史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 作業系統操作技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-05-20, 05:57 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 Windows安全指南之域等級原則

Windows安全指南之域等級原則

簡介

  可在域等級上套用所有的帳戶原則群組原則設定。在帳戶原則、帳戶鎖定原則和 Kerberos 原則內裝的預設值域控制器中提供了預設值。請記住,在 Microsoft Active Directory 中設定這些原則時,Microsoft Windows 僅允許一個域帳戶原則:套用於域樹根域的帳戶原則。域帳戶原則將成為屬於該域的任何 Windows 系統的預設值帳戶原則。此規則的唯一例外情況是,當為組織服務機構定義了另外一個帳戶原則時。組織服務機構 (OU) 的帳戶原則設定將影響到該 OU 中任何電腦上的本機原則。本模組將通篇討論其中每種檔案類型的設定。

  帳戶原則

  帳戶原則是在域等級上實現的。Microsoft Windows Server 2003 域必須有一個針對該域的密碼原則、帳戶鎖定原則和 Kerberos V5 身份驗證傳輸協定。在 Active Directory 中任何其他等級上設定這些原則將只會影響到成員伺服器上的本機帳戶。如果有要求單獨密碼原則的組,應根據任何其他要求將這些組分段到另一個域或目錄林。

  在 Windows 和許多其他作業系統中,驗證用戶身份最常用的方法是使用秘密通行碼或密碼。確保網路環境的安全要求所有用戶都使用強密碼。這有助於避免未經使用權的用戶猜測弱密碼所帶來的威脅,他們通過手動的方法或工具來獲取已洩密用戶帳戶的憑據。這一點對於管理帳戶尤其有用。隨本指南提供的 Microsoft Excel 活頁簿「Windows Default Security and Services Configuration」(英文)為預設值設定編製了我的文件。請按下此處下載。

  定期更改的複雜密碼減少了密碼攻擊成功的可能性。密碼原則設定控制密碼的複雜性和壽命。本部分將討論每個特定的密碼原則帳戶設定。

  注意:對於域帳戶,每個域只能有一個帳戶原則。必須在預設值域原則或連接到域根的新原則中定義帳戶原則,並且帳戶原則要優先於由組成該域的域控制器強制實施的預設值域原則。域控制器總是從域的根目錄中獲取帳戶原則,即使存在套用於包含域控制器的 OU 的其他帳戶原則。域的根目錄是該域的頂層容器,不要與目錄林中的根域相混淆;目錄林中的根域是該目錄林中的頂層域。

  預設值情況下,加入域的工作站和伺服器(即域成員電腦)還為其本機帳戶接收相同的帳戶原則。但是,通過為包含成員電腦的 OU 定義帳戶原則,可以使成員電腦的本機帳戶原則區別於域帳戶原則。

  可以在群組原則對像編輯器中的以下位置組態帳戶原則設定:

  電腦設定\Windows 設定\安全性設定\帳戶原則\密碼原則

  強制密碼歷史

  「強制密碼歷史」設定確定在重用舊密碼之前必須與用戶帳戶關聯的唯一新密碼的數量。

  該群組原則設定可能的值是:

  用戶指定的值,在 0 至 24 之間

  沒有定義

  漏洞

  密碼重用對於任何組織來說都是需要考慮的重要問題。許多用戶都希望在很長時間以後使用或重用相同的帳戶密碼。特定帳戶使用相同密碼的時間越長,攻擊者能夠通過暴力攻擊確定密碼的機會就越大。如果要求用戶更改其密碼,但卻無法阻止他們使用舊密碼,或允許他們持續重用少數幾個密碼,則會大大降低一個不錯的密碼原則的有效性。

  為此設定指定一個較低的數值將使用戶能夠持續重用少數幾個相同的密碼。如果還沒有組態「密碼最短使用期限」設定,用戶可以根據需要連續多次更改其密碼,以便重用其原始密碼。

  對策

  將「強制密碼歷史」設定成最大值「24」。將此值組態為最大設定有助於確保將因密碼重用而導致的漏洞減至最少。

  由於此設定在組織內有效,因此不允許在組態「密碼最短使用期限」後立即更改密碼。要確定將此值設定為何種等級,應綜合考慮合理的密碼最長使用期限和組織中所有用戶的合理密碼更改間隔要求。

  潛在影響

  此設定的主要影響在於,每當要求用戶更改舊密碼時,用戶都必須提供新密碼。由於要求用戶將其密碼更改為新的唯一值,用戶會為了避免遺忘而寫下自己的密碼,這就帶來了更大的風險。

  密碼最長使用期限

  「密碼最長使用期限」設定確定了系統要求用戶更改密碼之前可以使用密碼的天數。

  此群組原則設定可能的值是:

  •用戶指定的天數,在 0 至 999 之間

  漏洞

  任何密碼都可以被破解。憑借現用的計算能力,甚至是破解最複雜的密碼也只是時間和處理能力的問題。下列某些設定可以增加在合理時間內破解密碼的難度。但是,經常在環境中更改密碼有助於降低有效密碼被破解的風險,並可以降低有人使用不正當手段獲取密碼的風險。可以組態密碼最長使用期限,以便從不要求用戶更改密碼,但這樣做將導致相當大的安全風險。

  對策

  將「密碼最長使用期限」的天數設定在「30」和「60」之間。通過將天數設定為「0」,可以將「密碼最長使用期限」設定組態為從不過期。

  潛在影響

  密碼最長使用期限的值設定得太低將要求用戶非常頻繁地更改其密碼。這實際上可能降低了組織的安全性,因為用戶更可能為了避免遺忘而寫下自己的密碼。將此值設定太高也會降低組織的安全性,因為這可以使潛在攻擊者有更充分的時間來破解用戶的密碼。

服務票證最長壽命

  此安全性設定確定可以使用所授予的權會話票證來訪問特定服務的最長時間(以分鍾為服務機構)。此設定必須大於或等於 10 分鍾,並小於或等於「用戶票證最長壽命」設定。

  如果客戶端在請求連線到伺服器時顯示過期的會話票證,該伺服器將返回錯誤消息。客戶端必須向 Kerberos V5 密鑰分佈中心 (KDC) 請求新的會話票證。但在連接通過驗證之後,它將不再關心會話票證是否有效。會話票證只用於驗證與伺服器之間的新連接。如果驗證連接的會話票證在連接期間到期,將不會中斷正在進行的操作。

  漏洞

  如果此設定的值太高,用戶可以在其登入時間範圍之外訪問網路資源,或者其帳戶已經被禁用的用戶可以使用帳戶禁用前發出的有效服務票證來繼續訪問網路服務。

  對策

  將「服務票證最長壽命」設定為「600 分鍾」。

  此群組原則設定可能的值是:

  • 用戶定義的值(以分鍾為服務機構),在 10 至 99,999 之間,或者為 0,表明服務票證不會過期

  • 沒有定義

  潛在影響

  這是預設值設定,沒有潛在影響。

  用戶票證最長壽命

  此安全性設定確定用戶的票證使用權票證 (TGT) 的最長有效期(以小時為服務機構)。當用戶的 TGT 到期時,必須請求新 TGT,或者必須「續訂」現有 TGT。

  漏洞

  如果此設定的值太高,用戶可以在其登入時間範圍之外訪問網路資源,或者其帳戶已經被禁用的用戶可以使用帳戶禁用前發出的有效服務票證來繼續訪問網路服務。

  對策

  將「用戶票證的最長有效期」的值設定為「10 小時」。

  此群組原則設定可能的值是:

  • 用戶定義的值,在 0 至 99,999 分鍾之間

  • 沒有定義

  潛在影響

  這是預設值設定,沒有潛在影響。

  用戶票證續訂的最長壽命

  此安全性設定確定用戶票證使用權票證 (TGT) 可以續訂的時間期限(以天為服務機構)。

  漏洞

  如果此設定的值太高,用戶可以續訂非常舊的用戶票證。

  對策

  將「用戶票證續訂的最長壽命」的值設定為「7 天」。

  此群組原則設定可能的值是:

  • 用戶定義的值,在 0 至 99,999 分鍾之間

  • 沒有定義

  潛在影響

  這是預設值設定,沒有潛在影響。

  電腦時鍾同步的最大容差

  此安全性設定確定 Kerberos V5 可以承受的客戶端時鍾時間和執行 Windows Server 2003(提供 Kerberos 身份驗證)的域控制器時間之間的最大時間差(以分鍾表示)。

  漏洞

  為了防止「重播攻擊」,Kerberos V5 使用時間戳作為其傳輸協定定義的一部分。為了使時間戳正常執行,客戶端和域控制器的時鍾需要盡可能同步。由於兩台電腦的時鍾經常不同步,管理員可以使用此原則建立 Kerberos V5 可以接受的客戶端時鍾和域控制器時鍾之間的最大時間差。如果客戶端時鍾和域控制器時鍾之間的時間差小於此原則指定的最大時間差,則兩台電腦之間的會話所使用的任何時間戳都被認為是可信的。

  對策

  將「電腦時鍾同步的最大容差」的值設定為「5 分鍾」。

  此群組原則設定可能的值是:

  • 用戶定義的值,在 1 至 99,999 分鍾之間

  • 沒有定義

  潛在影響

  這是預設值設定,沒有潛在影響。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 08:28 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1