Windows2003安全之强化域控制器(13)

　　保护服务账户的安全

　　除非绝对必要，否则不要将一种服务配置为在域账户的安全上下文中运行。如果服务器的物理安全受到破坏，域账户密码可以很容易通过转储本地安全性授权（LSA）秘文而获得。

　　终端服务设置

　　表 4.20:设置

　　“设置客户机连接加密等级”用来确定在您的环境中终端服务客户机连接的加密等级。您可以使用128位加密的“高等级”（High Level）设置防止攻击者利用数据包分析器窃听终端服务的会话。有些终端客户机的旧版本不支持这种高等级加密。如果您的网络包含这种服务，请将连接的加密等级设置为：使用客户机所支持的最高加密等级来发送和接收数据。

　　在组策略对象编辑器（Group Policy Object Editor）中配置该设置的路径为：

　　Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Encryption and Security.

　　我们提供了三种加密等级

　　表4.21: 终端服务加密等级

　　错误报告

　　表4.22: 设置

　　“错误报告”服务可以帮助Microsoft 跟踪和查找错误。您可以将该服务配置为给操作系统错误、Windows组件错误或程序错误生成报告。“错误报告”服务将这些错误通过Internet报告给Microsoft，或者报告给内部企业文件共享。

　　只有在Microsoft Windows? XP Professional和Windows Server 2003上可获得该设置。在组策略对象编辑器中配置该设置的路径为：

　　Computer Configuration\Administrative Templates\System\Error Reporting

　　错误报告可能包含敏感的（甚至是保密的）企业数据。Microsoft 关于错误报告的隐私政策保证 Microsoft 不会不适当地使用这些数据。但是，由于这些数据使用明文形式的超级文本传输协议（HTTP）传送，它有可能被因特网上的第三方截获或者查看。因此，本指南建议在指南定义的三种安全环境下，在DCBP中将“ 错误报告 ”设置配置为“禁用”。