Windows 2003安全性指南之强化域控制器一

核心提示： “关闭系统”权限允许用户关闭本地计算机，具有关闭域控制器能力的恶意用户能够轻易地发动拒绝服务（DoS）攻击，Windows 2003安全性指南之强化域控制器一(8)，这将严重地影响整个域或森林的安全性，而且，如果在旧有客户机环境下该设置被启用，当改变密码之后，当域控

“关闭系统”权限允许用户关闭本地计算机。具有关闭域控制器能力的恶意用户能够轻易地发动拒绝服务（DoS）攻击，这将严重地影响整个域或森林的安全性。

而且，当域控制器系统账户重新启动服务时，该用户权限可被利用来发起权限提升攻击。如果对域控制器的特权提升攻击成功，那将破坏域或者整个森林的安全性。

缺省情况下， Administrators、Server Operators、Print Operators 和 Backup Operators 组被授予了关闭域控制器的权限。为确保环境的安全，除了Administrators组之外，其他组完成管理工作都无需该权限。因此，在本指南定义的三种环境下，只有Administrators 组被授予了本权限。

安全选项

域控制器的大多数安全选项设置与在MSBP中指定的相同。要了解更多信息，请参看第3章“创建成员服务器基线”。下面的部分介绍MSBP和DCBP之间的不同。

网络安全：在下一次修改密码时不存储LAN Manager散列值

表4.11: 设置

“网络安全：在下一次修改密码时不存储LAN Manager 散列值” 安全选项设置决定了当管理员改变密码时，是否存储新密码的LAN Manager （LM））散列值。与更为牢固的Windows NT? 口令散列相比，LM相对较弱而且易受攻击。因此，在本指南所定义的三种环境下，MSBP启用了本设置。

在企业客户机和高安全性环境下，DCBP启用域控制器上的此设置，而在旧有客户机环境下则禁用此设置。如果在旧有客户机环境下该设置被启用，当改变密码之后，Windows 98客户机将无法登录。