Windows系統安全指南之域級別策略

　　簡介

　　可在域級別上應用所有的帳戶策略組策略設置。在帳戶策略、帳戶鎖定策略和 Kerberos 策略內置的默認域控制器中提供了默認值。請記住，在 Microsoft Active Directory 中設置這些策略時，Microsoft Windows 僅允許一個域帳戶策略：應用于域樹根域的帳戶策略。域帳戶策略將成為屬于該域的任何 Windows 系統的默認帳戶策略。此規則的唯一例外情況是，當為組織單位定義了另外一個帳戶策略時。組織單位 (OU) 的帳戶策略設置將影響到該 OU 中任何計算機上的本地策略。本模塊將通篇討論其中每種類型的設置。

　　帳戶策略

　　帳戶策略是在域級別上實現的。Microsoft Windows Server 2003 域必須有一個針對該域的密碼策略、帳戶鎖定策略和 Kerberos V5 身份驗證協議。在 Active Directory 中任何其他級別上設置這些策略將只會影響到成員服務器上的本地帳戶。如果有要求單獨密碼策略的組，應根據任何其他要求將這些組分段到另一個域或目錄林。
　　在 Windows 和許多其他操作系統中，驗證用戶身份最常用的方法是使用秘密通行碼或密碼。確保網絡環境的安全要求所有用戶都使用強密碼。這有助于避免未經授權的用戶猜測弱密碼所帶來的威脅，他們通過手動的方法或工具來獲取已泄密用戶帳戶的憑據。這一點對于管理帳戶尤其有用。隨本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”（英文）為默認設置編制了文檔。請單擊此處下載。

　　定期更改的復雜密碼減少了密碼攻擊成功的可能性。密碼策略設置控制密碼的復雜性和壽命。本部分將討論每個特定的密碼策略帳戶設置。

　　注意：對于域帳戶，每個域只能有一個帳戶策略。必須在默認域策略或鏈接到域根的新策略中定義帳戶策略，并且帳戶策略要優先于由組成該域的域控制器強制實施的默認域策略。域控制器總是從域的根目錄中獲取帳戶策略，即使存在應用于包含域控制器的 OU 的其他帳戶策略。域的根目錄是該域的頂層容器，不要與目錄林中的根域相混淆；目錄林中的根域是該目錄林中的頂層域。

　　默認情況下，加入域的工作站和服務器（即域成員計算機）還為其本地帳戶接收相同的帳戶策略。但是，通過為包含成員計算機的 OU 定義帳戶策略，可以使成員計算機的本地帳戶策略區別于域帳戶策略。

　　可以在組策略對象編輯器中的以下位置配置帳戶策略設置：

　　計算機配置\Windows 設置\安全設置\帳戶策略\密碼策略

　　強制密碼歷史

　　“強制密碼歷史”設置確定在重用舊密碼之前必須與用戶帳戶關聯的唯一新密碼的數量。

　　該組策略設置可能的值是：

　　用戶指定的值，在 0 至 24 之間

　　沒有定義

　　漏洞

　　密碼重用對于任何組織來說都是需要考慮的重要問題。許多用戶都希望在很長時間以后使用或重用相同的帳戶密碼。特定帳戶使用相同密碼的時間越長，攻擊者能夠通過暴力攻擊確定密碼的機會就越大。如果要求用戶更改其密碼，但卻無法阻止他們使用舊密碼，或允許他們持續重用少數幾個密碼，則會大大降低一個不錯的密碼策略的有效性。

　　為此設置指定一個較低的數值將使用戶能夠持續重用少數幾個相同的密碼。如果還沒有配置“密碼最短使用期限”設置，用戶可以根據需要連續多次更改其密碼，以便重用其原始密碼。

　　對策

　　將“強制密碼歷史”設置成最大值“24”。將此值配置為最大設置有助于確保將因密碼重用而導致的漏洞減至最少。

　　由于此設置在組織內有效，因此不允許在配置“密碼最短使用期限”后立即更改密碼。要確定將此值設置為何種級別，應綜合考慮合理的密碼最長使用期限和組織中所有用戶的合理密碼更改間隔要求。

　　潛在影響

　　此設置的主要影響在于，每當要求用戶更改舊密碼時，用戶都必須提供新密碼。由于要求用戶將其密碼更改為新的唯一值，用戶會為了避免遺忘而寫下自己的密碼，這就帶來了更大的風險。

　　密碼最長使用期限

　　“密碼最長使用期限”設置確定了系統要求用戶更改密碼之前可以使用密碼的天數。

　　此組策略設置可能的值是：

　　•用戶指定的天數，在 0 至 999 之間

　　漏洞

　　任何密碼都可以被破解。憑借當前的計算能力，甚至是破解最復雜的密碼也只是時間和處理能力的問題。下列某些設置可以增加在合理時間內破解密碼的難度。但是，經常在環境中更改密碼有助于降低有效密碼被破解的風險，并可以降低有人使用不正當手段獲取密碼的風險?？梢耘渲妹艽a最長使用期限，以便從不要求用戶更改密碼，但這樣做將導致相當大的安全風險。

　　對策

　　將“密碼最長使用期限”的天數設置在“30”和“60”之間。通過將天數設置為“0”，可以將“密碼最長使用期限”設置配置為從不過期。

　　潛在影響

　　密碼最長使用期限的值設置得太低將要求用戶非常頻繁地更改其密碼。這實際上可能降低了組織的安全性，因為用戶更可能為了避免遺忘而寫下自己的密碼。將此值設置太高也會降低組織的安全性，因為這可以使潛在攻擊者有更充分的時間來破解用戶的密碼。

　　用可還原的加密來存儲密碼（針對域中的所有用戶）

　　“用可還原的加密來存儲密碼（針對域中的所有用戶）”設置確定 Microsoft Windows Server 2003、Windows 2000 Server、Windows 2000 Professional 和 Windows XP Professional 是否使用可還原的加密來存儲密碼。

　　此策略支持使用需要了解用戶密碼以便進行身份驗證的協議的應用程序。根據定義，存儲以可還原方式加密的密碼意味著可以對加密的密碼進行解密。能夠破解這種加密的高水平攻擊者然后可以使用已被破壞的帳戶來登錄到網絡資源。出于此原因，請永遠不要啟用此設置，除非應用程序的要求比保護密碼信息更為重要。

　　使用通過遠程訪問的 CHAP 身份驗證或 Internet 驗證服務 (IAS) 時要求啟用此設置。質詢握手身份驗證協議 (CHAP) 是 Microsoft 遠程訪問和網絡連接使用的一種身份驗證協議。Microsoft Internet 信息服務 (IIS) 的摘要式驗證也要求啟用此設置。

　　此組策略設置可能的值是：

　　• 啟用

　　• 禁用

　　• 沒有定義

　　漏洞

　　此設置確定 Windows Server 2003 是否以更容易遭到暴力攻擊的一種較弱格式來存儲密碼。

　　對策

　　將“用可還原的加密來存儲密碼（針對域中的所有用戶）”的值設置為“禁用”。

　　潛在影響

　　使用通過遠程訪問的 CHAP 身份驗證協議或 IAS 服務。IIS 中的摘要式身份驗證要求將此值設置為“禁用”。將使用組策略逐個應用到每位用戶是一種極其危險的設置，因為它要求在 Active Directory 用戶和計算機管理控制臺中打開適當的用戶帳戶對象。

　　警告：請永遠不要啟用此設置，除非業務要求比保護密碼信息更為重要。

　　帳戶鎖定策略

　　試圖登錄到系統時多次不成功的密碼嘗試可能表示攻擊者正在以試錯法來確定帳戶密碼。Windows Server 2003 跟蹤登錄嘗試，而且可以將操作系統配置為通過在預設時間段內禁用帳戶來響應這種潛在攻擊。隨本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”（英文）為默認設置編制了文檔。

　　可以在組策略對象編輯器的以下位置配置帳戶鎖定策略設置：

　　計算機配置\Windows 設置\安全設置\帳戶策略\帳戶鎖定策略

　　帳戶鎖定時間

　　“帳戶鎖定時間”設置確定在自動解鎖之前鎖定帳戶保持鎖定狀態的時間?？捎梅秶鸀閺?1 到 99,999 分鐘。通過將該值設定為“0”，可以指定在管理員明確解鎖之前鎖定帳戶。如果定義了帳戶鎖定閥值，帳戶鎖定時間必須大于或等于復位時間。

　　此組策略設置可能的值是：

　　• 用戶定義的值，在 0 至 99,999 分鐘之間

　　• 沒有定義

　　漏洞

　　如果攻擊者濫用“帳戶鎖定閥值”并反復嘗試登錄到帳戶，則可能產生拒絕服務 (DoS) 攻擊。如果配置“帳戶鎖定閥值”，在失敗嘗試達到指定次數之后將鎖定帳戶。如果“帳戶鎖定時間”設置為 0，則在管理員手動解鎖前帳戶將保持鎖定狀態。

　　對策

　　將“帳戶鎖定時間”設置為“30 分鐘”。要指定該帳戶永不鎖定，請將該值設置為“0”。

　　潛在影響

　　將此設置的值配置為永不自動解鎖可能看上去是一個好主意，但這樣做會增加組織支持專家收到的要求解鎖意外鎖定帳戶的請求的數目。

　　帳戶鎖定閾值

　　“帳戶鎖定閥值”確定導致用戶帳戶鎖定的登錄嘗試失敗的次數。在管理員復位或帳戶鎖定時間到期之前，不能使用已鎖定的帳戶?？梢詫⒌卿泧L試失敗的次數設置在 1 至 999 之間，或者通過將該值設置為“0”，使帳戶永不鎖定。如果定義了帳戶鎖定閥值，帳戶鎖定時間必須大于或等于復位時間。

　　在使用 Ctrl+Alt+Delete 或受密碼保護的屏幕保護程序進行鎖定的工作站或成員服務器上的失敗密碼嘗試，將不作為失敗的登錄嘗試來計數，除非啟用了組策略“交互式登錄：要求域控制器身份驗證以解鎖工作站”。如果啟用了“交互式登錄：要求域控制器身份驗證以解鎖工作站”，則因解鎖工作站而重復的失敗密碼嘗試次數將被計入“帳戶鎖定閥值”。

　　此組策略設置可能的值是：

　　• 用戶指定的值，在 0 至 999 之間

　　• 沒有定義

　　漏洞

　　密碼攻擊可能利用自動化的方法，對任何或所有用戶帳戶嘗試數千甚至數百萬種密碼組合。限制可以執行的失敗登錄次數幾乎消除了這種攻擊的有效性。

　　但是，請務必注意，可能在配置了帳戶鎖定閥值的域上執行 DoS 攻擊。惡意攻擊者可編制程序來嘗試對組織中的所有用戶進行一系列密碼攻擊。如果嘗試次數大于帳戶鎖定閥值，則攻擊者有可能鎖定每一個帳戶。

　　對策

　　由于配置此值或不配置此值時都存在漏洞，因此要定義兩種不同的對策。任何組織都應該根據識別的威脅和正在嘗試降低的風險來在兩者之間進行權衡。有兩個選項可用于此設置。

　　• 將“帳戶鎖定閥值”設置為“0”。這可確保帳戶永不鎖定。此設置可防止故意鎖定全部或一些特定帳戶的 DoS 攻擊。另外，此設置還有助于減少幫助臺的呼叫次數，因為用戶不會將自己意外地鎖定在帳戶外。

　　由于它不能阻止暴力攻擊，因此只有在下列要求均得到明確滿足時才可以選擇此設置：

　　• 密碼策略強制所有用戶使用由 8 個或更多字符組成的復雜密碼。

　　• 強健的審核機制已經就位，可以在組織環境中發生一系列失敗登錄時提醒管理員。

　　• 如果不滿足上述要求，請將“帳戶鎖定閥值”設置為足夠高的值，以便用戶能夠在意外地錯誤輸入幾次密碼時不會鎖定自己的帳戶，但可確保暴力密碼攻擊仍然會鎖定帳戶。在這種情況下，將該值設置為 50 次無效登錄嘗試是一個不錯的建議。如上所述，此設置可以避免意外的帳戶鎖定，從而降低了幫助臺的呼叫次數，但不能防止 DoS 攻擊。

　　潛在影響

　　啟用此設置可防止使用已鎖定的帳戶，直到管理員將該帳戶復位或帳戶鎖定時間到期。此設置很可能會生成許多其他的幫助臺呼叫。事實上，在許多組織中，鎖定帳戶都會為公司幫助臺帶來數目最多的呼叫。

　　如果將帳戶鎖定閥值設置為“0”，則可能檢測不到攻擊者嘗試使用暴力密碼攻擊來破解密碼。

　　復位帳戶鎖定計數器

　　“復位帳戶鎖定計數器”設置確定在登錄嘗試失敗后，將失敗登錄嘗試計數器復位到 0 次失敗登錄嘗試之前所必須經過的時間（以分鐘為單位）。如果定義了“帳戶鎖定閾值”，則此復位時間必須小于或等于“帳戶鎖定時間”。

　　此組策略設置可能的值是：

　　• 用戶定義的數值，在 1 至 99,999 分鐘之間

　　• 沒有定義

　　漏洞

　　如果多次錯誤地輸入密碼，用戶可能會意外地將自己鎖定在帳戶之外。要減少這種可能性，“復位帳戶鎖定計數器”設置確定在登錄嘗試失敗后，將無效登錄嘗試計數器復位到 0 之前所必須經過的時間。

　　對策

　　將“復位帳戶鎖定計數器”的值設置為“30 分鐘”。

　　潛在影響

　　不設置此值，或者為此值設置的時間間隔太長都可能導致 DoS 攻擊。攻擊者對組織中的所有用戶惡意執行大量的失敗登錄嘗試，以鎖定他們的帳戶，如上所述。如果沒有復位帳戶鎖定的策略，管理員必須手動解鎖所有帳戶。如果設置了合理的值，用戶將被鎖定一段時間，但在這段時間結束后，其帳戶將自動解鎖。

　　Kerberos 策略

　　在 Windows Server 2003 中，Kerberos V5 身份驗證協議提供默認的身份驗證服務機制，以及用戶訪問資源并在該資源上執行任務所必需的身份驗證數據。通過縮短 Kerberos 票證的壽命，可降低攻擊者竊取并成功使用合法用戶憑據的風險。但這會增加授權開銷。在大多數環境中都不需要更改這些設置。在域級別應用這些設置，在 Windows 2000 或 Windows Server 2003 Active Directory 域默認安裝的默認域策略 GPO 中配置這些默認值。隨本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”（英文）為默認設置編制了文檔。

　　可以在組策略對象編輯器的以下位置配置 Kerberos 策略設置：

　　計算機配置\Windows 設置\安全設置\帳戶策略\Kerberos 策略

　　強制用戶登錄限制

　　此安全設置確定 Kerberos V5 密鑰分布中心 (KDC) 是否根據用戶帳戶的用戶權限策略來驗證會話票證的每個請求。驗證會話票證的每個請求是可選功能，因為執行額外的步驟會消耗時間，并且可能會降低網絡訪問服務的速度。

　　漏洞

　　如果禁用此設置，可能會為用戶授予他們無權使用的服務的會話票證。

　　對策

　　將“強制實施用戶登錄限制”的值設置為“啟用”。

　　此組策略設置可能的值是：

　　• 啟用

　　• 禁用

　　• 沒有定義

　　潛在影響

　　這是默認設置，沒有潛在影響。

　　服務票證最長壽命

　　此安全設置確定可以使用所授予的權會話票證來訪問特定服務的最長時間（以分鐘為單位）。此設置必須大于或等于 10 分鐘，并小于或等于“用戶票證最長壽命”設置。

　　如果客戶端在請求連接到服務器時顯示過期的會話票證，該服務器將返回錯誤消息?？蛻舳吮仨毾?Kerberos V5 密鑰分布中心 (KDC) 請求新的會話票證。但在連接通過驗證之后，它將不再關心會話票證是否有效。會話票證只用于驗證與服務器之間的新連接。如果驗證連接的會話票證在連接期間到期，將不會中斷正在進行的操作。

　　漏洞

　　如果此設置的值太高，用戶可以在其登錄時間范圍之外訪問網絡資源，或者其帳戶已經被禁用的用戶可以使用帳戶禁用前發出的有效服務票證來繼續訪問網絡服務。

　　對策

　　將“服務票證最長壽命”設置為“600 分鐘”。

　　此組策略設置可能的值是：

　　• 用戶定義的值（以分鐘為單位），在 10 至 99,999 之間，或者為 0，表明服務票證不會過期

　　• 沒有定義

　　潛在影響

　　這是默認設置，沒有潛在影響。

　　用戶票證最長壽命

　　此安全設置確定用戶的票證授權票證 (TGT) 的最長有效期（以小時為單位）。當用戶的 TGT 到期時，必須請求新 TGT，或者必須“續訂”現有 TGT。

　　漏洞

　　如果此設置的值太高，用戶可以在其登錄時間范圍之外訪問網絡資源，或者其帳戶已經被禁用的用戶可以使用帳戶禁用前發出的有效服務票證來繼續訪問網絡服務。

　　對策

　　將“用戶票證的最長有效期”的值設置為“10 小時”。

　　此組策略設置可能的值是：

　　• 用戶定義的值，在 0 至 99,999 分鐘之間

　　• 沒有定義

　　潛在影響

　　這是默認設置，沒有潛在影響。

　　用戶票證續訂的最長壽命

　　此安全設置確定用戶票證授權票證 (TGT) 可以續訂的時間期限（以天為單位）。

　　漏洞

　　如果此設置的值太高，用戶可以續訂非常舊的用戶票證。

　　對策

　　將“用戶票證續訂的最長壽命”的值設置為“7 天”。

　　此組策略設置可能的值是：

　　• 用戶定義的值，在 0 至 99,999 分鐘之間

　　• 沒有定義

　　潛在影響

　　這是默認設置，沒有潛在影響。

　　計算機時鐘同步的最大容差

　　此安全設置確定 Kerberos V5 可以承受的客戶端時鐘時間和運行 Windows Server 2003（提供 Kerberos 身份驗證）的域控制器時間之間的最大時間差（以分鐘表示）。

　　漏洞

　　為了防止“重播攻擊”，Kerberos V5 使用時間戳作為其協議定義的一部分。為了使時間戳正常運行，客戶端和域控制器的時鐘需要盡可能同步。由于兩臺計算機的時鐘經常不同步，管理員可以使用此策略建立 Kerberos V5 可以接受的客戶端時鐘和域控制器時鐘之間的最大時間差。如果客戶端時鐘和域控制器時鐘之間的時間差小于此策略指定的最大時間差，則兩臺計算機之間的會話所使用的任何時間戳都被認為是可信的。

　　對策

　　將“計算機時鐘同步的最大容差”的值設置為“5 分鐘”。

　　此組策略設置可能的值是：

　　• 用戶定義的值，在 1 至 99,999 分鐘之間

　　• 沒有定義

　　潛在影響

　　這是默認設置，沒有潛在影響。

原文轉自：http://www.kjueaiud.com