Windows系统安全指南之域级别策略

兴宁A8网 · 发表于 2009/11/8 14:01

　简介

　　可在域级别上应用所有的帐户策略组策略设置。在帐户策略、帐户锁定策略和 Kerberos 策略内置的默认域控制器中提供了默认值。请记住，在 Microsoft Active Directory 中设置这些策略时，Microsoft Windows 仅允许一个域帐户策略：应用于域树根域的帐户策略。域帐户策略将成为属于该域的任何 Windows 系统的默认帐户策略。此规则的唯一例外情况是，当为组织单位定义了另外一个帐户策略时。组织单位 (OU) 的帐户策略设置将影响到该 OU 中任何计算机上的本地策略。本模块将通篇讨论其中每种类型的设置。

　　帐户策略

　　帐户策略是在域级别上实现的。Microsoft Windows Server 2003 域必须有一个针对该域的密码策略、帐户锁定策略和 Kerberos V5 身份验证协议。在 Active Directory 中任何其他级别上设置这些策略将只会影响到成员服务器上的本地帐户。如果有要求单独密码策略的组，应根据任何其他要求将这些组分段到另一个域或目录林。
　　在 Windows 和许多其他操作系统中，验证用户身份最常用的方法是使用秘密通行码或密码。确保网络环境的安全要求所有用户都使用强密码。这有助于避免未经授权的用户猜测弱密码所带来的威胁，他们通过手动的方法或工具来获取已泄密用户帐户的凭据。这一点对于管理帐户尤其有用。随本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”（英文）为默认设置编制了文档。请单击此处下载。

　　定期更改的复杂密码减少了密码攻击成功的可能性。密码策略设置控制密码的复杂性和寿命。本部分将讨论每个特定的密码策略帐户设置。

　　注意：对于域帐户，每个域只能有一个帐户策略。必须在默认域策略或链接到域根的新策略中定义帐户策略，并且帐户策略要优先于由组成该域的域控制器强制实施的默认域策略。域控制器总是从域的根目录中获取帐户策略，即使存在应用于包含域控制器的 OU 的其他帐户策略。域的根目录是该域的顶层容器，不要与目录林中的根域相混淆；目录林中的根域是该目录林中的顶层域。

　　默认情况下，加入域的工作站和服务器（即域成员计算机）还为其本地帐户接收相同的帐户策略。但是，通过为包含成员计算机的 OU 定义帐户策略，可以使成员计算机的本地帐户策略区别于域帐户策略。

　　可以在组策略对象编辑器中的以下位置配置帐户策略设置：

　　计算机配置\Windows 设置\安全设置\帐户策略\密码策略

　　强制密码历史

　　“强制密码历史”设置确定在重用旧密码之前必须与用户帐户关联的唯一新密码的数量。

　　该组策略设置可能的值是：

　　用户指定的值，在 0 至 24 之间

　　没有定义

　　漏洞

　　密码重用对于任何组织来说都是需要考虑的重要问题。许多用户都希望在很长时间以后使用或重用相同的帐户密码。特定帐户使用相同密码的时间越长，攻击者能够通过暴力攻击确定密码的机会就越大。如果要求用户更改其密码，但却无法阻止他们使用旧密码，或允许他们持续重用少数几个密码，则会大大降低一个不错的密码策略的有效性。

　　为此设置指定一个较低的数值将使用户能够持续重用少数几个相同的密码。如果还没有配置“密码最短使用期限”设置，用户可以根据需要连续多次更改其密码，以便重用其原始密码。

　　对策

　　将“强制密码历史”设置成最大值“24”。将此值配置为最大设置有助于确保将因密码重用而导致的漏洞减至最少。

　　由于此设置在组织内有效，因此不允许在配置“密码最短使用期限”后立即更改密码。要确定将此值设置为何种级别，应综合考虑合理的密码最长使用期限和组织中所有用户的合理密码更改间隔要求。

　　潜在影响

　　此设置的主要影响在于，每当要求用户更改旧密码时，用户都必须提供新密码。由于要求用户将其密码更改为新的唯一值，用户会为了避免遗忘而写下自己的密码，这就带来了更大的风险。

兴宁A8网 · 发表于 2009/11/8 14:01

　　密码最长使用期限

　　“密码最长使用期限”设置确定了系统要求用户更改密码之前可以使用密码的天数。

　　此组策略设置可能的值是：

　　•用户指定的天数，在 0 至 999 之间

　　漏洞

　　任何密码都可以被破解。凭借当前的计算能力，甚至是破解最复杂的密码也只是时间和处理能力的问题。下列某些设置可以增加在合理时间内破解密码的难度。但是，经常在环境中更改密码有助于降低有效密码被破解的风险，并可以降低有人使用不正当手段获取密码的风险。可以配置密码最长使用期限，以便从不要求用户更改密码，但这样做将导致相当大的安全风险。

　　对策

　　将“密码最长使用期限”的天数设置在“30”和“60”之间。通过将天数设置为“0”，可以将“密码最长使用期限”设置配置为从不过期。

　　潜在影响

　　密码最长使用期限的值设置得太低将要求用户非常频繁地更改其密码。这实际上可能降低了组织的安全性，因为用户更可能为了避免遗忘而写下自己的密码。将此值设置太高也会降低组织的安全性，因为这可以使潜在攻击者有更充分的时间来破解用户的密码。

　　用可还原的加密来存储密码（针对域中的所有用户）

　　“用可还原的加密来存储密码（针对域中的所有用户）”设置确定 Microsoft Windows Server 2003、Windows 2000 Server、Windows 2000 Professional 和 Windows XP Professional 是否使用可还原的加密来存储密码。

　　此策略支持使用需要了解用户密码以便进行身份验证的协议的应用程序。根据定义，存储以可还原方式加密的密码意味着可以对加密的密码进行解密。能够破解这种加密的高水平攻击者然后可以使用已被破坏的帐户来登录到网络资源。出于此原因，请永远不要启用此设置，除非应用程序的要求比保护密码信息更为重要。

　　使用通过远程访问的 CHAP 身份验证或 Internet 验证服务 (IAS) 时要求启用此设置。质询握手身份验证协议 (CHAP) 是 Microsoft 远程访问和网络连接使用的一种身份验证协议。Microsoft Internet 信息服务 (IIS) 的摘要式验证也要求启用此设置。

　　此组策略设置可能的值是：

　　• 启用

　　• 禁用

　　• 没有定义

　　漏洞

　　此设置确定 Windows Server 2003 是否以更容易遭到暴力攻击的一种较弱格式来存储密码。

　　对策

　　将“用可还原的加密来存储密码（针对域中的所有用户）”的值设置为“禁用”。

　　潜在影响

　　使用通过远程访问的 CHAP 身份验证协议或 IAS 服务。IIS 中的摘要式身份验证要求将此值设置为“禁用”。将使用组策略逐个应用到每位用户是一种极其危险的设置，因为它要求在 Active Directory 用户和计算机管理控制台中打开适当的用户帐户对象。

　　警告：请永远不要启用此设置，除非业务要求比保护密码信息更为重要。

　　帐户锁定策略

　　试图登录到系统时多次不成功的密码尝试可能表示攻击者正在以试错法来确定帐户密码。Windows Server 2003 跟踪登录尝试，而且可以将操作系统配置为通过在预设时间段内禁用帐户来响应这种潜在攻击。随本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”（英文）为默认设置编制了文档。

　　可以在组策略对象编辑器的以下位置配置帐户锁定策略设置：

　　计算机配置\Windows 设置\安全设置\帐户策略\帐户锁定策略

　　帐户锁定时间

　　“帐户锁定时间”设置确定在自动解锁之前锁定帐户保持锁定状态的时间。可用范围为从 1 到 99,999 分钟。通过将该值设定为“0”，可以指定在管理员明确解锁之前锁定帐户。如果定义了帐户锁定阀值，帐户锁定时间必须大于或等于复位时间。

　　此组策略设置可能的值是：

　　• 用户定义的值，在 0 至 99,999 分钟之间

　　• 没有定义

　　漏洞

　　如果攻击者滥用“帐户锁定阀值”并反复尝试登录到帐户，则可能产生拒绝服务 (DoS) 攻击。如果配置“帐户锁定阀值”，在失败尝试达到指定次数之后将锁定帐户。如果“帐户锁定时间”设置为 0，则在管理员手动解锁前帐户将保持锁定状态。

　　对策

　　将“帐户锁定时间”设置为“30 分钟”。要指定该帐户永不锁定，请将该值设置为“0”。

　　潜在影响

　　将此设置的值配置为永不自动解锁可能看上去是一个好主意，但这样做会增加组织支持专家收到的要求解锁意外锁定帐户的请求的数目。