呼叫次数。 在安全桌面上提示凭据：当某个操作需要提升权限时，将在安全桌面上提示用户输入另一个用户名和密码。如果用户输入有效凭据，则该操作将使用适用的权限继续进行。用户怅户控制:标准用户的提升提示行为属性l用户帐户控制：在管理审批模式下管理员的提升提示行为此策略设置控制管理员的提升提示行为。选项为： 无提示提升：允许有权限的帐户执行需要提升权限的操作，而无需同意或凭据。遽：仅在大多数受限制的环境中使用该选项。在安全桌面上提示凭据：当某个操作需要提升权限时，将在安全桌面上提示用户输入有权限的用户名和密码。如果用户输入有效凭据,则该操作将使用用户的最高可用权限继续进行。 在安全桌面上同意提示：当某个操作需要提升权限时，将在安全桌面上提示用户选择“允许"或“拒绝”。如果用户选择“允许”，则该操作将使用用户的最高可用权限继续进行。 提示凭据：当某个操作需要提升权限时，将提示用户输入管理用户名和密码。如果用户输入有效凭据，则该操作将使用适用的权限继续进行。 同意提示：当某个操作需要提升权限时，将提示用户选择“允许”或“拒绝”。如果用户选择“允许”，则该操作将使用用户的最高可用权限继续进行。 非Windows二进制文件的同意提示：（默认设置）当非Microsoft应用程序的某个操作需要提升权限时,将在安全桌面上提示用户选择“允许”或“拒绝”。如果用户选择“允许”，则该操作将使用用户的最高可用权限继续进行。用户帐户控制:售建员批准模式中首理员的提升权我用户帐户控制：检测应用程序安装和提示提升此策略设置控制计算机的应用程序安装检测行为。选项为:启用:（默认）当检测到某个应用程序安装程序包需要提升权限时，将提示用户输入管理用户名和密码。如果用户输入有效凭据，则该操作将使用适用的权限继续进行。禁用：未检测到应用程序安装程序包并且提示提升权限。运行标准用户桌面以及使用委派安装技术组策略软件安装或系统管理服务器（SMS）的企业应该禁用此策略设置。在这种情况下，不必检测安装程序。注意：1 .在企业运行利用委派的安装技术（例如组策略软件安装1.注意I）或配置管理器）的标准用户桌面时,安装程序检测就已不再需要。因此,你可以将此安全策略设置为“已禁用”。2 .启用“用户帐户控制：检测应用程序安装并提示提升权限”*设置，因此标准用户必须在软件安装前提供管理凭据。用户帐户控制：提示提升时切换到安全桌面此策略设置控制提升请求是在交互式用户桌面上提示还是在安全桌面上提示。选项为: 启用:（默认设置）无论管理员和标准用户的提示行为策略设置如何，所有提升请求都将转至安全桌面。 禁用：所有提升请求都将转至交互式用户桌面。使用管理员和标准用户的提示行为策略设置。用户帐户控制：启用管理审批模式此策略设置控制计算机的所有用户帐户控制（UAC）策略设置行为。如果更改此策略设置，则必须重新启动计算机。选项为： 启用:（默认设置）启用管理审批模式。必须启用该策略并且相关的UAC策略设置还必须设置正确以允许内置管理员帐户以及是管理员组成员的所有其他用户在管理审批模式下运行。 禁用：禁用管理审批模式以及所有相关UAC策略设置。:如果禁用此策略设置，则安全中心将通知你操作系统的总体安全性已降低。用户畅户控制:以营理员批准模式运行所有苜理员属性、iM用户帐户控制：仅提升已签名和验证的可执行文件此策略设置将强制对请求提升权限的任何交互式应用程序执行公钥基础结构(PKI)签名检查。企业管理员可以通过向本地计算机上的受信任的发布者证书存储中添加证书控制允许运行的应用程序。选项为： 启用：在允许