账户锁定功能会在产生三次无效登录后锁定登录的账户,这个设置会减慢字典攻击的速度,因为如果每三次连续的无效登录产生后账户都被锁定的话,入侵者就必须等待账户被重新启用。如果一个账户已经被锁定,管理员可以使用Active Directory用户和计算机工具启用域账户或者使用计算机管理启用本地账户,而不用等待到账户自动启用。
注意:系统内建的Administrator账户不会因为账户锁定策略的设置而被锁定。然而当使用远程桌面时,会因为账户锁定策略的设置而使得Administrator账户在限定时间内无法继续使用远程桌面。Administrator账户的本地登录是永远被允许的。
要通过安全模板组件修改账户锁定策略的设置,依次双击:
账户策略 – 账户锁定策略 ,然后查看或者编辑当前设置
表2 列出了账户锁定策略的建议设置
|
账户锁定策略选项 |
建议的设置 |
|
账户锁定时间 设定一个账户被锁定的时间。可用的设置范围是0(账户一直被锁定,直到Administrator解除)或者1到00000(分钟)。 警告:设置该选项为0(锁定直到管理员解除)可能会引起一种潜在的拒绝服务攻击。并且要清楚,内建的Administrator账户本地登录永远不会被锁定。 |
15分钟 |
|
账户锁定阈值 阻止对系统密码的强制破解和猜测,这个选项设置了在一个账号被锁定之前允许发生的无效登录次数,可用的设置范围是0(账户永远不被锁定)到999(次)。虽然这里建议设置为3,但是3到5都是个不错的选择。 注意:如果计算机由Ctrl-Alt-Del组合键或者受密码保护的屏幕保护导致的锁定后产生的无效登录,不会受这个策略影响。 |
3次无效登录企图 |
|
复位账户锁定计数器 设定无效登录被锁定的账户在多久后被复位。可用的设置范围是1到99999(分钟)。 |
15分钟 |
表2 账户锁定策略选项
Kerberos策略
Kerberos是Windows 2000活动目录使用的默认认证方式,自从活动目录使用Kerberos 作为必要的认证方式后,Kerberos策略仅对Windows 2000域GPO具有重要作用,因此本文中讨论的Windows XP工作站的Kerberos策略都没有设定。以下信息仅供参考。
要通过安全模版组件修改Kerberos策略,依次双击:
账户策略 - Kerberos 策略,然后查看或者编辑目标内容
表3 列出了所有可以用于域组策略级别的Kerberos策略设置。
|
Kerberos 策略选项 |
建议的设置 |
|
强制用户登录限制 强制KDC(Key Distribution Center,密钥分发中心)检查请求会话票证(service ticket)的用户是否具有本地登录(对于本机的服务访问)或网络登录的权限。如果用户没有相应的权限,会话票证就不会被发布。启用这个选项会增强安全型,但是可能会降低服务器的网络访问速度。 |
启用 |
|
服务票证的最长寿命 决定一个Kerberos服务票证的可用时间(以分钟为单位)。该选项的值必须介于10分钟和“用户票证最长寿命”设置值之间。默认的域GPO中这个选项被设置为600分钟。 注意:当创建一个到服务器的新连接时,过期的服务票证只会被更新,如果一个已建立的会话的票证过期了,会话并不会中断。 |
600分钟 |
|
用户票证最长寿命 决定Kerberos TGT(ticket-granting ticket,票证授予票证)的最长使用时间(以小时为单位),TGT到期后,必须重新申请一个新的票证或者更新已有的。默认的域GPO中这个选项被设置为10小时。 |
10小时 |
|
用户票证续订最长寿命 设置可以续订TGT的最大期限(以天为单位)。默认的域GPO中这个选项被设置为7天。 |
7天 |
|
计算机时钟同步的最大容差 设定了KDC和客户端计算机时钟时间差距的最大值(以分钟为单位),为了防止轮番攻击,Kerberos使用了时间戳。因此为了时间戳能正常工作,KDC和客户端时钟尽可能保持同步是很重要的。在默认的域GPO中,这个选项被设置为5分钟。 |
5分钟 |
表3 Kerberos策略选项
.