Windows系統安全指南之域級別策略

簡介 可在域級別上應用所有的帳戶策略組策略設置。在帳戶策略、帳戶鎖定策略和 Kerberos 策略內置的默認域控制器中提供了默認值。請記住，在 Microsoft Active Directory 中設置這些策略時，Microsoft Windows 僅允許一個域帳戶策略：應用于域樹根域的帳戶策略。域帳戶策略將成為屬于該域的任何 Windows 系統的默認帳戶策略。此規則的唯一例外情況是，當為組織單位定義了另外一個帳戶策略時。組織單位 (OU) 的帳戶策略設置將影響到該 OU 中任何計算機上的本地策略。本模塊將通篇討論其中每種類型的設置。 帳戶策略 帳戶策略是在域級別上實現的。Microsoft Windows Server 2003 域必須有一個針對該域的密碼策略、帳戶鎖定策略和 Kerberos V5 身份驗證協議。在 Active Directory 中任何其他級別上設置這些策略將只會影響到成員服務器上的本地帳戶。如果有要求單獨密碼策略的組，應根據任何其他要求將這些組分段到另一個域或目錄林。 在 Windows 和許多其他操作系統中，驗證用戶身份最常用的方法是使用秘密通行碼或密碼。確保網絡環境的安全要求所有用戶都使用強密碼。這有助于避免未經授權的用戶猜測弱密碼所帶來的威脅，他們通過手動的方法或工具來獲取已泄密用戶帳戶的憑據。這一點對于管理帳戶尤其有用。隨本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”（英文）為默認設置編制了文檔。請單擊此處下載。 定期更改的復雜密碼減少了密碼攻擊成功的可能性。密碼策略設置控制密碼的復雜性和壽命。本部分將討論每個特定的密碼策略帳戶設置。 注意：對于域帳戶，每個域只能有一個帳戶策略。必須在默認域策略或鏈接到域根的新策略中定義帳戶策略，并且帳戶策略要優先于由組成該域的域控制器強制實施的默認域策略。域控制器總是從域的根目錄中獲取帳戶策略，即使存在應用于包含域控制器的 OU 的其他帳戶策略。域的根目錄是該域的頂層容器，不要與目錄林中的根域相混淆；目錄林中的根域是該目錄林中的頂層域。 默認情況下，加入域的工作站和服務器（即域成員計算機）還為其本地帳戶接收相同的帳戶策略。但是，通過為包含成員計算機的 OU 定義帳戶策略，可以使成員計算機的本地帳戶策略區別于域帳戶策略。 可以在組策略對象編輯器中的以下位置配置帳戶策略設置： 計算機配置Windows 設置安全設置帳戶策略密碼策略 強制密碼歷史 “強制密碼歷史”設置確定在重用舊密碼之前必須與用戶帳戶關聯的唯一新密碼的數量。 該組策略設置可能的值是： 用戶指定的值，在 0 至 24 之間 沒有定義 漏洞 密碼重用對于任何組織來說都是需要考慮的重要問題。許多用戶都希望在很長時間以后使用或重用相同的帳戶密碼。特定帳戶使用相同密碼的時間越長，攻擊者能夠通過暴力攻擊確定密碼的機會就越大。如果要求用戶更改其密碼，但卻無法阻止他們使用舊密碼，或允許他們持續重用少數幾個密碼，則會大大降低一個不錯的密碼策略的有效性。 為此設置指定一個較低的數值將使用戶能夠持續重用少數幾個相同的密碼。如果還沒有配置“密碼最短使用期限”設置，用戶可以根據需要連續多次更改其密碼，以便重用其原始密碼。 對策 將“強制密碼歷史”設置成最大值“24”。將此值配置為最大設置有助于確保將因密碼重用而導致的漏洞減至最少。 由于此設置在組織內有效，因此不允許在配置“密碼最短使用期限”后立即更改密碼。要確定將此值設置為何種級別，應綜合考慮合理的密碼最長使用期限和組織中所有用戶的合理密碼更改間隔要求。 潛在影響 此設置的主要影響在于，每當要求用戶更改舊密碼時，用戶都必須提供新密碼。由于要求用戶將其密碼更改為新的唯一值，用戶會為了避免遺忘而寫下自己的密碼，這就帶來了更大的風險。