史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 作業系統操作技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2005-01-22, 12:33 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 winxp無法加入到域

Q:
winxp無法加入到域?
具體問題看圖,我看了MS的說明 ,是說沒有SRV記錄,這個SRV記錄要怎麼做呢
跟著MS的說明 去做的,但是發生輸入指令的時候就提示錯誤~

還有用netdiag對dns進行測試,只有一項是nopassed

DNS test . . . . . . . . . . . . . : Failed
[WARNING] The DNS entries for this DC are not registered correctly on DNS server '192.168.1.6'. Please wait for 30 minutes for DNS server replication.
[FATAL] No DNS servers have the DNS records for this DC registered.

具體是什麼情形下沒有設定好,導致winxp無法加入到網域呢


A:


SRV記錄是DC新增的時候在相應的DNS中建立的
具體很簡單
看看下面那個解決的方法是不是和你

關於活動目錄中DNS沒有SRV記錄的解決方法!

我們通常利用DCPROMO新增了活動目錄後,在執行 Microsoft DNS 服務的伺服器上安裝 Active Directory 後,您可以使用「DNS 管理器 Microsoft 管理控制台 (MMC)」管理單元來驗證是否為每個 DNS 區域新增了適當的區域及資源記錄。 Active Directory 在下列資料夾下新增其 SRV 記錄:
_msdcs/dc/_sites/default-first-site-name/_tcp
_msdcs/dc/_tcp

在上述位置處,顯示的是下列服務的 SRV 記錄:
_kerberos
_ldap

如果丟失掉了以上的訊息,那麼我們該如何處理呢?
1.組態 DNS 伺服器使其使用靜態 Internet 傳輸協定 (IP) 位址。
2.新增按 Active Directory 命名的正向搜尋區域。
3.支持您的域區域進行動態更新。

如果你上面的方法都試了,那麼你利用NETDIAG /FIX指令來驗證Netlogon.dns 文件中的所有的 SRV 記錄是否都在主 DNS 伺服器上註冊

方法如下...以輸入netdiag /fix來解決的~


可以使用「DNS 管理器 Microsoft 管理控制台 (MMC)」管理單元來驗證是否為每個 DNS 區域新增了適當的區域及資源記錄。 Active Directory 在下列資料夾下新增其 SRV 記錄:
_msdcs/dc/_sites/default-first-site-name/_tcp
_msdcs/dc/_tcp

在上述位置處,顯示的是下列服務的 SRV 記錄:
_kerberos
_ldap
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-03-10, 04:50 PM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

Windows系統安全之域等級原則

簡介
  域等級可套用於所有的帳戶原則和群組原則設定,它在帳戶原則、帳戶鎖定原則和Kerberos原則內裝的預設域控制器中提供了預設值。請記住,在 Microsoft Active Directory 中設定這些原則時,Microsoft Windows 僅允許一個域帳戶原則:套用於域樹根域的帳戶原則。域帳戶原則將成為屬於該域的任何 Windows 系統的預設帳戶原則。此規則的唯一例外情況是,當為組織服務機構定義了另外一個帳戶原則時。組織服務機構 (OU) 的帳戶原則設定將影響到該 OU 中任何電腦上的本地機原則。本模組將通篇討論其中每種檔案檔案類型的設定。
  帳戶原則
  帳戶原則是在域等級上實現的。Microsoft Windows Server 2003 域必須有一個針對該域的密碼原則、帳戶鎖定原則和 Kerberos V5 身份驗證傳輸協定。在 Active Directory 中任何其他等級上設定這些原則將只會影響到成員服務器上的本地機帳戶。如果有要求單獨密碼原則的組,應根據任何其他要求將這些組分段到另一個域或目錄林。
  在 Windows 和許多其他操作系統中,驗證用戶身份最常用的方法是使用秘密通行碼或密碼。確保網路環境的安全要求所有用戶都使用強密碼。這有助於避免未經使用權的用戶猜測弱密碼所帶來的威脅,他們通過手動的方法或工具來獲取已洩密用戶帳戶的憑據。這一點對於管理帳戶尤其有用。隨本指南提供的 Microsoft Excel 活頁簿「Windows Default Security and Services Configuration」(英文)為預設設定編製了文件。
請按下此處下載

  定期更改的複雜密碼減少了密碼攻擊成功的可能性。密碼原則設定控制密碼的複雜性和壽命。本部分將討論每個特定的密碼原則帳戶設定。
  注意:對於域帳戶,每個域只能有一個帳戶原則。必須在預設域原則或連線到域根的新原則中定義帳戶原則,並且帳戶原則要優先於由組成該域的域控制器強制實施的預設域原則。域控制器總是從域的根目錄中獲取帳戶原則,即使存在套用於包含域控制器的 OU 的其他帳戶原則。域的根目錄是該域的頂層容器,不要與目錄林中的根域相混淆;目錄林中的根域是該目錄林中的頂層域。
  預設情況下,加入域的工作站和服務器(即域成員電腦)還為其本地機帳戶接收相同的帳戶原則。但是,通過為包含成員電腦的 OU 定義帳戶原則,可以使成員電腦的本地機帳戶原則區別於域帳戶原則。
  可以在群組原則對象編輯器中的以下位置組態帳戶原則設定:
  電腦設定\Windows 設定\安全性設定\帳戶原則\密碼原則
  強制密碼歷史

  「強制密碼歷史」設定確定在重用舊密碼之前必須與用戶帳戶關聯的唯一新密碼的數量。
  該群組原則設定可能的值是:
  用戶指定的值,在 0 至 24 之間
  沒有定義
  漏洞
  密碼重用對於任何組織來說都是需要考慮的重要問題。許多用戶都希望在很長時間以後使用或重用相同的帳戶密碼。特定帳戶使用相同密碼的時間越長,攻擊者能夠通過暴力攻擊確定密碼的機會就越大。如果要求用戶更改其密碼,但卻無法阻止他們使用舊密碼,或允許他們持續重用少數幾個密碼,則會大大降低一個不錯的密碼原則的有效性。
  為此設定指定一個較低的數值將使用戶能夠持續重用少數幾個相同的密碼。如果還沒有組態「密碼最短使用期限」設定,用戶可以根據需要連續多次更改其密碼,以便重用其原始密碼。
  對策
  將「強制密碼歷史」設定成最大值「24」。將此值組態為最大設定有助於確保將因密碼重用而導致的漏洞減至最少。
  由於此設定在組織內有效,因此不允許在組態「密碼最短使用期限」後立即更改密碼。要確定將此值設定為何種等級,應綜合考慮合理的密碼最長使用期限和組織中所有用戶的合理密碼更改間隔要求。
  潛在影響
  此設定的主要影響在於,每當要求用戶更改舊密碼時,用戶都必須提供新密碼。由於要求用戶將其密碼更改為新的唯一值,用戶會為了避免遺忘而寫下自己的密碼,這就帶來了更大的風險。
  密碼最長使用期限

  「密碼最長使用期限」設定確定了系統要求用戶更改密碼之前可以使用密碼的天數。
  此群組原則設定可能的值是:
  ·用戶指定的天數,在 0 至 999 之間
  漏洞
  任何密碼都可以被破解。憑借現用的計算能力,甚至是破解最複雜的密碼也只是時間和處理能力的問題。下列某些設定可以增加在合理時間內破解密碼的難度。但是,經常在環境中更改密碼有助於降低有效密碼被破解的風險,並可以降低有人使用不正當手段獲取密碼的風險。可以組態密碼最長使用期限,以便從不要求用戶更改密碼,但這樣做將導致相當大的安全風險。
  對策
  將「密碼最長使用期限」的天數設定在「30」和「60」之間。通過將天數設定為「0」,可以將「密碼最長使用期限」設定組態為從不過期。
  潛在影響
  密碼最長使用期限的值設定得太低將要求用戶非常頻繁地更改其密碼。這實際上可能降低了組織的安全性,因為用戶更可能為了避免遺忘而寫下自己的密碼。將此值設定太高也會降低組織的安全性,因為這可以使潛在攻擊者有更充分的時間來破解用戶的密碼。
  密碼最短使用期限
  「密碼最短使用期限」設定確定了用戶可以更改密碼之前必須使用密碼的天數密碼最短使用期限的值必須小於密碼最長使用期限的值。
  如果希望「強制密碼歷史」設定有效,應將「密碼最短使用期限」設定為大於 0 的值。如果將「強制密碼歷史」設定為「0」,用戶則不必選項新的密碼。如果使用密碼歷史,用戶在更改密碼時必須輸入新的唯一密碼。
  此群組原則設定可能的值是:
  用戶指定的天數,在 0 至 998 之間
  沒有定義
  漏洞
  如果用戶可以循環使用一些密碼,直到找到他們所喜歡的舊密碼,則強制用戶定期更改密碼是無效的。將此設定與「強制密碼歷史」設定一起使用可以防止發生這種情況。例如,如果設定「強制密碼歷史」來確保用戶不能重用其最近用過的 12 個密碼,並將「密碼最短使用期限」設定為「0」,則用戶可以通過連續更改密碼 13 次,以返回到原來使用的密碼。因此,要使「強制密碼歷史」設定有效,必須將此設定組態為大於 0。
  對策
  將「密碼最短使用期限」的值設定為「2 天」。將天數設定為「0」將允許立即更改密碼,我們不建議這樣做。
  潛在影響
  將「密碼最短使用期限」設定為大於 0 的值時存在一個小問題。如果管理員為用戶設定了一個密碼,然後希望該用戶更改管理員定義的密碼,則管理員必須選項「用戶下次登入時須更改密碼」核選項。否則,用戶直到第二天才能更改密碼。
  最短密碼長度
  「最短密碼長度」設定確定可以組成用戶帳戶密碼的最少字串數。確定組織的最佳密碼長度有許多不同的理論,但是,「通行碼」一詞可能比「密碼」更好。在 Microsoft Windows 2000 及更高版本中,通行碼可以相當長,並且可以包括空格。因此,諸如「I want to drink a $5 milkshake」之類的短語都是有效的通行碼,它比由 8 個或 10 個隨機數位和字母組成的字串串要強大得多,而且更容易記住。
  此群組原則設定可能的值是:
  ·戶指定的數值,在 0 至 14 之間
  ·有定義
  漏洞
  可以執行幾種檔案檔案類型的密碼攻擊,以獲取特定用戶帳戶的密碼。這些攻擊檔案檔案類型包括試圖使用一般字詞和短語的詞典攻擊,以及嘗試使用每一種可能的字串組合的暴力攻擊。另外,可通過獲取帳戶資料庫並使用破解帳戶和密碼的實用程序來執行攻擊。
  對策
  應該將「最短密碼長度」的值至少設定為「8」。如果字串數設定為「0」,則不要求使用密碼。
  在大多數環境中都建議使用由 8 個字串組成的密碼,因為它足夠長,可提供充分的安全性,同時也足夠短,便於用戶記憶。此設定將對暴力攻擊提供足夠的防禦能力。提高複雜性要求將有助於降低詞典攻擊的可能性。下一部分將討論複雜性要求。
  潛在影響
  允許短密碼將會降低安全性,因為使用對密碼執行詞典攻擊或暴力攻擊的工具可以很容易地破解短密碼。要求很長的密碼可能會造成密碼輸入錯誤而導致帳戶鎖定,從而增加了說明 台呼叫的次數。
   要求極長的密碼實際上可能會降低組織的安全性,因為用戶更有可能寫下自己的密碼以免遺忘。但是,如果教會用戶使用上述通行碼,用戶應該更容易記住這些密碼。
  密碼必須符合複雜性要求
  「密碼必須符合複雜性要求」設定確定密碼是否必須符合對強密碼相當重要的一系列原則。
  啟用此原則要求密碼符合下列要求:
  ·碼長度至少為 6 個字串。
  ·碼包含下列四類字串中的三類:
  ·語大寫字串 (A–Z)
  ·語小寫字串 (a–z)
  ·0 個基數 (0–9)
  ·字母數位(例如:!、$、 或 %)
  ·碼不得包含三個或三個以上來自用戶帳戶名中的字串。如果帳戶名長度低於三個字串,因為密碼被拒概率過高而不會執行此項檢查。檢查用戶全名時,有幾個字串被看作是將名稱分隔成單個令牌的分隔符,這些分隔符包括:逗號、句點、短劃線/連字串、底線、空格、磅字串和製表符。對於包含三個或更多字串的每個令牌,將在密碼中對其進行搜尋,如果發現了該令牌,就會拒絕密碼更改。例如,姓名「Erin M. Hagens」將被拆分為三個令牌:「Erin」、「M」和「Hagens」。因為第二個令牌僅包含一個字串,因而會將其忽略。因此,該用戶密碼中的任何位置都不能包含「erin」或「hagens」子字串串。所有這些檢查都是區分大小寫的。
  這些複雜性要求在密碼更改或新增密碼時強制執行。
  不能直接修改 Windows Server 2003 原則中包括的這些規則。但是,可以新增一個新版本的 passfilt.dll,以套用不同的規則集。關於 passfilt.dll 的來源碼,請參閱 Microsoft 知識庫文章 151082「HOW TO: Password Change Filtering & Notification in Windows NT」,其網址為:http://support.microsoft.com/default.aspx?scid=151082(英文)。
  此群組原則設定可能的值是:
  ·用
  ·用
  ·有定義
  漏洞
  只包含字母數位字串的密碼非常容易被市場上可以買到的實用程序所破解。要防止出現這種情況,密碼應該包含其他字串和要求。
  對策
  將「密碼必須符合複雜性要求」的值設定為「啟用」。
  將此設定與「最短密碼長度」值為「8」的設定結合使用,可確保一個密碼至少有 218,340,105,584,896 種不同的可能性。這樣就很難使用暴力攻擊,但也並非不可能,如果某個攻擊者具有足夠的處理能力,能夠每秒測試 100 萬個密碼,則可以在七天半左右的時間內確定這樣一個密碼。
  潛在影響
  啟用預設的 passfilt.dll 可能會因帳戶鎖定而導致說明 台的呼叫次數增加,因為用戶可能並沒有使用包含字母表以外的字串的密碼。但此設定非常靈活,所有用戶都應該能夠通過短時間的學習來滿足這些要求。
  自訂的 passfilt.dll 中包括的其他設定是使用非上行符。上行符是指按住 Shift 鍵並按鍵輸入任何數位(1 – 10)時按鍵輸入的字串。
  同時,使用 Alt 鍵字串組合可大大增加密碼的複雜性。但是,要求組織中的所有用戶都遵守如此嚴格的密碼要求可能會導致用戶不滿,並將導致說明 台極度繁忙。考慮在組織內實現這樣一種要求,即使用 0128 – 0159 範圍內的 Alt 字串作為所有管理員密碼的一部分。此範圍之外的 Alt 字串可表示標準的字母數位字串,而不會另外增加密碼的複雜性。
  用可還原的加密來儲存於密碼(針對域中的所有用戶)

  「用可還原的加密來儲存於密碼(針對域中的所有用戶)」設定確定 Microsoft Windows Server 2003、Windows 2000 Server、Windows 2000 Professional 和 Windows XP Professional 是否使用可還原的加密來儲存於密碼。
  此原則支持使用需要瞭解用戶密碼以便進行身份驗證的傳輸協定的套用程式。根據定義,儲存於以可還原方式加密的密碼意味著可以對加密的密碼進行解密。能夠破解這種加密的高水準攻擊者然後可以使用已被破壞的帳戶來登入到網路資源。出於此原因,請永遠不要啟用此設定,除非套用程式的要求比保護密碼訊息更為重要。
  使用通過遠端訪問的 CHAP 身份驗證或 Internet 驗證服務 (IAS) 時要求啟用此設定。質詢握手身份驗證傳輸協定 (CHAP) 是 Microsoft 遠端訪問和網路連接使用的一種身份驗證傳輸協定。Microsoft Internet 訊息服務 (IIS) 的摘要式驗證也要求啟用此設定。
  此群組原則設定可能的值是:
  ·用
  ·用
  ·有定義
  漏洞
  此設定確定 Windows Server 2003 是否以更容易遭到暴力攻擊的一種較弱格式來儲存於密碼。
  對策
  將「用可還原的加密來儲存於密碼(針對域中的所有用戶)」的值設定為「禁用」。
  潛在影響

  使用通過遠端訪問的 CHAP 身份驗證傳輸協定或 IAS 服務。IIS 中的摘要式身份驗證要求將此值設定為「禁用」。將使用群組原則逐個套用到每位用戶是一種極其危險的設定,因為它要求在 Active Directory 用戶和電腦管理控制台中開啟適當的用戶帳戶對象。
  警告:請永遠不要啟用此設定,除非業務要求比保護密碼訊息更為重要。
  帳戶鎖定原則
  試圖登入到系統時多次不成功的密碼嘗試可能表示攻擊者正在以試錯法來確定帳戶密碼。Windows Server 2003 跟蹤登入嘗試,而且可以將操作系統組態為通過在預設時間段內禁用帳戶來回應這種潛在攻擊。隨本指南提供的 Microsoft Excel 活頁簿「Windows Default Security and Services Configuration」(英文)為預設設定編製了文件。
  可以在群組原則對象編輯器的以下位置組態帳戶鎖定原則設定:
  電腦設定\Windows 設定\安全性設定\帳戶原則\帳戶鎖定原則
  帳戶鎖定時間
  「帳戶鎖定時間」設定確定在自動解鎖之前鎖定帳戶保持鎖定狀態的時間。可用範圍為從 1 到 99,999 分鍾。通過將該值設定為「0」,可以指定在管理員明確解鎖之前鎖定帳戶。如果定義了帳戶鎖定閥值,帳戶鎖定時間必須大於或等於復位時間。
  此群組原則設定可能的值是:
  ·戶定義的值,在 0 至 99,999 分鍾之間
  ·有定義
  漏洞
  如果攻擊者濫用「帳戶鎖定閥值」並反覆嘗試登入到帳戶,則可能產生拒絕服務 (DoS) 攻擊。如果組態「帳戶鎖定閥值」,在失敗嘗試達到指定次數之後將鎖定帳戶。如果「帳戶鎖定時間」設定為 0,則在管理員手動解鎖前帳戶將保持鎖定狀態。
  對策

  將「帳戶鎖定時間」設定為「30 分鍾」。要指定該帳戶永不鎖定,請將該值設定為「0」。
  潛在影響
  將此設定的值組態為永不自動解鎖可能看上去是一個好主意,但這樣做會增加組織支持專家收到的要求解鎖意外鎖定帳戶的請求的數目。
  帳戶鎖定閾值

  「帳戶鎖定閥值」確定導致用戶帳戶鎖定的登入嘗試失敗的次數。在管理員復位或帳戶鎖定時間到期之前,不能使用已鎖定的帳戶。可以將登入嘗試失敗的次數設定在 1 至 999 之間,或者通過將該值設定為「0」,使帳戶永不鎖定。如果定義了帳戶鎖定閥值,帳戶鎖定時間必須大於或等於復位時間。
  在使用 Ctrl+Alt+Delete 或受密碼保護的螢幕保護程式進行鎖定的工作站或成員服務器上的失敗密碼嘗試,將不作為失敗的登入嘗試來計數,除非啟用了群組原則「交互式登入:要求域控制器身份驗證以解鎖工作站」。如果啟用了「交互式登入:要求域控制器身份驗證以解鎖工作站」,則因解鎖工作站而重複的失敗密碼嘗試次數將被計入「帳戶鎖定閥值」。
  此群組原則設定可能的值是:
  ·戶指定的值,在 0 至 999 之間
  ·有定義
  漏洞
  密碼攻擊可能利用自動化的方法,對任何或所有用戶帳戶嘗試數千甚至數百萬種密碼組合。限制可以執行的失敗登入次數幾乎消除了這種攻擊的有效性。
  但是,請務必注意,可能在組態了帳戶鎖定閥值的域上執行 DoS 攻擊。惡意攻擊者可編製程序來嘗試對組織中的所有用戶進行一系列密碼攻擊。如果嘗試次數大於帳戶鎖定閥值,則攻擊者有可能鎖定每一個帳戶。
  對策
  由於組態此值或不組態此值時都存在漏洞,因此要定義兩種不同的對策。任何組織都應該根據識別的威脅和正在嘗試降低的風險來在兩者之間進行權衡。有兩個選項可用於此設定。
  ·「帳戶鎖定閥值」設定為「0」。這可確保帳戶永不鎖定。此設定可防止故意鎖定全部或一些特定帳戶的 DoS 攻擊。另外,此設定還有助於減少說明 台的呼叫次數,因為用戶不會將自己意外地鎖定在帳戶外。
  由於它不能阻止暴力攻擊,因此只有在下列要求均得到明確滿足時才可以選項此設定:
  ·碼原則強制所有用戶使用由 8 個或更多字串組成的複雜密碼。
  ·健的稽核機制已經就位,可以在組織環境中發生一系列失敗登入時提醒管理員。
  ·果不滿足上述要求,請將「帳戶鎖定閥值」設定為足夠高的值,以便用戶能夠在意外地錯誤輸入幾次密碼時不會鎖定自己的帳戶,但可確保暴力密碼攻擊仍然會鎖定帳戶。在這種情況下,將該值設定為 50 次無效登入嘗試是一個不錯的建議。如上所述,此設定可以避免意外的帳戶鎖定,從而降低了說明 台的呼叫次數,但不能防止 DoS 攻擊。
  潛在影響
  啟用此設定可防止使用已鎖定的帳戶,直到管理員將該帳戶復位或帳戶鎖定時間到期。此設定很可能會產生許多其他的說明 台呼叫。事實上,在許多組織中,鎖定帳戶都會為公司說明 台帶來數目最多的呼叫。
  如果將帳戶鎖定閥值設定為「0」,則可能檢測不到攻擊者嘗試使用暴力密碼攻擊來破解密碼。
  復位帳戶鎖定計數器
  「復位帳戶鎖定計數器」設定確定在登入嘗試失敗後,將失敗登入嘗試計數器復位到 0 次失敗登入嘗試之前所必須經過的時間(以分鍾為服務機構)。如果定義了「帳戶鎖定閾值」,則此復位時間必須小於或等於「帳戶鎖定時間」。
  此群組原則設定可能的值是:
  ·戶定義的數值,在 1 至 99,999 分鍾之間
  ·有定義
  漏洞
  如果多次錯誤地輸入密碼,用戶可能會意外地將自己鎖定在帳戶之外。要減少這種可能性,「復位帳戶鎖定計數器」設定確定在登入嘗試失敗後,將無效登入嘗試計數器復位到 0 之前所必須經過的時間。
  對策
  將「復位帳戶鎖定計數器」的值設定為「30 分鍾」。
  潛在影響
  不設定此值,或者為此值設定的時間間隔太長都可能導致 DoS 攻擊。攻擊者對組織中的所有用戶惡意執行大量的失敗登入嘗試,以鎖定他們的帳戶,如上所述。如果沒有復位帳戶鎖定的原則,管理員必須手動解鎖所有帳號。如果設定了合理的值,用戶將被鎖定一段時間,但在這段時間結束後,其帳戶將自動解鎖。
  Kerberos 原則
  在 Windows Server 2003 中,Kerberos V5 身份驗證傳輸協定提供預設的身份驗證服務機制,以及用戶訪問資源並在該資源上執行工作所必需的身份驗證資料。通過縮短 Kerberos 票證的壽命,可降低攻擊者竊取並成功使用合法用戶憑據的風險。但這會增加使用權預先組態。在大多數環境中都不需要更改這些設定。在域等級套用這些設定,在 Windows 2000 或 Windows Server 2003 Active Directory 域預設安裝的預設域原則 GPO 中組態這些預設值。隨本指南提供的 Microsoft Excel 活頁簿「Windows Default Security and Services Configuration」(英文)為預設設定編製了文件。
  可以在群組原則對象編輯器的以下位置組態 Kerberos 原則設定:
  電腦設定\Windows 設定\安全性設定\帳戶原則\Kerberos 原則
  強制用戶登入限制
  此安全性設定確定 Kerberos V5 密鑰分散中心 (KDC) 是否根據用戶帳戶的用戶權限原則來驗證會話票證的每個請求。驗證會話票證的每個請求是可選功能,因為執行額外的步驟會消耗時間,並且可能會降低網路訪問服務的速度。
  漏洞

  如果禁用此設定,可能會為用戶授予他們無權使用的服務的會話票證。
  對策
  將「強制實施用戶登入限制」的值設定為「啟用」。
  此群組原則設定可能的值是:
  ·用
  ·用
  ·有定義
  潛在影響
  這是預設設定,沒有潛在影響。
  服務票證最長壽命

  此安全性設定確定可以使用所授予的權會話票證來訪問特定服務的最長時間(以分鍾為服務機構)。此設定必須大於或等於 10 分鍾,並小於或等於「用戶票證最長壽命」設定。
  如果客戶端在請求連線到服務器時顯示過期的會話票證,該服務器將返回錯誤消息。客戶端必須向 Kerberos V5 密鑰分散中心 (KDC) 請求新的會話票證。但在連接通過驗證之後,它將不再關心會話票證是否有效。會話票證只用於驗證與服務器之間的新連接。如果驗證連接的會話票證在連接期間到期,將不會中斷正在進行的操作。
  漏洞
  如果此設定的值太高,用戶可以在其登入時間範圍之外訪問網路資源,或者其帳戶已經被禁用的用戶可以使用帳戶禁用前發出的有效服務票證來繼續訪問網路服務。
  對策
  將「服務票證最長壽命」設定為「600 分鍾」。
  此群組原則設定可能的值是:
  ·戶定義的值(以分鍾為服務機構),在 10 至 99,999 之間,或者為 0,表明服務票證不會過期
  ·有定義
  潛在影響
  這是預設設定,沒有潛在影響。
  用戶票證最長壽命
  此安全性設定確定用戶的票證使用權票證 (TGT) 的最長有效期(以小時為服務機構)。當用戶的 TGT 到期時,必須請求新 TGT,或者必須「續訂」現有 TGT。
  漏洞
  如果此設定的值太高,用戶可以在其登入時間範圍之外訪問網路資源,或者其帳戶已經被禁用的用戶可以使用帳戶禁用前發出的有效服務票證來繼續訪問網路服務。
  對策
  將「用戶票證的最長有效期」的值設定為「10 小時」。
  此群組原則設定可能的值是:
  ·戶定義的值,在 0 至 99,999 分鍾之間
  ·有定義
  潛在影響
  這是預設設定,沒有潛在影響。
  用戶票證續訂的最長壽命
  此安全性設定確定用戶票證使用權票證 (TGT) 可以續訂的時間期限(以天為服務機構)。
  漏洞
  如果此設定的值太高,用戶可以續訂非常舊的用戶票證。
  對策
  將「用戶票證續訂的最長壽命」的值設定為「7 天」。
  此群組原則設定可能的值是:
  ·戶定義的值,在 0 至 99,999 分鍾之間
  ·有定義
  潛在影響
  這是預設設定,沒有潛在影響。
  電腦時鍾同步的最大容差
  此安全性設定確定 Kerberos V5 可以承受的客戶端時鍾時間和執行 Windows Server 2003(提供 Kerberos 身份驗證)的域控制器時間之間的最大時間差(以分鍾表示)。
  漏洞
  為了防止「重播攻擊」,Kerberos V5 使用時間戳作為其傳輸協定定義的一部分。為了使時間戳正常執行,客戶端和域控制器的時鍾需要盡可能同步。由於兩台電腦的時鍾經常不同步,管理員可以使用此原則建立 Kerberos V5 可以接受的客戶端時鍾和域控制器時鍾之間的最大時間差。如果客戶端時鍾和域控制器時鍾之間的時間差小於此原則指定的最大時間差,則兩台電腦之間的會話所使用的任何時間戳都被認為是可信的。
  對策
  將「電腦時鍾同步的最大容差」的值設定為「5 分鍾」。
  此群組原則設定可能的值是:
  ·戶定義的值,在 1 至 99,999 分鍾之間
  ·有定義
  潛在影響
  這是預設設定,沒有潛在影響。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 04:26 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2021, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1