接上一篇:《配置Active Directory域基礎(chǔ)結(jié)構(gòu)(2)》
帳戶鎖定策略
帳戶鎖定策略是一項 Active Directory 安全功能�����,它在一個指定時間段內(nèi)多次登錄嘗試失敗后鎖定用戶帳戶��。允許的嘗試次數(shù)和時間段基于為安全策略鎖定設(shè)置配置的值。用戶不能登錄到鎖定的帳戶�����。域控制器跟蹤登錄嘗試���,而且服務(wù)器軟件可以配置為通過在預(yù)設(shè)時間段禁用帳戶來響應(yīng)此類潛在攻擊。
在 Active Directory 域中配置帳戶鎖定策略時�,管理員可以為嘗試和時間段變量設(shè)置任何值�。但是�����,如果“復(fù)位帳戶鎖定計數(shù)器”設(shè)置的值大于“帳戶鎖定時間”設(shè)置的值����,則域控制器自動將“帳戶鎖定時間”設(shè)置的值調(diào)整為與“復(fù)位帳戶鎖定計數(shù)器”設(shè)置相同的值。
另外��,如果“帳戶鎖定時間”設(shè)置的值比為“復(fù)位帳戶鎖定計數(shù)器”設(shè)置配置的值低�,則域控制器自動將“復(fù)位帳戶鎖定計數(shù)器”的值調(diào)整為與“帳戶鎖定時間”設(shè)置相同的值�。因此����,如果定義了“帳戶鎖定時間”設(shè)置的值�,則“復(fù)位帳戶鎖定計數(shù)器”設(shè)置的值必須小于或等于為“帳戶鎖定時間”設(shè)置所配置的值。
域控制器執(zhí)行此操作�����,以避免與安全策略中的設(shè)置值沖突����。如果管理員將“復(fù)位帳戶鎖定計數(shù)器”設(shè)置的值配置為比“帳戶鎖定時間”設(shè)置的值大,則為“帳戶鎖定時間”設(shè)置配置的值的實施將首先過期�,因此用戶可以登錄回網(wǎng)絡(luò)上��。但是�����,“復(fù)位帳戶鎖定計數(shù)器”設(shè)置將繼續(xù)計數(shù)����。因此“帳戶鎖定閾值”設(shè)置將保留最大值( 3 次無效登錄)��,用戶將無法登錄����。
為了避免此情況,域控制器將“復(fù)位帳戶鎖定計數(shù)器”設(shè)置的值自動重置為與“帳戶鎖定時間”設(shè)置的值相等�。
這些安全策略設(shè)置有助于防止攻擊者猜測用戶密碼,并且會降低對網(wǎng)絡(luò)環(huán)境的攻擊成功的可能性?����?梢栽诮M策略對象編輯器中以下位置的域組策略中配置下表中的值:
計算機(jī)配置\Windows 設(shè)置\安全設(shè)置\帳戶策略\帳戶鎖定策略
下表包含對本指南中定義的兩種安全環(huán)境的帳戶鎖定策略建議����。
帳戶鎖定時間
表 2.8:設(shè)置
| 域控制器默認(rèn)值 |
企業(yè)客戶端 |
高安全級 |
| 沒有定義 |
30 分鐘 |
30 分鐘 |
“帳戶鎖定時間”設(shè)置確定在未鎖定帳戶且用戶可以嘗試再次登錄之前所必須經(jīng)歷的時間長度。此設(shè)置通過指定鎖定帳戶保持不可用的分鐘數(shù)來執(zhí)行此操作�����。如果“帳戶鎖定時間”設(shè)置的值配置為 0�����,則鎖定的帳戶將保持鎖定,直到管理員將它們解鎖。此設(shè)置的 Windows XP 默認(rèn)值為“沒有定義”�。
為了減少幫助臺支持呼叫的次數(shù),同時提供安全的基礎(chǔ)結(jié)構(gòu)��,對于本指南中定義的兩種環(huán)境,將“帳戶鎖定時間”設(shè)置的值配置為“30 分鐘”�。
將此設(shè)置的值配置為永不自動解鎖似乎是一個好主意,但這樣做會增加組織中的幫助臺為了解鎖不小心鎖定的帳戶而收到的呼叫的次數(shù)�����。對于每個鎖定級別�����,將此設(shè)置的值配置為 30 分鐘可以減少“拒絕服務(wù) (DoS)”攻擊的機(jī)會。此設(shè)置值還使用戶在帳戶鎖定時有機(jī)會在 30 分鐘內(nèi)再次登錄�����,這是在無需求助于幫助臺的情況下他們最可能接受的時間段�����。
帳戶鎖定閾值
表 2.9:設(shè)置
| 域控制器默認(rèn)值 |
企業(yè)客戶端 |
高安全級 |
| 0 次無效登錄 |
50 次無效登錄 |
50 次無效登錄 |
“帳戶鎖定閾值”設(shè)置確定用戶在帳戶鎖定之前可以嘗試登錄帳戶的次數(shù)��。
授權(quán)用戶將自己鎖定在帳戶外的原因可能有:輸錯密碼或記錯密碼���,或者在計算機(jī)上更改了密碼而又登錄到其他計算機(jī)。帶有錯誤密碼的計算機(jī)連續(xù)嘗試對用戶進(jìn)行身份驗證�,由于它用于身份驗證的密碼不正確��,導(dǎo)致用戶帳戶最終鎖定。對于只使用運行 Windows Server 2003 或更早版本的域控制器的組織�����,不存在此問題����。為了避免鎖定授權(quán)用戶��,請將帳戶鎖定閾值設(shè)置為較高的數(shù)字�����。此設(shè)置的默認(rèn)值為“0 次無效登錄”��。
對于本指南中定義的兩種環(huán)境��,將“帳戶鎖定閾值”的值配置為“50 次無效登錄”。
由于無論是否配置此設(shè)置的值都會存在漏洞����,所以,為這些可能性中的每種可能性定義了獨特措施��。您的組織應(yīng)該根據(jù)識別的威脅和正在嘗試降低的風(fēng)險來在兩者之間做出平衡�。有兩個選項可用于此設(shè)置��。
將“帳戶鎖定閾值”的值配置為“0”可以確保帳戶不會鎖定����。此設(shè)置值將避免旨在鎖定組織中的帳戶的 DoS 攻擊�。它還可以減少幫助臺呼叫次數(shù)�,因為用戶不會將自己意外地鎖定在帳戶外����。由于此設(shè)置不能避免強(qiáng)力攻擊����,所以�,只有當(dāng)明確符合下列兩個條件時才將它配置為比 0 大的值
密碼策略強(qiáng)制所有用戶使用由 8 個或更多字符組成的復(fù)雜密碼����。
強(qiáng)健的審核機(jī)制已經(jīng)就位,以便當(dāng)組織環(huán)境中發(fā)生一系列帳戶鎖定時提醒管理員�。例如����,審核解決方案應(yīng)該監(jiān)視安全事件 539(此事件為登錄失?��。?。此事件意味著當(dāng)嘗試登錄時鎖定帳戶。
如果不符合上述條件���,則第二個選項為:
將“帳戶鎖定閾值”設(shè)置配置為足夠高的值��,以便讓用戶可以意外輸錯密碼若干次而不會將自己鎖定在帳戶外���,同時確保強(qiáng)力密碼攻擊仍會鎖定帳戶��。在這種情況下����,將此設(shè)置的值配置為一定次數(shù)(例如 3 到 5 次)的無效登錄可以確保適當(dāng)?shù)陌踩院涂山邮艿目捎眯?。此設(shè)置值將避免意外的帳戶鎖定和減少幫助臺呼叫次數(shù)��,但不能如上所述避免 DoS 攻擊�����。
復(fù)位帳戶鎖定計數(shù)器
表 2.10:設(shè)置
| 域控制器默認(rèn)值 |
企業(yè)客戶端 |
高安全級 |
| 沒有定義 |
30 分鐘 |
30 分鐘 |
“復(fù)位帳戶鎖定計數(shù)器”設(shè)置確定“帳戶鎖定閾值”重置為零之前的時間長度��。此設(shè)置的默認(rèn)值為“沒有定義”。如果定義了“帳戶鎖定閾值”���,則此重置時間必須小于或等于“帳戶鎖定時間”設(shè)置的值。
對于本指南中定義的兩種環(huán)境��,將“復(fù)位帳戶鎖定計數(shù)器”設(shè)置配置為“30 分鐘之后”。
將此設(shè)置保留為其默認(rèn)值����,或者以很長的間隔配置此值���,都會使環(huán)境面臨 DoS 攻擊的威脅�����。攻擊者對組織中的所有用戶惡意地進(jìn)行大量失敗登錄,如上所述鎖定他們的帳戶�。如果沒有確定策略來重置帳戶鎖定�,則管理員必須手動解鎖所有帳戶��。反過來,如果為此設(shè)置配置了合理的時間值���,在所有帳戶自動解鎖之前用戶只鎖定一段已設(shè)置的時間���。因此,建議的設(shè)置值 30 分鐘定義了用戶在無需求助于幫助臺的情況下最可能接受的時間段����。
用戶權(quán)限分配
模塊 3“Windows XP 客戶端安全設(shè)置”中詳細(xì)介紹了用戶權(quán)限分配�����。但是,應(yīng)該對所有域控制器設(shè)置“域中添加工作站”用戶權(quán)限�,本模塊中討論了其原因��。“Windows 2003 Server Security Guide”(英文)的模塊 3 和 4 中介紹了有關(guān)成員服務(wù)器和域控制器設(shè)置的其他信息�����。
域中添加工作站
表 2.11:設(shè)置
| 域控制器默認(rèn)值 |
企業(yè)客戶端 |
高安全級 |
| Authenticated Users |
Administrators |
Administrators |
“域中添加工作站”用戶權(quán)限允許用戶向特定域中添加計算機(jī)��。為了使此權(quán)限生效�����,必須將它作為域的默認(rèn)域控制器策略的一部分分配給用戶�。授予了此權(quán)限的用戶可以向域中最多添加 10 個工作站��。授予了 Active Directory 中 OU 或計算機(jī)容器的“創(chuàng)建計算機(jī)對象”權(quán)限的用戶還可以將計算機(jī)加入域。授予了此權(quán)限的用戶可以向域中添加不限數(shù)量的計算機(jī)���,無論他們是否已被分配“域中添加工作站”用戶權(quán)限��。
默認(rèn)情況下,“Authenticated Users”組中的所有用戶能夠向 Active Directory 域中最多添加 10 個計算機(jī)帳戶����。這些新計算機(jī)帳戶是在計算機(jī)容器中創(chuàng)建的����。
在 Active Directory 域中,每個計算機(jī)帳戶是一個完整的安全主體���,它能夠?qū)τ蛸Y源進(jìn)行身份驗證和訪問���。某些組織想要限制 Active Directory 環(huán)境中的計算機(jī)數(shù)量��,以便他們可以始終跟蹤�、生成和管理它們�����。
允許用戶向域中添加工作站會妨礙此努力。它還為用戶提供了執(zhí)行更難跟蹤的活動的途徑���,因為他們可以創(chuàng)建其他未授權(quán)的域計算機(jī)��。
出于這些原因,在本指南中定義的兩種環(huán)境中�����,“域中添加工作站”用戶權(quán)限只授予給“Administrators”組���。
安全設(shè)置
帳戶策略必須在默認(rèn)域策略中定義,且必須由組成域的域控制器強(qiáng)制執(zhí)行��。域控制器始終從默認(rèn)域策略 GPO 獲取帳戶策略,即使存在對包含域控制器的 OU 應(yīng)用的其他帳戶策略���。
在安全選項中有兩個策略�����,它們也像域級別要考慮的帳戶策略那樣發(fā)揮作用��。可以在組策略對象編輯器中的以下位置配置下表中的域組策略值:
計算機(jī)配置\Windows 設(shè)置\安全設(shè)置\本地策略\安全選項
Microsoft 網(wǎng)絡(luò)服務(wù)器:當(dāng)?shù)卿洉r間用完時自動注銷用戶
表 2.12:設(shè)置
| 域控制器默認(rèn)值 |
企業(yè)客戶端 |
高安全級 |
| 沒有定義 |
已啟用 |
已啟用 |
“Microsoft 網(wǎng)絡(luò)服務(wù)器:當(dāng)?shù)卿洉r間用完時自動注銷用戶”設(shè)置確定在超過用戶帳戶的有效登錄時間后����,是否斷開連接到本地計算機(jī)的用戶。此設(shè)置影響服務(wù)器消息塊 (SMB) 組件�����。啟用此策略后,它使客戶端與 SMB 服務(wù)的會話在超過客戶端登錄時間后強(qiáng)制斷開���。如果禁用此策略,則允許已建立的客戶端會話在超過客戶端登錄時間后繼續(xù)進(jìn)行�。啟用此設(shè)置可以確保也啟用了“網(wǎng)絡(luò)安全:在超過登錄時間后強(qiáng)制注銷”設(shè)置。
如果組織已經(jīng)為用戶配置了登錄時間�,則很有必要啟用此策略。否則��,已假設(shè)無法在超出登錄時間后訪問網(wǎng)絡(luò)資源的用戶�����,實際上可以通過在允許的時間中建立的會話繼續(xù)使用這些資源���。
如果在組織中未使用登錄時間�,則啟用此設(shè)置將沒有影響�。如果使用了登錄時間���,則當(dāng)超過現(xiàn)有用戶的登錄時間后將強(qiáng)制終止現(xiàn)有用戶會話。
網(wǎng)絡(luò)訪問:允許匿名 SID/名稱 轉(zhuǎn)換
表 2.13:設(shè)置
| 域控制器默認(rèn)值 |
企業(yè)客戶端 |
高安全級 |
| 沒有定義 |
已禁用 |
已禁用 |
“網(wǎng)絡(luò)訪問:允許匿名 SID/名稱 轉(zhuǎn)換”設(shè)置確定匿名用戶是否可以請求另一用戶的 SID��。
如果對域控制器啟用此設(shè)置���,知道管理員的 SID 屬性的用戶可以與也啟用了此策略的計算機(jī)進(jìn)行聯(lián)系��,并使用 SID 獲取管理員的名稱��。然后�����,此人可以使用帳戶名啟動密碼猜測攻擊����。成員計算機(jī)的默認(rèn)設(shè)置為“已禁用”��,這對它們沒有影響。但是�����,域控制器的默認(rèn)設(shè)置為“已啟用”。禁用此設(shè)置會導(dǎo)致舊系統(tǒng)無法與以下 Windows Server 2003 域進(jìn)行通信:
基于 Microsoft Windows NT? 4.0 的遠(yuǎn)程訪問服務(wù)服務(wù)器。
當(dāng) IIS 上的 Web 應(yīng)用程序配置為允許“基本身份驗證”并同時禁用“匿名訪問”時����,內(nèi)置的來賓用戶帳戶不能訪問 Web 應(yīng)用程序����。另外��,如果將內(nèi)置的來賓用戶帳戶重命名為另一名稱���,則不能使用新名稱訪問 Web 應(yīng)用程序。
在位于 Windows NT 3.x 域或 Windows NT 4.0 域中的 Windows 2000 計算機(jī)上運行的遠(yuǎn)程訪問服務(wù)服務(wù)器�����。
網(wǎng)絡(luò)安全:在超過登錄時間后強(qiáng)制注銷
表 2.14:設(shè)置
| 域控制器默認(rèn)值 |
企業(yè)客戶端 |
高安全級 |
| 已禁用 |
已啟用 |
已啟用 |
“網(wǎng)絡(luò)安全:在超過登錄時間后強(qiáng)制注銷”設(shè)置確定在超過用戶帳戶的有效登錄時間后是否斷開連接到本地計算機(jī)的用戶���。此設(shè)置影響 SMB 組件��。
啟用此策略可以在超過客戶端登錄時間后強(qiáng)制斷開客戶端與 SMB 服務(wù)器的會話,此用戶在他或她的下一次計劃訪問時間之前將無法登錄到系統(tǒng)。禁用此策略會在超過客戶端的登錄時間后保留已建立的客戶端會話����。要影響域帳戶����,必須在默認(rèn)域策略中定義此設(shè)置。
Kerberos 策略
Kerberos 版本 5 身份驗證協(xié)議的策略是對域控制器配置的����,而不是對域的成員計算機(jī)配置的���。這些策略確定與 Kerberos 相關(guān)的設(shè)置�����,例如票證壽命和強(qiáng)制�����。本地計算機(jī)策略中不存在 Kerberos 策略����。在大多數(shù)環(huán)境中����,不應(yīng)更改這些策略的默認(rèn)值���。本指南不提供對默認(rèn) Kerberos 策略的任何更改����。有關(guān)這些設(shè)置的詳細(xì)信息,請參閱位于以下站點的附加指南“Threats and Countermeasures:Security Settings in Windows Server 2003 and Windows XP”:http://go.microsoft.com/fwlink/?LinkId=15159(英文)。
OU 級別組策略
OU 級別組策略中包括的安全設(shè)置應(yīng)該特定于 OU。這些設(shè)置同時包括計算機(jī)設(shè)置和用戶設(shè)置����。為了便于管理和提高安全級,在本指南中����,介紹軟件限制策略 (SRP) 的章節(jié)與其他安全設(shè)置分開。模塊 6“Windows XP 客戶端軟件限制策略”詳細(xì)討論了 SRP。
安全設(shè)置組策略
您需要為環(huán)境中的每一類 Windows XP 計算機(jī)創(chuàng)建 GPO。在本指南中���,便攜式計算機(jī)和臺式計算機(jī)分為單獨的 OU�,以便為這些計算機(jī)類別中的每個類別應(yīng)用自定義的 GPO����。
軟件限制策略設(shè)置
在您的環(huán)境中創(chuàng)建用于配置 SRP 設(shè)置的專用 GPO����。使 SRP 設(shè)置與其余組策略設(shè)置分開有一些被迫原因。首先�,SRP 與其他組策略設(shè)置在概念上有所不同��。SRP 并不需要管理員啟用或禁用選項或配置值���,而是需要管理員標(biāo)識將支持哪些應(yīng)用程序集�����、應(yīng)用哪些限制以及如何處理異常���。其次����,如果在生產(chǎn)環(huán)境中實現(xiàn) SRP 策略時出現(xiàn)了災(zāi)難錯誤�,則此方法可以促進(jìn)快速恢復(fù):管理員可以臨時禁用定義 SRP 設(shè)置的 GPO,而不影響任何其他安全設(shè)置��。
組策略工具
Windows XP 附帶的一些工具可以使對 GPO 的處理變得更容易�。下一部分將簡要概述其中一些工具。
強(qiáng)制組策略更新
Active Directory 定期更新組策略�����,但是您可以使用 GpUpdate(Windows XP Professional 附帶的命令行工具)強(qiáng)制更新客戶端計算機(jī)上的版本�。此工具必須在客戶端計算機(jī)上本地運行。
要使用 GpUpdate 工具更新本地計算機(jī)�����,請鍵入以下命令:
Gpupdate /force
運行 GpUpdate 后��,將返回以下確認(rèn)信息:
C:\Documents and Settings\administrator.MSSLAB>gpupdate /force
正在刷新策略...
用戶策略刷新已完成���。
計算機(jī)策略刷新已完成����。
要檢查策略處理中的錯誤�,請查閱事件日志。
C:\Documents and Settings\administrator.MSSLAB>
對于基于用戶的組策略�����,必須注銷然后重新登錄正在使用的計算機(jī)�����,以測試策略�����。計算機(jī)策略應(yīng)該立即更新���。
查看用于運行 Gpupdate 類型的其他選項:
Gpupdate /?
查看策略的結(jié)果集
Windows XP 附帶的兩個工具可以確定對環(huán)境中的計算機(jī)應(yīng)用了哪些策略����、它們何時應(yīng)用以及以何種順序應(yīng)用。
RSoP 管理單元
策略的結(jié)果集工具 (RSoP.msc) 是 MMC 管理單元工具����,它顯示已經(jīng)對計算機(jī)應(yīng)用的所有策略的聚合設(shè)置。此工具可以本地運行����,也可以從另一計算機(jī)遠(yuǎn)程運行。對于每個策略設(shè)置��,RSoP 工具顯示計算機(jī)設(shè)置和源 GPO�。
GpResult
GpResult 是一個命令行工具,它提供關(guān)于最近向計算機(jī)應(yīng)用組策略的時間��、所應(yīng)用的 GPO 和應(yīng)用順序的統(tǒng)計信息�。此工具還提供有關(guān)通過篩選應(yīng)用的任何 GPO 的信息。GpResult 工具可以遠(yuǎn)程使用或在客戶端計算機(jī)上本地使用����。
(責(zé)任編輯:代君利)
