目標
使用本模塊可以實現下列目標:
| • |
描述 Active Directory 如何應用組策略對象 |
| • |
設計組織單位結構以支持安全管理 |
| • |
設計組策略對象以支持安全管理 |
| • |
對安全模板進行管理 |
| • |
對管理模板進行管理 |
| • |
使用組策略實現有效的密碼策略 |
| • |
使用組策略實現有效的帳戶鎖定策略 |
| • |
確定哪些用戶可以向域中添加工作站 |
| • |
確保在允許的登錄時間結束時註銷用戶 |
| • |
使用組策略管理工具來更新策略和查看組策略應用的結果 |
適用範圍
本模塊適用於下列產品和技術:
| • |
Windows Server 2003 域中的 Windows XP Professional 客戶端 |
| • |
Windows 2000 域中的 Windows XP Professional 客戶端 |
如何使用本模塊
本模塊提供了一種方法,並描述了使用組策略在 Windows Server 2003 或 Windows 2000 Active Directory 域中確保 Windows XP Professional 客戶端的安全所需的步驟。
爲了充分理解本模塊內容,請
| • |
閱讀本指南中的模塊 1“Windows XP 安全指南簡介”。該模塊定義了在此模塊中引用的企業客戶端環境和高安全級環境。 | ||||
| • |
使用檢查表。本指南的“檢查表”部分中的檢查表“配置 Active Directory 域基礎結構”提供了可打印的作業指導,以供快速參考。使用基於任務的檢查表可以快速評估需要哪些步驟並幫助您逐步完成各個步驟。 | ||||
| • |
使用隨本指南提供的“Windows XP 安全指南設置”電子表格。它可以幫助您將環境中所做的設置編制爲文檔。 | ||||
| • |
使用附帶的解決方法。本指南引用下列指導文章(均爲英文):
|
組策略
組策略是 Microsoft® Active Directory® 目錄服務的一個功能,可用來更改用戶和計算機設置,以及 Microsoft Windows Server 2003™ 和 Microsoft Windows® 2000 Server 域中的配置管理。但是,在將組策略應用於環境中的 Microsoft Windows XP Professional 客戶端之前,需要在域中執行某些基本步驟。
組策略設置存儲在環境中域控制器上的組策略對象 (GPO) 中。GPO 鏈接到容器,這些容器包括 Active Directory 站點、域和組織單位 (OU)。由於組策略與 Active Directory 緊密集成,在實現組策略之前有必要對 Active Directory 結構和在其中配置不同設計選項的安全含義進行基本的瞭解。有關 Active Directory 設計的詳細信息,請參閱“Windows Server 2003 Security Guide”的模塊 2“Configuring the Domain Infrastructure”(英文)。
表 2.1:基準安全模板
| 說明 | 企業客戶端 | 高安全級 |
|
用於客戶端的基準安全模板 |
Enterprise client - domain.inf |
High Security - domain.inf |
支持安全管理的 OU 設計
OU 是 Active Directory 域中的容器。OU 可以包含用戶、組、計算機和其他組織單位,它們都稱爲子 OU。可以將 GPO 鏈接到 OU,它是 Active Directory 層次結構中的最低容器。還可以將管理權限委派給 OU。OU 提供了對用戶、計算機和其他安全主體進行分組的簡便方法,還提供了劃分管理邊界的有效方法。將用戶和計算機分配給單獨的 OU,因爲某些設置只適用於用戶,而某些則只適用於計算機。
可以使用委派嚮導來委派對一個組或單個 OU 的控制,委派嚮導可以作爲 Active Directory 用戶和計算機 Microsoft 管理控制檯 (MMC) 管理單元工具的一部分獲得。有關委派權限的文檔的鏈接,請參閱本模塊結尾的“其他信息”部分。
爲任何環境設計 OU 結構的一個主要目標是,爲創建覆蓋 Active Directory 中駐留的所有工作站的無縫組策略實現提供基礎,同時確保它們符合組織的安全標準。設計 OU 結構的另一個目標是,爲組織中特定類型的用戶提供適當的安全設置。例如,可以允許開發人員對工作站進行一般用戶無權進行的操作。便攜式計算機用戶與臺式計算機用戶相比,安全要求也可以略有不同。下圖說明了足以用來討論本模塊中的組策略的簡單 OU 結構。此 OU 的結構可能與您的環境的組織要求不同。
圖 2.1
Windows XP 計算機的 OU 結構
部門 OU
由於組織內的安全要求經常變化,很有必要在環境中創建部門 OU。部門安全設置可以通過 GPO 應用於各自部門 OU 中的計算機和用戶。
安全的 XP 用戶 OU
此 OU 包含同時參與企業客戶端環境和高安全級環境的用戶的帳戶。模塊 4“Windows XP 管理模板”中的“用戶配置”部分中討論了對此 OU 應用的設置。
Windows XP OU
此 OU 包含環境中每種 Windows XP 客戶端的子 OU。在這裏,包含了用於臺式計算機和便攜式計算機客戶端的指南。出於此原因,已經創建了臺式計算機 OU 和便攜式計算機 OU。
| • |
臺式計算機 OU:此 OU 包含始終連接到公司網絡的臺式計算機。模塊 3“Windows XP 客戶端安全設置”和模塊 4“Windows XP 管理模板”中詳細討論了對此 OU 應用的設置。 |
| • |
便攜式計算機 OU:此 OU 包含不始終連接到公司網絡的移動用戶的便攜式計算機。模塊 3“Windows XP 客戶端安全設置”和模塊 4“Windows XP 管理模板”中詳細討論了對此 OU 應用的設置。 |
支持安全管理的 GPO 設計
使用 GPO 確保特定設置、用戶權限和行爲應用於 OU 中的所有工作站或用戶。通過使用組策略(而不是使用手動步驟),可以很方便地更新大量將來需要額外更改的工作站或用戶。使用 GPO 應用這些設置的替代方法是派出一名技術人員在每個客戶端上手動配置這些設置。
圖 2.2
GPO 應用順序
上圖顯示了對作爲子 OU 成員的計算機應用 GPO 的順序。首先從每個 Windows XP 工作站的本地策略應用組策略。應用本地策略後,依次在站點級別和域級別應用任何 GPO。
對於幾個 OU 層中嵌套的 Windows XP 客戶端,在層次結構中按從最高 OU 級別到最低級別的順序應用 GPO。從包含客戶端計算機的 OU 應用最後的 GPO。此 GPO 處理順序(本地策略、站點、域、父 OU 和子 OU)非常重要,因爲此過程中稍後應用的 GPO 將會替代先前應用的 GPO。用戶 GPO 的應用方式相同,唯一區別是用戶帳戶沒有本地安全策略。
當設計組策略時請記住下列注意事項。
| • |
管理員必須設置將多個 GPO 鏈接到一個 OU 的順序,否則,默認情況下,將按以前鏈接到此 OU 的順序應用策略。如果在多個策略中指定了相同的順序,容器的策略列表中的最高策略享有最高優先級。 |
| • |
可以使用“禁止替代”選項來配置 GPO。選擇此選項後,其他 GPO 不能替代爲此策略配置的設置。 |
| • |
可以使用“阻止策略繼承”選項來配置 Active Directory、站點、域或 OU。此選項阻止來自 Active Directory 層次結構中更高的 GPO 的 GPO 設置,除非它們選擇了“禁止替代”選項。 |
| • |
組策略設置根據 Active Directory 中用戶或計算機對象所在的位置應用於用戶和計算機。在某些情況下,可能需要根據計算機對象的位置(而不是用戶對象的位置)對用戶對象應用策略。組策略環回功能使管理員能夠根據用戶登錄的計算機應用用戶組策略設置。有關環回支持的詳細信息,請參閱本模塊的“其他信息”部分中列出的組策略白皮書。 |
下圖展開了基本 OU 結構,以顯示如何對運行 Windows XP 且屬於便攜式計算機 OU 和臺式計算機 OU 的客戶端應用 GPO。
圖 2.3
展開的 OU 結構,包含運行 Windows XP 的臺式計算機和便攜式計算機的安全 GPO。
在上例中,便攜式計算機是便攜式計算機 OU 的成員。應用的第一個策略是運行 Windows XP 的便攜式計算機上的本地安全策略。由於此例中只有一個站點,所以站點級別上未應用 GPO,將域 GPO 作爲下一個要應用的策略。最後,應用便攜式計算機 GPO。
注意:臺式計算機策略未應用於任何便攜式計算機,因爲它未鏈接到包含便攜式計算機 OU 的層次結構中的任何 OU。另外,安全的 XP 用戶 OU 沒有對應的安全模塊(.inf 文件),因爲它只包括來自管理模塊的設置。
作爲 GPO 之間優先級如何起作用的示例,假設“通過終端服務允許登錄”的 Windows XP OU 策略設置被設置爲“Administrators”組。“通過終端服務允許登錄”的便攜式計算機 GPO 設置被設置爲“Power Users”和“Administrators”組。在此情況下,帳戶位於“Power Users”組中的用戶可以使用終端服務登錄到便攜式計算機。這是因爲便攜式計算機 OU 是 Windows XP OU 的子級。如果在 Windows XP GPO 中啓用了“禁止替代”策略選項,只允許那些帳戶位於“Administrators”組中的用戶使用終端服務登錄到客戶端。
安全模板
組策略模板是基於文本的文件。可以使用 MMC 的安全模板管理單元,或使用文本編輯器(如記事本),來更改這些文件。模板文件的某些章節包含由安全描述符定義語言 (SDDL) 定義的特定訪問控制列表 (ACL)。有關編輯安全模板和 SDDL 的詳細信息,請參閱本模塊中的“其他信息”部分。
安全模板的管理
將生產環境中使用的安全模板存儲在基礎結構中的安全位置是非常重要的。安全模板的訪問權只應該授予負責實現組策略的管理員。默認情況下,安全模板存儲在所有運行 Windows XP 和 Windows Server 2003 的計算機的 %SystemRoot%/security/templates 文件夾中。
此文件夾不是跨多個域控制器複製的。因此,您需要選擇一個域控制器來保存安全模板的主副本,以避免遇到與模板有關的版本控制問題。此最佳操作確保您始終修改模板的同一副本。
導入安全模板
使用下列過程導入安全模板。
| • |
將安全模板導入 GPO:
|
管理模板
在稱爲管理模板的基於 Unicode 的文件中,可以獲得其他安全設置。管理模板是包含影響 Windows XP 及其組件以及其他應用程序(如 Microsoft Office XP)的註冊表設置的文件。管理模板可以包括計算機設置和用戶設置。計算機設置存儲在 HKEY_LOCAL_MACHINE 註冊表配置單元中。用戶設置存儲在 HKEY_CURRENT_USER 註冊表配置單元中。
管理模板的管理
像上面的用於存儲安全模板的最佳操作一樣,將生產環境中使用的管理模板存儲在基礎結構中的安全位置是非常重要的。只有負責實現組策略的管理員纔能有此位置的訪問權限。Windows XP 和 Windows 2003 Server 附帶的管理模板存儲在 %systemroot%/inf 目錄中。“Office XP Resource Kit”附帶了用於 Office XP 的其他模板。這些模板在發佈 Service Pack 時會進行更改,所以不能編輯。
向策略添加管理模板
除了 Windows XP 附帶的管理模板外,還要將 Office XP 模板應用於要在其中配置 Office XP 設置的 GPO。使用下列過程向 GPO 添加其他模板。
| • |
向 GPO 添加管理模板:
|
域級別組策略
域級別組策略包括對域中所有計算機和用戶應用的設置。位於http://go.microsoft.com/fwlink/?LinkId=14845 的“Windows Server 2003 Security Guide”的模塊 2“Configuring the Domain Infrastructure”(英文)中詳細介紹了域級別安全。
密碼策略
經常更改的複雜密碼減少了密碼攻擊成功的可能性。密碼策略設置控制密碼的複雜性和使用期限。本節討論用於企業客戶端環境和高安全級環境的每個密碼策略設置。
在組策略對象編輯器中的以下位置的域組策略中配置下列值:
計算機配置/Windows 設置/安全設置/帳戶策略/密碼策略
下表包含對本指南中定義的兩種安全環境的密碼策略建議。
強制密碼歷史
表 2.2:設置
| 域控制器默認值 | 企業客戶端 | 高安全級 |
|
24 個記住的密碼 |
24 個記住的密碼 |
24 個記住的密碼 |
“強制密碼歷史”設置確定在重用舊密碼之前必須與用戶帳戶相關的唯一新密碼的數量。此設置的值必須在 0 到 24 個記住的密碼之間。Windows XP 的默認值是 0 個密碼,但是域中的默認設置是 24 個記住的密碼。要維護密碼歷史的有效性,請使用“密碼最短使用期限”設置,以阻止用戶不斷更改密碼來避開“強制密碼歷史”設置。
對於本指南中定義的兩個安全環境,將“強制密碼歷史”設置配置爲“24 個記住的密碼”。通過確保用戶無法輕易重用密碼(無論意外或故意),最大設置值增強了密碼的安全性。它還可以幫助確保攻擊者竊得的密碼在可以用於解開用戶帳戶之前失效。將此值設置爲最大數量不會產生已知問題。
密碼最長使用期限
表 2.3:設置
| 域控制器默認值 | 企業客戶端 | 高安全級 |
|
42 天 |
42 天 |
42 天 |
此設置的值的範圍爲 1 到 999 天。爲了指定從不過期的密碼,還可以將此值設置爲 0。此設置定義瞭解開密碼的攻擊者在密碼過期之前使用密碼訪問網絡上的計算機的期限。此設置的默認值爲 42 天。
對於本指南中定義的兩個安全環境,將“密碼最長使用期限”設置配置爲值“42 天”。大多數密碼都可以解開,因此,密碼改動越頻繁,攻擊者使用解開的密碼的機會越少。但是,此值設置越低,幫助臺支持的呼叫增多的可能性越大。將“密碼最長使用期限”設置爲值 42 可以確保密碼週期性循環,從而增加了密碼安全性。
密碼最短使用期限
表 2.4:設置
| 域控制器默認值 | 企業客戶端 | 高安全級 |
|
1 天 |
2 天 |
2 天 |
“密碼最短使用期限”設置確定了用戶可以更改密碼之前必須使用密碼的天數。此設置的值的範圍是 1 到 998 天,也可以將此設置的值設置爲 0 以允許立即更改密碼。此設置的默認值爲 0 天。
“密碼最短使用期限”設置的值必須小於爲“密碼最長使用期限”設置指定的值,除非“密碼最長使用期限”設置的值配置爲 0(導致密碼永不過期)。如果“密碼最長使用期限”設置的值配置爲 0,“密碼最短使用期限”設置的值可以配置爲從 0 到 999 之間的任何值。
如果希望“強制密碼歷史”設置生效,請將此值配置爲大於 0。如果“密碼最短使用期限”設置沒有值,用戶可以在密碼中重複循環,直到找到想要的舊值。此設置的默認值並不遵循此建議。所以,管理員可以爲用戶指定密碼,然後要求用戶在登錄時更改管理員指定的密碼。如果“強制密碼歷史”設置爲“0”,則用戶不必選擇新的密碼。
對於本指南中定義的兩個安全環境,將“密碼最短使用期限”配置爲值“2 天”。當此設置與“強制密碼歷史”設置的類似短時間段值一起使用時,值“2 天”是比較合適的。此限制確保用戶必須等待 2 天才能更改密碼,從而阻止了用戶不斷循環同一密碼。此值還強制用戶在重置密碼之前至少使用 2 天密碼,從而鼓勵用戶記住新密碼。它還通過快速設置 24 個新密碼來阻止用戶避開“強制密碼歷史”設置的限制。
密碼長度最小值
表 2.5:設置
| 域控制器默認值 | 企業客戶端 | 高安全級 |
|
7 個字符 |
8 個字符 |
12 個字符 |
“密碼長度最小值”設置要求密碼必須包含指定數量的字符。長密碼(八個或更多字符)通常比短密碼更有效。對於此設置,用戶不能使用空密碼,而且必須創建一定字符長度的密碼。此設置的默認值爲 0 個字符。
增加密碼複雜性的要求可以降低詞典攻擊的可能性,在詞典攻擊中,攻擊者嘗試詞典中的已知單詞和大量常用密碼名稱,以試圖猜出密碼。本模塊的下一部分將討論複雜性要求。要求太短的密碼會降低安全性,因爲使用對密碼執行字典攻擊或強力攻擊的工具可以很容易地破譯短密碼。在強力攻擊中,攻擊者嘗試查找安全密碼或對稱加密密鑰的方法是:嘗試所有可能的密碼或密鑰,直到發現正確的密碼或密鑰。要求太長的密碼可能會生成很多錯誤輸入的密碼,並會導致帳戶鎖定的增加以及對幫助臺支持的相關呼叫的增加。此外,要求過長的密碼實際上降低了組織的安全性,因爲用戶很可能寫下密碼以免忘記。
另一方面,密碼中的每個額外字符都會使其複雜性按指數級增加。如果要求密碼至少爲 8 個字符,即使較脆弱的 LM 哈希也會變得更強大,因爲較長的密碼需要攻擊者解開每個密碼的兩個部分(而不是一個部分)。如果密碼爲 7 個字符或更少,則 LM 哈希的後半部分解析爲一個特定值,此值會通知攻擊者,密碼短於 8 個字符。
已經花費大量時間來討論:如果存儲了 LM 哈希,則 8 字符密碼比 7 字符密碼的安全性更低。如果密碼爲七個字符或更少,則 LM 哈希的第二個部分解析爲一個特定值,此值會通知破譯者,密碼短於八個字符。要求密碼至少爲八個字符可以使較脆弱的 LM 哈希變得更強大,因爲較長的密碼需要攻擊者解密每個密碼的兩個部分(而不是一個部分)。由於可以並行攻擊 LM 哈希的兩個部分,LM 哈希的第二個部分長度僅爲 1 個字符,它在百萬分之一秒就屈服於強力攻擊,因此,這樣做實際上並不能明顯改善環境的安全性,除非密碼是 ALT 字符集。
較長的密碼始終更好一些,如果未存儲 LM 哈希,8 字符密碼比 7 字符密碼安全得多。出於這些原因,Microsoft 建議使用較長的密碼替代較短的密碼。
在企業客戶端環境中,確保“密碼長度最小值”設置的值配置爲“8 個字符”默認值。此密碼設置的長度足以提供適當的安全性,但是對於記憶力好的用戶而言仍太短。在高安全級環境中,將值配置爲“12 個字符”。
密碼必須符合複雜性要求
表 2.6:設置
| 域控制器默認值 | 企業客戶端 | 高安全級 |
|
已啓用 |
已啓用 |
已啓用 |
“密碼必須符合複雜性要求”設置檢查所有新密碼以確保它們符合強大密碼的基本要求。默認情況下,Windows XP 中此設置的值配置爲“已禁用”,但是在 Windows Server 2003 域中此設置爲“已啓用”。
另外,密碼中的每個額外字符都會使其複雜性按指數級增加。例如,七位密碼可能有 267 或 1 x 107 種可能的組合。七字符區分大小寫的字母數字密碼有 527 種組合。七字符不帶標點的區分大小寫的字母數字密碼有 627 種組合。在每秒進行 1,000,000 次嘗試的速度下,只需要 48 分鐘即可解開。八字符密碼有 268 或 2 x 1011 種可能的組合。從表面上看,這似乎是難以置信的數字。但是,在每秒進行 1,000,000 次嘗試(這是許多密碼破譯工具的功能)的速度下,只需 59 個小時即可嘗試所有可能的密碼。請記住,如果密碼使用 ALT 字符和其他特殊鍵盤字符(如 ! 或 @),則這些時間會大大增加。
將這些設置聯合使用會使強力攻擊的進行變得很困難(如果並非不可能)。
用可還原的加密來儲存密碼(針對域中的所有用戶)
表 2.7:設置
| 域控制器默認值 | 企業客戶端 | 高安全級 |
|
已禁用 |
已禁用 |
已禁用 |
“用可還原的加密來儲存密碼(針對域中的所有用戶)”設置確定操作系統是否使用可還原的加密來儲存密碼。此設置支持使用需要了解用戶密碼以進行身份驗證的協議的應用程序。使用可還原的加密來儲存密碼本質上與保存密碼的明文版本相同。出於此原因,永遠不應啓用此策略,除非應用程序的要求超出保護密碼信息的需要。此設置的默認值爲“已禁用”。
當通過遠程訪問或 Internet 驗證服務 (IAS) 使用質詢握手身份驗證協議 (CHAP) 時,需要此策略。當在 Microsoft Internet 信息服務 (IIS) 中使用摘要式驗證時,也需要此策略。
確保“用可還原的加密來儲存密碼(針對域中的所有用戶)”設置的值配置爲“已禁用”。在 Windows Server 2003 的默認域 GPO 中以及工作站和服務器的本地安全策略中,禁用此設置。
由於存在激活此設置的高漏洞,Microsoft 建議在本指南中定義的兩個環境中強制使用“已禁用”默認值。
防止用戶更改密碼(除非要求更改)
除了上述密碼策略,對所有用戶進行集中控制是某些組織的要求。本節描述如何防止用戶更改密碼(除非要求他們這樣做)。
對用戶密碼的集中控制是設計完好的 Windows XP 安全方案的基礎。可以使用組策略按如上所述設置密碼的最短和最長使用期限。但是請記住,要求經常更改密碼可以使用戶避開環境的密碼歷史設置。要求密碼太長還會使用戶忘記密碼,從而導致幫助臺的呼叫增多。
用戶可以在密碼的最短和最長使用期限設置之間的時間段裏更改密碼。但是,高安全級環境的安全設計要求用戶,僅當操作系統在密碼達到 42 天最長使用期限後給出提示時更改密碼。管理員可以配置 Windows,以便讓用戶僅當操作系統提示他們更改密碼時再更改密碼。要防止用戶更改密碼(除非要求更改),可以在當您按 Ctrl+Alt+Delete 時出現的“Windows 安全”對話框中禁用“更改密碼...”按鈕。
可以使用組策略對整個域實現此配置,也可以通過編輯註冊表對一個或多個特定用戶實現此配置。有關此配置的詳細說明,請參閱位於此站點的 Microsoft 知識庫文章 324744“How To:Prevent Users from Changing a Password Except When Required in Windows Server 2003”:http://support.microsoft.com/default.aspx?scid=324744(英文)。如果您有 Windows 2000 域,請參閱位於此站點的 Microsoft 知識庫文章 309799“How To:Prevent Users from Changing a Password Except When Required in Windows 2000”:http://support.microsoft.com/default.aspx?scid=309799(英文)。
帳戶鎖定策略
帳戶鎖定策略是一項 Active Directory 安全功能,它在一個指定時間段內多次登錄嘗試失敗後鎖定用戶帳戶。允許的嘗試次數和時間段基於爲安全策略鎖定設置配置的值。用戶不能登錄到鎖定的帳戶。域控制器跟蹤登錄嘗試,而且服務器軟件可以配置爲通過在預設時間段禁用帳戶來響應此類潛在攻擊。
在 Active Directory 域中配置帳戶鎖定策略時,管理員可以爲嘗試和時間段變量設置任何值。但是,如果“復位帳戶鎖定計數器”設置的值大於“帳戶鎖定時間”設置的值,則域控制器自動將“帳戶鎖定時間”設置的值調整爲與“復位帳戶鎖定計數器”設置相同的值。
另外,如果“帳戶鎖定時間”設置的值比爲“復位帳戶鎖定計數器”設置配置的值低,則域控制器自動將“復位帳戶鎖定計數器”的值調整爲與“帳戶鎖定時間”設置相同的值。因此,如果定義了“帳戶鎖定時間”設置的值,則“復位帳戶鎖定計數器”設置的值必須小於或等於爲“帳戶鎖定時間”設置所配置的值。
域控制器執行此操作,以避免與安全策略中的設置值衝突。如果管理員將“復位帳戶鎖定計數器”設置的值配置爲比“帳戶鎖定時間”設置的值大,則爲“帳戶鎖定時間”設置配置的值的實施將首先過期,因此用戶可以登錄回網絡上。但是,“復位帳戶鎖定計數器”設置將繼續計數。因此“帳戶鎖定閾值”設置將保留最大值( 3 次無效登錄),用戶將無法登錄。
爲了避免此情況,域控制器將“復位帳戶鎖定計數器”設置的值自動重置爲與“帳戶鎖定時間”設置的值相等。
這些安全策略設置有助於防止攻擊者猜測用戶密碼,並且會降低對網絡環境的攻擊成功的可能性。可以在組策略對象編輯器中以下位置的域組策略中配置下表中的值:
計算機配置/Windows 設置/安全設置/帳戶策略/帳戶鎖定策略
下表包含對本指南中定義的兩種安全環境的帳戶鎖定策略建議。
帳戶鎖定時間
表 2.8:設置
| 域控制器默認值 | 企業客戶端 | 高安全級 |
|
沒有定義 |
30 分鐘 |
30 分鐘 |
“帳戶鎖定時間”設置確定在未鎖定帳戶且用戶可以嘗試再次登錄之前所必須經歷的時間長度。此設置通過指定鎖定帳戶保持不可用的分鐘數來執行此操作。如果“帳戶鎖定時間”設置的值配置爲 0,則鎖定的帳戶將保持鎖定,直到管理員將它們解鎖。此設置的 Windows XP 默認值爲“沒有定義”。
爲了減少幫助臺支持呼叫的次數,同時提供安全的基礎結構,對於本指南中定義的兩種環境,將“帳戶鎖定時間”設置的值配置爲“30 分鐘”。
將此設置的值配置爲永不自動解鎖似乎是一個好主意,但這樣做會增加組織中的幫助臺爲了解鎖不小心鎖定的帳戶而收到的呼叫的次數。對於每個鎖定級別,將此設置的值配置爲 30 分鐘可以減少“拒絕服務 (DoS)”攻擊的機會。此設置值還使用戶在帳戶鎖定時有機會在 30 分鐘內再次登錄,這是在無需求助於幫助臺的情況下他們最可能接受的時間段。
帳戶鎖定閾值
表 2.9:設置
| 域控制器默認值 | 企業客戶端 | 高安全級 |
|
0 次無效登錄 |
50 次無效登錄 |
50 次無效登錄 |
“帳戶鎖定閾值”設置確定用戶在帳戶鎖定之前可以嘗試登錄帳戶的次數。
授權用戶將自己鎖定在帳戶外的原因可能有:輸錯密碼或記錯密碼,或者在計算機上更改了密碼而又登錄到其他計算機。帶有錯誤密碼的計算機連續嘗試對用戶進行身份驗證,由於它用於身份驗證的密碼不正確,導致用戶帳戶最終鎖定。對於只使用運行 Windows Server 2003 或更早版本的域控制器的組織,不存在此問題。爲了避免鎖定授權用戶,請將帳戶鎖定閾值設置爲較高的數字。此設置的默認值爲“0 次無效登錄”。
對於本指南中定義的兩種環境,將“帳戶鎖定閾值”的值配置爲“50 次無效登錄”。
由於無論是否配置此設置的值都會存在漏洞,所以,爲這些可能性中的每種可能性定義了獨特措施。您的組織應該根據識別的威脅和正在嘗試降低的風險來在兩者之間做出平衡。有兩個選項可用於此設置。
| • |
將“帳戶鎖定閾值”的值配置爲“0”可以確保帳戶不會鎖定。此設置值將避免旨在鎖定組織中的帳戶的 DoS 攻擊。它還可以減少幫助臺呼叫次數,因爲用戶不會將自己意外地鎖定在帳戶外。由於此設置不能避免強力攻擊,所以,只有當明確符合下列兩個條件時纔將它配置爲比 0 大的值:
|
如果不符合上述條件,則第二個選項爲:
| • |
將“帳戶鎖定閾值”設置配置爲足夠高的值,以便讓用戶可以意外輸錯密碼若干次而不會將自己鎖定在帳戶外,同時確保強力密碼攻擊仍會鎖定帳戶。在這種情況下,將此設置的值配置爲一定次數(例如 3 到 5 次)的無效登錄可以確保適當的安全性和可接受的可用性。此設置值將避免意外的帳戶鎖定和減少幫助臺呼叫次數,但不能如上所述避免 DoS 攻擊。 |
復位帳戶鎖定計數器
表 2.10:設置
| 域控制器默認值 | 企業客戶端 | 高安全級 |
|
沒有定義 |
30 分鐘 |
30 分鐘 |
“復位帳戶鎖定計數器”設置確定“帳戶鎖定閾值”重置爲零之前的時間長度。此設置的默認值爲“沒有定義”。如果定義了“帳戶鎖定閾值”,則此重置時間必須小於或等於“帳戶鎖定時間”設置的值。
對於本指南中定義的兩種環境,將“復位帳戶鎖定計數器”設置配置爲“30 分鐘之後”。
將此設置保留爲其默認值,或者以很長的間隔配置此值,都會使環境面臨 DoS 攻擊的威脅。攻擊者對組織中的所有用戶惡意地進行大量失敗登錄,如上所述鎖定他們的帳戶。如果沒有確定策略來重置帳戶鎖定,則管理員必須手動解鎖所有帳戶。反過來,如果爲此設置配置了合理的時間值,在所有帳戶自動解鎖之前用戶只鎖定一段已設置的時間。因此,建議的設置值 30 分鐘定義了用戶在無需求助於幫助臺的情況下最可能接受的時間段。
用戶權限分配
模塊 3“Windows XP 客戶端安全設置”中詳細介紹了用戶權限分配。但是,應該對所有域控制器設置“域中添加工作站”用戶權限,本模塊中討論了其原因。“Windows 2003 Server Security Guide”(英文)的模塊 3 和 4 中介紹了有關成員服務器和域控制器設置的其他信息。
域中添加工作站
表 2.11:設置
| 域控制器默認值 | 企業客戶端 | 高安全級 |
|
Authenticated Users |
Administrators |
Administrators |
“域中添加工作站”用戶權限允許用戶向特定域中添加計算機。爲了使此權限生效,必須將它作爲域的默認域控制器策略的一部分分配給用戶。授予了此權限的用戶可以向域中最多添加 10 個工作站。授予了 Active Directory 中 OU 或計算機容器的“創建計算機對象”權限的用戶還可以將計算機加入域。授予了此權限的用戶可以向域中添加不限數量的計算機,無論他們是否已被分配“域中添加工作站”用戶權限。
默認情況下,“Authenticated Users”組中的所有用戶能夠向 Active Directory 域中最多添加 10 個計算機帳戶。這些新計算機帳戶是在計算機容器中創建的。
在 Active Directory 域中,每個計算機帳戶是一個完整的安全主體,它能夠對域資源進行身份驗證和訪問。某些組織想要限制 Active Directory 環境中的計算機數量,以便他們可以始終跟蹤、生成和管理它們。
允許用戶向域中添加工作站會妨礙此努力。它還爲用戶提供了執行更難跟蹤的活動的途徑,因爲他們可以創建其他未授權的域計算機。
出於這些原因,在本指南中定義的兩種環境中,“域中添加工作站”用戶權限只授予給“Administrators”組。
安全設置
帳戶策略必須在默認域策略中定義,且必須由組成域的域控制器強制執行。域控制器始終從默認域策略 GPO 獲取帳戶策略,即使存在對包含域控制器的 OU 應用的其他帳戶策略。
在安全選項中有兩個策略,它們也像域級別要考慮的帳戶策略那樣發揮作用。可以在組策略對象編輯器中的以下位置配置下表中的域組策略值:
計算機配置/Windows 設置/安全設置/本地策略/安全選項
Microsoft 網絡服務器:當登錄時間用完時自動註銷用戶
表 2.12:設置
| 域控制器默認值 | 企業客戶端 | 高安全級 |
|
沒有定義 |
已啓用 |
已啓用 |
“Microsoft 網絡服務器:當登錄時間用完時自動註銷用戶”設置確定在超過用戶帳戶的有效登錄時間後,是否斷開連接到本地計算機的用戶。此設置影響服務器消息塊 (SMB) 組件。啓用此策略後,它使客戶端與 SMB 服務的會話在超過客戶端登錄時間後強制斷開。如果禁用此策略,則允許已建立的客戶端會話在超過客戶端登錄時間後繼續進行。啓用此設置可以確保也啓用了“網絡安全:在超過登錄時間後強制註銷”設置。
如果組織已經爲用戶配置了登錄時間,則很有必要啓用此策略。否則,已假設無法在超出登錄時間後訪問網絡資源的用戶,實際上可以通過在允許的時間中建立的會話繼續使用這些資源。
如果在組織中未使用登錄時間,則啓用此設置將沒有影響。如果使用了登錄時間,則當超過現有用戶的登錄時間後將強制終止現有用戶會話。
網絡訪問:允許匿名 SID/名稱 轉換
表 2.13:設置
| 域控制器默認值 | 企業客戶端 | 高安全級 |
|
沒有定義 |
已禁用 |
已禁用 |
“網絡訪問:允許匿名 SID/名稱 轉換”設置確定匿名用戶是否可以請求另一用戶的 SID。
如果對域控制器啓用此設置,知道管理員的 SID 屬性的用戶可以與也啓用了此策略的計算機進行聯繫,並使用 SID 獲取管理員的名稱。然後,此人可以使用帳戶名啓動密碼猜測攻擊。成員計算機的默認設置爲“已禁用”,這對它們沒有影響。但是,域控制器的默認設置爲“已啓用”。禁用此設置會導致舊系統無法與以下 Windows Server 2003 域進行通信:
| • |
基於 Microsoft Windows NT® 4.0 的遠程訪問服務服務器。 |
| • |
當 IIS 上的 Web 應用程序配置爲允許“基本身份驗證”並同時禁用“匿名訪問”時,內置的來賓用戶帳戶不能訪問 Web 應用程序。另外,如果將內置的來賓用戶帳戶重命名爲另一名稱,則不能使用新名稱訪問 Web 應用程序。 |
| • |
在位於 Windows NT 3.x 域或 Windows NT 4.0 域中的 Windows 2000 計算機上運行的遠程訪問服務服務器。 |
網絡安全:在超過登錄時間後強制註銷
表 2.14:設置
| 域控制器默認值 | 企業客戶端 | 高安全級 |
|
已禁用 |
已啓用 |
已啓用 |
“網絡安全:在超過登錄時間後強制註銷”設置確定在超過用戶帳戶的有效登錄時間後是否斷開連接到本地計算機的用戶。此設置影響 SMB 組件。
啓用此策略可以在超過客戶端登錄時間後強制斷開客戶端與 SMB 服務器的會話,此用戶在他或她的下一次計劃訪問時間之前將無法登錄到系統。禁用此策略會在超過客戶端的登錄時間後保留已建立的客戶端會話。要影響域帳戶,必須在默認域策略中定義此設置。
Kerberos 策略
Kerberos 版本 5 身份驗證協議的策略是對域控制器配置的,而不是對域的成員計算機配置的。這些策略確定與 Kerberos 相關的設置,例如票證壽命和強制。本地計算機策略中不存在 Kerberos 策略。在大多數環境中,不應更改這些策略的默認值。本指南不提供對默認 Kerberos 策略的任何更改。有關這些設置的詳細信息,請參閱位於以下站點的附加指南“Threats and Countermeasures:Security Settings in Windows Server 2003 and Windows XP”:http://go.microsoft.com/fwlink/?LinkId=15159(英文)。
OU 級別組策略
OU 級別組策略中包括的安全設置應該特定於 OU。這些設置同時包括計算機設置和用戶設置。爲了便於管理和提高安全級,在本指南中,介紹軟件限制策略 (SRP) 的章節與其他安全設置分開。模塊 6“Windows XP 客戶端軟件限制策略”詳細討論了 SRP。
安全設置組策略
您需要爲環境中的每一類 Windows XP 計算機創建 GPO。在本指南中,便攜式計算機和臺式計算機分爲單獨的 OU,以便爲這些計算機類別中的每個類別應用自定義的 GPO。
軟件限制策略設置
在您的環境中創建用於配置 SRP 設置的專用 GPO。使 SRP 設置與其餘組策略設置分開有一些被迫原因。首先,SRP 與其他組策略設置在概念上有所不同。SRP 並不需要管理員啓用或禁用選項或配置值,而是需要管理員標識將支持哪些應用程序集、應用哪些限制以及如何處理異常。其次,如果在生產環境中實現 SRP 策略時出現了災難錯誤,則此方法可以促進快速恢復:管理員可以臨時禁用定義 SRP 設置的 GPO,而不影響任何其他安全設置。
組策略工具
Windows XP 附帶的一些工具可以使對 GPO 的處理變得更容易。下一部分將簡要概述其中一些工具。有關這些工具的詳細信息,請參閱 Windows XP 的幫助。
強制組策略更新
Active Directory 定期更新組策略,但是您可以使用 GpUpdate(Windows XP Professional 附帶的命令行工具)強制更新客戶端計算機上的版本。此工具必須在客戶端計算機上本地運行。
要使用 GpUpdate 工具更新本地計算機,請鍵入以下命令:
Gpupdate /force
運行 GpUpdate 後,將返回以下確認信息:
C:/Documents and Settings/administrator.MSSLAB>gpupdate /force 正在刷新策略... 用戶策略刷新已完成。 計算機策略刷新已完成。 要檢查策略處理中的錯誤,請查閱事件日誌。 C:/Documents and Settings/administrator.MSSLAB>
對於基於用戶的組策略,必須註銷然後重新登錄正在使用的計算機,以測試策略。計算機策略應該立即更新。
查看用於運行 Gpupdate 類型的其他選項:
Gpupdate /?
查看策略的結果集
Windows XP 附帶的兩個工具可以確定對環境中的計算機應用了哪些策略、它們何時應用以及以何種順序應用。
RSoP 管理單元
策略的結果集工具 (RSoP.msc) 是 MMC 管理單元工具,它顯示已經對計算機應用的所有策略的聚合設置。此工具可以本地運行,也可以從另一計算機遠程運行。對於每個策略設置,RSoP 工具顯示計算機設置和源 GPO。
GpResult
GpResult 是一個命令行工具,它提供關於最近向計算機應用組策略的時間、所應用的 GPO 和應用順序的統計信息。此工具還提供有關通過篩選應用的任何 GPO 的信息。GpResult 工具可以遠程使用或在客戶端計算機上本地使用。
摘要
組策略是一種基於 Active Directory 的功能,它設計用於控制 Windows Server 2003 和 Windows 2000 域中的用戶和計算機環境。在將組策略應用於環境中的 Windows XP 臺式計算機之前,必須在域中執行某些基本步驟。
環境中的域控制器上的組策略對象 (GPO) 中存儲的組策略設置鏈接到容器,這些容器包括網站、域和駐留在 Active Directory 結構中的 OU。在實現組策略之前,瞭解 Active Directory 結構和在其中配置不同設計選項的安全含義是非常重要的。
組策略是確保 Windows XP 安全的重要工具。本模塊包括有關如何使用它從中心位置在整個網絡中應用和維護一致安全策略的詳細信息。
本模塊還提供有關組策略的不同級別,以及 Windows XP 中可用來更新環境中的組策略的特殊工具的信息。
其他信息
有關 Active Directory 管理和設計的詳細信息,請參閱位於以下 Microsoft 網站上的白皮書“Design Considerations for Delegation of Administration in Active Directory”:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ad/ windows2000/plan/addeladm.asp.
有關 Active Directory 設計的詳細信息,請參閱位於以下 Microsoft 網站上的白皮書“Best Practice Active Directory Design for Managing Windows Networks”:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ad/ windows2000/plan/bpaddsgn.asp.
有關組策略的詳細信息,請參閱以下 Microsoft 網站上的白皮書“Step - by - Step Guide to Understanding the Group Policy Feature Set”:
http://www.microsoft.com/windows2000/techinfo/planning/management/groupsteps.asp(英文)。
有關 Windows XP 安全的詳細信息,請參閱以下 Microsoft 網站上的“Windows XP Professional Resource Kit”聯機文檔:
http://www.microsoft.com/WindowsXP/pro/techinfo/productdoc/resourcekit.asp(英文)。
有關 Windows XP 的新安全信息,請參閱以下 Microsoft 網站上的白皮書“What's New in Security for Windows XP Professional and Windows XP Home Edition”:
http://www.microsoft.com/china/technet/prodtechnol/winxppro/evaluate/xpsec.asp(英文)。
有關管理模板的詳細信息,請參閱以下 Microsoft 網站上的白皮書“Implementing Registry - Based Group Policy”:
http://www.microsoft.com/windows2000/techinfo/howitworks/management/rbppaper.asp(英文)。
有關組更新 (GpUpdate) 工具的詳細信息,請參閱:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ winxppro/proddocs/refrGP.asp(英文)。
有關策略的結果集 (RSoP) 工具的詳細信息,請參閱:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ winxppro/proddocs/RSPintro.asp(英文)。
有關組策略結果 (GpResult) 工具的詳細信息,請參閱:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/winxppro/proddocs/gpresult.asp(英文)。
有關在 Active Directory 中委派權限的詳細信息,請參閱位於以下位置的“Windows 2000 Resource Kits”中有關“Planning Distributed Security”的章節:
http://www.microsoft.com/windows2000/techinfo/reskit/en-us/ default.asp?url=/windows2000/techinfo/reskit/en-us/deploy/dgbe_sec_haqs.asp(英文)。