Windows NT 4.0 與 Windows 98 降低安全性威脅指南
第 4 章:強化 Microsoft Windows NT 4.0
發佈日期: 2004 年 9 月 13 日 | 更新日期: 2006 年 3 月 30 日
Microsoft® Windows NT® 4.0 版缺乏一些較新版 Microsoft Windows® 作業系統才有的加強安全性功能。即使如此,它還是擁有一些非常有用的功能與技巧,可以讓您充分改善系統安全性。本章將詳述這些主題,並說明如何使用這些功能來強化 Windows NT 4.0 系統工作站和伺服器。
這些主題包括如何進行以下作業:
安裝最初的作業系統和補充程式基礎安裝。
強化開機程序。
安裝目錄服務用戶端增益集。
使用系統原則以及安全性設定管理員。
選擇 Windows NT LAN Manager (NTLM) 驗證等級。
定義有效密碼原則。
使用帳戶及密碼鎖定。
強化檔案系統。
強化服務。
進行其他強化措施。
本頁內容
Windows NT 主機安全性設計
實作
測試解決方案
總結
Windows NT 主機安全性設計
強化 Windows NT 4.0 作業系統之前,需要先評估瞭解幾個課題。
安裝最初的作業系統和補充程式基礎安裝
強化 Windows NT 系統最關鍵的第一個步驟,就是為基礎作業系統安裝最新的安全性補充程式。如第 6 章<補充程式管理>所述,這個步驟最好包括在平時的補充程式管理過程中進行。首先要進行清查,確認每部電腦的版本等級。您可以利用 Microsoft Baseline Security Analyzer (MBSA) 或 Microsoft Systems Management Server (SMS),從本機或遠端掃描 Windows NT 4.0 系統。完成清查後必須檢視清查結果,以確保每部 Windows NT 系統都已經安裝所需的基礎更新。這些更新包括:
Windows NT 4.0 Service Pack 6a,這是 Windows NT 4.0 最新的 Service Pack,其中包括一套經迴歸測試的完整修正程式,可以一次安裝完成。
Windows NT 4.0 Service Pack 6a 後續安全性彙總套件。這個 SRP 含有數項更新,都是原始 SP6a 發佈後才發佈的,必需先安裝這個彙總套件,才能從 Windows Update 安裝後續的更新。
一套最新的安全性補充程式。Microsoft 發佈 SRP 之後便沒有再為 Windows NT 4.0 發佈整合的 SRP 或 Service Pack。但是作業系統的個別元件、Microsoft Internet Explorer,以及附加公用程式 (例如,路由及遠端存取服務 (RRAS) 和 Internet Information Services (IIS)) 等都有更新。您可以從 Microsoft TechNet 取得最新的補充程式清單,或到 Windows Update 手動檢視可用的補充程式清單。
更新版本的 Internet Explorer。目前使用的版本為 Internet Explorer 6.0 Service Pack 1 (SP1),其中包括了從 Windows NT 隨附的最早 Internet Explorer 版本開始至今,所發行的數百個安全性修正程式及加強功能。您可以根據環境選擇直接從 Microsoft 網站下載 Internet Explorer、訂購光碟,或利用 Internet Explorer Administration Kit 為多部電腦進行安裝。
強化開機程序
系統安裝了完整且正確的更基本補充程式組之後,接下來要提升系統開機時間的安全性。這段防護工作有兩個層面:將開機功能表的等候時間設為零,避免攻擊者使用其他作業系統開機,並用內建的 Syskey 公用程式加密安全性帳戶管理員 (SAM) 資料庫中的資料。
Windows NT Server 會將使用者帳戶資訊 (包括使用者帳戶密碼的衍生資料) 儲存於登錄裡的安全區域,這個區域受到存取控制和模糊化 (Obfuscation) 加密功能的保護。登錄裡的帳戶資訊只有 Administrators 群組的成員才能存取。Windows NT Server 與其他的作業系統一樣,會允許系統管理員存取系統所有資源。若是需要再加強安全性,可以為帳戶密碼衍生資訊使用增強式加密,提供另一層的保護,預防系統管理員有心或無意間使用登錄程式介面存取密碼衍生資料。Syskey 也可以保護 SAM 資料不受各種離線攻擊,例如用另一個作業系統開機並存取 SAM 檔案。
Syskey 會產生隨機的加密金鑰來加密 SAM 資料。加密完成後,開機時必須先載入金鑰才能解開記憶體裡的 SAM 資料。Syskey 有三種作業模式,如圖 4.1 所示:
在模式 1 ([將啟動金鑰存放在本機上]) 中,加密金鑰會經過超級加密後存在本機電腦。開機時,加密金鑰會解密並載入,讓電腦不需要系統管理員介入即可重新開機。
在模式 2 ([密碼啟動] 按鈕及相關文字欄位) 中,會用系統管理員指定的密碼片語為金鑰進行超級加密。開機時,系統管理員必須在主控台輸入密碼片語,才能完成開機程序, 不輸入密碼片語就不能開機。
在模式 3 ([將啟動金鑰存放在軟式磁片] 按鈕) 中,隨機產生的 Syskey 金鑰會存於磁片裡,開機時必需插入磁片才能完成開機程序。這張磁片必須存放於安全的地方。
.gif)
圖 4.1 Syskey 的模式選擇對話方塊
Trey 選擇在所有執行 Windows NT 的電腦上實作 Syskey 保護措施 (Windows 2000、Microsoft Windows Server™ 2003 以及 Windows XP 中會預設啟用 Syskey)。Trey 在大部份的伺服器以及全部的工作站上都設定使用 Syskey 的模式 1;選擇廣泛使用這個模式的原因是該模式能夠兼顧安全性與便利性。在高價值伺服器上,Trey 則選用了每次重新開機都需要系統管理員輸入密碼的模式 2。最後,由於模式 3 需要為每部電腦個別存放開機磁片,所以 Trey 選擇不在任何系統上使用這個模式。
安裝目錄服務用戶端增益集
Windows NT 4.0 系統只能加入 Windows NT 網域,如果是 Microsoft Adtive Directory® 目錄服務網域,則 Windows 98 與 Windows NT 僅能透過網路基本輸入輸出系統 (NetBIOS) 以原生模式加入該網域。Windows 2000 與 Windows Server 2003 會模擬 Windows NT 主要網域控制站,因此具有 NetBIOS 相容能力。雖然 Active Directory 提供了可轉移的雙向信任,但是 Windows NT 4.0 還是只能利用明確的單向信任,不論系統用的是 Active Domain 網域控制站或是 Windows NT BDC 都一樣。
因此即使不使用 Windows NT 式網域,還是可以使用加入目錄服務用戶端增益集的方式,讓執行 Windows NT 與 Windows 98 的系統加入 Active Directory 網域。DSClient 能讓這些系統加入 Active Directory 網域。有了這個軟體,這些系統便可以利用 Active Directory 的許多功能,例如在樹系中使用可轉移的信任關係。可轉移的信任關係可以讓授權的使用者存取同樹系中任何網域裡的適用資源。DSClient 2003 的更新隨附在 Windows NT 4.0 SP6a 及 Internet Explorer 6 SP1 中,Windows 2000 隨附的 DSClient 版本也需要 SP6,但是可以使用 Internet Explorer 4.01 或以上版本 (如需更多關於在 Windows 98 上使用 DSClient 的需求資訊,請參閱第 5 章<強化 Microsoft Windows 98>。)
安裝之後 DSClient 並不會支援所有 Active Directory 功能,特別是不支援 Kerberos 驗證、群組原則應用,或使用服務或使用者主要名稱 (UPN) 進行驗證。不過 DSClient 支援下列 Active Directory 功能:
Active Directory 服務介面 (ADSI)。ADSI 為支援 Active Directory 的指令碼及程式提供一般的程式設計 API。在 Windows NT 上,許多原先不能夠經由指令碼控制的目錄作業,均可透過 ADSI 編寫指令碼控制。
分散式檔案系統 (DFS) 容錯用戶端。DFS 容錯及容錯移轉檔案共用提供與 Active Directory 整合的分散式檔案共用資源。
Active Directory Windows 通訊錄 (WAB) 內容頁。從 [搜尋] 功能表中存取的使用者物件頁面,可以讓授權使用者更新使用者物件的內容 (例如住址及電話號碼)。
NTLM 第 2 版驗證方式。NTLM 提供較佳的驗證功能,其驗證安全性僅次於 Kerberos。
站台感知。如果正確設定網域名稱系統,且於 Active Directory 中註冊站台,則使用 DSClient 的系統可以感知 Active Directory 站台,並會使用本機站台的網域控制站 (甚至可以進行修改密碼的作業)。如需更多關於 DSClient 影響登入及密碼變更行為的資訊,請參閱 Microsoft 知識庫文件編號 249841<Windows 98 Active Directory 用戶端擴充功能如何使用 Active Directory 站台資訊>(英文),網址為:https://support.microsoft.com/?kbid=249841。
在 Active Directory 中搜尋物件。使用者可以從 [搜尋] 功能表尋找 Active Directory 中的印表機和使用者。
降低對 PDC 的依存性。用戶端可以連上網域內的任何網域控制站進行密碼變更。
使用系統原則與安全性設定系統管理員。
系統原則是自 Windows 95 及 Windows NT 4.0 開始才發展出的設定管理措施。這些措施本身並不能加強系統安全性,但可以讓您限制特定資源的存取,加強其他的安全性措施,進而預防使用者有意或無心跳過原則及限制。正確設計並套用這些原則後,原則就會在確保舊系統完整性的方面發揮重要的功能。事實上,由於這些措施效果極佳,因此 Microsoft 將之擴充,建立了 Windows 2000 和更新版中的群組原則物件 (GPO)。
系統原則就是套用於 HKEY_CURRENT_USER 及 HKEY_LOCAL_MACHINE 登錄區的一組限制。當使用者登入電腦時,就會根據使用者帳戶名稱、網域中的通用群組成員資格和本機原則設定,開始一連串的原則檢查,並套用找到的原則。系統原則是用於 Windows NT 網域實作,並輔助其他網域相關功能 (例如使用者設定檔)。
請務必瞭解系統原則與使用者設定檔之間的差別。使用者設定檔就是於 HKEY_CURRENT_USER (Windows NT 系統存於 Ntuser.dat,Windows 98 系統存於 User.dat) 之下載入的使用者特定的設定目錄、檔案、捷徑與登錄區集合。這些設定控制了桌面外觀、瀏覽器「我的最愛」項目與書籤,以及其他使用者設定的作業系統與應用程式選項。相反地,系統原則是一組額外的登錄項目,在找出並載入作用中的使用者設定後才會套用到電腦。這些項目會指出目前使用者不應該存取的作業系統功能。
應用系統原則
Microsoft 的《Microsoft Windows NT 4.0 設定檔與原則指南》(英文) 白皮書中詳細說明了使用者設定檔與系統原則、使用方式以及如何相輔相成 (如需取得此白皮書,請參閱<其他資訊>章節)。
系統原則能讓您更精確地控制舊版桌面與使用者介面。如果您已經熟悉 Windows 2000 的群組原則,就代表您已經瞭解系統原則的基本功能。簡單來說,系統原則能讓您進行以下作業:
指定允許使用者登入前顯示的畫面或免責聲明,例如顯示任何適用的合法使用政策等等。
防止登入對話方塊顯示任何有安全性顧慮的資訊,例如前一位登入的使用者帳戶名稱或關機按鈕。
指定登入指令檔、快取漫遊設定檔、慢速網路偵測、啟動畫面以及 [歡迎] 提示的行為。
指定 [開始] 功能表上多個共用資料夾的位置,包括能夠確保特定程式每次登入時都會執行的 [啟動] 資料夾。
限制桌面的外觀:背景、圖示、顏色以及 [開始] 功能表上可用的命令。
指定各種檔案系統相關功能的行為,如殼層延伸、唯讀檔案存取時間更新以及長檔名等。
限制網路資源和可用磁碟機代號的存取,以及 Windows 檔案總管中磁碟機對應的能力。如需更多資訊,請參閱知識庫文件編號 156698<使用系統原則禁止網路資源存取>(英文),網址為:https://support.micrisoft.com/?kbid=156698,以及編號 220955<用系統原則隱藏特定磁碟機代號>(英文),網址為:https://support.microsoft.com/?kbid=220955。
限制建立隱藏的檔案共用。
指定並限制印表機、簡易網路管理通訊協定 (SNMP) 及 RRAS 設定。
限制殼層啟動特定執行檔。
限制啟用登錄編輯程式與命令提示字元。
系統原則與群組原則有許多相似之處,但也有一些重要的限制與差異:
系統原則沒有階層式架構。因為 Windows NT 網域模型的平面特性,所以無法像在 Active Directory 下使用群組原則一般,定義重疊而相輔的系統原則。您可以為個別使用者、預設使用者、群組、個別電腦及預設電腦定義原則。本章的下個部分將會說明這些原則是如何套用的。
系統原則會直接變更所對應的登錄區, 原則在因故 (例如被另一原則取代) 變更之前會一直保持有效。Active Directory 的群組原則會變更登錄的特定部份,Windows 會用這個部份的設定覆寫一般的登錄項目。系統原則這種直接寫入登錄的方式稱為指定 (tattoo),也代表系統原則不能對管理的設定做任何假定。
系統原則是使用系統原則編輯器 (SPE) 公用程式與管理範本檔案 (.adm) 建立的。這些範本檔案提供了 SPE 類別和子類別、登錄機碼與數值,用來控制各種特殊設定、選項、限制以及預設值。您也可以建立自訂的範本檔案,加入 SPE 隨附的預設範本內未涵蓋的登錄設定。
執行 SPE 並建立一組將和特定使用者、群組、電腦或預設使用者或電腦產生關連的設定後,就會產生名為 Ntconfig.pol 的原則檔案。Windows NT 系統預設會從網域控制站上的 NETLOGON 共用下載合適的原則檔案。原則檔案應該要存放在 PDC 的 NETLOGON 共用上,這裡的內容會透過目錄複寫器服務複製到 BDC 上。執行 Windows NT 的電腦可以從登入的網域控制站下載所有合適的原則。不論網域控制站是 Windows NT、Windows 2000 或 Windows Server 2003,以上行為都會相同,因為 Windows 2000、Windows XP 及 WIndows Server 2003 用戶端會略過 NETLOGON 共用裡的原則檔案,優先選擇整合於 Active Directory 的 GPO。
Windows NT 載入及套用系統原則的方式為:
如果存在特定使用者原則,就會載入原則並修改登錄,然後原則處理會跳至步驟 4。
如果有預設使用者原則存在,就會加以載入並套用。
如果有群組原則存在,就會以適用的遞增優先順序載入並套用。如果某個群組原則與預設使用者原則衝突,會以群組原則為優先,除非該原則設定為「忽略」。
如果有特定電腦原則存在,就會載入原則並修改登錄,然後原則處理會跳至步驟 6。
如果有預設電腦原則存在,就會載入原則並修改登錄。
原則套用完畢。
Windows NT 預設會下載並套用系統原則。這個行為的說明可以在知識庫文件編號 168231<無法在 Windows NT 中套用系統原則>中找到,網址為:https://support.microsoft.com/?kbid=168231。這個行為是受下列登錄值控制的:
HKEY_LOCAL_MACHINE\System\CurrentControlSet \Control\Update\UpdateMode (REG_DWORD)
登錄值 0 會停用系統原則套用。
預設登錄值 1 會啟用自動模式。如前所述,Windows 會在進行驗證的網域控制站上尋找 Ntconfig.pol 系統原則檔案。
登錄值 2 會開啟手動模式。Windows 會先檢查同機碼中的 NetworkPath (REG_SZ) 值,並在該位置尋找原則檔案。
確保系統原則作用正確是很重要的。知識庫文件編號 154120<為 Windows NT 4.0 使用者設定檔及系統原則偵錯>(英文) (https://support.microsoft.com/?kbid=154120) 說明如何用檢查版本取代 Userenv.dll,以建立可以為原則套用偵錯的記錄檔。這個程序可用於所有 Windows NT 4.0 及其所有 Service Pack 版本,包括 Terminal Server 版本。
雖然說預設的系統原則行為依存於作用中的 Windows NT 網域架構,但執行 Windows 2000、執行 Windows NT 的單機電腦以及本機使用者帳戶資料庫中的使用者,還是能夠使用系統原則。知識庫文件編號 168579<如何設定本機系統原則>(英文) (https://support.microsoft.com/?kbid=168579) 中有詳細指導,說明設定 Windows NT 系統為本機帳戶資料庫中的使用者提供系統原則的兩種方式。如果您是在 Windows NT 網域裡使用執行 Windows 2000、Windows XP 或 Windows Server 2003 的電腦,請參閱知識庫文件編號 274478<Windows NT 4.0 網域或工作群組中的 Windows 2000 Professional 用戶端群組原則>(英文) (https://support.microsoft.com/?kbid=274478),其中說明了讓 Windows NT 網域控制站散發 Windows 2000 相容原則所需的程序。
規劃系統原則部署時的考量
在進行原則開發與部署時,請務必注意系統原則的相關複雜性,以確保最高的安全性。
因為 Windows NT 4.0 的系統原則實作方式有許多錯誤,請務必更新至 SP3 (最低限度),確保已經在系統上安裝所有重要的系統原則相關補充程式。一般而言,這不會有問題 (除非有支援應用程式的特殊需求),因為其他的安全性需求會要求您將所有 Windows NT 系統更新為 SP6a。
系統原則需要最多兩次登入及登出,以確定找到、下載並套用系統原則。
因為原則並不會自動從電腦上移除,請為您的系統管理員帳戶建立特定群組原則。這個原則設定最低限度應該去除系統管理員重新取得所需權限的限制,還原所有受限的功能是常見的系統管理員群組原則。
小心閱讀原則中的每項設定,確認沒有誤解設定中任何雙重否定的意義。有些設定必須先啟用,才能關閉特定的行為。
請小心檢查系統原則檔案的位置。這些檔案應該位於 NETLOGON 共用中,NETLOGON 共用的位置會因主要網域控制站執行 Windows NT 4.0、WIndows 2000 或 Windows Server 2003 而有所不同。
請務必確認您的目錄複寫服務功能正常,在 PDC 上的 NETLOGON 共用內容也正確複製到所有 BDC。
也請確認每次更新並部署新原則時,原則檔案的修改時間是否隨之更新。部分使用舊版 Service Pack 的用戶端會快取原則檔,然後以修改時間判斷是否要更新檔案。較好的方法是確保所有執行 Windows NT 的電腦至少都更新為 SP3,更新為 SP6a 則更佳。
如果混合使用 Windows NT 4.0 及 Windows 2000 或 Windows Server 2003 網域控制站,可以建立複寫服務,橋接 Windows NT 的目錄複寫服務及 Windows 2000 的檔案複寫服務。如需更多關於這個程序的資訊,請參閱知識庫文件編號 317368<如何:使用 Lbridge.cmd 在 Windows 2000 和 Windows NT 4.0 網域控制站之間複寫系統原則>(英文),網址為:https://support.microsoft.com/?kbid=317368。
至於在 Windows NT 4.0 Terminal Server Edition 上使用系統原則,則另有一些需要更深究的問題存在。如需更多資訊,請參閱知識庫文件編號 192794<如何為 Terminal Server 套用系統原則>(英文),網址為:https://support.microsoft.com/?kbid=192794。
請務必記得,系統原則並不足以取代真正應用登錄及檔案系統存取控制清單 (ACL),您也不能因此跳過其他系統強化措施。舉例來說,假設某個系統的原則限制使用者只能執行 Microsoft Office 應用程式二進位檔案。使用者可以利用 Office 標準的 [檔案] 功能表建立新資料夾、將可執行檔 (如 cmd.exe 或任何登錄編輯程式) 複製到可寫入的位置,然後將檔案重新命名為系統原則允許的執行檔名稱,避開原則的限制。
部署系統原則時,必須考量幾個特別的弱點區域,才能使用其他安全性措施補足:
系統原則中所有受限制的執行檔都要以完整路徑明確指出,而非依靠預設搜尋路徑。
請考慮限制使用 Windows 檔案總管中的 [工具] 及 [檢視] 功能表, 這些功能表中的選項可以用來避開系統原則的限制。
即使無法存取 RegEdt32 與 RegEdit,還是能夠執行登錄檔案 (.reg),因為預設的副檔名關連還是存在。
預設搜尋路徑內不應該有任何使用者可寫入的目錄 (例如暫存檔目錄與設定檔目錄)。
登錄中的 World SID 也不應該讓使用者任意存取。強烈建議您考慮將權限限制為查詢、列舉及讀取。不過這個設定可能會破壞舊應用程式的功能,需要重覆測試才能找出維持功能所需的特定權限。
仔細檢查系統目錄裡的所有可執行檔。即使移除了這些檔案的執行權限,只要使用者擁有讀取權限,就能夠將檔案複製到可以寫入的位置再嘗試執行。
安全性設定管理員
安全性設定管理員 (SCM) 最初是為 Windows 2000 所設計,後來 Microsoft 讓 Windows NT 4.0 SP4 或更新版本都能加以使用。您可以從 SP6a 光碟或是 Microsoft FTP 站台下載取得 SCM。SCM 最主要的工具就是安全性設定編輯器 (SCE),可以讓您建立並管理安全性範本與系統原則。
使用 SCE 可以執行一些有用的工作, 例如:
為執行 Windows NT 的電腦建立指定稽核、使用者權限以及安全性設定的安全性範本。
自動將範本套用至網域中的一或多部電腦。
掃描一或多部電腦,評估與特定範本間的相符程度。
依照預設,安裝 SCE 時會在 %winnt%\security\templates 資料夾新增一組範本。每個範本都是為特定的安全性環境及電腦類型所設計的:
基本範本 (Basic*4.inf) 會為目標電腦套用標準的安全性設定,其中包括了六星期的密碼使用期限,以及一組基本的登錄機碼、檔案系統與使用者權限。
相容範本 (Comp*4.inf) 會為電腦套用較基本範本稍強的安全性設定。不過,這組範本會將與較舊版用戶端或應用程式衝突的安全性設定關閉。這組範本的目的是在不引發應用程式相容性問題的前題下提升安全性。
高安全性範本 (HiSec*.inf) 會為電腦套用更多的安全性原則,包括最短密碼長度由七個字元增為八個,並套用一組限制較多的登錄與檔案系統權限。需要檔案系統、登錄權限或指派使用者權限設定的舊版應用程式,可能會和這組範本衝突。
安全範本 (Secur*.inf) 是安全性最高的範本,但會啟用伺服器訊息區 (SMB) 簽章等功能,尚未做類似設定的 Windows 95/98 用戶端,與進行這類設定的電腦之間的互通性會受影響。
表 4.1:Windows NT SCE 工具組隨附的預先定義範本
| 安全性等級 | 保護目標 | 使用檔案 |
|---|---|---|
| 基本的安全性 | 主要/備份網域控制站 | BasicDC4.inf |
| 成員伺服器 | BasicSv4.inf | |
| 工作站 | BasicWk4.inf | |
| 較佳的安全性 (同時保持良好的應用程式相容性) | 主要/備份網域控制站 | CompDC4.inf |
| 成員伺服器 | CompDC4.inf | |
| 工作站 | CompWS4.inf | |
| 高安全性 (較低的應用程式相容性) | 成員伺服器或網域控制站 | HiSecDC4.inf |
| 工作站 | HiSecWS4.inf | |
| 高安全性 (與 Windows 98 之間連接能力較低) | 成員伺服器或網域控制站 | SecurDC4.inf |
| 說明 | 測試步驟 | 預測結果 |
|---|---|---|
| 驗證 Internet Explorer 6 SP1 安裝 | 啟動 Internet Explorer。在 [說明] 功能表按一下 [關於 Internet Explorer]。 | 版本訊息應該顯示 6.0.2800.xxxx。 |
| 驗證 Windows NT 4.0 (SP6a) 安裝 | 執行系統管理工具群組裡的 Windows NT 診斷小程式,然後選擇 [版本] 索引標籤。 | 版本資訊應該顯示 SP6a。 |
| 驗證開機程序 | 模式 1 (將啟動金鑰存放在本機上,此設定套用於 Trey 大部份的伺服器與所有的工作站上)。 開機時,加密金鑰會解密並載入,讓電腦不需要系統管理員介入即可重新開機。 模式 2 (密碼啟動按鈕及相關文字欄位,此設定套用於高價值伺服器上)。 開機時,系統管理員必須在主控台輸入密碼片語,才能完成開機程序, | 用戶端登入成功。 |
| 驗證 DSClient 安裝成功 | 按一下 [開始],然後按一下 [搜尋] 及 [人員]。 | 如果能夠搜尋 Active Directory,就代表 DSClient 安裝成功。 |
| 驗證系統原則 | 試著存取系統原則限制的資源。 詳細檢查系統原則的位置,原則通常存放在 C:\Winnt\system32\repl\import\scripts 資料夾。 | 無法存取受限資源。 系統原則應該存放於前述位置。 |
| 驗證 NTLMv2 驗證方式 | 設定網域控制站要求 NTLMv2 驗證。 | 用戶端登入成功。 |
| 驗證安全性設定管理員 | 建立並自動套用安全性範本到網域裡一或多部電腦。 檢查 %winnt%\security\templates 資料夾中的範本。 | 能夠強化成員伺服器及工作站。 範本應該位於前述位置。 |
| 檢查長檔名產生 | 新建檔名超過 8.3 格式長度的檔案。 | 無法以 8.3 格式存取該檔案。 |
| 驗證自動執行功能 | 將支援自動執行的光碟放入電腦的光碟機。 | 在光碟機中放入支援自動執行的光碟後,自動執行也沒有動作。 |
| 驗證 OS/2 或 POSIX 子系統是否停止運作 | 一名使用者啟動了程序後登出,下一個登入系統的使用者有可能存取前一位使用者的程序。 | 依存於 OS/2 或 POSIX 子系統的應用程式也無法再運作。 |
| 驗證物件保護層級 | 惡意使用者嘗試在各種情況下變更核心物件屬性。 | 系統應不會允許惡意呼叫者提升權限。 |
| 禁止使用者新增印表機驅動程式 | 惡意使用者嘗試利用新增某些印表機驅動程式來提高權限。 | Printer Operators 及 Administrator 群組的成員可以新增印表機驅動程式。 |
| 驗證系統管理員自動登入功能已停用 | 電腦重新開機後,嘗試以系統管理員身份自動登入。 | 系統管理員自動登入應該已停用。 |
| 驗證開機延遲時間 | 重新開機並留意開機延遲時間。 | 延遲時間應該已從 30 秒減為 0 秒。 |
| 檢驗 SCM 安裝 | 按一下 [開始],再按 [執行],輸入 mmc,然後按下 ENTER。 | 應該可以使用 SCM Microsoft 管理主控台。 |