系统安全的关键是账户策略的恰当设置,根据系统的不同(例如域控制器、工作站、成员服务器),账户策略也会有相应的变化。在Windows 2000域中,账户策略是通过域的组策略 设置和强制执行的。在其它GPO中对域账户策略进行的设置将会被忽略。而在工作站或者成员服务器上直接配置账户策略也只能影响到相应计算机的本地账户策略以及锁定策。如果想要在本机和和域中使用一致的密码策略和账户锁定策略,就需要在域控制器(通过域GPO)以及本机(通过本地安全策略)设置同样的安全策略。
要查看安全模板中关于账户策略的设置,在MMC中双击:
·安全模板
·默认的配置文件保存目录(%SystemRoot%\Security\Templates)
·特定的配置文件
·账户策略
注意:在对一个配置文件进行了任何修改之后,请记得保存修改,然后在正式使用之前一定要先测试好。
密码策略
在对账户策略对话框进行修改之前,复查你的网络中已有的密码策略,在账户策略中设置的内容应该跟已有的密码策略相符合。用户也应该阅读和签署协议表明他们承认组织的计算机策略。
建议包括的密码策略包括:
·用户绝不能把密码写在纸上
·密码要很难猜测,并且最好能包括大小写字母、特殊字符(标点符号以及扩展字符),最后还有数字。字典中的词语不能用作密码。
·用户不能使用电子通讯技术明文传输密码。
要使用安全模板组件修改密码策略设置,依次双击:
账户策略–密码策略 ,查看或者编辑当前设置
表1 列出了密码策略的建议设置,图2显示了MMC中的密码策略设置窗口
|
密码策略选项 |
建议的设置 |
|
强制密码历史
阻止用户把少数几个密码轮流使用,因为这样做会密码被破解的可能。如果这个选项被设置为0,用户可以立刻使用一个之前用过的密码继续使用。这个选项可用的设置范围是0(不记录历史密码)到24(记录24个历史密码)。 |
24个密码 |
|
密码最长使用期限
用户可以一直使用一个密码而不更改的最长期限。可用的设置范围是0(密码永不过期)或者1到999(天后过期)。为了保证安全,最常使用期限可以设置为90天。 |
90天 |
|
密码最短使用期限
密码最短使用期限决定了一个用户在修改过密码后至少多长时间里不能再次修改。默认情况下,用户可以在任何时间修改他们的密码,因此,用户可以更换一个密码,然后立刻再更改回原来的老密码。这个选项可用的设置范围是0(密码随时可以修改)或者1到998(天)。 |
1天 |
|
密码长度最小值
空密码和太短的密码都很容易被专用破解软件猜测到,为减小密码破解的可能性,密码应该尽量长。这个选项可用的设置范围是0(不需要密码)或者1到14(个字符)。 注意:实际上,Windows 2000和XP支持长达127个字符的密码。长度超过14个字符的密码有一个很明显的优势,长密码的LanManager Hash值是无效的,因此这样的密码局不能被密码破解工具利用常规的方法破解。然而不幸的是安全模板的相关设置不允许使用长度超过14位的密码,同时,如果网络中有Windows 9x或者Windows NT 4.0以及更早期电脑的情况下,长度超过14位的密码在那些电脑的图形界面中就没有足够的空间以供输入。
注意:建议有特权的用户(例如Administrators组的用户)的密码长度都要超过12个字符。一个可选的用来加强密码长度的方法是使用不在默认字符集中的字符。举例来说,Unicode字符从0128到0159。这种做法有两个好处:(1)它们使得LanMan hash不可用,(2)常用的密码字典都不包含这些字符。然而使用这类字符作为密码也一定不能大意。某些Unicode字符例如0200 (è),看起来和其他字符很相似,就像0069 (E)。要输入这样的字符,可以在按下Alt键的同时在数字小键盘上输入代表该字符的数字。对于笔记本用户,可以同时按下Fn和Alt键,然后输入数字。 |
12个字符 |
|
密码必须符合复杂性要求
强制对所有用户使用强密码,更强的密码提供了更高等级的安全。密码必须同时包含以下3到4种元素:大写字母、小写字母、数字,还有特殊字符(例如标点符号),同时,密码还不能跟用户的用户名相同。这个策略将会在用户下次更改密码的时候生效,已有的密码是不受这个策略影响的。
注意:NSA提供了一个增强密码复杂性的插件ENPASFLT.DLL,该文件就可以用在这个选项中。ENPASFLT.DLL仅供美国政府机构使用,这个密码插件可以强制用户使用最短8位的密码,并且要包含所有以上的四类字符。除此之外,使用用户的登录名或者用户全名作为密码也是不允许的。安装信息可以参阅ENPASFLT的相关文件。如果使用ENPASFLT取代这个选项,你应该把这个选项设置为“禁用”以避免互相影响。
注意:如果要获得更多关于自定义密码插件的信息,请参阅微软知识库文章Q151082 “HOWTO: Password Change Filtering and Notification in Windows NT”。 |
启用 |
|
用可还原的加密来存储密码
用来决定是否使用双向Hash(two-way hash)保存用户的密码。这个选项是为某些应用程序提供密码信息而准备的。然而,使用可还原的加密存储密码那和把密码明文保存一样,是应该严格禁止的。 |
禁用 |
账户锁定功能会在产生三次无效登录后锁定登录的账户,这个设置会减慢字典攻击的速度,因为如果每三次连续的无效登录产生后账户都被锁定的话,入侵者就必须等待账户被重新启用。如果一个账户已经被锁定,管理员可以使用Active Directory用户和计算机工具启用域账户或者使用计算机管理启用本地账户,而不用等待到账户自动启用。
注意:系统内建的Administrator账户不会因为账户锁定策略的设置而被锁定。然而当使用远程桌面时,会因为账户锁定策略的设置而使得Administrator账户在限定时间内无法继续使用远程桌面。Administrator账户的本地登录是永远被允许的。
要通过安全模板组件修改账户锁定策略的设置,依次双击:
账户策略 – 账户锁定策略 ,然后查看或者编辑当前设置
表2 列出了账户锁定策略的建议设置
|
账户锁定策略选项 |
建议的设置 |
|
账户锁定时间 设定一个账户被锁定的时间。可用的设置范围是0(账户一直被锁定,直到Administrator解除)或者1到00000(分钟)。 警告:设置该选项为0(锁定直到管理员解除)可能会引起一种潜在的拒绝服务攻击。并且要清楚,内建的Administrator账户本地登录永远不会被锁定。 |
15分钟 |
|
账户锁定阈值 阻止对系统密码的强制破解和猜测,这个选项设置了在一个账号被锁定之前允许发生的无效登录次数,可用的设置范围是0(账户永远不被锁定)到999(次)。虽然这里建议设置为3,但是3到5都是个不错的选择。 注意:如果计算机由Ctrl-Alt-Del组合键或者受密码保护的屏幕保护导致的锁定后产生的无效登录,不会受这个策略影响。 |
3次无效登录企图 |
|
复位账户锁定计数器 设定无效登录被锁定的账户在多久后被复位。可用的设置范围是1到99999(分钟)。 |
15分钟 |
表2 账户锁定策略选项
Kerberos策略
Kerberos是Windows 2000活动目录使用的默认认证方式,自从活动目录使用Kerberos 作为必要的认证方式后,Kerberos策略仅对Windows 2000域GPO具有重要作用,因此本文中讨论的Windows XP工作站的Kerberos策略都没有设定。以下信息仅供参考。
要通过安全模版组件修改Kerberos策略,依次双击:
账户策略 - Kerberos 策略,然后查看或者编辑目标内容
表3 列出了所有可以用于域组策略级别的Kerberos策略设置。
|
Kerberos 策略选项 |
建议的设置 |
|
强制用户登录限制 强制KDC(Key Distribution Center,密钥分发中心)检查请求会话票证(service ticket)的用户是否具有本地登录(对于本机的服务访问)或网络登录的权限。如果用户没有相应的权限,会话票证就不会被发布。启用这个选项会增强安全型,但是可能会降低服务器的网络访问速度。 |
启用 |
|
服务票证的最长寿命 决定一个Kerberos服务票证的可用时间(以分钟为单位)。该选项的值必须介于10分钟和“用户票证最长寿命”设置值之间。默认的域GPO中这个选项被设置为600分钟。 注意:当创建一个到服务器的新连接时,过期的服务票证只会被更新,如果一个已建立的会话的票证过期了,会话并不会中断。 |
600分钟 |
|
用户票证最长寿命 决定Kerberos TGT(ticket-granting ticket,票证授予票证)的最长使用时间(以小时为单位),TGT到期后,必须重新申请一个新的票证或者更新已有的。默认的域GPO中这个选项被设置为10小时。 |
10小时 |
|
用户票证续订最长寿命 设置可以续订TGT的最大期限(以天为单位)。默认的域GPO中这个选项被设置为7天。 |
7天 |
|
计算机时钟同步的最大容差 设定了KDC和客户端计算机时钟时间差距的最大值(以分钟为单位),为了防止轮番攻击,Kerberos使用了时间戳。因此为了时间戳能正常工作,KDC和客户端时钟尽可能保持同步是很重要的。在默认的域GPO中,这个选项被设置为5分钟。 |
5分钟 |
表3 Kerberos策略选项