可在域级别上应用所有的帐户策略组策略设置。在帐户策略、帐户锁定策略和 Kerberos 策略内置的默认域控制器中提供了默认值。请记住,在 Microsoft Active Directory 中设置这些策略时,Microsoft Windows 仅允许一个域帐户策略:应用于域树根域的帐户策略。域帐户策略将成为属于该域的任何 Windows 系统的默认帐户策略。此规则的唯一例外情况是,当为组织单位定义了另外一个帐户策略时。组织单位 (OU) 的帐户策略设置将影响到该 OU 中任何计算机上的本地策略。本模块将通篇讨论其中每种类型的设置。
帐户策略
帐户策略是在域级别上实现的。Microsoft Windows Server 2003 域必须有一个针对该域的密码策略、帐户锁定策略和 Kerberos V5 身份验证协议。在 Active Directory 中任何其他级别上设置这些策略将只会影响到成员服务器上的本地帐户。如果有要求单独密码策略的组,应根据任何其他要求将这些组分段到另一个域或目录林。
在 Windows 和许多其他操作系统中,验证用户身份最常用的方法是使用秘密通行码或密码。确保网络环境的安全要求所有用户都使用强密码。这有助于避免未经授权的用户猜测弱密码所带来的威胁,他们通过手动的方法或工具来获取已泄密用户帐户的凭据。这一点对于管理帐户尤其有用。随本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”(英文)为默认设置编制了文档。请单击此处下载。
注意:对于域帐户,每个域只能有一个帐户策略。必须在默认域策略或链接到域根的新策略中定义帐户策略,并且帐户策略要优先于由组成该域的域控制器强制实施的默认域策略。域控制器总是从域的根目录中获取帐户策略,即使存在应用于包含域控制器的 OU 的其他帐户策略。域的根目录是该域的顶层容器,不要与目录林中的根域相混淆;目录林中的根域是该目录林中的顶层域。
默认情况下,加入域的工作站和服务器(即域成员计算机)还为其本地帐户接收相同的帐户策略。但是,通过为包含成员计算机的 OU 定义帐户策略,可以使成员计算机的本地帐户策略区别于域帐户策略。
使用通过远程访问的 CHAP 身份验证或 Internet 验证服务 (IAS) 时要求启用此设置。质询握手身份验证协议 (CHAP) 是 Microsoft 远程访问和网络连接使用的一种身份验证协议。Microsoft Internet 信息服务 (IIS) 的摘要式验证也要求启用此设置。
此组策略设置可能的值是:
• 启用
• 禁用
• 没有定义
漏洞
此设置确定 Windows Server 2003 是否以更容易遭到暴力攻击的一种较弱格式来存储密码。
对策
将“用可还原的加密来存储密码(针对域中的所有用户)”的值设置为“禁用”。
潜在影响
使用通过远程访问的 CHAP 身份验证协议或 IAS 服务。IIS 中的摘要式身份验证要求将此值设置为“禁用”。将使用组策略逐个应用到每位用户是一种极其危险的设置,因为它要求在 Active Directory 用户和计算机管理控制台中打开适当的用户帐户对象。
警告:请永远不要启用此设置,除非业务要求比保护密码信息更为重要。
帐户锁定策略
试图登录到系统时多次不成功的密码尝试可能表示攻击者正在以试错法来确定帐户密码。Windows Server 2003 跟踪登录尝试,而且可以将操作系统配置为通过在预设时间段内禁用帐户来响应这种潜在攻击。随本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”(英文)为默认设置编制了文档。