Windows Server 2003 安全性指南介绍

“关闭系统”权限允许用户关闭本地计算机。具有关闭域控制器能力的恶意用户能够轻易地发动拒绝服务（DoS）攻击，这将严重地影响整个域或森林的安全性。

而且，当域控制器系统账户重新启动服务时，该用户权限可被利用来发起权限提升攻击。如果对域控制器的特权提升攻击成功，那将破坏域或者整个森林的安全性。

缺省情况下， Administrators、Server Operators、Print Operators 和 Backup Operators 组被授予了关闭域控制器的权限。为确保环境的安全，除了Administrators组之外，其他组完成管理工作都无需该权限。因此，在本指南定义的三种环境下，只有Administrators 组被授予了本权限。

安全选项

域控制器的大多数安全选项设置与在MSBP中指定的相同。要了解更多信息，请参看第3章“创建成员服务器基线”。下面的部分介绍MSBP和DCBP之间的不同。

网络安全：在下一次修改密码时不存储LAN Manager散列值

表4.11: 设置

“网络安全：在下一次修改密码时不存储LAN Manager 散列值”