可在域级别上应用所有的帐户策略组策略设置。在帐户策略、帐户锁定策略和 Kerberos 策略内置的默认域控制器中提供了默认值。请记住,在Microsoft Active Directory 中设置这些策略时,Microsoft Windows 仅允许一个域帐户策略:应用于域树根域的帐户策略。域帐户策略将成为属于该域的任何Windows 系统的默认帐户策略。此规则的唯一例外情况是,当为组织单位定义了另外一个帐户策略时。组织单位 (OU) 的帐户策略设置将影响到该 OU 中任何计算机上的本地策略。本模块将通篇讨论其中每种类型的设置。
帐户策略
帐户策略是在域级别上实现的。Microsoft Windows Server 2003 域必须有一个针对该域的密码策略、帐户锁定策略和 Kerberos V5 身份验证协议。在 Active Directory 中任何其他级别上设置这些策略将只会影响到成员服务器上的本地帐户。如果有要求单独密码策略的组,应根据任何其他要求将这些组分段到另一个域或目录林。
在 Windows 和许多其他操作系统中,验证用户身份最常用的方法是使用秘密通行码或密码。确保网络环境的安全要求所有用户都使用强密码。这有助于避免未经授权的用户猜测弱密码所带来的威胁,他们通过手动的方法或工具来获取已泄密用户帐户的凭据。这一点对于管理帐户尤其有用。随本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”(英文)为默认设置编制了文档。请单击此处下载。
定期更改的复杂密码减少了密码攻击成功的可能性。密码策略设置控制密码的复杂性和寿命。本部分将讨论每个特定的密码策略帐户设置。
注意:对于域帐户,每个域只能有一个帐户策略。必须在默认域策略或链接到域根的新策略中定义帐户策略,并且帐户策略要优先于由组成该域的域控制器强制实施的默认域策略。域控制器总是从域的根目录中获取帐户策略,即使存在应用于包含域控制器的 OU 的其他帐户策略。域的根目录是该域的顶层容器,不要与目录林中的根域相混淆;目录林中的根域是该目录林中的顶层域。
默认情况下,加入域的工作站和服务器(即域成员计算机)还为其本地帐户接收相同的帐户策略。但是,通过为包含成员计算机的 OU 定义帐户策略,可以使成员计算机的本地帐户策略区别于域帐户策略。
可以在组策略对象编辑器中的以下位置配置帐户策略设置:
计算机配置/Windows 设置/安全设置/帐户策略/密码策略
强制密码历史
“强制密码历史”设置确定在重用旧密码之前必须与用户帐户关联的唯一新密码的数量。
该组策略设置可能的值是:
用户指定的值,在 0 至 24 之间
没有定义
漏洞
密码重用对于任何组织来说都是需要考虑的重要问题。许多用户都希望在很长时间以后使用或重用相同的帐户密码。特定帐户使用相同密码的时间越长,攻击者能够通过暴力攻击确定密码的机会就越大。如果要求用户更改其密码,但却无法阻止他们使用旧密码,或允许他们持续重用少数几个密码,则会大大降低一个不错的密码策略的有效性。
为此设置指定一个较低的数值将使用户能够持续重用少数几个相同的密码。如果还没有配置“密码最短使用期限”设置,用户可以根据需要连续多次更改其密码,以便重用其原始密码。
对策
将“强制密码历史”设置成最大值“24”。将此值配置为最大设置有助于确保将因密码重用而导致的漏洞减至最少。
由于此设置在组织内有效,因此不允许在配置“密码最短使用期限”后立即更改密码。要确定将此值设置为何种级别,应综合考虑合理的密码最长使用期限和组织中所有用户的合理密码更改间隔要求。
潜在影响
此设置的主要影响在于,每当要求用户更改旧密码时,用户都必须提供新密码。由于要求用户将其密码更改为新的唯一值,用户会为了避免遗忘而写下自己的密码,这就带来了更大的风险。
密码最长使用期限
“密码最长使用期限”设置确定了系统要求用户更改密码之前可以使用密码的天数。
此组策略设置可能的值是:
•用户指定的天数,在 0 至 999 之间
漏洞
任何密码都可以被破解。凭借当前的计算能力,甚至是破解最复杂的密码也只是时间和处理能力的问题。下列某些设置可以增加在合理时间内破解密码的难度。但是,经常在环境中更改密码有助于降低有效密码被破解的风险,并可以降低有人使用不正当手段获取密码的风险。可以配置密码最长使用期限,以便从不要求用户更改密码,但这样做将导致相当大的安全风险。
对策
将“密码最长使用期限”的天数设置在“30”和“60”之间。通过将天数设置为“0”,可以将“密码最长使用期限”设置配置为从不过期。
潜在影响
密码最长使用期限的值设置得太低将要求用户非常频繁地更改其密码。这实际上可能降低了组织的安全性,因为用户更可能为了避免遗忘而写下自己的密码。将此值设置太高也会降低组织的安全性,因为这可以使潜在攻击者有更充分的时间来破解用户的密码。
服务票证最长寿命
此安全设置确定可以使用所授予的权会话票证来访问特定服务的最长时间(以分钟为单位)。此设置必须大于或等于 10 分钟,并小于或等于“用户票证最长寿命”设置。
如果客户端在请求连接到服务器时显示过期的会话票证,该服务器将返回错误消息。客户端必须向 Kerberos V5 密钥分布中心 (KDC) 请求新的会话票证。但在连接通过验证之后,它将不再关心会话票证是否有效。会话票证只用于验证与服务器之间的新连接。如果验证连接的会话票证在连接期间到期,将不会中断正在进行的操作。
漏洞
如果此设置的值太高,用户可以在其登录时间范围之外访问网络资源,或者其帐户已经被禁用的用户可以使用帐户禁用前发出的有效服务票证来继续访问网络服务。
对策
将“服务票证最长寿命”设置为“600 分钟”。
此组策略设置可能的值是:
• 用户定义的值(以分钟为单位),在 10 至 99,999 之间,或者为 0,表明服务票证不会过期
• 没有定义
潜在影响
这是默认设置,没有潜在影响。
用户票证最长寿命
此安全设置确定用户的票证授权票证 (TGT) 的最长有效期(以小时为单位)。当用户的 TGT 到期时,必须请求新 TGT,或者必须“续订”现有 TGT。
漏洞
如果此设置的值太高,用户可以在其登录时间范围之外访问网络资源,或者其帐户已经被禁用的用户可以使用帐户禁用前发出的有效服务票证来继续访问网络服务。
对策
将“用户票证的最长有效期”的值设置为“10 小时”。
此组策略设置可能的值是:
• 用户定义的值,在 0 至 99,999 分钟之间
• 没有定义
潜在影响
这是默认设置,没有潜在影响。
用户票证续订的最长寿命
此安全设置确定用户票证授权票证 (TGT) 可以续订的时间期限(以天为单位)。
漏洞
如果此设置的值太高,用户可以续订非常旧的用户票证。
对策
将“用户票证续订的最长寿命”的值设置为“7 天”。
此组策略设置可能的值是:
• 用户定义的值,在 0 至 99,999 分钟之间
• 没有定义
潜在影响
这是默认设置,没有潜在影响。
计算机时钟同步的最大容差
此安全设置确定 Kerberos V5 可以承受的客户端时钟时间和运行 Windows Server 2003(提供 Kerberos 身份验证)的域控制器时间之间的最大时间差(以分钟表示)。
漏洞
为了防止“重播攻击”,Kerberos V5 使用时间戳作为其协议定义的一部分。为了使时间戳正常运行,客户端和域控制器的时钟需要尽可能同步。由于两台计算机的时钟经常不同步,管理员可以使用此策略建立 Kerberos V5 可以接受的客户端时钟和域控制器时钟之间的最大时间差。如果客户端时钟和域控制器时钟之间的时间差小于此策略指定的最大时间差,则两台计算机之间的会话所使用的任何时间戳都被认为是可信的。
对策
将“计算机时钟同步的最大容差”的值设置为“5 分钟”。
此组策略设置可能的值是:
• 用户定义的值,在 1 至 99,999 分钟之间
• 没有定义
潜在影响
这是默认设置,没有潜在影响。
