配置Active Directory域基础结构(3) — IT技术

不能忘记X6 2013-04-19

展开全文

配置Active Directory域基础结构(3)

发布时间：2004.04.21 09:26 来源：microsoft 作者：microsoft

帐户锁定策略

帐户锁定策略是一项 Active Directory 安全功能，它在一个指定时间段内多次登录尝试失败后锁定用户帐户。允许的尝试次数和时间段基于为安全策略锁定设置配置的值。用户不能登录到锁定的帐户。域控制器跟踪登录尝试，而且服务器软件可以配置为通过在预设时间段禁用帐户来响应此类潜在攻击。

在 Active Directory 域中配置帐户锁定策略时，管理员可以为尝试和时间段变量设置任何值。但是，如果“复位帐户锁定计数器”设置的值大于“帐户锁定时间”设置的值，则域控制器自动将“帐户锁定时间”设置的值调整为与“复位帐户锁定计数器”设置相同的值。

另外，如果“帐户锁定时间”设置的值比为“复位帐户锁定计数器”设置配置的值低，则域控制器自动将“复位帐户锁定计数器”的值调整为与“帐户锁定时间”设置相同的值。因此，如果定义了“帐户锁定时间”设置的值，则“复位帐户锁定计数器”设置的值必须小于或等于为“帐户锁定时间”设置所配置的值。

域控制器执行此操作，以避免与安全策略中的设置值冲突。如果管理员将“复位帐户锁定计数器”设置的值配置为比“帐户锁定时间”设置的值大，则为“帐户锁定时间”设置配置的值的实施将首先过期，因此用户可以登录回网络上。但是，“复位帐户锁定计数器”设置将继续计数。因此“帐户锁定阈值”设置将保留最大值（ 3 次无效登录），用户将无法登录。

为了避免此情况，域控制器将“复位帐户锁定计数器”设置的值自动重置为与“帐户锁定时间”设置的值相等。

这些安全策略设置有助于防止攻击者猜测用户密码，并且会降低对网络环境的攻击成功的可能性。可以在组策略对象编辑器中以下位置的域组策略中配置下表中的值：

计算机配置\Windows 设置\安全设置\帐户策略\帐户锁定策略

下表包含对本指南中定义的两种安全环境的帐户锁定策略建议。

帐户锁定时间

表 2.8：设置

域控制器默认值	企业客户端	高安全级
没有定义	30 分钟	30 分钟

“帐户锁定时间”设置确定在未锁定帐户且用户可以尝试再次登录之前所必须经历的时间长度。此设置通过指定锁定帐户保持不可用的分钟数来执行此操作。如果“帐户锁定时间”设置的值配置为 0，则锁定的帐户将保持锁定，直到管理员将它们解锁。此设置的 Windows XP 默认值为“没有定义”。

为了减少帮助台支持呼叫的次数，同时提供安全的基础结构，对于本指南中定义的两种环境，将“帐户锁定时间”设置的值配置为“30 分钟”。

将此设置的值配置为永不自动解锁似乎是一个好主意，但这样做会增加组织中的帮助台为了解锁不小心锁定的帐户而收到的呼叫的次数。对于每个锁定级别，将此设置的值配置为 30 分钟可以减少“拒绝服务 (DoS)”攻击的机会。此设置值还使用户在帐户锁定时有机会在 30 分钟内再次登录，这是在无需求助于帮助台的情况下他们最可能接受的时间段。

帐户锁定阈值

表 2.9：设置

域控制器默认值	企业客户端	高安全级
0 次无效登录	50 次无效登录	50 次无效登录

“帐户锁定阈值”设置确定用户在帐户锁定之前可以尝试登录帐户的次数。

授权用户将自己锁定在帐户外的原因可能有：输错密码或记错密码，或者在计算机上更改了密码而又登录到其他计算机。带有错误密码的计算机连续尝试对用户进行身份验证，由于它用于身份验证的密码不正确，导致用户帐户最终锁定。对于只使用运行 Windows Server 2003 或更早版本的域控制器的组织，不存在此问题。为了避免锁定授权用户，请将帐户锁定阈值设置为较高的数字。此设置的默认值为“0 次无效登录”。

对于本指南中定义的两种环境，将“帐户锁定阈值”的值配置为“50 次无效登录”。

由于无论是否配置此设置的值都会存在漏洞，所以，为这些可能性中的每种可能性定义了独特措施。您的组织应该根据识别的威胁和正在尝试降低的风险来在两者之间做出平衡。有两个选项可用于此设置。

将“帐户锁定阈值”的值配置为“0”可以确保帐户不会锁定。此设置值将避免旨在锁定组织中的帐户的 DoS 攻击。它还可以减少帮助台呼叫次数，因为用户不会将自己意外地锁定在帐户外。由于此设置不能避免强力攻击，所以，只有当明确符合下列两个条件时才将它配置为比 0 大的值

密码策略强制所有用户使用由 8 个或更多字符组成的复杂密码。

强健的审核机制已经就位，以便当组织环境中发生一系列帐户锁定时提醒管理员。例如，审核解决方案应该监视安全事件 539（此事件为登录失败）。此事件意味着当尝试登录时锁定帐户。

如果不符合上述条件，则第二个选项为：

将“帐户锁定阈值”设置配置为足够高的值，以便让用户可以意外输错密码若干次而不会将自己锁定在帐户外，同时确保强力密码攻击仍会锁定帐户。在这种情况下，将此设置的值配置为一定次数（例如 3 到 5 次）的无效登录可以确保适当的安全性和可接受的可用性。此设置值将避免意外的帐户锁定和减少帮助台呼叫次数，但不能如上所述避免 DoS 攻击。

复位帐户锁定计数器

表 2.10：设置

域控制器默认值	企业客户端	高安全级
没有定义	30 分钟	30 分钟

“复位帐户锁定计数器”设置确定“帐户锁定阈值”重置为零之前的时间长度。此设置的默认值为“没有定义”。如果定义了“帐户锁定阈值”，则此重置时间必须小于或等于“帐户锁定时间”设置的值。

对于本指南中定义的两种环境，将“复位帐户锁定计数器”设置配置为“30 分钟之后”。

将此设置保留为其默认值，或者以很长的间隔配置此值，都会使环境面临 DoS 攻击的威胁。攻击者对组织中的所有用户恶意地进行大量失败登录，如上所述锁定他们的帐户。如果没有确定策略来重置帐户锁定，则管理员必须手动解锁所有帐户。反过来，如果为此设置配置了合理的时间值，在所有帐户自动解锁之前用户只锁定一段已设置的时间。因此，建议的设置值 30 分钟定义了用户在无需求助于帮助台的情况下最可能接受的时间段。

用户权限分配

模块 3“Windows XP 客户端安全设置”中详细介绍了用户权限分配。但是，应该对所有域控制器设置“域中添加工作站”用户权限，本模块中讨论了其原因。“Windows 2003 Server Security Guide”（英文）的模块 3 和 4 中介绍了有关成员服务器和域控制器设置的其他信息。

域中添加工作站

表 2.11：设置

域控制器默认值	企业客户端	高安全级
Authenticated Users	Administrators	Administrators

“域中添加工作站”用户权限允许用户向特定域中添加计算机。为了使此权限生效，必须将它作为域的默认域控制器策略的一部分分配给用户。授予了此权限的用户可以向域中最多添加 10 个工作站。授予了 Active Directory 中 OU 或计算机容器的“创建计算机对象”权限的用户还可以将计算机加入域。授予了此权限的用户可以向域中添加不限数量的计算机，无论他们是否已被分配“域中添加工作站”用户权限。

默认情况下，“Authenticated Users”组中的所有用户能够向 Active Directory 域中最多添加 10 个计算机帐户。这些新计算机帐户是在计算机容器中创建的。

在 Active Directory 域中，每个计算机帐户是一个完整的安全主体，它能够对域资源进行身份验证和访问。某些组织想要限制 Active Directory 环境中的计算机数量，以便他们可以始终跟踪、生成和管理它们。

允许用户向域中添加工作站会妨碍此努力。它还为用户提供了执行更难跟踪的活动的途径，因为他们可以创建其他未授权的域计算机。

出于这些原因，在本指南中定义的两种环境中，“域中添加工作站”用户权限只授予给“Administrators”组。

安全设置

帐户策略必须在默认域策略中定义，且必须由组成域的域控制器强制执行。域控制器始终从默认域策略 GPO 获取帐户策略，即使存在对包含域控制器的 OU 应用的其他帐户策略。

在安全选项中有两个策略，它们也像域级别要考虑的帐户策略那样发挥作用。可以在组策略对象编辑器中的以下位置配置下表中的域组策略值：

计算机配置\Windows 设置\安全设置\本地策略\安全选项

Microsoft 网络服务器：当登录时间用完时自动注销用户

表 2.12：设置

域控制器默认值	企业客户端	高安全级
没有定义	已启用	已启用

“Microsoft 网络服务器：当登录时间用完时自动注销用户”设置确定在超过用户帐户的有效登录时间后，是否断开连接到本地计算机的用户。此设置影响服务器消息块 (SMB) 组件。启用此策略后，它使客户端与 SMB 服务的会话在超过客户端登录时间后强制断开。如果禁用此策略，则允许已建立的客户端会话在超过客户端登录时间后继续进行。启用此设置可以确保也启用了“网络安全：在超过登录时间后强制注销”设置。

如果组织已经为用户配置了登录时间，则很有必要启用此策略。否则，已假设无法在超出登录时间后访问网络资源的用户，实际上可以通过在允许的时间中建立的会话继续使用这些资源。

如果在组织中未使用登录时间，则启用此设置将没有影响。如果使用了登录时间，则当超过现有用户的登录时间后将强制终止现有用户会话。

网络访问：允许匿名 SID/名称转换

表 2.13：设置

域控制器默认值	企业客户端	高安全级
没有定义	已禁用	已禁用

“网络访问：允许匿名 SID/名称转换”设置确定匿名用户是否可以请求另一用户的 SID。

如果对域控制器启用此设置，知道管理员的 SID 属性的用户可以与也启用了此策略的计算机进行联系，并使用 SID 获取管理员的名称。然后，此人可以使用帐户名启动密码猜测攻击。成员计算机的默认设置为“已禁用”，这对它们没有影响。但是，域控制器的默认设置为“已启用”。禁用此设置会导致旧系统无法与以下 Windows Server 2003 域进行通信：

基于 Microsoft Windows NT? 4.0 的远程访问服务服务器。

当 IIS 上的 Web 应用程序配置为允许“基本身份验证”并同时禁用“匿名访问”时，内置的来宾用户帐户不能访问 Web 应用程序。另外，如果将内置的来宾用户帐户重命名为另一名称，则不能使用新名称访问 Web 应用程序。

在位于 Windows NT 3.x 域或 Windows NT 4.0 域中的 Windows 2000 计算机上运行的远程访问服务服务器。

网络安全：在超过登录时间后强制注销

表 2.14：设置

域控制器默认值	企业客户端	高安全级
已禁用	已启用	已启用

“网络安全：在超过登录时间后强制注销”设置确定在超过用户帐户的有效登录时间后是否断开连接到本地计算机的用户。此设置影响 SMB 组件。

启用此策略可以在超过客户端登录时间后强制断开客户端与 SMB 服务器的会话，此用户在他或她的下一次计划访问时间之前将无法登录到系统。禁用此策略会在超过客户端的登录时间后保留已建立的客户端会话。要影响域帐户，必须在默认域策略中定义此设置。

Kerberos 策略

Kerberos 版本 5 身份验证协议的策略是对域控制器配置的，而不是对域的成员计算机配置的。这些策略确定与 Kerberos 相关的设置，例如票证寿命和强制。本地计算机策略中不存在 Kerberos 策略。在大多数环境中，不应更改这些策略的默认值。本指南不提供对默认 Kerberos 策略的任何更改。有关这些设置的详细信息，请参阅位于以下站点的附加指南“Threats and Countermeasures:Security Settings in Windows Server 2003 and Windows XP”：http://go.microsoft.com/fwlink/?LinkId=15159（英文）。

OU 级别组策略

OU 级别组策略中包括的安全设置应该特定于 OU。这些设置同时包括计算机设置和用户设置。为了便于管理和提高安全级，在本指南中，介绍软件限制策略 (SRP) 的章节与其他安全设置分开。模块 6“Windows XP 客户端软件限制策略”详细讨论了 SRP。

安全设置组策略

您需要为环境中的每一类 Windows XP 计算机创建 GPO。在本指南中，便携式计算机和台式计算机分为单独的 OU，以便为这些计算机类别中的每个类别应用自定义的 GPO。

软件限制策略设置

在您的环境中创建用于配置 SRP 设置的专用 GPO。使 SRP 设置与其余组策略设置分开有一些被迫原因。首先，SRP 与其他组策略设置在概念上有所不同。SRP 并不需要管理员启用或禁用选项或配置值，而是需要管理员标识将支持哪些应用程序集、应用哪些限制以及如何处理异常。其次，如果在生产环境中实现 SRP 策略时出现了灾难错误，则此方法可以促进快速恢复：管理员可以临时禁用定义 SRP 设置的 GPO，而不影响任何其他安全设置。

组策略工具

Windows XP 附带的一些工具可以使对 GPO 的处理变得更容易。下一部分将简要概述其中一些工具。

强制组策略更新

Active Directory 定期更新组策略，但是您可以使用 GpUpdate（Windows XP Professional 附带的命令行工具）强制更新客户端计算机上的版本。此工具必须在客户端计算机上本地运行。

要使用 GpUpdate 工具更新本地计算机，请键入以下命令：

Gpupdate /force

运行 GpUpdate 后，将返回以下确认信息：

C:\Documents and Settings\administrator.MSSLAB>gpupdate /force

正在刷新策略...

用户策略刷新已完成。

计算机策略刷新已完成。

要检查策略处理中的错误，请查阅事件日志。