本文中,我們將仔細研究windows系統中的5種比較重要的安全設置。監聽這些設置能夠保證你的系統處在最高安全級別。
Windows系統環境的安全性經常在變化,不管你的電腦是新組裝的還是已經運行了數年的,它很有可能不符合你所在機構要求的安全標準。你需要對電腦進行內部的或者外部的監聽才能找到那些不正確的安全設置。如果時間緊迫的話,你可以主要監聽對Windows Active Directory目錄服務器來說最爲關鍵的幾個安全設置。我們將在下面的文章中詳細介紹這5個比較重要的安全設置。
Windows Active Directory 目錄服務的安全性
我可以說出選擇這些安全設置的數個理由。第一,正確設置這些安全設置,它可以幫助windows抵抗一些對系統的常規***。第二,Windows系統核心中有些默認的安全設置歷來都是不安全的。如果不是從一開始就設置好或者定期地檢查他們,你可能一直在操作一個又一個帶着這些不安全的默認設置的電腦。最後一點,根據我的經驗,通常這些設置都被用戶忽略,並沒有配置正確。即使是那些所謂的安全的,老練的網絡也是如此。
Windows系統環境的安全性經常在變化,不管你的電腦是新組裝的還是已經運行了數年的,它很有可能不符合你所在機構要求的安全標準。你需要對電腦進行內部的或者外部的監聽才能找到那些不正確的安全設置。如果時間緊迫的話,你可以主要監聽對Windows Active Directory目錄服務器來說最爲關鍵的幾個安全設置。我們將在下面的文章中詳細介紹這5個比較重要的安全設置。
Windows Active Directory 目錄服務的安全性
我可以說出選擇這些安全設置的數個理由。第一,正確設置這些安全設置,它可以幫助windows抵抗一些對系統的常規***。第二,Windows系統核心中有些默認的安全設置歷來都是不安全的。如果不是從一開始就設置好或者定期地檢查他們,你可能一直在操作一個又一個帶着這些不安全的默認設置的電腦。最後一點,根據我的經驗,通常這些設置都被用戶忽略,並沒有配置正確。即使是那些所謂的安全的,老練的網絡也是如此。
#1 密碼策略
Active Directory域的初始密碼策略是在默認域策略組策略對象(GPO)中配置的。該欄目下有多項設置,應該把這些設置至少設在標準安全級別。你需要對照你的服務器安全策略來決定該設哪些值。如果你們自己的安全策略中沒有這些值,你可以參考下表中的推薦值:
----------------------------------------------------------------------
密碼策略 推薦值
----------------------------------------------------------------------
Enforce password history 12 到 24 位
Maximum password age 30 到 90 天
Minimum password age 1 到 3 天
Minimum password length 7 到 14 個字母
Password must meet complexity requirements Enabled
Store password using reversible encryption Disabled
表 1
缺省情況下,這些設置儲存在默認域策略GPO中,但不應從那裏監聽,你應該分析諸如DUMPSEC或者域控制器的本地安全策略(在域控制器上運行GPEDIT.MSC)這樣的工具。DUMPSEC將不收集密碼的複雜要求,它通過其他途徑來收集該信息。本地安全策略能夠提供監聽這些設置的所有信息。
Active Directory域的初始密碼策略是在默認域策略組策略對象(GPO)中配置的。該欄目下有多項設置,應該把這些設置至少設在標準安全級別。你需要對照你的服務器安全策略來決定該設哪些值。如果你們自己的安全策略中沒有這些值,你可以參考下表中的推薦值:
----------------------------------------------------------------------
密碼策略 推薦值
----------------------------------------------------------------------
Enforce password history 12 到 24 位
Maximum password age 30 到 90 天
Minimum password age 1 到 3 天
Minimum password length 7 到 14 個字母
Password must meet complexity requirements Enabled
Store password using reversible encryption Disabled
表 1
缺省情況下,這些設置儲存在默認域策略GPO中,但不應從那裏監聽,你應該分析諸如DUMPSEC或者域控制器的本地安全策略(在域控制器上運行GPEDIT.MSC)這樣的工具。DUMPSEC將不收集密碼的複雜要求,它通過其他途徑來收集該信息。本地安全策略能夠提供監聽這些設置的所有信息。
#2 帳戶拒絕登陸策略
該策略在用戶忘記密碼的時候起作用。當然,爲了阻止***者猜密碼或者強制***這些密碼,最好確保該設置與你的其他安全策略一起使用。如果你的安全策略中沒有定義這些設置,下表給出了對這些設置來說最實用的值。
---------------------------------------------------------------------
帳戶拒絕策略設置 推薦值
---------------------------------------------------------------------
Account lockout duration 9999 (也可設小一點的數字,比如5,但不能是0)
Account lockout threshold 3 到 5
Reset account lockout counter after 9999
---------------------------------------------------------------------
表 2
默認情況下,這些設置儲存在默認域策略GPO中,但不是在那裏監聽,應該分析諸如DUMPSEC或者域控制器的本地安全策略(在域控制器上運行GPEDIT.MSC)這樣的工具。
#3 服務器管理員組成員權限
服務器管理員組的成員是Active Directory目錄服務器的一個重要的組。該組成員可以對“服務器”的功能類型進行整體變換,包括修改Active Directory站點,服務器DFS配置等等類似方面。他們還能夠管理在整個域中的所有用戶的帳戶,組帳戶,以及電腦帳戶。
這個組只存在於根域中(Active Director forest中的第一個域)。因此,你只需檢查Active Directory forest中的一個域就可以監聽該組。該組成員數量應該控制在有限的幾個以內。鑑於域管理組中的成員可以添加或者刪除該組成員,所以我建議日常情況下該組沒有任何成員比較好。
DUMPSEC非常適合用來監聽該組。你也可以就用Active Directory Users and Computers項來瀏覽有該組成員權限的組和用戶。
服務器管理員組的成員是Active Directory目錄服務器的一個重要的組。該組成員可以對“服務器”的功能類型進行整體變換,包括修改Active Directory站點,服務器DFS配置等等類似方面。他們還能夠管理在整個域中的所有用戶的帳戶,組帳戶,以及電腦帳戶。
這個組只存在於根域中(Active Director forest中的第一個域)。因此,你只需檢查Active Directory forest中的一個域就可以監聽該組。該組成員數量應該控制在有限的幾個以內。鑑於域管理組中的成員可以添加或者刪除該組成員,所以我建議日常情況下該組沒有任何成員比較好。
DUMPSEC非常適合用來監聽該組。你也可以就用Active Directory Users and Computers項來瀏覽有該組成員權限的組和用戶。
#4 計劃管理組成員權限
該組的權限跟服務器管理組差不多大,但是針對Active Directory的另一不同的方面的。該組成員能夠修改Active Directory的計劃,該計劃將影響到Forest中所有的域。對該計劃的錯誤修改將使整個服務器癱瘓和崩潰。
該組也只存在於根域中。同樣,鑑於計劃很少需要變更並且很受限制,日常情況下該組可以沒有任何成員。限制該組成員數量或者乾脆刪去他們,你才能夠更好的管理和控制計劃變更。
DUMPSEC非常適合用來監聽該組。你也可以就用Active Directory Users and Computers來瀏覽有該組成員權限的組和用戶。
該組的權限跟服務器管理組差不多大,但是針對Active Directory的另一不同的方面的。該組成員能夠修改Active Directory的計劃,該計劃將影響到Forest中所有的域。對該計劃的錯誤修改將使整個服務器癱瘓和崩潰。
該組也只存在於根域中。同樣,鑑於計劃很少需要變更並且很受限制,日常情況下該組可以沒有任何成員。限制該組成員數量或者乾脆刪去他們,你才能夠更好的管理和控制計劃變更。
DUMPSEC非常適合用來監聽該組。你也可以就用Active Directory Users and Computers來瀏覽有該組成員權限的組和用戶。
#5 域管理組成員權限
該組可以全權管理單獨域中的所有用戶、組以及電腦。該組的權限很大,並且每天都會用到。該組成員數也要控制數量,但是不要讓這個組是空的。如果需要某些域功能,你應該使用Active Directory 委任,而不是向這個組添加用戶。該委任對所有的Active Directory進行粗略的管理,它不會像域管理組那樣分發出太多的權限。該組在所有的Active Directory域中都存在,所以你需要監聽所有這些域。
DUMPSEC非常適合用來監聽該組。你也可以就用Active Directory Users and Computers來瀏覽有該組成員權限的組和用戶。
該組可以全權管理單獨域中的所有用戶、組以及電腦。該組的權限很大,並且每天都會用到。該組成員數也要控制數量,但是不要讓這個組是空的。如果需要某些域功能,你應該使用Active Directory 委任,而不是向這個組添加用戶。該委任對所有的Active Directory進行粗略的管理,它不會像域管理組那樣分發出太多的權限。該組在所有的Active Directory域中都存在,所以你需要監聽所有這些域。
DUMPSEC非常適合用來監聽該組。你也可以就用Active Directory Users and Computers來瀏覽有該組成員權限的組和用戶。
總結
對Active Directory進行基本管理至關重要。如果用戶的帳戶密碼太簡單,能夠輕易被破解,不經常更換或者根本沒有設置密碼,那麼網絡和服務器就很容易被***。務必正確設置這些密碼值以及帳戶拒絕登陸策略。那些最實用的值能夠幫助你阻擋針對密碼的種種***。同樣的,以上Active Directory服務器三個組的用戶權限應當妥善管理並經常監聽。如果普通用戶擁有服務器,計劃或者域管理組的此類權限,那將很可能引發重大損失或嚴重問題。
對Active Directory進行基本管理至關重要。如果用戶的帳戶密碼太簡單,能夠輕易被破解,不經常更換或者根本沒有設置密碼,那麼網絡和服務器就很容易被***。務必正確設置這些密碼值以及帳戶拒絕登陸策略。那些最實用的值能夠幫助你阻擋針對密碼的種種***。同樣的,以上Active Directory服務器三個組的用戶權限應當妥善管理並經常監聽。如果普通用戶擁有服務器,計劃或者域管理組的此類權限,那將很可能引發重大損失或嚴重問題。