接上一篇:《配置Active Directory域基礎(chǔ)結(jié)構(gòu)(2)》
帳戶鎖定策略
帳戶鎖定策略是一項(xiàng) Active Directory 安全功能����,它在一個(gè)指定時(shí)間段內(nèi)多次登錄嘗試失敗后鎖定用戶帳戶。允許的嘗試次數(shù)和時(shí)間段基于為安全策略鎖定設(shè)置配置的值���。用戶不能登錄到鎖定的帳戶��。域控制器跟蹤登錄嘗試�����,而且服務(wù)器軟件可以配置為通過(guò)在預(yù)設(shè)時(shí)間段禁用帳戶來(lái)響應(yīng)此類潛在攻擊。
在 Active Directory 域中配置帳戶鎖定策略時(shí),管理員可以為嘗試和時(shí)間段變量設(shè)置任何值�。但是����,如果“復(fù)位帳戶鎖定計(jì)數(shù)器”設(shè)置的值大于“帳戶鎖定時(shí)間”設(shè)置的值���,則域控制器自動(dòng)將“帳戶鎖定時(shí)間”設(shè)置的值調(diào)整為與“復(fù)位帳戶鎖定計(jì)數(shù)器”設(shè)置相同的值��。
另外���,如果“帳戶鎖定時(shí)間”設(shè)置的值比為“復(fù)位帳戶鎖定計(jì)數(shù)器”設(shè)置配置的值低����,則域控制器自動(dòng)將“復(fù)位帳戶鎖定計(jì)數(shù)器”的值調(diào)整為與“帳戶鎖定時(shí)間”設(shè)置相同的值�。因此��,如果定義了“帳戶鎖定時(shí)間”設(shè)置的值���,則“復(fù)位帳戶鎖定計(jì)數(shù)器”設(shè)置的值必須小于或等于為“帳戶鎖定時(shí)間”設(shè)置所配置的值。
域控制器執(zhí)行此操作��,以避免與安全策略中的設(shè)置值沖突�。如果管理員將“復(fù)位帳戶鎖定計(jì)數(shù)器”設(shè)置的值配置為比“帳戶鎖定時(shí)間”設(shè)置的值大,則為“帳戶鎖定時(shí)間”設(shè)置配置的值的實(shí)施將首先過(guò)期�,因此用戶可以登錄回網(wǎng)絡(luò)上�����。但是,“復(fù)位帳戶鎖定計(jì)數(shù)器”設(shè)置將繼續(xù)計(jì)數(shù)�。因此“帳戶鎖定閾值”設(shè)置將保留最大值( 3 次無(wú)效登錄),用戶將無(wú)法登錄�����。
為了避免此情況���,域控制器將“復(fù)位帳戶鎖定計(jì)數(shù)器”設(shè)置的值自動(dòng)重置為與“帳戶鎖定時(shí)間”設(shè)置的值相等���。
這些安全策略設(shè)置有助于防止攻擊者猜測(cè)用戶密碼,并且會(huì)降低對(duì)網(wǎng)絡(luò)環(huán)境的攻擊成功的可能性�����。可以在組策略對(duì)象編輯器中以下位置的域組策略中配置下表中的值:
計(jì)算機(jī)配置\Windows 設(shè)置\安全設(shè)置\帳戶策略\帳戶鎖定策略
下表包含對(duì)本指南中定義的兩種安全環(huán)境的帳戶鎖定策略建議。
帳戶鎖定時(shí)間
表 2.8:設(shè)置
| 域控制器默認(rèn)值 |
企業(yè)客戶端 |
高安全級(jí) |
| 沒(méi)有定義 |
30 分鐘 |
30 分鐘 |
“帳戶鎖定時(shí)間”設(shè)置確定在未鎖定帳戶且用戶可以嘗試再次登錄之前所必須經(jīng)歷的時(shí)間長(zhǎng)度���。此設(shè)置通過(guò)指定鎖定帳戶保持不可用的分鐘數(shù)來(lái)執(zhí)行此操作��。如果“帳戶鎖定時(shí)間”設(shè)置的值配置為 0��,則鎖定的帳戶將保持鎖定��,直到管理員將它們解鎖��。此設(shè)置的 Windows XP 默認(rèn)值為“沒(méi)有定義”��。
為了減少幫助臺(tái)支持呼叫的次數(shù)�����,同時(shí)提供安全的基礎(chǔ)結(jié)構(gòu),對(duì)于本指南中定義的兩種環(huán)境��,將“帳戶鎖定時(shí)間”設(shè)置的值配置為“30 分鐘”��。
將此設(shè)置的值配置為永不自動(dòng)解鎖似乎是一個(gè)好主意����,但這樣做會(huì)增加組織中的幫助臺(tái)為了解鎖不小心鎖定的帳戶而收到的呼叫的次數(shù)。對(duì)于每個(gè)鎖定級(jí)別����,將此設(shè)置的值配置為 30 分鐘可以減少“拒絕服務(wù) (DoS)”攻擊的機(jī)會(huì)�����。此設(shè)置值還使用戶在帳戶鎖定時(shí)有機(jī)會(huì)在 30 分鐘內(nèi)再次登錄�,這是在無(wú)需求助于幫助臺(tái)的情況下他們最可能接受的時(shí)間段����。
帳戶鎖定閾值
表 2.9:設(shè)置
| 域控制器默認(rèn)值 |
企業(yè)客戶端 |
高安全級(jí) |
| 0 次無(wú)效登錄 |
50 次無(wú)效登錄 |
50 次無(wú)效登錄 |
“帳戶鎖定閾值”設(shè)置確定用戶在帳戶鎖定之前可以嘗試登錄帳戶的次數(shù)�。
授權(quán)用戶將自己鎖定在帳戶外的原因可能有:輸錯(cuò)密碼或記錯(cuò)密碼��,或者在計(jì)算機(jī)上更改了密碼而又登錄到其他計(jì)算機(jī)����。帶有錯(cuò)誤密碼的計(jì)算機(jī)連續(xù)嘗試對(duì)用戶進(jìn)行身份驗(yàn)證����,由于它用于身份驗(yàn)證的密碼不正確���,導(dǎo)致用戶帳戶最終鎖定�。對(duì)于只使用運(yùn)行 Windows Server 2003 或更早版本的域控制器的組織���,不存在此問(wèn)題�����。為了避免鎖定授權(quán)用戶��,請(qǐng)將帳戶鎖定閾值設(shè)置為較高的數(shù)字。此設(shè)置的默認(rèn)值為“0 次無(wú)效登錄”�。
對(duì)于本指南中定義的兩種環(huán)境���,將“帳戶鎖定閾值”的值配置為“50 次無(wú)效登錄”��。
由于無(wú)論是否配置此設(shè)置的值都會(huì)存在漏洞�,所以,為這些可能性中的每種可能性定義了獨(dú)特措施��。您的組織應(yīng)該根據(jù)識(shí)別的威脅和正在嘗試降低的風(fēng)險(xiǎn)來(lái)在兩者之間做出平衡�。有兩個(gè)選項(xiàng)可用于此設(shè)置。
將“帳戶鎖定閾值”的值配置為“0”可以確保帳戶不會(huì)鎖定�。此設(shè)置值將避免旨在鎖定組織中的帳戶的 DoS 攻擊�����。它還可以減少幫助臺(tái)呼叫次數(shù)�,因?yàn)橛脩舨粫?huì)將自己意外地鎖定在帳戶外��。由于此設(shè)置不能避免強(qiáng)力攻擊,所以�����,只有當(dāng)明確符合下列兩個(gè)條件時(shí)才將它配置為比 0 大的值
密碼策略強(qiáng)制所有用戶使用由 8 個(gè)或更多字符組成的復(fù)雜密碼。
強(qiáng)健的審核機(jī)制已經(jīng)就位�����,以便當(dāng)組織環(huán)境中發(fā)生一系列帳戶鎖定時(shí)提醒管理員�����。例如��,審核解決方案應(yīng)該監(jiān)視安全事件 539(此事件為登錄失敗)���。此事件意味著當(dāng)嘗試登錄時(shí)鎖定帳戶����。
如果不符合上述條件�,則第二個(gè)選項(xiàng)為:
將“帳戶鎖定閾值”設(shè)置配置為足夠高的值,以便讓用戶可以意外輸錯(cuò)密碼若干次而不會(huì)將自己鎖定在帳戶外�,同時(shí)確保強(qiáng)力密碼攻擊仍會(huì)鎖定帳戶���。在這種情況下���,將此設(shè)置的值配置為一定次數(shù)(例如 3 到 5 次)的無(wú)效登錄可以確保適當(dāng)?shù)陌踩院涂山邮艿目捎眯浴4嗽O(shè)置值將避免意外的帳戶鎖定和減少幫助臺(tái)呼叫次數(shù),但不能如上所述避免 DoS 攻擊��。
復(fù)位帳戶鎖定計(jì)數(shù)器
表 2.10:設(shè)置
| 域控制器默認(rèn)值 |
企業(yè)客戶端 |
高安全級(jí) |
| 沒(méi)有定義 |
30 分鐘 |
30 分鐘 |
“復(fù)位帳戶鎖定計(jì)數(shù)器”設(shè)置確定“帳戶鎖定閾值”重置為零之前的時(shí)間長(zhǎng)度�����。此設(shè)置的默認(rèn)值為“沒(méi)有定義”��。如果定義了“帳戶鎖定閾值”,則此重置時(shí)間必須小于或等于“帳戶鎖定時(shí)間”設(shè)置的值��。
對(duì)于本指南中定義的兩種環(huán)境�����,將“復(fù)位帳戶鎖定計(jì)數(shù)器”設(shè)置配置為“30 分鐘之后”���。
將此設(shè)置保留為其默認(rèn)值����,或者以很長(zhǎng)的間隔配置此值�,都會(huì)使環(huán)境面臨 DoS 攻擊的威脅。攻擊者對(duì)組織中的所有用戶惡意地進(jìn)行大量失敗登錄���,如上所述鎖定他們的帳戶�。如果沒(méi)有確定策略來(lái)重置帳戶鎖定���,則管理員必須手動(dòng)解鎖所有帳戶。反過(guò)來(lái)���,如果為此設(shè)置配置了合理的時(shí)間值����,在所有帳戶自動(dòng)解鎖之前用戶只鎖定一段已設(shè)置的時(shí)間�����。因此�,建議的設(shè)置值 30 分鐘定義了用戶在無(wú)需求助于幫助臺(tái)的情況下最可能接受的時(shí)間段�。
用戶權(quán)限分配
模塊 3“Windows XP 客戶端安全設(shè)置”中詳細(xì)介紹了用戶權(quán)限分配��。但是�,應(yīng)該對(duì)所有域控制器設(shè)置“域中添加工作站”用戶權(quán)限�����,本模塊中討論了其原因��?���!癢indows 2003 Server Security Guide”(英文)的模塊 3 和 4 中介紹了有關(guān)成員服務(wù)器和域控制器設(shè)置的其他信息��。
域中添加工作站
表 2.11:設(shè)置
| 域控制器默認(rèn)值 |
企業(yè)客戶端 |
高安全級(jí) |
| Authenticated Users |
Administrators |
Administrators |
“域中添加工作站”用戶權(quán)限允許用戶向特定域中添加計(jì)算機(jī)。為了使此權(quán)限生效,必須將它作為域的默認(rèn)域控制器策略的一部分分配給用戶���。授予了此權(quán)限的用戶可以向域中最多添加 10 個(gè)工作站�����。授予了 Active Directory 中 OU 或計(jì)算機(jī)容器的“創(chuàng)建計(jì)算機(jī)對(duì)象”權(quán)限的用戶還可以將計(jì)算機(jī)加入域����。授予了此權(quán)限的用戶可以向域中添加不限數(shù)量的計(jì)算機(jī),無(wú)論他們是否已被分配“域中添加工作站”用戶權(quán)限。
默認(rèn)情況下�����,“Authenticated Users”組中的所有用戶能夠向 Active Directory 域中最多添加 10 個(gè)計(jì)算機(jī)帳戶�����。這些新計(jì)算機(jī)帳戶是在計(jì)算機(jī)容器中創(chuàng)建的�。
在 Active Directory 域中�,每個(gè)計(jì)算機(jī)帳戶是一個(gè)完整的安全主體���,它能夠?qū)τ蛸Y源進(jìn)行身份驗(yàn)證和訪問(wèn)�����。某些組織想要限制 Active Directory 環(huán)境中的計(jì)算機(jī)數(shù)量��,以便他們可以始終跟蹤、生成和管理它們����。
允許用戶向域中添加工作站會(huì)妨礙此努力����。它還為用戶提供了執(zhí)行更難跟蹤的活動(dòng)的途徑�����,因?yàn)樗麄兛梢詣?chuàng)建其他未授權(quán)的域計(jì)算機(jī)��。
出于這些原因��,在本指南中定義的兩種環(huán)境中���,“域中添加工作站”用戶權(quán)限只授予給“Administrators”組�����。
安全設(shè)置
帳戶策略必須在默認(rèn)域策略中定義����,且必須由組成域的域控制器強(qiáng)制執(zhí)行。域控制器始終從默認(rèn)域策略 GPO 獲取帳戶策略����,即使存在對(duì)包含域控制器的 OU 應(yīng)用的其他帳戶策略���。
在安全選項(xiàng)中有兩個(gè)策略��,它們也像域級(jí)別要考慮的帳戶策略那樣發(fā)揮作用�?���?梢栽诮M策略對(duì)象編輯器中的以下位置配置下表中的域組策略值:
計(jì)算機(jī)配置\Windows 設(shè)置\安全設(shè)置\本地策略\安全選項(xiàng)
Microsoft 網(wǎng)絡(luò)服務(wù)器:當(dāng)?shù)卿洉r(shí)間用完時(shí)自動(dòng)注銷用戶
表 2.12:設(shè)置
| 域控制器默認(rèn)值 |
企業(yè)客戶端 |
高安全級(jí) |
| 沒(méi)有定義 |
已啟用 |
已啟用 |
“Microsoft 網(wǎng)絡(luò)服務(wù)器:當(dāng)?shù)卿洉r(shí)間用完時(shí)自動(dòng)注銷用戶”設(shè)置確定在超過(guò)用戶帳戶的有效登錄時(shí)間后��,是否斷開(kāi)連接到本地計(jì)算機(jī)的用戶。此設(shè)置影響服務(wù)器消息塊 (SMB) 組件�。啟用此策略后,它使客戶端與 SMB 服務(wù)的會(huì)話在超過(guò)客戶端登錄時(shí)間后強(qiáng)制斷開(kāi)�。如果禁用此策略,則允許已建立的客戶端會(huì)話在超過(guò)客戶端登錄時(shí)間后繼續(xù)進(jìn)行�。啟用此設(shè)置可以確保也啟用了“網(wǎng)絡(luò)安全:在超過(guò)登錄時(shí)間后強(qiáng)制注銷”設(shè)置����。
如果組織已經(jīng)為用戶配置了登錄時(shí)間����,則很有必要啟用此策略。否則��,已假設(shè)無(wú)法在超出登錄時(shí)間后訪問(wèn)網(wǎng)絡(luò)資源的用戶��,實(shí)際上可以通過(guò)在允許的時(shí)間中建立的會(huì)話繼續(xù)使用這些資源。
如果在組織中未使用登錄時(shí)間,則啟用此設(shè)置將沒(méi)有影響�����。如果使用了登錄時(shí)間����,則當(dāng)超過(guò)現(xiàn)有用戶的登錄時(shí)間后將強(qiáng)制終止現(xiàn)有用戶會(huì)話。
網(wǎng)絡(luò)訪問(wèn):允許匿名 SID/名稱 轉(zhuǎn)換
表 2.13:設(shè)置
| 域控制器默認(rèn)值 |
企業(yè)客戶端 |
高安全級(jí) |
| 沒(méi)有定義 |
已禁用 |
已禁用 |
“網(wǎng)絡(luò)訪問(wèn):允許匿名 SID/名稱 轉(zhuǎn)換”設(shè)置確定匿名用戶是否可以請(qǐng)求另一用戶的 SID���。
如果對(duì)域控制器啟用此設(shè)置,知道管理員的 SID 屬性的用戶可以與也啟用了此策略的計(jì)算機(jī)進(jìn)行聯(lián)系��,并使用 SID 獲取管理員的名稱�。然后�����,此人可以使用帳戶名啟動(dòng)密碼猜測(cè)攻擊�。成員計(jì)算機(jī)的默認(rèn)設(shè)置為“已禁用”,這對(duì)它們沒(méi)有影響��。但是�����,域控制器的默認(rèn)設(shè)置為“已啟用”���。禁用此設(shè)置會(huì)導(dǎo)致舊系統(tǒng)無(wú)法與以下 Windows Server 2003 域進(jìn)行通信:
基于 Microsoft Windows NT? 4.0 的遠(yuǎn)程訪問(wèn)服務(wù)服務(wù)器。
當(dāng) IIS 上的 Web 應(yīng)用程序配置為允許“基本身份驗(yàn)證”并同時(shí)禁用“匿名訪問(wèn)”時(shí)��,內(nèi)置的來(lái)賓用戶帳戶不能訪問(wèn) Web 應(yīng)用程序�����。另外,如果將內(nèi)置的來(lái)賓用戶帳戶重命名為另一名稱���,則不能使用新名稱訪問(wèn) Web 應(yīng)用程序����。
在位于 Windows NT 3.x 域或 Windows NT 4.0 域中的 Windows 2000 計(jì)算機(jī)上運(yùn)行的遠(yuǎn)程訪問(wèn)服務(wù)服務(wù)器。
網(wǎng)絡(luò)安全:在超過(guò)登錄時(shí)間后強(qiáng)制注銷
表 2.14:設(shè)置
| 域控制器默認(rèn)值 |
企業(yè)客戶端 |
高安全級(jí) |
| 已禁用 |
已啟用 |
已啟用 |
“網(wǎng)絡(luò)安全:在超過(guò)登錄時(shí)間后強(qiáng)制注銷”設(shè)置確定在超過(guò)用戶帳戶的有效登錄時(shí)間后是否斷開(kāi)連接到本地計(jì)算機(jī)的用戶�。此設(shè)置影響 SMB 組件。
啟用此策略可以在超過(guò)客戶端登錄時(shí)間后強(qiáng)制斷開(kāi)客戶端與 SMB 服務(wù)器的會(huì)話��,此用戶在他或她的下一次計(jì)劃訪問(wèn)時(shí)間之前將無(wú)法登錄到系統(tǒng)�����。禁用此策略會(huì)在超過(guò)客戶端的登錄時(shí)間后保留已建立的客戶端會(huì)話����。要影響域帳戶,必須在默認(rèn)域策略中定義此設(shè)置����。
Kerberos 策略
Kerberos 版本 5 身份驗(yàn)證協(xié)議的策略是對(duì)域控制器配置的,而不是對(duì)域的成員計(jì)算機(jī)配置的�。這些策略確定與 Kerberos 相關(guān)的設(shè)置,例如票證壽命和強(qiáng)制�����。本地計(jì)算機(jī)策略中不存在 Kerberos 策略。在大多數(shù)環(huán)境中����,不應(yīng)更改這些策略的默認(rèn)值。本指南不提供對(duì)默認(rèn) Kerberos 策略的任何更改�����。有關(guān)這些設(shè)置的詳細(xì)信息,請(qǐng)參閱位于以下站點(diǎn)的附加指南“Threats and Countermeasures:Security Settings in Windows Server 2003 and Windows XP”:http://go.microsoft.com/fwlink/?LinkId=15159(英文)���。
OU 級(jí)別組策略
OU 級(jí)別組策略中包括的安全設(shè)置應(yīng)該特定于 OU���。這些設(shè)置同時(shí)包括計(jì)算機(jī)設(shè)置和用戶設(shè)置。為了便于管理和提高安全級(jí)����,在本指南中��,介紹軟件限制策略 (SRP) 的章節(jié)與其他安全設(shè)置分開(kāi)。模塊 6“Windows XP 客戶端軟件限制策略”詳細(xì)討論了 SRP�����。
安全設(shè)置組策略
您需要為環(huán)境中的每一類 Windows XP 計(jì)算機(jī)創(chuàng)建 GPO���。在本指南中�����,便攜式計(jì)算機(jī)和臺(tái)式計(jì)算機(jī)分為單獨(dú)的 OU���,以便為這些計(jì)算機(jī)類別中的每個(gè)類別應(yīng)用自定義的 GPO。
軟件限制策略設(shè)置
在您的環(huán)境中創(chuàng)建用于配置 SRP 設(shè)置的專用 GPO����。使 SRP 設(shè)置與其余組策略設(shè)置分開(kāi)有一些被迫原因。首先���,SRP 與其他組策略設(shè)置在概念上有所不同�。SRP 并不需要管理員啟用或禁用選項(xiàng)或配置值�,而是需要管理員標(biāo)識(shí)將支持哪些應(yīng)用程序集、應(yīng)用哪些限制以及如何處理異常�����。其次,如果在生產(chǎn)環(huán)境中實(shí)現(xiàn) SRP 策略時(shí)出現(xiàn)了災(zāi)難錯(cuò)誤�,則此方法可以促進(jìn)快速恢復(fù):管理員可以臨時(shí)禁用定義 SRP 設(shè)置的 GPO,而不影響任何其他安全設(shè)置��。
組策略工具
Windows XP 附帶的一些工具可以使對(duì) GPO 的處理變得更容易�����。下一部分將簡(jiǎn)要概述其中一些工具�。
強(qiáng)制組策略更新
Active Directory 定期更新組策略,但是您可以使用 GpUpdate(Windows XP Professional 附帶的命令行工具)強(qiáng)制更新客戶端計(jì)算機(jī)上的版本��。此工具必須在客戶端計(jì)算機(jī)上本地運(yùn)行���。
要使用 GpUpdate 工具更新本地計(jì)算機(jī)�����,請(qǐng)鍵入以下命令:
Gpupdate /force
運(yùn)行 GpUpdate 后�����,將返回以下確認(rèn)信息:
C:\Documents and Settings\administrator.MSSLAB>gpupdate /force
正在刷新策略...
用戶策略刷新已完成��。
計(jì)算機(jī)策略刷新已完成��。
要檢查策略處理中的錯(cuò)誤��,請(qǐng)查閱事件日志�����。
C:\Documents and Settings\administrator.MSSLAB>
對(duì)于基于用戶的組策略���,必須注銷然后重新登錄正在使用的計(jì)算機(jī),以測(cè)試策略�����。計(jì)算機(jī)策略應(yīng)該立即更新���。
查看用于運(yùn)行 Gpupdate 類型的其他選項(xiàng):
Gpupdate /?
查看策略的結(jié)果集
Windows XP 附帶的兩個(gè)工具可以確定對(duì)環(huán)境中的計(jì)算機(jī)應(yīng)用了哪些策略��、它們何時(shí)應(yīng)用以及以何種順序應(yīng)用�����。
RSoP 管理單元
策略的結(jié)果集工具 (RSoP.msc) 是 MMC 管理單元工具�,它顯示已經(jīng)對(duì)計(jì)算機(jī)應(yīng)用的所有策略的聚合設(shè)置。此工具可以本地運(yùn)行���,也可以從另一計(jì)算機(jī)遠(yuǎn)程運(yùn)行�����。對(duì)于每個(gè)策略設(shè)置����,RSoP 工具顯示計(jì)算機(jī)設(shè)置和源 GPO�����。
GpResult
GpResult 是一個(gè)命令行工具��,它提供關(guān)于最近向計(jì)算機(jī)應(yīng)用組策略的時(shí)間���、所應(yīng)用的 GPO 和應(yīng)用順序的統(tǒng)計(jì)信息��。此工具還提供有關(guān)通過(guò)篩選應(yīng)用的任何 GPO 的信息���。GpResult 工具可以遠(yuǎn)程使用或在客戶端計(jì)算機(jī)上本地使用。
(責(zé)任編輯:代君利)
