欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

第 3 章：域策略

更新日期： 2006年07月17日

本頁(yè)內容

概述
域策略
帳戶(hù)策略
密碼策略
帳戶(hù)鎖定策略
Kerberos 策略
安全選項
總結

概述

本章使用域環(huán)境的構造來(lái)說(shuō)明如何在 Microsoft® Windows Server™ 2003 SP1 基礎結構中解決安全性。

本章重點(diǎn)介紹以下主題：

• 域級別的安全設置和對策。

• 如何保護第 1 章“《Windows Server 2003 安全指南》簡(jiǎn)介”中定義的舊客戶(hù)端 (LC)、企業(yè)客戶(hù)端 (EC) 和專(zhuān)用安全 – 限制功能 (SSLF) 環(huán)境的 Windows Server 2003 域。

此信息提供了有關(guān)域基礎結構中如何從 LC 環(huán)境發(fā)展到 SSLF 環(huán)境的基礎和設想。

Windows Server 2003 SP1 附帶了設置為已知高度安全狀態(tài)的默認值。為提高本材料的可用性，本章只介紹那些從默認值修改而來(lái)的設置。有關(guān)所有默認設置的信息，請參閱附加指南威脅和對策：Windows Server 2003 和 Windows XP 的安全設置，網(wǎng)址為 http://www.microsoft.com/china/technet/security/guidance/secmod48.mspx。

域策略

您可以在組織的幾個(gè)不同級別應用組策略安全設置。第 2 章“Windows Server 2003 強化機制”中介紹的基準環(huán)境使用組策略來(lái)應用域基礎結構中以下三個(gè)層次結構級別的設置：

• 域級別。此級別的設置解決了常見(jiàn)的安全要求，例如必須針對域中所有服務(wù)器實(shí)施的帳戶(hù)和密碼策略。

• 基準級別。此級別的設置解決了域基礎結構中為所有服務(wù)器共有的特定服務(wù)器安全要求。

• 特定于角色的級別。此級別的設置解決了特定服務(wù)器角色的安全要求。例如，基礎結構服務(wù)器的安全要求有別于那些運行 Microsoft Internet 信息服務(wù) (IIS) 的服務(wù)器的要求。

本章的以下部分將只詳細介紹域級別策略。解決的大多數域安全設置適用于用戶(hù)帳戶(hù)和密碼。當您檢查這些設置和建議時(shí)，記住所有設置均適用于域邊界中的每個(gè)用戶(hù)。

域策略概述

組策略非常強大，因為它允許管理員創(chuàng )建標準的網(wǎng)絡(luò )計算機配置。組策略對象 (GPO) 為任何組織的配置管理解決方案提供了極其重要的部分，因為它們允許管理員同時(shí)對域中或域子集中的所有計算機進(jìn)行安全更改。

以下部分提供了有關(guān)可用以增強 Windows Server 2003 SP1 安全的安全設置的詳細信息。提供的表匯總了這些設置，并詳細說(shuō)明了如何實(shí)現每種設置的安全目標。根據各種設置在 Windows Server 2003 安全配置編輯器 (SCE) 用戶(hù)界面中的表現形式，系統將設置劃分為多種類(lèi)別。

通過(guò)組策略，您可以同時(shí)應用以下類(lèi)型的安全更改：

• 修改文件系統的權限。

• 修改注冊表對象的權限。

• 更改注冊表中的設置。

• 更改用戶(hù)權限分配。

• 配置系統服務(wù)。

• 配置審核和事件日志。

• 設置帳戶(hù)和密碼策略。

本指南建議您在域根下創(chuàng )建一個(gè)新的組策略，以便應用本章中介紹的域范圍策略。此方法使您能更容易地對新的組策略進(jìn)行測試或故障排除，因為若要回滾更改，只需將策略禁用即可。不過(guò)，有些設計為與 Active Directory 一起工作的應用程序可以對內置的默認域策略進(jìn)行更改。如果您遵循本指南中的建議，這些應用程序將不會(huì )注意到您所實(shí)施的新組策略。開(kāi)始部署新的企業(yè)應用程序之前，確保對其進(jìn)行全面測試。如果遇到問(wèn)題，請檢查以查看應用程序是否已修改帳戶(hù)策略、創(chuàng )建新的用戶(hù)帳戶(hù)、修改用戶(hù)權限或者對默認域策略或本地計算機策略做了其他更改。

帳戶(hù)策略

帳戶(hù)策略（包括密碼策略、帳戶(hù)鎖定策略和 Kerberos 策略安全設置）僅與本指南中定義的所有三種環(huán)境中的域策略相關(guān)。密碼策略提供了一種方法來(lái)設置高安全環(huán)境的復雜性和更改計劃。帳戶(hù)鎖定策略允許跟蹤失敗的密碼登錄嘗試以便在必要時(shí)啟動(dòng)帳戶(hù)鎖定。Kerberos 策略用于域用戶(hù)帳戶(hù)，并確定與 Kerberos 身份驗證協(xié)議相關(guān)的設置（例如票證使用期限和強制）。

密碼策略

定期更改的復雜密碼可以降低成功密碼攻擊的可能性。密碼策略設置控制密碼的復雜性和使用期限。本部分介紹每種特定的密碼策略設置以及它們與本指南中定義的三種環(huán)境中的每種環(huán)境是如何關(guān)聯(lián)的：舊客戶(hù)端、企業(yè)客戶(hù)端和專(zhuān)用安全 – 限制功能。

對密碼長(cháng)度和復雜性要求嚴格并不一定意味著(zhù)用戶(hù)和管理員將使用強密碼。雖然密碼策略可能要求用戶(hù)遵循技術(shù)復雜性要求，但還需要附加的強安全策略來(lái)確保用戶(hù)創(chuàng )建難以遭破壞的密碼。例如，Breakfast! 可能符合所有密碼復雜性要求，但是要破解該密碼并非難事。

若了解密碼創(chuàng )建人的特定情況，而且密碼是基于其喜愛(ài)的食物、汽車(chē)或影片的，就可以猜到該密碼。制作一張介紹弱密碼的海報，并將其貼在公共場(chǎng)所，如飲水機或復印機附近，是設法讓用戶(hù)接受強密碼的組織安全計劃的一種策略。您的組織應該設立強密碼創(chuàng )建準則，包括：

• 不要使用任何語(yǔ)言詞典中的單詞，包括常見(jiàn)或巧妙拼錯的單詞。

• 創(chuàng )建新密碼時(shí)，不能只是增加當前密碼中的一個(gè)數字。

• 密碼的開(kāi)頭或結尾不要使用數字，因為與將數字擺在中間的密碼相比，前者更容易猜到。

• 其他人只需看看您的辦公桌即可輕松猜到的密碼不宜使用，例如寵物名稱(chēng)、運動(dòng)隊名稱(chēng)和家人姓名。

• 不要使用來(lái)自大眾文化的單詞。

• 強制使用需要在鍵盤(pán)上用兩手輸入的密碼。

• 強制在所有密碼中混合使用大小寫(xiě)字母、數字和符號。

• 強制使用空格字符和只有按 Alt 鍵才能生成的字符。

組織中所有服務(wù)帳戶(hù)密碼也應該遵循這些準則。

密碼策略設置

下表包括適用于本指南中定義的所有三種環(huán)境的密碼策略設置建議。您可以在組策略對象編輯器中對以下位置中的密碼策略設置進(jìn)行配置：

計算機配置\Windows 設置\安全設置\帳戶(hù)策略\密碼策略

表后的小節提供了有關(guān)每個(gè)設置的附加信息。

表 3.1 密碼策略設置建議

強制密碼歷史

此策略設置確定在可以重新使用舊密碼之前，必須與某個(gè)用戶(hù)帳戶(hù)關(guān)聯(lián)的唯一新密碼個(gè)數。此設置的值必須在 0 到 24 個(gè)密碼之間。

Windows Server 2003 SP1 中“強制密碼歷史”設置的默認值最多為 24 個(gè)密碼。Microsoft 建議在所有三種環(huán)境中使用該值，原因是它有助于確保舊密碼不會(huì )連續重新使用、常見(jiàn)的漏洞與密碼重新使用相關(guān)聯(lián)以及低值設置將允許用戶(hù)持續循環(huán)使用數目很小的密碼。此外，對于包括舊客戶(hù)端的環(huán)境，此建議沒(méi)有已知問(wèn)題。

要增強此策略設置的有效性，您也可以配置“密碼最短使用期限”設置以便密碼無(wú)法被立即更改。這種組合使得用戶(hù)很難重新使用舊密碼，無(wú)論是偶然還是有意。

密碼最長(cháng)使用期限

此策略設置定義了破解密碼的攻擊者在密碼過(guò)期之前使用該密碼訪(fǎng)問(wèn)網(wǎng)絡(luò )計算機的期限。此策略設置的值范圍為 1 到 999 天。您可以配置“密碼最長(cháng)使用期限”設置，以便密碼在環(huán)境需要時(shí)過(guò)期。此設置的默認值為 42 天。

定期更改密碼有助于防止密碼遭破壞。若攻擊者有足夠的時(shí)間和計算功能，就能夠破解大多數密碼。密碼更改越頻繁，攻擊者破解密碼的時(shí)間就越少。但是，此值設置得越低，幫助臺支持呼叫增多的可能性越大。

Microsoft 建議對于本指南中定義的所有三種環(huán)境將“密碼最長(cháng)使用期限”設置保留為默認值 42 天。此配置將確保密碼會(huì )被定期更改，但不要求用戶(hù)頻繁更改其密碼以致無(wú)法記住密碼。要權衡安全性和可用性需求，您可以在舊客戶(hù)端和企業(yè)客戶(hù)端環(huán)境中增加此策略設置的值。

密碼最短使用期限

此策略設置確定用戶(hù)更改密碼之前該密碼可以使用的天數。“密碼最短使用期限”設置的值范圍介于 0 至 999 天；0 值允許立即更改密碼。此策略設置的默認值為 1 天。

“密碼最短使用期限”設置必須小于“密碼最長(cháng)使用期限”設置，除非“密碼最長(cháng)使用期限”設置配置為 0（這意味著(zhù)密碼永不過(guò)期）。如果希望“強制密碼歷史”設置生效，請將“密碼最短使用期限”設置配置為大于 0 的值。如果沒(méi)有密碼最短使用期限，用戶(hù)可以循環(huán)使用密碼，直到重新使用舊的收藏密碼。

Microsoft 建議對于本指南中定義的所有三種環(huán)境將“密碼最短使用期限”默認值強制為 1 天。將此設置與“強制密碼歷史”設置中的類(lèi)似低值相結合使用時(shí)，用戶(hù)可以不斷循環(huán)使用相同的密碼。例如，如果“密碼最短使用期限”配置為 1 天且“強制密碼歷史”配置為 2 個(gè)密碼，用戶(hù)將只需等待 2 天，就可以重新使用舊的收藏密碼了。但是，如果“密碼最短使用期限”配置為 1 天且“強制密碼歷史”配置為 24 個(gè)密碼，那么用戶(hù)至少在 24 天之內，需要每天更改其密碼，然后才能重新使用密碼，這似乎不太可能。

密碼長(cháng)度最小值

此策略設置確保密碼至少具有指定個(gè)數的字符。長(cháng)密碼（八個(gè)或八個(gè)以上的字符）往往比短密碼要強。使用“密碼長(cháng)度最小值”設置時(shí)，用戶(hù)不能使用空白密碼，必須使用特定個(gè)數的字符來(lái)創(chuàng )建密碼。此設置的默認值是 7 個(gè)字符。

本指南建議對于舊客戶(hù)端和企業(yè)客戶(hù)端環(huán)境將“密碼長(cháng)度最小值”設置配置為 8 個(gè)字符。此配置的長(cháng)度足以提供某種級別的安全性，但是對于記憶力好的用戶(hù)而言仍太短。此外，此配置可針對常用詞典和強力攻擊提供相當強的防御功能能力。

（詞典攻擊使用單詞列表通過(guò)試驗和錯誤來(lái)獲取密碼。強力攻擊嘗試每個(gè)可能的密碼或加密的文本值。強力攻擊是否成功取決于密碼的長(cháng)度、潛在字符集的大小以及可供攻擊者使用的計算功能。）

本指南建議對于專(zhuān)用安全 – 限制安全環(huán)境將“密碼長(cháng)度最小值”設置配置為 12 個(gè)字符。

密碼中的每個(gè)額外字符都會(huì )使其復雜性以指數級增加。例如，七個(gè)字符的密碼可能有 267 或 1 x 107 種可能的組合。區分大小寫(xiě)的七字符字母數字密碼有 527 種組合。不帶標點(diǎn)，且區分大小寫(xiě)的七字符字母數字密碼有 627 種組合。在每秒進(jìn)行 1,000,000 次嘗試的速度下，只需要大約 40 天即可破解。八字符密碼具有 268，或 2 x 1011 種可能的組合。雖然此數字大得有點(diǎn)令人生畏，但如果每秒嘗試 1,000,000 次（許多密碼破解工具均具備此功能），那么遍歷所有可能的密碼就只需 59 個(gè)小時(shí)。記住，如果密碼使用 Alt 字符和其他特殊鍵盤(pán)字符（如 ! 或 @），則這些時(shí)間會(huì )大大增加。

通過(guò)單向（不可逆）哈希算法的處理后，密碼將被存儲在安全帳戶(hù)管理器 (SAM) 數據庫或 Active Directory 中。因此，判斷您是否擁有正確密碼的唯一已知方法是使用相同的單向哈希算法對密碼進(jìn)行計算，并比較結果。詞典攻擊通過(guò)在加密的整個(gè)過(guò)程中嘗試整個(gè)詞典來(lái)尋找匹配值。對于確定以“password”或“guest”這樣的常用詞作為帳戶(hù)密碼的使用者，這是一種非常簡(jiǎn)單，但卻很有效方法。

舊版 Windows 使用的是特定類(lèi)型的哈希算法，稱(chēng)為 LAN Manager Hash (LMHash)。此算法將密碼分為包含 7 個(gè)或少于 7 個(gè)字符的塊，然后針對每個(gè)字符塊計算單獨的哈希值。雖然 Windows 2000 Server、Windows XP 和 Windows Server 2003 都使用更新的哈希算法，但它們仍需計算和存儲 LMHash 以保持向后兼容性。

LMHash 值存在時(shí)，表示密碼破解程序的快捷方式。如果密碼為七個(gè)字符或更少，則 LMHash 的第二個(gè)部分解析為一個(gè)特定值，此值會(huì )通知破譯者，密碼短于八個(gè)字符。少于 8 個(gè)字符的密碼甚至可以加強較弱的 LMHash，因為較長(cháng)的密碼要求破解程序對每個(gè)密碼的兩個(gè)部分都進(jìn)行解密，而不只是一個(gè)部分。并行攻擊 LMHash 的兩半是可能的，而且 LMHash 的另半部分只有 1 字符長(cháng)；強力攻擊只需幾毫秒即可將其破解。因此，它實(shí)際上沒(méi)有帶來(lái)什么好處，除非它是 Alt 字符集的一部分。

為此，不推薦您用較短的密碼代替較長(cháng)的密碼。不過(guò)，最短長(cháng)度要求如果太長(cháng)，就會(huì )導致輸錯密碼的次數變多，帳戶(hù)因此而被鎖定的次數也變多，幫助臺呼叫也會(huì )增加。此外，極端的長(cháng)密碼要求實(shí)際上會(huì )降低組織的安全性，因為用戶(hù)很可能會(huì )記下密碼，不致忘記。

密碼必須符合復雜性要求

在創(chuàng )建新密碼時(shí)，此策略設置將檢查所有新密碼以確保它們符合安全性要求。不能對 Windows Server 2003 策略規則直接進(jìn)行修改。不過(guò)，您可以創(chuàng )建新版本的 Passfilt.dll 文件以應用不同的規則集。有關(guān)創(chuàng )建自定義 Passfilt.dll 文件的詳細信息，請參閱 MSDN® 文章“Sample Password Filter”，網(wǎng)址為 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secmgmt/
security/sample_password_filter.asp。

實(shí)際上，可以設置包含 20 個(gè)或更多字符的密碼，這樣便于用戶(hù)記憶，并且比八字符的密碼更安全。假定以下 27 個(gè)字符的密碼：I love cheap tacos for $.99。這種類(lèi)型的密碼（真正的通行短語(yǔ)）與 P@55w0rd 這樣較短的密碼相比，可能更便于用戶(hù)記憶。

與“密碼長(cháng)度最小值” 8 組合使用時(shí)，此設置使進(jìn)行強力攻擊非常困難。如果在密鑰空間中使用大小寫(xiě)字母和數字，那么可用的字符數將從 26 增加到 62。八字符密碼就有 2.18 x 1014 中可能的組合。在每秒進(jìn)行 1,000,000 次嘗試的速度下，循環(huán)嘗試所有可能的排列需要 6.9 年的時(shí)間。

因此，Microsoft 建議對于本指南中定義的所有三種環(huán)境將“密碼必須符合復雜性要求”設置配置為“已啟用”。

用可還原的加密來(lái)儲存密碼

此策略設置確定操作系統是否使用可逆加密來(lái)存儲密碼。它支持使用要求用戶(hù)通過(guò)密碼進(jìn)行身份驗證的協(xié)議的應用程序。

與使用非可逆加密存儲的密碼相比，使用可逆加密方法存儲的密碼更容易檢索。如果啟用此設置，就會(huì )增加漏洞。

因此，Microsoft 建議您將“用可還原的加密來(lái)儲存密碼”設置配置為“已禁用”，除非應用程序要求超過(guò)了保護密碼信息的需要。此外，通過(guò)遠程訪(fǎng)問(wèn)或 IAS 部署質(zhì)詢(xún)-握手身份驗證協(xié)議 (CHAP) 的環(huán)境和在 Internet 信息服務(wù) (IIS) 中使用摘要式身份驗證的環(huán)境都需要啟用此策略設置。

如何防止用戶(hù)更改密碼（除非在要求這么做時(shí)）

雖然上一部分中介紹的密碼策略設置提供了選項范圍，但某些組織仍要求對所有用戶(hù)采取集中式控制。本部分介紹如何防止用戶(hù)進(jìn)行非必要的密碼更改。

對用戶(hù)密碼的集中控制是設計完好的 Windows Server 2003 安全方案的基礎。您可以使用組策略按上述方法來(lái)設置密碼最短和最長(cháng)使用期限，但是請記住，經(jīng)常的密碼更改要求將使用戶(hù)能夠回避您的環(huán)境的密碼歷史記錄設置。要求密碼太長(cháng)還可能使用戶(hù)忘記密碼，從而導致幫助臺收到忘記其密碼的用戶(hù)的呼叫增多。

用戶(hù)可以在密碼最短使用期限和最長(cháng)使用期限設置的期限之間更改密碼。不過(guò)，專(zhuān)用安全 – 限制功能環(huán)境設計僅在“密碼最長(cháng)使用期限”設置過(guò)了 42 天之后操作系統提示時(shí)，才要求用戶(hù)更改其密碼。要防止更改密碼（需要更改的情況除外），您可以禁用按 Ctrl+Alt+Delete 時(shí)出現的“Windows 安全”對話(huà)框中的“更改密碼”選項。注意，關(guān)注安全的用戶(hù)可能希望更頻繁地更改其密碼，必須聯(lián)系管理員執行該操作，這樣會(huì )增加支持成本。

您可以通過(guò)組策略對整個(gè)域實(shí)施此配置，也可以通過(guò)編輯注冊表對一個(gè)或多個(gè)特定用戶(hù)實(shí)施此配置。有關(guān)此配置的詳細說(shuō)明，請參閱 Microsoft 知識庫文章“HOW TO：在 Windows Server 2003 中防止用戶(hù)在非必要情況下更改密碼”，網(wǎng)址為 http://support.microsoft.com/?kbid=324744。

帳戶(hù)鎖定策略

帳戶(hù)鎖定策略是一項 Windows Server 2003 SP1 安全功能，它在指定時(shí)間段內多次登錄嘗試失敗后鎖定用戶(hù)帳戶(hù)。允許嘗試的次數和時(shí)間段基于為策略配置的值。Windows Server 2003 SP1 可跟蹤登錄嘗試，而且服務(wù)器軟件可以配置為通過(guò)在預設的登錄失敗次數后禁用帳戶(hù)來(lái)對潛在攻擊作出響應。

這些策略設置有助于保護用戶(hù)密碼，防止攻擊者猜出密碼，因此降低了網(wǎng)絡(luò )攻擊的成功可能性。不過(guò)，如果您啟用帳戶(hù)鎖定策略，就可能導致支持成本增加，因為忘記或重復輸錯密碼的用戶(hù)將需要幫助。啟用下列設置之前，請確保您的組織已經(jīng)為此附加開(kāi)銷(xiāo)作好準備。對于許多組織而言，改進(jìn)的低成本解決方案是自動(dòng)監視域控制器的安全事件日志，并當出現明顯的用戶(hù)帳戶(hù)密碼的猜測嘗試時(shí)生成管理警報。有關(guān)這些設置及其交互方式的附加論述，請參閱附加指南威脅和對策：Windows Server 2003 和 Windows XP 中的安全設置的第 2 章“域級別策略”。

帳戶(hù)鎖定策略設置

下表匯總了推薦的帳戶(hù)鎖定策略設置。您可以使用組策略對象編輯器在下列位置對域組策略中的這些設置進(jìn)行配置：

計算機配置\Windows 設置\安全設置\帳戶(hù)策略\帳戶(hù)鎖定策略

表后的小節提供了有關(guān)每個(gè)設置的附加信息。

表 3.2 帳戶(hù)鎖定策略設置

帳戶(hù)鎖定時(shí)間

此策略設置確定在未鎖定帳戶(hù)且用戶(hù)可以嘗試再次登錄之前的時(shí)間長(cháng)度。它指定了鎖定帳戶(hù)保持不可用的分鐘數。如果將“帳戶(hù)鎖定時(shí)間”值設置為 0，則帳戶(hù)將保持鎖定直到管理員將其解除鎖定。此策略設置的 Windows Server 2003 SP1 默認值為“沒(méi)有定義”。

將“帳戶(hù)鎖定時(shí)間”設置配置為永不自動(dòng)解鎖帳戶(hù)似乎是一個(gè)好主意，但這樣配置可能增加幫助臺為了解鎖不小心鎖定的帳戶(hù)而收到的呼叫的次數。

本指南建議對于舊客戶(hù)端和企業(yè)客戶(hù)端環(huán)境將“帳戶(hù)鎖定時(shí)間”設置配置為“30 分鐘”，而對于專(zhuān)用安全 - 限制功能環(huán)境將此設置配置為“15 分鐘”。在遭到拒絕服務(wù) (DoS) 攻擊時(shí)，此配置可降低運營(yíng)開(kāi)銷(xiāo)。在 DoS 攻擊中，攻擊者對組織中的所有用戶(hù)進(jìn)行的惡意登錄嘗試多次失敗后，導致這些用戶(hù)的帳戶(hù)被鎖定。推薦的設置向鎖定用戶(hù)提供了在合理時(shí)間之內重新登錄的機會(huì )，而無(wú)需向服務(wù)臺尋求幫助。但是，有關(guān)此設置值的信息需要傳達給用戶(hù)。

帳戶(hù)鎖定閾值

此策略設置確定用戶(hù)在帳戶(hù)被鎖定之前可以嘗試登錄帳戶(hù)的次數。

授權用戶(hù)可以采用不同的方式來(lái)鎖定其帳戶(hù)。他們可以輸錯密碼或可以在登錄一臺計算機上后在另一臺計算機上更改其密碼。帶有錯誤密碼的計算機會(huì )不斷嘗試對用戶(hù)進(jìn)行身份驗證，但由于它用來(lái)進(jìn)行身份驗證的密碼不正確，最終導致用戶(hù)帳戶(hù)被鎖定。要避免鎖定授權用戶(hù)，請將“帳戶(hù)鎖定閾值”設置配置為較高的數字。

由于無(wú)論是否配置“帳戶(hù)鎖定閾值”設置都會(huì )存在漏洞，因此為這些可能性中的每種可能性定義了獨特措施。您的組織應該根據識別的威脅和正在嘗試降低的風(fēng)險來(lái)在兩者之間做出平衡。

• 要防止帳戶(hù)鎖定，請將“帳戶(hù)鎖定閾值”設置的值設置為 0。此配置有助于減少幫助臺呼叫次數，因為用戶(hù)不會(huì )將自己意外地鎖定在帳戶(hù)外。同時(shí)，嘗試故意鎖定組織中的帳戶(hù)的 DoS 攻擊將不會(huì )達到目的。由于它不能阻止強力攻擊，因此只有在下列條件均得到明確滿(mǎn)足時(shí)才可以選擇此設置：

  • 密碼策略要求所有用戶(hù)使用由 8 個(gè)或更多字符組成的復雜密碼。

  • 強健的審核機制已經(jīng)就位，可以在環(huán)境中發(fā)生一系列帳戶(hù)登錄失敗時(shí)提醒管理員。例如，審核機制應該監視安全事件 539，此事件為“登錄失敗。當進(jìn)行登錄嘗試時(shí)帳戶(hù)被鎖定”。此事件意味著(zhù)在達到登錄嘗試閾值時(shí)，帳戶(hù)將被鎖定。但是，事件 539 只顯示帳戶(hù)鎖定，不顯示失敗的登錄嘗試。因此，您的管理員還應該監視是否有一系列錯誤的密碼嘗試。

• 如果不能滿(mǎn)足這些條件，則第二個(gè)選擇是將“帳戶(hù)鎖定閾值”設置配置為足夠高的值，以便用戶(hù)可以意外地輸錯密碼若干次而不將自己鎖定在帳戶(hù)外。但是，此值應該幫助確保強力攻擊密碼仍會(huì )鎖定帳戶(hù)。

本指南建議對于舊客戶(hù)端和企業(yè)客戶(hù)端環(huán)境將“帳戶(hù)鎖定閾值”設置值配置為 50，這應該可以提供足夠的安全性和可接受的可用性。此值將避免意外的帳戶(hù)鎖定和減少幫助臺呼叫次數，但不能如前所述避免 DoS 攻擊。但是，本指南建議對于專(zhuān)用安全 - 限制功能環(huán)境將此策略設置值配置為 10。

復位帳戶(hù)鎖定計數器

此策略設置確定在“帳戶(hù)鎖定閾值”復位為 0 以及帳戶(hù)被解鎖之前所必須經(jīng)過(guò)的時(shí)間長(cháng)度。因此，如果定義了“帳戶(hù)鎖定閾值”，則此復位時(shí)間必須小于或等于“帳戶(hù)鎖定時(shí)間”的值。

“復位帳戶(hù)鎖定計數器”設置與其他設置配合使用。將此策略設置保留為其默認值，或者將該值配置為很長(cháng)的間隔，都會(huì )使環(huán)境面臨鎖定帳戶(hù) DoS 攻擊的威脅。如果沒(méi)有復位帳戶(hù)鎖定的策略設置，管理員必須手動(dòng)解鎖所有帳戶(hù)。相反，如果為此設置配置了合理的時(shí)間值，用戶(hù)將會(huì )被鎖定一段固定的時(shí)間，然后所有帳戶(hù)都會(huì )自動(dòng)解鎖。

本指南建議對于舊客戶(hù)端和企業(yè)客戶(hù)端環(huán)境將“復位帳戶(hù)鎖定計數器”設置配置為 30 分鐘。此配置所定義的時(shí)間段是用戶(hù)在無(wú)需求助幫助臺的情況下最有可能接受的。但是，本指南建議對于專(zhuān)用安全 – 限制功能環(huán)境將此策略設置配置為 15 分鐘。

Kerberos 策略

Kerberos 策略用于域用戶(hù)帳戶(hù)。這些策略確定與 Kerberos v5 身份驗證協(xié)議相關(guān)的設置（例如票證使用期限和強制）。Kerberos 策略在本地計算機策略中不存在。如果減少 Kerberos 票證的使用期限，那么攻擊者嘗試竊取密碼以模擬合法用戶(hù)帳戶(hù)的風(fēng)險將降低。但是，這些策略的維護需求將增加授權開(kāi)銷(xiāo)。

在大多數環(huán)境中，不應更改這些策略的默認值。Kerberos 設置被包括在默認域策略中并在該策略中強制實(shí)施，因此，本指南附帶的安全模板中并不包含它們。

本指南建議不要對默認的 Kerberos 策略做任何更改。有關(guān)這些策略設置的詳細信息，請參閱附加指南威脅和對策：Windows Server 2003 和 Windows XP 的安全設置，網(wǎng)址為 http://www.microsoft.com/china/technet/security/guidance/secmod48.mspx。

安全選項

本章前面介紹的三種不同類(lèi)型的帳戶(hù)策略在域級別定義，并由域中的所有域控制器強制實(shí)施。域控制器始終從默認域策略 GPO 獲取帳戶(hù)策略，即使存在對包含域控制器的 OU 應用的其他帳戶(hù)策略。

有三種類(lèi)似于帳戶(hù)策略的安全選項設置。應該在整個(gè)域的級別而不是在個(gè)別 OU 中應用這些設置?？梢允褂媒M策略對象編輯器在以下位置對這些設置進(jìn)行配置：

計算機配置\Windows 設置\安全設置\本地策略\安全選項

安全選項設置

下表匯總了推薦的安全選項設置。表后的小節提供了有關(guān)每個(gè)設置的附加信息。

表 3.3 安全選項設置

Microsoft 網(wǎng)絡(luò )服務(wù)器：當登錄時(shí)間用完時(shí)自動(dòng)注銷(xiāo)用戶(hù)

此策略設置確定在超過(guò)用戶(hù)帳戶(hù)的有效登錄時(shí)間后，是否斷開(kāi)連接到本地計算機的用戶(hù)。此策略設置影響服務(wù)器消息塊 (SMB) 組件。如果啟用此設置，會(huì )在客戶(hù)端的登錄時(shí)間用完時(shí)強制斷開(kāi)與 SMB 服務(wù)的客戶(hù)端會(huì )話(huà)。如果禁用此設置，則允許已建立的客戶(hù)端會(huì )話(huà)在超過(guò)客戶(hù)端登錄時(shí)間后繼續進(jìn)行。如果啟用此策略設置，您還應該啟用“網(wǎng)絡(luò )安全：在超過(guò)登錄時(shí)間后強制注銷(xiāo)”設置。

如果您的組織為用戶(hù)配置了登錄時(shí)間，則啟用“Microsoft 網(wǎng)絡(luò )服務(wù)器：當登錄時(shí)間用完時(shí)自動(dòng)注銷(xiāo)用戶(hù)”設置很有意義。否則，即使用戶(hù)超出其登錄時(shí)間，應無(wú)法訪(fǎng)問(wèn)網(wǎng)絡(luò )資源，但實(shí)際上他們仍能繼續在許可時(shí)間內建立的會(huì )話(huà)中使用那些資源。

本指南建議對于本指南中定義的三種環(huán)境將“Microsoft 網(wǎng)絡(luò )服務(wù)器：當登錄時(shí)間用完時(shí)自動(dòng)注銷(xiāo)用戶(hù)”設置配置為“已啟用”。如果未使用登錄時(shí)間，則此策略設置不會(huì )產(chǎn)生任何影響。

網(wǎng)絡(luò )訪(fǎng)問(wèn)：允許匿名 SID/名稱(chēng)轉換

此策略設置確定匿名用戶(hù)是否可以請求另一用戶(hù)的 SID。

如果在域控制器上啟用了“網(wǎng)絡(luò )訪(fǎng)問(wèn)：允許匿名 SID/名稱(chēng)轉換”設置，則知道管理員所共知的標準 SID 屬性的用戶(hù)可以與也啟用了此策略的計算機聯(lián)系，并使用該 SID 獲取管理員的名稱(chēng)。然后，此人可以使用該帳戶(hù)名稱(chēng)發(fā)動(dòng)密碼猜測攻擊。

由于在成員計算機上“網(wǎng)絡(luò )訪(fǎng)問(wèn)：允許匿名 SID/名稱(chēng)轉換”設置的默認配置是“已禁用”，所有這些計算機將不受此策略設置的影響。但是，域控制器的默認設置為“已啟用”。如果禁用此策略設置，運行舊操作系統的計算機可能無(wú)法與那些基于 Windows Server 2003 SP1 的域進(jìn)行通信。此類(lèi)計算機的示例包括：

• 基于 Windows NT® 4.0 的遠程訪(fǎng)問(wèn)服務(wù)服務(wù)器。

• 在基于 Windows NT 3.x 或基于 Windows NT 4.0 的計算機上運行的 Microsoft SQL Servers™。

• 在基于 Windows 2000 并位于 Windows NT 3.x 域或 Windows NT 4.0 域的計算機上運行的遠程訪(fǎng)問(wèn)服務(wù)服務(wù)器。

本指南建議對于本指南中定義的三種環(huán)境將“網(wǎng)絡(luò )訪(fǎng)問(wèn)：允許匿名 SID/名稱(chēng)轉換”設置配置為“已禁用”。

網(wǎng)絡(luò )安全：在超過(guò)登錄時(shí)間后強制注銷(xiāo)

此策略設置確定在超過(guò)用戶(hù)帳戶(hù)的有效登錄時(shí)間后，是否斷開(kāi)連接到本地計算機的用戶(hù)。此設置影響 SMB 組件。

如果啟用“網(wǎng)絡(luò )安全：在超過(guò)登錄時(shí)間后強制注銷(xiāo)”設置，則當用戶(hù)的登錄時(shí)間用完之后，客戶(hù)端與 SMB 服務(wù)器的會(huì )話(huà)將被強制斷開(kāi)。在下一次計劃訪(fǎng)問(wèn)時(shí)間到來(lái)之前，用戶(hù)將無(wú)法登錄到計算機。如果禁用此策略設置，則用戶(hù)在登錄時(shí)間用完之后可以保持已建立的客戶(hù)端會(huì )話(huà)。要影響域帳戶(hù)，必須在默認域策略中定義此設置。

本指南建議對于本指南中定義的三種環(huán)境將“網(wǎng)絡(luò )安全：在超過(guò)登錄時(shí)間后強制注銷(xiāo)”設置配置為“已啟用”。

總結

本章介紹了復查組織中所有域范圍設置的需求。只能為每個(gè)域配置一組密碼、帳戶(hù)鎖定和 Kerberos v5 身份驗證協(xié)議策略。其他密碼和帳戶(hù)鎖定設置將只影響成員服務(wù)器上的本地帳戶(hù)。規劃配置將適用于域的所有成員服務(wù)器的設置，并確保這些設置能在您的組織中提供足夠級別的安全性。

更多信息

下列鏈接提供了與運行 Windows Server 2003 SP1 的服務(wù)器的域策略相關(guān)的主題的附加信息。

• 有關(guān)匿名用戶(hù)請求其他用戶(hù)的安全標識符屬性的功能的信息，請參閱網(wǎng)絡(luò )訪(fǎng)問(wèn)：允許匿名 SID/名稱(chēng)轉換頁(yè)面，網(wǎng)址為 www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/
  299803be-0e85-4c60-b0b5-1b64486559b3.mspx。

• 有關(guān)網(wǎng)絡(luò )安全和在登錄時(shí)間用完時(shí)如何強制注銷(xiāo)的信息，請參閱 Mole #32:Technical Answers from Inside Microsoft，網(wǎng)址為 www.microsoft.com/technet/archive/community/columns/inside/techan32.mspx。

  此外，請參閱 Microsoft 知識庫文章 “Guest Account Cannot be Used When Anonymous Access Is Disabled”，網(wǎng)址為 http://support.microsoft.com/?kbid=251171。