国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

1.用戶權(quán)限允許用戶在計(jì)算機(jī)上或域中執(zhí)行任務(wù)。用戶權(quán)限包括“登錄權(quán)限”和“特權(quán)”。登錄權(quán)限控制為誰(shuí)授予登錄計(jì)算機(jī)的權(quán)限以及他們的登錄方式。特權(quán)控制計(jì)算機(jī)和域資源的訪問(wèn)，并且可以覆蓋特定對(duì)象上設(shè)置的權(quán)限。

　　2.登錄權(quán)限的一個(gè)示例是在本地登錄計(jì)算機(jī)的能力。特權(quán)的一個(gè)示例是關(guān)閉計(jì)算機(jī)的能力。這兩種用戶權(quán)限都由管理員作為計(jì)算機(jī)安全設(shè)置的一部分分配給單個(gè)用戶或組。

　　用戶權(quán)限分配設(shè)置

　　用戶權(quán)限分配設(shè)置

　　您可以在組策略對(duì)象編輯器的以下位置配置用戶權(quán)限分配設(shè)置：

　　計(jì)算機(jī)配置\Windows 設(shè)置\安全設(shè)置\本地策略\用戶權(quán)限分配

　　從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)

　　此策略設(shè)置確定用戶是否可以從網(wǎng)絡(luò)連接到計(jì)算機(jī)。許多網(wǎng)絡(luò)協(xié)議均需要此功能，包括基于服務(wù)器消息塊 (SMB) 的協(xié)議、NetBIOS、通用 Internet 文件系統(tǒng) (CIFS) 和組件對(duì)象模型 (COM+)。

　　1.“從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)”設(shè)置的可能值為：?

　　用戶定義的帳戶列表

　　

　　沒(méi)有定義

　　漏洞:用戶只要可以從其計(jì)算機(jī)連接到網(wǎng)絡(luò)，即可訪問(wèn)目標(biāo)計(jì)算機(jī)上他們具有權(quán)限的資源。例如，用戶需要“從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)”用戶權(quán)限以連接到共享打印機(jī)和文件夾。如果將此用戶權(quán)限分配給 Everyone 組，并且某些共享文件夾配置了共享和 NTFS 文件系統(tǒng) (NTFS) 權(quán)限，以便相同組具有讀取訪問(wèn)權(quán)限，那么組中的任何用戶均能夠查看那些共享文件夾中的文件。但是，此情況與帶有 Service Pack 1 (SP1) 的 Microsoft Windows Server? 2003 的全新安裝不同，因?yàn)?Windows Server 2003 中的默認(rèn)共享和 NTFS 權(quán)限不包括 Everyone 組。對(duì)于從 Windows NT? 4.0 或 Windows 2000 升級(jí)的計(jì)算機(jī)，此漏洞可能具有較高級(jí)別的風(fēng)險(xiǎn)，因?yàn)檫@些操作系統(tǒng)的默認(rèn)權(quán)限不如 Windows Server 2003 中的默認(rèn)權(quán)限那樣嚴(yán)格。

　　對(duì)策:將“從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)”用戶權(quán)限僅授予需要訪問(wèn)服務(wù)器的那些用戶。例如，如果將此策略設(shè)置配置為 Administrators 和 Users 組，倘若本地 Users 組中包括 Domain Users 組中的成員，登錄到域的用戶將能夠從域中的服務(wù)器訪問(wèn)共享資源。

　　潛在影響:如果在域控制器上刪除所有用戶“從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)”的用戶權(quán)限，則任何人都不能登錄到域或使用網(wǎng)絡(luò)資源。如果在成員服務(wù)器上刪除此用戶權(quán)限，用戶將無(wú)法通過(guò)網(wǎng)絡(luò)連接到這些服務(wù)器。如果已安裝可選組件，如 ASP.NET 或 Internet 信息服務(wù) (IIS)，可能需要將此用戶權(quán)限分配給那些組件所需的其他帳戶。驗(yàn)證是否為其計(jì)算機(jī)需要訪問(wèn)網(wǎng)絡(luò)的授權(quán)用戶分配了此用戶權(quán)限，這一點(diǎn)很重要。

　　以操作系統(tǒng)方式操作

　　此策略設(shè)置確定進(jìn)程是否可采用任何用戶的標(biāo)識(shí)，從而獲得用戶被授權(quán)訪問(wèn)的資源的訪問(wèn)權(quán)限。通常，只有低級(jí)別的身份驗(yàn)證服務(wù)需要此用戶權(quán)限。請(qǐng)注意，在默認(rèn)情況下，潛在訪問(wèn)不局限于與該用戶相關(guān)的范圍。調(diào)用進(jìn)程可能請(qǐng)求將任意其他特權(quán)添加到訪問(wèn)令牌中。調(diào)用進(jìn)程還可能生成不提供用于在系統(tǒng)事件日志中審核的主標(biāo)識(shí)的訪問(wèn)令牌。

　　2.“以操作系統(tǒng)方式操作”設(shè)置的可能值為：?

　　用戶定義的帳戶列表

　　

　　沒(méi)有定義

　　漏洞:“以操作系統(tǒng)方式操作”用戶權(quán)限的功能非常強(qiáng)大。任何具有此用戶權(quán)限的人員都可以完全控制計(jì)算機(jī)并清除其活動(dòng)的證據(jù)。

　　對(duì)策:將“以操作系統(tǒng)方式操作”用戶權(quán)限授予盡可能少的帳戶，在一些典型情況下甚至不應(yīng)將其分配給 Administrators 組。當(dāng)某個(gè)服務(wù)需要此用戶權(quán)限時(shí)，請(qǐng)將此服務(wù)配置為使用本地系統(tǒng)帳戶登錄，該帳戶本身具有此特權(quán)。不要單獨(dú)創(chuàng)建一個(gè)帳戶，然后將此用戶權(quán)限分配給它。

　　潛在影響:應(yīng)該沒(méi)有或幾乎沒(méi)有影響，因?yàn)槌镜叵到y(tǒng)帳戶外其他帳戶很少需要“以操作系統(tǒng)方式操作”用戶權(quán)限。

　　域中添加工作站

　　此策略設(shè)置確定用戶是否可將計(jì)算機(jī)添加到特定域。為使其生效，必須分配此策略設(shè)置使其應(yīng)用于至少一個(gè)域控制器。分配了此用戶權(quán)限的用戶可以將多達(dá)十個(gè)工作站添加到域。如果用戶具有 Active Directory? 目錄服務(wù)中的組織單位 (OU) 或計(jì)算機(jī)容器的“創(chuàng)建計(jì)算機(jī)對(duì)象”權(quán)限，還可以將計(jì)算機(jī)加入域。分配了此權(quán)限的用戶可將任意數(shù)量的計(jì)算機(jī)添加到域，不管他們是否具有“域中添加工作站”用戶權(quán)限。

　　3.“域中添加工作站”設(shè)置的可能值為：

　　

　　用戶定義的帳戶列表

　　

　　沒(méi)有定義

　　漏洞:“域中添加工作站”用戶權(quán)限存在一個(gè)中等安全漏洞。具有此權(quán)限的用戶可向其配置方式違反組織安全策略的域中添加計(jì)算機(jī)。例如，如果您的組織不希望用戶在其計(jì)算機(jī)上具有管理特權(quán)，用戶可在其計(jì)算機(jī)上安裝 Windows，然后將該計(jì)算機(jī)添加到域中。他們將獲得本地管理員帳戶的密碼，并且可以使用該帳戶進(jìn)行登錄，然后將自己的域帳戶添加到本地的 Administrators 組中。

　　對(duì)策:配置“域中添加工作站”設(shè)置，以便只允許信息技術(shù) (IT) 小組中的授權(quán)成員向域中添加計(jì)算機(jī)。

　　潛在影響:如果組織從來(lái)不允許用戶設(shè)置自己的計(jì)算機(jī)并將其添加到域中，此對(duì)策將沒(méi)有任何影響。如果組織允許部分或全部用戶配置自己的計(jì)算機(jī)，此對(duì)策將強(qiáng)制該組織建立一個(gè)正式的進(jìn)程以使這些過(guò)程實(shí)現(xiàn)。它不會(huì)影響現(xiàn)有計(jì)算機(jī)，除非計(jì)算機(jī)從域中刪除并重新添加到域中。

　　調(diào)整進(jìn)程的內(nèi)存配額

　　此策略設(shè)置確定用戶是否可調(diào)整進(jìn)程可用的最大內(nèi)存量。盡管此功能在需要調(diào)整計(jì)算機(jī)時(shí)很有用，但應(yīng)考慮潛在的濫用情況。此用戶權(quán)限如果被別人利用，可能會(huì)導(dǎo)致拒絕服務(wù) (DoS) 攻擊。

　　4“調(diào)整進(jìn)程的內(nèi)存配額”設(shè)置的可能值為：

　　

　　用戶定義的帳戶列表

　　

　　沒(méi)有定義

　　漏洞:具有“調(diào)整進(jìn)程的內(nèi)存配額”特權(quán)的用戶可減少任何進(jìn)程的可用內(nèi)存量，這可能導(dǎo)致業(yè)務(wù)關(guān)鍵性網(wǎng)絡(luò)應(yīng)用程序速度變慢或無(wú)法工作。

　　對(duì)策:將“調(diào)整進(jìn)程的內(nèi)存配額”用戶權(quán)限僅授予需要將其用于完成工作的用戶，例如維護(hù)數(shù)據(jù)庫(kù)管理系統(tǒng)的應(yīng)用程序管理員，或管理組織的目錄及其支持基礎(chǔ)結(jié)構(gòu)的域管理員。

　　潛在影響:不將用戶角色限制在有限特權(quán)范圍內(nèi)的組織將發(fā)現(xiàn)很難實(shí)行此對(duì)策。此外，如果已安裝可選組件，如 ASP.NET 或 IIS，可能需要將“調(diào)整進(jìn)程的內(nèi)存配額”用戶權(quán)限分配給那些組件所需的其他帳戶。IIS 要求將此特權(quán)明確分配給 IWAM_<計(jì)算機(jī)名稱>、網(wǎng)絡(luò)服務(wù)和服務(wù)帳戶。否則，此對(duì)策將對(duì)大多數(shù)計(jì)算機(jī)沒(méi)有任何影響。如果用戶帳戶必需此用戶權(quán)限，可將該用戶權(quán)限分配至本地計(jì)算機(jī)帳戶而不是域帳戶。

　　允許在本地登錄

　　此策略設(shè)置確定用戶是否可在計(jì)算機(jī)上啟動(dòng)交互式會(huì)話。如果不具有此權(quán)限的用戶具有“通過(guò)終端服務(wù)允許登錄”權(quán)限，則其仍然可以在計(jì)算機(jī)上啟動(dòng)一個(gè)遠(yuǎn)程交互式會(huì)話。

　　5.“允許在本地登錄”設(shè)置的可能值為：

　　

　　用戶定義的帳戶列表

　　

　　沒(méi)有定義

　　漏洞:任何具有“允許在本地登錄”用戶權(quán)限的帳戶都能夠登錄到計(jì)算機(jī)的控制臺(tái)。如果沒(méi)有將此用戶權(quán)限僅授予需要能夠登錄到計(jì)算機(jī)的控制臺(tái)的合法用戶，未經(jīng)授權(quán)的用戶可以下載并執(zhí)行惡意代碼來(lái)提升其特權(quán)。

　　對(duì)策:對(duì)于域控制器，僅將“允許在本地登錄”用戶權(quán)限分配給 Administrators 組。對(duì)于其他服務(wù)器角色，可以選擇添加 Backup Operators 和 Power Users。對(duì)于最終用戶計(jì)算機(jī)，還應(yīng)將此權(quán)限分配給 Users 組。

　　或者，可將諸如 Account Operators、Server Operators 和 Guests 之類的組分配給“拒絕本地登錄”用戶權(quán)限。

　　潛在影響:如果刪除這些默認(rèn)組，可以限制在環(huán)境中分配了特定管理角色的用戶的能力。如果已安裝可選組件(例如 ASP.NET 或 Internet 信息服務(wù)），可能需要將“允許在本地登錄”用戶權(quán)限分配給那些組件所需的其他帳戶。IIS 要求將此用戶權(quán)限分配給 IUSR_<計(jì)算機(jī)名稱> 帳戶。應(yīng)確認(rèn)不會(huì)對(duì)委派的活動(dòng)產(chǎn)生負(fù)面影響。

　　通過(guò)終端服務(wù)允許登錄

　　此策略設(shè)置確定用戶是否可以通過(guò)遠(yuǎn)程桌面連接登錄到計(jì)算機(jī)。不應(yīng)將此用戶權(quán)限分配給其他用戶或組。相反，最佳做法是在 Remote Desktop Users 組中添加或刪除用戶，來(lái)控制誰(shuí)可以打開到計(jì)算機(jī)的遠(yuǎn)程桌面連接。

　　6.“通過(guò)終端服務(wù)允許登錄”設(shè)置的可能值為：

　　

　　用戶定義的帳戶列表

　　

　　沒(méi)有定義

　　漏洞:具有“通過(guò)終端服務(wù)允許登錄”用戶權(quán)限的任何帳戶都可以登錄到計(jì)算機(jī)的遠(yuǎn)程控制臺(tái)。如果沒(méi)有將此用戶權(quán)限授予需要登錄到計(jì)算機(jī)的控制臺(tái)的合法用戶，未經(jīng)授權(quán)的用戶能夠下載并執(zhí)行惡意代碼來(lái)提升其特權(quán)。

　　對(duì)策:對(duì)于域控制器，僅將“通過(guò)終端服務(wù)允許登錄”用戶權(quán)限分配給 Administrators 組。對(duì)于其他服務(wù)器角色和最終用戶計(jì)算機(jī)，還應(yīng)將此權(quán)限授予 Remote Desktop Users 組。對(duì)于不是在應(yīng)用程序服務(wù)器模式下運(yùn)行的終端服務(wù)器，確保只有需要遠(yuǎn)程管理計(jì)算機(jī)的經(jīng)授權(quán) IT 人員才屬于這兩組之一。

　　警告：對(duì)于以應(yīng)用程序服務(wù)器模式運(yùn)行的終端服務(wù)器，請(qǐng)確保只有需要訪問(wèn)服務(wù)器的用戶才具有屬于 Remote Desktop Users 組的帳戶，因?yàn)榇藘?nèi)置組在默認(rèn)情況下具有此登錄權(quán)限。

　　或者，可以將“通過(guò)終端服務(wù)拒絕登錄”用戶權(quán)限分配諸如 Account Operators、Server Operators 和 Guests 之類的組。但是，在使用此方法時(shí)要小心，因?yàn)檫@可能會(huì)阻止訪問(wèn)碰巧也屬于具有“通過(guò)終端服務(wù)拒絕登錄”用戶權(quán)限的組的合法管理員。

　　潛在影響:從其他組中刪除“通過(guò)終端服務(wù)允許登錄”用戶權(quán)限或更改這些默認(rèn)組中的成員身份可能會(huì)限制在環(huán)境中執(zhí)行特定管理角色的用戶的能力。應(yīng)確認(rèn)不會(huì)對(duì)委派的活動(dòng)產(chǎn)生負(fù)面影響。

　　備份文件和目錄

　　此策略設(shè)置確定用戶是否可越過(guò)文件和目錄權(quán)限來(lái)備份計(jì)算機(jī)。僅當(dāng)應(yīng)用程序嘗試通過(guò)如 NTBACKUP.EXE 的備份實(shí)用程序來(lái)通過(guò) NTFS 備份應(yīng)用程序編程接口 (API) 進(jìn)行訪問(wèn)時(shí)，此用戶權(quán)限才有效。否則，應(yīng)用標(biāo)準(zhǔn)文件和目錄權(quán)限。

　　7.“備份文件和目錄”設(shè)置的可能值為：

　　

　　用戶定義的帳戶列表

　　

　　沒(méi)有定義

　　漏洞:能夠從計(jì)算機(jī)備份數(shù)據(jù)的用戶可以將備份媒體拿到另一臺(tái)非域計(jì)算機(jī)上（在這臺(tái)計(jì)算機(jī)上用戶具有管理員特權(quán)），然后恢復(fù)數(shù)據(jù)。他們可以取得文件的所有權(quán)，查看備份集內(nèi)包含的任何未加密數(shù)據(jù)。

　　對(duì)策:將“備份文件和目錄”用戶權(quán)限僅授予那些需要將備份組織的數(shù)據(jù)作為其日常職責(zé)一部分的 IT 小組成員。如果您正在使用在特定服務(wù)帳戶下運(yùn)行的備份軟件，只有這些帳戶（而不是 IT 人員）應(yīng)該具有“備份文件和目錄”用戶權(quán)限。

　　潛在影響:對(duì)具有“備份文件和目錄”用戶權(quán)限的組中成員身份的更改會(huì)限制環(huán)境內(nèi)分配了特定管理角色的用戶的能力。應(yīng)確認(rèn)授權(quán)的備份管理員仍然能夠執(zhí)行備份操作。

　　8.“跳過(guò)遍歷檢查

　　此策略設(shè)置確定用戶在 NTFS 文件系統(tǒng)或注冊(cè)表中導(dǎo)航對(duì)象路徑時(shí)，是否可跳過(guò)文件夾，而不檢查特殊訪問(wèn)權(quán)限“遍歷文件夾”。此用戶權(quán)限不允許用戶列出文件夾的內(nèi)容；只允許用戶遍歷文件夾。

　　跳過(guò)遍歷檢查”設(shè)置的可能值為：

　　

　　用戶定義的帳戶列表

　　

　　沒(méi)有定義

　　漏洞:“跳過(guò)遍歷檢查”設(shè)置的默認(rèn)配置允許任何人跳過(guò)遍歷檢查，經(jīng)驗(yàn)豐富的 Windows 系統(tǒng)管理員可以相應(yīng)配置文件系統(tǒng)訪問(wèn)控制列表 (ACL)。默認(rèn)配置可能導(dǎo)致災(zāi)禍的唯一情形是，配置權(quán)限的管理員不理解此策略設(shè)置如何起作用。例如，他們可能認(rèn)為無(wú)法訪問(wèn)某個(gè)文件夾的用戶也無(wú)法訪問(wèn)任何子文件夾的內(nèi)容。該情況不太可能發(fā)生，因此此漏洞的風(fēng)險(xiǎn)很低。

　　對(duì)策:非常關(guān)心安全的組織可能希望從具有“跳過(guò)遍歷檢查”用戶權(quán)限的組列表中刪除 Everyone 組，甚至可能希望刪除 Users 組。對(duì)遍歷分配采取顯式控制是控制敏感信息訪問(wèn)非常有效的一種方式。（此外，也可以使用 Windows Server 2003 SP1 中增加的基于訪問(wèn)的枚舉功能。如果使用基于訪問(wèn)的枚舉，用戶無(wú)法看到他們無(wú)權(quán)訪問(wèn)的任何文件夾或文件。

　　潛在影響:Windows 操作系統(tǒng)以及許多應(yīng)用程序被設(shè)計(jì)為要求可合法訪問(wèn)計(jì)算機(jī)的任何人具有此用戶權(quán)限。因此，Microsoft 建議您徹底測(cè)試對(duì)“跳過(guò)遍歷檢查”用戶權(quán)限分配的任何更改，然后再對(duì)生產(chǎn)系統(tǒng)進(jìn)行這些更改。特別是 IIS 要求將此用戶權(quán)限分配給網(wǎng)絡(luò)服務(wù)、本地服務(wù)、IIS_WPG、IUSR_<計(jì)算機(jī)名稱>和 IWAM_<計(jì)算機(jī)名稱>帳戶。（還必須通過(guò)它在 Users 組中的成員身份將其分配給 ASPNET 帳戶。）本指南建議將此策略設(shè)置保留為其默認(rèn)配置。

　　9.更改系統(tǒng)時(shí)間

　　此策略設(shè)置確定用戶是否可以調(diào)整計(jì)算機(jī)內(nèi)部時(shí)鐘的時(shí)間。更改系統(tǒng)時(shí)間的時(shí)區(qū)或其他顯示特征不需要使用此策略。

　　“更改系統(tǒng)時(shí)間”設(shè)置的可能值為：?

　　用戶定義的帳戶列表

　　

　　沒(méi)有定義

　　漏洞:用戶若可更改計(jì)算機(jī)的時(shí)間可能會(huì)導(dǎo)致幾個(gè)問(wèn)題。例如，事件日志條目的時(shí)間戳可能會(huì)變得不準(zhǔn)確，創(chuàng)建或修改文件和文件夾的時(shí)間戳可能不正確，屬于某個(gè)域的計(jì)算機(jī)可能無(wú)法驗(yàn)證自己或試圖從其登錄到域的用戶的身份。此外，因?yàn)?Kerberos 身份驗(yàn)證協(xié)議要求請(qǐng)求程序和身份驗(yàn)證程序在管理員定義的偏差時(shí)間內(nèi)同步其時(shí)鐘，攻擊者若更改計(jì)算機(jī)的時(shí)間可能導(dǎo)致計(jì)算機(jī)無(wú)法獲取或授予 Kerberos 票證。

　　在大多數(shù)域控制器、成員服務(wù)器和最終用戶計(jì)算機(jī)上，可以減少這類事件的風(fēng)險(xiǎn)，因?yàn)?Windows Time 服務(wù)會(huì)自動(dòng)以下列幾種方式與域控制器保持時(shí)間同步：?

　　所有客戶端桌面計(jì)算機(jī)和成員服務(wù)器都使用身份驗(yàn)證域控制器作為入站時(shí)間伙伴。

　　

　　域中的所有域控制器都指定主域控制器 (PDC) 模擬器操作主機(jī)作為其入站時(shí)間伙伴。

　　

　　所有 PDC 模擬器操作主機(jī)在選擇其入站時(shí)間伙伴時(shí)，都遵循域的層次結(jié)構(gòu)。

　　

　　位于域根部的 PDC 模擬器操作主機(jī)是組織的權(quán)威。因此建議通過(guò)配置此計(jì)算機(jī)來(lái)與可靠的外部時(shí)間服務(wù)器保持同步。

　　如果攻擊者能夠更改系統(tǒng)時(shí)間，然后停止 Windows Time 服務(wù)或重新配置該服務(wù)，以便與不準(zhǔn)確的時(shí)間服務(wù)器同步，則此漏洞將變得嚴(yán)重得多。

　　對(duì)策:將“更改系統(tǒng)時(shí)間”用戶權(quán)限僅授予對(duì)更改系統(tǒng)時(shí)間具有合法要求的用戶，如 IT 小組成員。

　　潛在影響:應(yīng)該沒(méi)有任何影響，因?yàn)閷?duì)于大多數(shù)組織來(lái)說(shuō)，屬于域的所有計(jì)算機(jī)的時(shí)間同步應(yīng)該是完全自動(dòng)的。應(yīng)該將不屬于該域的計(jì)算機(jī)配置為與外部源同步。

　　10創(chuàng)建頁(yè)面文件

　　此策略設(shè)置確定用戶是否可以創(chuàng)建和更改頁(yè)面文件的大小。具體來(lái)說(shuō)，它確定他們是否可以在位于“系統(tǒng)屬性”對(duì)話框“高級(jí)”選項(xiàng)卡上的“性能選項(xiàng)”框中指定特定驅(qū)動(dòng)器的頁(yè)面文件大小。

　　“創(chuàng)建頁(yè)面文件”設(shè)置的可能值為：

　　

　　用戶定義的帳戶列表

　　

　　沒(méi)有定義

　　漏洞:可以更改頁(yè)面文件大小的用戶可能使該文件變得極小，或者將其移到具有大量文件碎片的存儲(chǔ)卷中，這會(huì)導(dǎo)致計(jì)算機(jī)性能降低。

　　對(duì)策:將“創(chuàng)建頁(yè)面文件”用戶權(quán)限僅授予 Administrators 組的成員。

　　潛在影響:無(wú)。這是默認(rèn)配置。

　　11.創(chuàng)建標(biāo)記對(duì)象

　　此策略設(shè)置確定進(jìn)程是否可創(chuàng)建令牌，然后可以在進(jìn)程使用 NtCreateToken() 或其他令牌創(chuàng)建 API 時(shí)，通過(guò)該令牌獲取對(duì)任何本地資源的訪問(wèn)權(quán)限。

　　“創(chuàng)建標(biāo)記對(duì)象”設(shè)置的可能值為：?

　　用戶定義的帳戶列表

　　

　　沒(méi)有定義

　　漏洞:操作系統(tǒng)檢查用戶的訪問(wèn)令牌以確定用戶的特權(quán)級(jí)別。在用戶登錄到本地計(jì)算機(jī)或通過(guò)網(wǎng)絡(luò)連接到遠(yuǎn)程計(jì)算機(jī)時(shí)，將生成訪問(wèn)令牌。吊銷某種特權(quán)后，更改將立即記錄，但直到用戶下次登錄或連接時(shí)，更改才會(huì)反映在用戶的訪問(wèn)令牌中。能夠創(chuàng)建或修改令牌的用戶可以更改當(dāng)前登錄的任何帳戶的訪問(wèn)級(jí)別。他們可以提升自己的特權(quán)或創(chuàng)建 DoS 條件。

　　對(duì)策:不要將“創(chuàng)建標(biāo)記對(duì)象”用戶權(quán)限分配給任何用戶。需要此用戶權(quán)限的進(jìn)程應(yīng)該使用系統(tǒng)帳戶（該帳戶已經(jīng)包含此用戶權(quán)限），而不要使用分配了此用戶權(quán)限的單獨(dú)的用戶帳戶。

　　潛在影響:無(wú)。這是默認(rèn)配置。

　　12創(chuàng)建全局對(duì)象

　　此策略設(shè)置確定用戶是否可以創(chuàng)建所有會(huì)話都可使用的全局對(duì)象。如果不具有此用戶權(quán)限，用戶仍可以創(chuàng)建特定于他們自己的會(huì)話的對(duì)象。

　　“創(chuàng)建全局對(duì)象”設(shè)置的可能值為：?

　　用戶定義的帳戶列表

　　

　　沒(méi)有定義

　　漏洞:可以創(chuàng)建全局對(duì)象的用戶會(huì)影響在其他用戶的會(huì)話中運(yùn)行的進(jìn)程。此功能可能會(huì)導(dǎo)致各種問(wèn)題，如應(yīng)用程序無(wú)法工作或數(shù)據(jù)損壞。

　　對(duì)策:將“創(chuàng)建全局對(duì)象”用戶權(quán)限僅授予本地 Administrators 和 Service 組的成員。

　　潛在影響:無(wú)。這是默認(rèn)配置。

　　13創(chuàng)建永久共享對(duì)象

　　此策略設(shè)置確定用戶是否可以在對(duì)象管理器中創(chuàng)建目錄對(duì)象。擁有此功能的用戶可以創(chuàng)建永久共享對(duì)象，包括設(shè)備、信號(hào)燈和多用戶終端執(zhí)行程序。此用戶權(quán)限對(duì)于擴(kuò)展對(duì)象命名空間的內(nèi)核模式組件非常有用，他們本身就具有此用戶權(quán)限。因此，通常不需要專門為任何用戶分配此用戶權(quán)限。

　　“創(chuàng)建永久共享對(duì)象”設(shè)置的可能值為：?

　　用戶定義的帳戶列表

　　

　　沒(méi)有定義

　　漏洞:具有“創(chuàng)建永久共享對(duì)象”用戶權(quán)限的用戶可以創(chuàng)建新共享對(duì)象并將敏感數(shù)據(jù)暴露于網(wǎng)絡(luò)上。

　　對(duì)策:不要將“創(chuàng)建永久共享對(duì)象”用戶權(quán)限分配給任何用戶。需要此用戶權(quán)限的進(jìn)程應(yīng)該使用系統(tǒng)帳戶（該帳戶已經(jīng)包含此用戶權(quán)限），而不要使用單獨(dú)的用戶帳戶。

　　潛在影響:無(wú)。這是默認(rèn)配置。

　　14.調(diào)試程序

　　此策略設(shè)置確定用戶是否可以打開或附加到任何進(jìn)程，即使不是他們所擁有的進(jìn)程。此用戶權(quán)限提供對(duì)敏感和關(guān)鍵操作系統(tǒng)組件的訪問(wèn)權(quán)限。

　　“調(diào)試程序”設(shè)置的可能值為：?

　　用戶定義的帳戶列表

　　

　　沒(méi)有定義

　　漏洞:“調(diào)試程序”用戶權(quán)限可被用于從系統(tǒng)內(nèi)存中捕獲敏感的計(jì)算機(jī)信息，或訪問(wèn)和修改內(nèi)核或應(yīng)用程序結(jié)構(gòu)。一些攻擊工具利用此用戶權(quán)限來(lái)提取經(jīng)過(guò)哈希的密碼和其他秘密的安全信息，或影響木馬程序套件代碼插入。默認(rèn)情況下，“調(diào)試程序”用戶權(quán)限僅分配給管理員，它有助于減輕此漏洞的風(fēng)險(xiǎn)。

　　對(duì)策:吊銷所有不需要“調(diào)試程序”用戶權(quán)限的用戶和組的這一權(quán)限。

　　潛在影響:如果吊銷此用戶權(quán)限，任何人都不能調(diào)試程序。但是，典型情況下生產(chǎn)計(jì)算機(jī)上很少需要此功能。如果出現(xiàn)問(wèn)題，生產(chǎn)服務(wù)器上有某個(gè)應(yīng)用程序臨時(shí)需要調(diào)試，可將該服務(wù)器移到另一個(gè) OU，并將“調(diào)試程序”用戶權(quán)限分配給該 OU 的單獨(dú)組策略。

　　用于群集服務(wù)的服務(wù)帳戶需要有“調(diào)試程序”特權(quán)；如果沒(méi)有，Windows 群集將會(huì)失敗。

　　用于管理進(jìn)程的實(shí)用程序?qū)o(wú)法影響不歸運(yùn)行該實(shí)用程序的人員所有的進(jìn)程。例如，Windows Server 2003 Resource Kit 工具 Kill.exe 要求管理員具有此用戶權(quán)限以終止他們未啟動(dòng)的進(jìn)程。

　　此外，某些舊版本的 Update.exe（用于安裝 Windows 產(chǎn)品更新）還需要應(yīng)用更新的帳戶具有此用戶權(quán)限。如果安裝使用此版本 Update.exe 的修補(bǔ)程序之一，計(jì)算機(jī)可能會(huì)變得沒(méi)有響應(yīng)。

　　下接：http://hi.baidu.com/97520sky/blog/item/33bbd01fb7c 7806ff724e4bc.html