使用 GPO 确保特定设置、用户权限和行为应用于 OU 中的所有工作站或用户。通过使用组策略(而不是使用手动步骤),可以很方便地更新大量将来需要额外更改的工作站或用户。使用 GPO 应用这些设置的替代方法是派出一名技术人员在每个客户端上手动配置这些设置。
上图显示了对作为子 OU 成员的计算机应用 GPO 的顺序。首先从每个 Windows XP 工作站的本地策略应用组策略。应用本地策略后,依次在站点级别和域级别应用任何 GPO。
对于几个 OU 层中嵌套的 Windows XP 客户端,在层次结构中按从最高 OU 级别到最低级别的顺序应用 GPO。从包含客户端计算机的 OU 应用最后的 GPO。此 GPO 处理顺序(本地策略、站点、域、父 OU 和子 OU)非常重要,因为此过程中稍后应用的 GPO 将会替代先前应用的 GPO。用户 GPO 的应用方式相同,唯一区别是用户帐户没有本地安全策略。
组策略设置根据 Active Directory 中用户或计算机对象所在的位置应用于用户和计算机。在某些情况下,可能需要根据计算机对象的位置(而不是用户对象的位置)对用户对象应用策略。组策略环回功能使管理员能够根据用户登录的计算机应用用户组策略设置。有关环回支持的详细信息,请参阅本模块的“其他信息”部分中列出的组策略白皮书。
下图展开了基本 OU 结构,以显示如何对运行 Windows XP 且属于便携式计算机 OU 和台式计算机 OU 的客户端应用 GPO。
图 2.3 展开的 OU 结构,包含运行 Windows XP 的台式计算机和便携式计算机的安全 GPO
在上例中,便携式计算机是便携式计算机 OU 的成员。应用的第一个策略是运行 Windows XP 的便携式计算机上的本地安全策略。由于此例中只有一个站点,所以站点级别上未应用 GPO,将域 GPO 作为下一个要应用的策略。最后,应用便携式计算机 GPO。
注意:台式计算机策略未应用于任何便携式计算机,因为它未链接到包含便携式计算机 OU 的层次结构中的任何 OU。另外,安全的 XP 用户 OU 没有对应的安全模块(.inf 文件),因为它只包括来自管理模块的设置。
作为 GPO 之间优先级如何起作用的示例,假设“通过终端服务允许登录”的 Windows XP OU 策略设置被设置为“Administrators”组。“通过终端服务允许登录”的便携式计算机 GPO 设置被设置为“Power Users”和“Administrators”组。在此情况下,帐户位于“Power Users”组中的用户可以使用终端服务登录到便携式计算机。这是因为便携式计算机 OU 是 Windows XP OU 的子级。如果在 Windows XP GPO 中启用了“禁止替代”策略选项,只允许那些帐户位于“Administrators”组中的用户使用终端服务登录到客户端。
安全模板
组策略模板是基于文本的文件。可以使用 MMC 的安全模板管理单元,或使用文本编辑器(如记事本),来更改这些文件。模板文件的某些章节包含由安全描述符定义语言 (SDDL) 定义的特定访问控制列表 (ACL)。有关编辑安全模板和 SDDL 的详细信息,请参阅本模块中的“其他信息”部分。
安全模板的管理
将生产环境中使用的安全模板存储在基础结构中的安全位置是非常重要的。安全模板的访问权只应该授予负责实现组策略的管理员。默认情况下,安全模板存储在所有运行 Windows XP 和 Windows Server 2003 的计算机的 %SystemRoot%\security\templates 文件夹中。
此文件夹不是跨多个域控制器复制的。因此,您需要选择一个域控制器来保存安全模板的主副本,以避免遇到与模板有关的版本控制问题。此最佳操作确保您始终修改模板的同一副本。
导入安全模板
使用下列过程导入安全模板。
将安全模板导入 GPO:
1.导航到组策略对象编辑器中的“Windows 设置”文件夹。
2.展开“Windows 设置”文件夹,然后选择“安全设置”。
3.右键单击“安全设置”文件夹,然后单击“导入策略...”。
4.选择要导入的安全模板,然后单击“打开”。文件中的设置将导入到 GPO 中。
管理模板
在称为管理模板的基于 Unicode 的文件中,可以获得其他安全设置。管理模板是包含影响 Windows XP 及其组件以及其他应用程序(如 Microsoft Office XP)的注册表设置的文件。管理模板可以包括计算机设置和用户设置。计算机设置存储在 HKEY_LOCAL_MACHINE 注册表配置单元中。用户设置存储在 HKEY_CURRENT_USER 注册表配置单元中。
管理模板的管理
像上面的用于存储安全模板的最佳操作一样,将生产环境中使用的管理模板存储在基础结构中的安全位置是非常重要的。只有负责实现组策略的管理员才能有此位置的访问权限。Windows XP 和 Windows 2003 Server 附带的管理模板存储在 %systemroot%\inf 目录中。“Office XP Resource Kit”附带了用于 Office XP 的其他模板。这些模板在发布 Service Pack 时会进行更改,所以不能编辑。
向策略添加管理模板
除了 Windows XP 附带的管理模板外,还要将 Office XP 模板应用于要在其中配置 Office XP 设置的 GPO。使用下列过程向 GPO 添加其他模板。
向 GPO 添加管理模板:
1.导航到组策略对象编辑器中的“管理模板”文件夹。
2.右键单击“管理模板”文件夹,然后单击“添加/删除模板”。
3.在“添加/删除模板”对话框中,单击“添加”。
4.导航到包含管理模板文件的文件夹。
5.选择要添加的模板,单击“打开”,然后单击“关闭”。
域级别组策略
域级别组策略包括对域中所有计算机和用户应用的设置。位于http://go.microsoft.com/fwlink/?LinkId=14845 的“Windows Server 2003 Security Guide”的模块 2“Configuring the Domain Infrastructure”(英文)中详细介绍了域级别安全。
经常更改的复杂密码减少了密码攻击成功的可能性。密码策略设置控制密码的复杂性和使用期限。本节讨论用于企业客户端环境和高安全级环境的每个密码策略设置。
在组策略对象编辑器中的以下位置的域组策略中配置下列值:
计算机配置\Windows 设置\安全设置\帐户策略\密码策略
下表包含对本指南中定义的两种安全环境的密码策略建议。
强制密码历史
表 2.2:设置
| 域控制器默认值 |
企业客户端 |
高安全级 |
| 24 个记住的密码 |
24 个记住的密码 |
24 个记住的密码 |
“强制密码历史”设置确定在重用旧密码之前必须与用户帐户相关的唯一新密码的数量。此设置的值必须在 0 到 24 个记住的密码之间。Windows XP 的默认值是 0 个密码,但是域中的默认设置是 24 个记住的密码。要维护密码历史的有效性,请使用“密码最短使用期限”设置,以阻止用户不断更改密码来避开“强制密码历史”设置。
对于本指南中定义的两个安全环境,将“强制密码历史”设置配置为“24 个记住的密码”。通过确保用户无法轻易重用密码(无论意外或故意),最大设置值增强了密码的安全性。它还可以帮助确保攻击者窃得的密码在可以用于解开用户帐户之前失效。将此值设置为最大数量不会产生已知问题。
密码最长使用期限
表 2.3:设置
| 域控制器默认值 |
企业客户端 |
高安全级 |
| 42 天 |
42 天 |
42 天 |
此设置的值的范围为 1 到 999 天。为了指定从不过期的密码,还可以将此值设置为 0。此设置定义了解开密码的攻击者在密码过期之前使用密码访问网络上的计算机的期限。此设置的默认值为 42 天。
对于本指南中定义的两个安全环境,将“密码最长使用期限”设置配置为值“42 天”。大多数密码都可以解开,因此,密码改动越频繁,攻击者使用解开的密码的机会越少。但是,此值设置越低,帮助台支持的呼叫增多的可能性越大。将“密码最长使用期限”设置为值 42 可以确保密码周期性循环,从而增加了密码安全性。
密码最短使用期限
表 2.4:设置
| 域控制器默认值 |
企业客户端 |
高安全级 |
| 1 天 |
2 天 |
2 天 |
“密码最短使用期限”设置确定了用户可以更改密码之前必须使用密码的天数。此设置的值的范围是 1 到 998 天,也可以将此设置的值设置为 0 以允许立即更改密码。此设置的默认值为 0 天。
“密码最短使用期限”设置的值必须小于为“密码最长使用期限”设置指定的值,除非“密码最长使用期限”设置的值配置为 0(导致密码永不过期)。如果“密码最长使用期限”设置的值配置为 0,“密码最短使用期限”设置的值可以配置为从 0 到 999 之间的任何值。
如果希望“强制密码历史”设置生效,请将此值配置为大于 0。如果“密码最短使用期限”设置没有值,用户可以在密码中重复循环,直到找到想要的旧值。此设置的默认值并不遵循此建议。所以,管理员可以为用户指定密码,然后要求用户在登录时更改管理员指定的密码。如果“强制密码历史”设置为“0”,则用户不必选择新的密码。
对于本指南中定义的两个安全环境,将“密码最短使用期限”配置为值“2 天”。当此设置与“强制密码历史”设置的类似短时间段值一起使用时,值“2 天”是比较合适的。此限制确保用户必须等待 2 天才能更改密码,从而阻止了用户不断循环同一密码。此值还强制用户在重置密码之前至少使用 2 天密码,从而鼓励用户记住新密码。它还通过快速设置 24 个新密码来阻止用户避开“强制密码历史”设置的限制。
密码长度最小值
表 2.5:设置
| 域控制器默认值 |
企业客户端 |
高安全级 |
| 7 个字符 |
8 个字符 |
12 个字符 |
“密码长度最小值”设置要求密码必须包含指定数量的字符。长密码(八个或更多字符)通常比短密码更有效。对于此设置,用户不能使用空密码,而且必须创建一定字符长度的密码。此设置的默认值为 0 个字符。
增加密码复杂性的要求可以降低词典攻击的可能性,在词典攻击中,攻击者尝试词典中的已知单词和大量常用密码名称,以试图猜出密码。本模块的下一部分将讨论复杂性要求。要求太短的密码会降低安全性,因为使用对密码执行字典攻击或强力攻击的工具可以很容易地破译短密码。在强力攻击中,攻击者尝试查找安全密码或对称加密密钥的方法是:尝试所有可能的密码或密钥,直到发现正确的密码或密钥。要求太长的密码可能会生成很多错误输入的密码,并会导致帐户锁定的增加以及对帮助台支持的相关呼叫的增加。此外,要求过长的密码实际上降低了组织的安全性,因为用户很可能写下密码以免忘记。
另一方面,密码中的每个额外字符都会使其复杂性按指数级增加。如果要求密码至少为 8 个字符,即使较脆弱的 LM 哈希也会变得更强大,因为较长的密码需要攻击者解开每个密码的两个部分(而不是一个部分)。如果密码为 7 个字符或更少,则 LM 哈希的后半部分解析为一个特定值,此值会通知攻击者,密码短于 8 个字符。
已经花费大量时间来讨论:如果存储了 LM 哈希,则 8 字符密码比 7 字符密码的安全性更低。如果密码为七个字符或更少,则 LM 哈希的第二个部分解析为一个特定值,此值会通知破译者,密码短于八个字符。要求密码至少为八个字符可以使较脆弱的 LM 哈希变得更强大,因为较长的密码需要攻击者解密每个密码的两个部分(而不是一个部分)。由于可以并行攻击 LM 哈希的两个部分,LM 哈希的第二个部分长度仅为 1 个字符,它在百万分之一秒就屈服于强力攻击,因此,这样做实际上并不能明显改善环境的安全性,除非密码是 ALT 字符集。
较长的密码始终更好一些,如果未存储 LM 哈希,8 字符密码比 7 字符密码安全得多。出于这些原因,Microsoft 建议使用较长的密码替代较短的密码。
在企业客户端环境中,确保“密码长度最小值”设置的值配置为“8 个字符”默认值。此密码设置的长度足以提供适当的安全性,但是对于记忆力好的用户而言仍太短。在高安全级环境中,将值配置为“12 个字符”。
密码必须符合复杂性要求
表 2.6:设置
| 域控制器默认值 |
企业客户端 |
高安全级 |
| 已启用 |
已启用 |
已启用 |
“密码必须符合复杂性要求”设置检查所有新密码以确保它们符合强大密码的基本要求。默认情况下,Windows XP 中此设置的值配置为“已禁用”,但是在 Windows Server 2003 域中此设置为“已启用”。
另外,密码中的每个额外字符都会使其复杂性按指数级增加。例如,七位密码可能有 267 或 1 x 107 种可能的组合。七字符区分大小写的字母数字密码有 527 种组合。七字符不带标点的区分大小写的字母数字密码有 627 种组合。在每秒进行 1,000,000 次尝试的速度下,只需要 48 分钟即可解开。八字符密码有 268 或 2 x 1011 种可能的组合。从表面上看,这似乎是难以置信的数字。但是,在每秒进行 1,000,000 次尝试(这是许多密码破译工具的功能)的速度下,只需 59 个小时即可尝试所有可能的密码。请记住,如果密码使用 ALT 字符和其他特殊键盘字符(如 ! 或 @),则这些时间会大大增加。
将这些设置联合使用会使强力攻击的进行变得很困难(如果并非不可能)。
用可还原的加密来储存密码(针对域中的所有用户)
表 2.7:设置
| 域控制器默认值 |
企业客户端 |
高安全级 |
| 已禁用 |
已禁用 |
已禁用 |
“用可还原的加密来储存密码(针对域中的所有用户)”设置确定操作系统是否使用可还原的加密来储存密码。此设置支持使用需要了解用户密码以进行身份验证的协议的应用程序。使用可还原的加密来储存密码本质上与保存密码的明文版本相同。出于此原因,永远不应启用此策略,除非应用程序的要求超出保护密码信息的需要。此设置的默认值为“已禁用”。
当通过远程访问或 Internet 验证服务 (IAS) 使用质询握手身份验证协议 (CHAP) 时,需要此策略。当在 Microsoft Internet 信息服务 (IIS) 中使用摘要式验证时,也需要此策略。
确保“用可还原的加密来储存密码(针对域中的所有用户)”设置的值配置为“已禁用”。在 Windows Server 2003 的默认域 GPO 中以及工作站和服务器的本地安全策略中,禁用此设置。
由于存在激活此设置的高漏洞,Microsoft 建议在本指南中定义的两个环境中强制使用“已禁用”默认值。
防止用户更改密码(除非要求更改)
除了上述密码策略,对所有用户进行集中控制是某些组织的要求。本节描述如何防止用户更改密码(除非要求他们这样做)。
对用户密码的集中控制是设计完好的 Windows XP 安全方案的基础。可以使用组策略按如上所述设置密码的最短和最长使用期限。但是请记住,要求经常更改密码可以使用户避开环境的密码历史设置。要求密码太长还会使用户忘记密码,从而导致帮助台的呼叫增多。
用户可以在密码的最短和最长使用期限设置之间的时间段里更改密码。但是,高安全级环境的安全设计要求用户,仅当操作系统在密码达到 42 天最长使用期限后给出提示时更改密码。管理员可以配置 Windows,以便让用户仅当操作系统提示他们更改密码时再更改密码。要防止用户更改密码(除非要求更改),可以在当您按 Ctrl+Alt+Delete 时出现的“Windows 安全”对话框中禁用“更改密码...”按钮。
可以使用组策略对整个域实现此配置,也可以通过编辑注册表对一个或多个特定用户实现此配置。有关此配置的详细说明,请参阅位于此站点的 Microsoft 知识库文章 324744“How To:Prevent Users from Changing a Password Except When Required in Windows Server 2003”:http://support.microsoft.com/default.aspx?scid=324744(英文)。如果您有 Windows 2000 域,请参阅位于此站点的 Microsoft 知识库文章 309799“How To:Prevent Users from Changing a Password Except When Required in Windows 2000”:http://support.microsoft.com/default.aspx?scid=309799(英文)。
未完待续
(责任编辑:代君利)
