目标
使用本模块可以实现下列目标:
| • | 描述 Active Directory 如何应用组策略对象 |
| • | 设计组织单位结构以支持安全管理 |
| • | 设计组策略对象以支持安全管理 |
| • | 对安全模板进行管理 |
| • | 对管理模板进行管理 |
| • | 使用组策略实现有效的密码策略 |
| • | 使用组策略实现有效的帐户锁定策略 |
| • | 确定哪些用户可以向域中添加工作站 |
| • | 确保在允许的登录时间结束时注销用户 |
| • | 使用组策略管理工具来更新策略和查看组策略应用的结果 |
适用范围
本模块适用于下列产品和技术:
| • | Windows Server 2003 域中的 Windows XP Professional 客户端 |
| • | Windows 2000 域中的 Windows XP Professional 客户端 |
如何使用本模块
本模块提供了一种方法,并描述了使用组策略在 Windows Server 2003 或 Windows 2000 Active Directory 域中确保 Windows XP Professional 客户端的安全所需的步骤。
为了充分理解本模块内容,请
| • | 阅读本指南中的模块 1“Windows XP 安全指南简介”。该模块定义了在此模块中引用的企业客户端环境和高安全级环境。 | ||||
| • | 使用检查表。本指南的“检查表”部分中的检查表“配置 Active Directory 域基础结构”提供了可打印的作业指导,以供快速参考。使用基于任务的检查表可以快速评估需要哪些步骤并帮助您逐步完成各个步骤。 | ||||
| • | 使用随本指南提供的“Windows XP 安全指南设置”电子表格。它可以帮助您将环境中所做的设置编制为文档。 | ||||
| • | 使用附带的解决方法。本指南引用下列指导文章(均为英文):
|
组策略
组策略是 Microsoft® Active Directory® 目录服务的一个功能,可用来更改用户和计算机设置,以及 Microsoft Windows Server 2003™ 和 Microsoft Windows® 2000 Server 域中的配置管理。但是,在将组策略应用于环境中的 Microsoft Windows XP Professional 客户端之前,需要在域中执行某些基本步骤。
组策略设置存储在环境中域控制器上的组策略对象 (GPO) 中。GPO 链接到容器,这些容器包括 Active Directory 站点、域和组织单位 (OU)。由于组策略与 Active Directory 紧密集成,在实现组策略之前有必要对 Active Directory 结构和在其中配置不同设计选项的安全含义进行基本的了解。有关 Active Directory 设计的详细信息,请参阅“Windows Server 2003 Security Guide”的模块 2“Configuring the Domain Infrastructure”(英文)。
表 2.1:基准安全模板
| 说明 | 企业客户端 | 高安全级 |
| 用于客户端的基准安全模板 | Enterprise client - domain.inf | High Security - domain.inf |
支持安全管理的 OU 设计
OU 是 Active Directory 域中的容器。OU 可以包含用户、组、计算机和其他组织单位,它们都称为子 OU。可以将 GPO 链接到 OU,它是 Active Directory 层次结构中的最低容器。还可以将管理权限委派给 OU。OU 提供了对用户、计算机和其他安全主体进行分组的简便方法,还提供了划分管理边界的有效方法。将用户和计算机分配给单独的 OU,因为某些设置只适用于用户,而某些则只适用于计算机。
可以使用委派向导来委派对一个组或单个 OU 的控制,委派向导可以作为 Active Directory 用户和计算机 Microsoft 管理控制台 (MMC) 管理单元工具的一部分获得。有关委派权限的文档的链接,请参阅本模块结尾的“其他信息”部分。
为任何环境设计 OU 结构的一个主要目标是,为创建覆盖 Active Directory 中驻留的所有工作站的无缝组策略实现提供基础,同时确保它们符合组织的安全标准。设计 OU 结构的另一个目标是,为组织中特定类型的用户提供适当的安全设置。例如,可以允许开发人员对工作站进行一般用户无权进行的操作。便携式计算机用户与台式计算机用户相比,安全要求也可以略有不同。下图说明了足以用来讨论本模块中的组策略的简单 OU 结构。此 OU 的结构可能与您的环境的组织要求不同。
图 2.1
Windows XP 计算机的 OU 结构
部门 OU
由于组织内的安全要求经常变化,很有必要在环境中创建部门 OU。部门安全设置可以通过 GPO 应用于各自部门 OU 中的计算机和用户。
安全的 XP 用户 OU
此 OU 包含同时参与企业客户端环境和高安全级环境的用户的帐户。模块 4“Windows XP 管理模板”中的“用户配置”部分中讨论了对此 OU 应用的设置。
Windows XP OU
此 OU 包含环境中每种 Windows XP 客户端的子 OU。在这里,包含了用于台式计算机和便携式计算机客户端的指南。出于此原因,已经创建了台式计算机 OU 和便携式计算机 OU。
| • | 台式计算机 OU:此 OU 包含始终连接到公司网络的台式计算机。模块 3“Windows XP 客户端安全设置”和模块 4“Windows XP 管理模板”中详细讨论了对此 OU 应用的设置。 |
| • | 便携式计算机 OU:此 OU 包含不始终连接到公司网络的移动用户的便携式计算机。模块 3“Windows XP 客户端安全设置”和模块 4“Windows XP 管理模板”中详细讨论了对此 OU 应用的设置。 |
支持安全管理的 GPO 设计
使用 GPO 确保特定设置、用户权限和行为应用于 OU 中的所有工作站或用户。通过使用组策略(而不是使用手动步骤),可以很方便地更新大量将来需要额外更改的工作站或用户。使用 GPO 应用这些设置的替代方法是派出一名技术人员在每个客户端上手动配置这些设置。
图 2.2
GPO 应用顺序
上图显示了对作为子 OU 成员的计算机应用 GPO 的顺序。首先从每个 Windows XP 工作站的本地策略应用组策略。应用本地策略后,依次在站点级别和域级别应用任何 GPO。
对于几个 OU 层中嵌套的 Windows XP 客户端,在层次结构中按从最高 OU 级别到最低级别的顺序应用 GPO。从包含客户端计算机的 OU 应用最后的 GPO。此 GPO 处理顺序(本地策略、站点、域、父 OU 和子 OU)非常重要,因为此过程中稍后应用的 GPO 将会替代先前应用的 GPO。用户 GPO 的应用方式相同,唯一区别是用户帐户没有本地安全策略。
当设计组策略时请记住下列注意事项。
| • | 管理员必须设置将多个 GPO 链接到一个 OU 的顺序,否则,默认情况下,将按以前链接到此 OU 的顺序应用策略。如果在多个策略中指定了相同的顺序,容器的策略列表中的最高策略享有最高优先级。 |
| • | 可以使用“禁止替代”选项来配置 GPO。选择此选项后,其他 GPO 不能替代为此策略配置的设置。 |
| • | 可以使用“阻止策略继承”选项来配置 Active Directory、站点、域或 OU。此选项阻止来自 Active Directory 层次结构中更高的 GPO 的 GPO 设置,除非它们选择了“禁止替代”选项。 |
| • | 组策略设置根据 Active Directory 中用户或计算机对象所在的位置应用于用户和计算机。在某些情况下,可能需要根据计算机对象的位置(而不是用户对象的位置)对用户对象应用策略。组策略环回功能使管理员能够根据用户登录的计算机应用用户组策略设置。有关环回支持的详细信息,请参阅本模块的“其他信息”部分中列出的组策略白皮书。 |
下图展开了基本 OU 结构,以显示如何对运行 Windows XP 且属于便携式计算机 OU 和台式计算机 OU 的客户端应用 GPO。
图 2.3
展开的 OU 结构,包含运行 Windows XP 的台式计算机和便携式计算机的安全 GPO。
在上例中,便携式计算机是便携式计算机 OU 的成员。应用的第一个策略是运行 Windows XP 的便携式计算机上的本地安全策略。由于此例中只有一个站点,所以站点级别上未应用 GPO,将域 GPO 作为下一个要应用的策略。最后,应用便携式计算机 GPO。
注意:台式计算机策略未应用于任何便携式计算机,因为它未链接到包含便携式计算机 OU 的层次结构中的任何 OU。另外,安全的 XP 用户 OU 没有对应的安全模块(.inf 文件),因为它只包括来自管理模块的设置。
作为 GPO 之间优先级如何起作用的示例,假设“通过终端服务允许登录”的 Windows XP OU 策略设置被设置为“Administrators”组。“通过终端服务允许登录”的便携式计算机 GPO 设置被设置为“Power Users”和“Administrators”组。在此情况下,帐户位于“Power Users”组中的用户可以使用终端服务登录到便携式计算机。这是因为便携式计算机 OU 是 Windows XP OU 的子级。如果在 Windows XP GPO 中启用了“禁止替代”策略选项,只允许那些帐户位于“Administrators”组中的用户使用终端服务登录到客户端。
安全模板
组策略模板是基于文本的文件。可以使用 MMC 的安全模板管理单元,或使用文本编辑器(如记事本),来更改这些文件。模板文件的某些章节包含由安全描述符定义语言 (SDDL) 定义的特定访问控制列表 (ACL)。有关编辑安全模板和 SDDL 的详细信息,请参阅本模块中的“其他信息”部分。
安全模板的管理
将生产环境中使用的安全模板存储在基础结构中的安全位置是非常重要的。安全模板的访问权只应该授予负责实现组策略的管理员。默认情况下,安全模板存储在所有运行 Windows XP 和 Windows Server 2003 的计算机的 %SystemRoot%/security/templates 文件夹中。
此文件夹不是跨多个域控制器复制的。因此,您需要选择一个域控制器来保存安全模板的主副本,以避免遇到与模板有关的版本控制问题。此最佳操作确保您始终修改模板的同一副本。
导入安全模板
使用下列过程导入安全模板。
| • | 将安全模板导入 GPO:
|
管理模板
在称为管理模板的基于 Unicode 的文件中,可以获得其他安全设置。管理模板是包含影响 Windows XP 及其组件以及其他应用程序(如 Microsoft Office XP)的注册表设置的文件。管理模板可以包括计算机设置和用户设置。计算机设置存储在 HKEY_LOCAL_MACHINE 注册表配置单元中。用户设置存储在 HKEY_CURRENT_USER 注册表配置单元中。
管理模板的管理
像上面的用于存储安全模板的最佳操作一样,将生产环境中使用的管理模板存储在基础结构中的安全位置是非常重要的。只有负责实现组策略的管理员才能有此位置的访问权限。Windows XP 和 Windows 2003 Server 附带的管理模板存储在 %systemroot%/inf 目录中。“Office XP Resource Kit”附带了用于 Office XP 的其他模板。这些模板在发布 Service Pack 时会进行更改,所以不能编辑。
向策略添加管理模板
除了 Windows XP 附带的管理模板外,还要将 Office XP 模板应用于要在其中配置 Office XP 设置的 GPO。使用下列过程向 GPO 添加其他模板。
| • | 向 GPO 添加管理模板:
|
域级别组策略
域级别组策略包括对域中所有计算机和用户应用的设置。位于http://go.microsoft.com/fwlink/?LinkId=14845 的“Windows Server 2003 Security Guide”的模块 2“Configuring the Domain Infrastructure”(英文)中详细介绍了域级别安全。
密码策略
经常更改的复杂密码减少了密码攻击成功的可能性。密码策略设置控制密码的复杂性和使用期限。本节讨论用于企业客户端环境和高安全级环境的每个密码策略设置。
在组策略对象编辑器中的以下位置的域组策略中配置下列值:
计算机配置/Windows 设置/安全设置/帐户策略/密码策略
下表包含对本指南中定义的两种安全环境的密码策略建议。
强制密码历史
表 2.2:设置
| 域控制器默认值 | 企业客户端 | 高安全级 |
| 24 个记住的密码 | 24 个记住的密码 | 24 个记住的密码 |
“强制密码历史”设置确定在重用旧密码之前必须与用户帐户相关的唯一新密码的数量。此设置的值必须在 0 到 24 个记住的密码之间。Windows XP 的默认值是 0 个密码,但是域中的默认设置是 24 个记住的密码。要维护密码历史的有效性,请使用“密码最短使用期限”设置,以阻止用户不断更改密码来避开“强制密码历史”设置。
对于本指南中定义的两个安全环境,将“强制密码历史”设置配置为“24 个记住的密码”。通过确保用户无法轻易重用密码(无论意外或故意),最大设置值增强了密码的安全性。它还可以帮助确保攻击者窃得的密码在可以用于解开用户帐户之前失效。将此值设置为最大数量不会产生已知问题。
密码最长使用期限
表 2.3:设置
| 域控制器默认值 | 企业客户端 | 高安全级 |
| 42 天 | 42 天 | 42 天 |
此设置的值的范围为 1 到 999 天。为了指定从不过期的密码,还可以将此值设置为 0。此设置定义了解开密码的攻击者在密码过期之前使用密码访问网络上的计算机的期限。此设置的默认值为 42 天。
对于本指南中定义的两个安全环境,将“密码最长使用期限”设置配置为值“42 天”。大多数密码都可以解开,因此,密码改动越频繁,攻击者使用解开的密码的机会越少。但是,此值设置越低,帮助台支持的呼叫增多的可能性越大。将“密码最长使用期限”设置为值 42 可以确保密码周期性循环,从而增加了密码安全性。
密码最短使用期限
表 2.4:设置
| 域控制器默认值 | 企业客户端 | 高安全级 |
| 1 天 | 2 天 | 2 天 |
“密码最短使用期限”设置确定了用户可以更改密码之前必须使用密码的天数。此设置的值的范围是 1 到 998 天,也可以将此设置的值设置为 0 以允许立即更改密码。此设置的默认值为 0 天。
“密码最短使用期限”设置的值必须小于为“密码最长使用期限”设置指定的值,除非“密码最长使用期限”设置的值配置为 0(导致密码永不过期)。如果“密码最长使用期限”设置的值配置为 0,“密码最短使用期限”设置的值可以配置为从 0 到 999 之间的任何值。
如果希望“强制密码历史”设置生效,请将此值配置为大于 0。如果“密码最短使用期限”设置没有值,用户可以在密码中重复循环,直到找到想要的旧值。此设置的默认值并不遵循此建议。所以,管理员可以为用户指定密码,然后要求用户在登录时更改管理员指定的密码。如果“强制密码历史”设置为“0”,则用户不必选择新的密码。
对于本指南中定义的两个安全环境,将“密码最短使用期限”配置为值“2 天”。当此设置与“强制密码历史”设置的类似短时间段值一起使用时,值“2 天”是比较合适的。此限制确保用户必须等待 2 天才能更改密码,从而阻止了用户不断循环同一密码。此值还强制用户在重置密码之前至少使用 2 天密码,从而鼓励用户记住新密码。它还通过快速设置 24 个新密码来阻止用户避开“强制密码历史”设置的限制。
密码长度最小值
表 2.5:设置
| 域控制器默认值 | 企业客户端 | 高安全级 |
| 7 个字符 | 8 个字符 | 12 个字符 |
“密码长度最小值”设置要求密码必须包含指定数量的字符。长密码(八个或更多字符)通常比短密码更有效。对于此设置,用户不能使用空密码,而且必须创建一定字符长度的密码。此设置的默认值为 0 个字符。
增加密码复杂性的要求可以降低词典攻击的可能性,在词典攻击中,攻击者尝试词典中的已知单词和大量常用密码名称,以试图猜出密码。本模块的下一部分将讨论复杂性要求。要求太短的密码会降低安全性,因为使用对密码执行字典攻击或强力攻击的工具可以很容易地破译短密码。在强力攻击中,攻击者尝试查找安全密码或对称加密密钥的方法是:尝试所有可能的密码或密钥,直到发现正确的密码或密钥。要求太长的密码可能会生成很多错误输入的密码,并会导致帐户锁定的增加以及对帮助台支持的相关呼叫的增加。此外,要求过长的密码实际上降低了组织的安全性,因为用户很可能写下密码以免忘记。
另一方面,密码中的每个额外字符都会使其复杂性按指数级增加。如果要求密码至少为 8 个字符,即使较脆弱的 LM 哈希也会变得更强大,因为较长的密码需要攻击者解开每个密码的两个部分(而不是一个部分)。如果密码为 7 个字符或更少,则 LM 哈希的后半部分解析为一个特定值,此值会通知攻击者,密码短于 8 个字符。
已经花费大量时间来讨论:如果存储了 LM 哈希,则 8 字符密码比 7 字符密码的安全性更低。如果密码为七个字符或更少,则 LM 哈希的第二个部分解析为一个特定值,此值会通知破译者,密码短于八个字符。要求密码至少为八个字符可以使较脆弱的 LM 哈希变得更强大,因为较长的密码需要攻击者解密每个密码的两个部分(而不是一个部分)。由于可以并行攻击 LM 哈希的两个部分,LM 哈希的第二个部分长度仅为 1 个字符,它在百万分之一秒就屈服于强力攻击,因此,这样做实际上并不能明显改善环境的安全性,除非密码是 ALT 字符集。
较长的密码始终更好一些,如果未存储 LM 哈希,8 字符密码比 7 字符密码安全得多。出于这些原因,Microsoft 建议使用较长的密码替代较短的密码。
在企业客户端环境中,确保“密码长度最小值”设置的值配置为“8 个字符”默认值。此密码设置的长度足以提供适当的安全性,但是对于记忆力好的用户而言仍太短。在高安全级环境中,将值配置为“12 个字符”。
密码必须符合复杂性要求
表 2.6:设置
| 域控制器默认值 | 企业客户端 | 高安全级 |
| 已启用 | 已启用 | 已启用 |
“密码必须符合复杂性要求”设置检查所有新密码以确保它们符合强大密码的基本要求。默认情况下,Windows XP 中此设置的值配置为“已禁用”,但是在 Windows Server 2003 域中此设置为“已启用”。
另外,密码中的每个额外字符都会使其复杂性按指数级增加。例如,七位密码可能有 267 或 1 x 107 种可能的组合。七字符区分大小写的字母数字密码有 527 种组合。七字符不带标点的区分大小写的字母数字密码有 627 种组合。在每秒进行 1,000,000 次尝试的速度下,只需要 48 分钟即可解开。八字符密码有 268 或 2 x 1011 种可能的组合。从表面上看,这似乎是难以置信的数字。但是,在每秒进行 1,000,000 次尝试(这是许多密码破译工具的功能)的速度下,只需 59 个小时即可尝试所有可能的密码。请记住,如果密码使用 ALT 字符和其他特殊键盘字符(如 ! 或 @),则这些时间会大大增加。
将这些设置联合使用会使强力攻击的进行变得很困难(如果并非不可能)。
用可还原的加密来储存密码(针对域中的所有用户)
表 2.7:设置
| 域控制器默认值 | 企业客户端 | 高安全级 |
| 已禁用 | 已禁用 | 已禁用 |
“用可还原的加密来储存密码(针对域中的所有用户)”设置确定操作系统是否使用可还原的加密来储存密码。此设置支持使用需要了解用户密码以进行身份验证的协议的应用程序。使用可还原的加密来储存密码本质上与保存密码的明文版本相同。出于此原因,永远不应启用此策略,除非应用程序的要求超出保护密码信息的需要。此设置的默认值为“已禁用”。
当通过远程访问或 Internet 验证服务 (IAS) 使用质询握手身份验证协议 (CHAP) 时,需要此策略。当在 Microsoft Internet 信息服务 (IIS) 中使用摘要式验证时,也需要此策略。
确保“用可还原的加密来储存密码(针对域中的所有用户)”设置的值配置为“已禁用”。在 Windows Server 2003 的默认域 GPO 中以及工作站和服务器的本地安全策略中,禁用此设置。
由于存在激活此设置的高漏洞,Microsoft 建议在本指南中定义的两个环境中强制使用“已禁用”默认值。
防止用户更改密码(除非要求更改)
除了上述密码策略,对所有用户进行集中控制是某些组织的要求。本节描述如何防止用户更改密码(除非要求他们这样做)。
对用户密码的集中控制是设计完好的 Windows XP 安全方案的基础。可以使用组策略按如上所述设置密码的最短和最长使用期限。但是请记住,要求经常更改密码可以使用户避开环境的密码历史设置。要求密码太长还会使用户忘记密码,从而导致帮助台的呼叫增多。
用户可以在密码的最短和最长使用期限设置之间的时间段里更改密码。但是,高安全级环境的安全设计要求用户,仅当操作系统在密码达到 42 天最长使用期限后给出提示时更改密码。管理员可以配置 Windows,以便让用户仅当操作系统提示他们更改密码时再更改密码。要防止用户更改密码(除非要求更改),可以在当您按 Ctrl+Alt+Delete 时出现的“Windows 安全”对话框中禁用“更改密码...”按钮。
可以使用组策略对整个域实现此配置,也可以通过编辑注册表对一个或多个特定用户实现此配置。有关此配置的详细说明,请参阅位于此站点的 Microsoft 知识库文章 324744“How To:Prevent Users from Changing a Password Except When Required in Windows Server 2003”:http://support.microsoft.com/default.aspx?scid=324744(英文)。如果您有 Windows 2000 域,请参阅位于此站点的 Microsoft 知识库文章 309799“How To:Prevent Users from Changing a Password Except When Required in Windows 2000”:http://support.microsoft.com/default.aspx?scid=309799(英文)。
帐户锁定策略
帐户锁定策略是一项 Active Directory 安全功能,它在一个指定时间段内多次登录尝试失败后锁定用户帐户。允许的尝试次数和时间段基于为安全策略锁定设置配置的值。用户不能登录到锁定的帐户。域控制器跟踪登录尝试,而且服务器软件可以配置为通过在预设时间段禁用帐户来响应此类潜在攻击。
在 Active Directory 域中配置帐户锁定策略时,管理员可以为尝试和时间段变量设置任何值。但是,如果“复位帐户锁定计数器”设置的值大于“帐户锁定时间”设置的值,则域控制器自动将“帐户锁定时间”设置的值调整为与“复位帐户锁定计数器”设置相同的值。
另外,如果“帐户锁定时间”设置的值比为“复位帐户锁定计数器”设置配置的值低,则域控制器自动将“复位帐户锁定计数器”的值调整为与“帐户锁定时间”设置相同的值。因此,如果定义了“帐户锁定时间”设置的值,则“复位帐户锁定计数器”设置的值必须小于或等于为“帐户锁定时间”设置所配置的值。
域控制器执行此操作,以避免与安全策略中的设置值冲突。如果管理员将“复位帐户锁定计数器”设置的值配置为比“帐户锁定时间”设置的值大,则为“帐户锁定时间”设置配置的值的实施将首先过期,因此用户可以登录回网络上。但是,“复位帐户锁定计数器”设置将继续计数。因此“帐户锁定阈值”设置将保留最大值( 3 次无效登录),用户将无法登录。
为了避免此情况,域控制器将“复位帐户锁定计数器”设置的值自动重置为与“帐户锁定时间”设置的值相等。
这些安全策略设置有助于防止攻击者猜测用户密码,并且会降低对网络环境的攻击成功的可能性。可以在组策略对象编辑器中以下位置的域组策略中配置下表中的值:
计算机配置/Windows 设置/安全设置/帐户策略/帐户锁定策略
下表包含对本指南中定义的两种安全环境的帐户锁定策略建议。
帐户锁定时间
表 2.8:设置
| 域控制器默认值 | 企业客户端 | 高安全级 |
| 没有定义 | 30 分钟 | 30 分钟 |
“帐户锁定时间”设置确定在未锁定帐户且用户可以尝试再次登录之前所必须经历的时间长度。此设置通过指定锁定帐户保持不可用的分钟数来执行此操作。如果“帐户锁定时间”设置的值配置为 0,则锁定的帐户将保持锁定,直到管理员将它们解锁。此设置的 Windows XP 默认值为“没有定义”。
为了减少帮助台支持呼叫的次数,同时提供安全的基础结构,对于本指南中定义的两种环境,将“帐户锁定时间”设置的值配置为“30 分钟”。
将此设置的值配置为永不自动解锁似乎是一个好主意,但这样做会增加组织中的帮助台为了解锁不小心锁定的帐户而收到的呼叫的次数。对于每个锁定级别,将此设置的值配置为 30 分钟可以减少“拒绝服务 (DoS)”攻击的机会。此设置值还使用户在帐户锁定时有机会在 30 分钟内再次登录,这是在无需求助于帮助台的情况下他们最可能接受的时间段。
帐户锁定阈值
表 2.9:设置
| 域控制器默认值 | 企业客户端 | 高安全级 |
| 0 次无效登录 | 50 次无效登录 | 50 次无效登录 |
“帐户锁定阈值”设置确定用户在帐户锁定之前可以尝试登录帐户的次数。
授权用户将自己锁定在帐户外的原因可能有:输错密码或记错密码,或者在计算机上更改了密码而又登录到其他计算机。带有错误密码的计算机连续尝试对用户进行身份验证,由于它用于身份验证的密码不正确,导致用户帐户最终锁定。对于只使用运行 Windows Server 2003 或更早版本的域控制器的组织,不存在此问题。为了避免锁定授权用户,请将帐户锁定阈值设置为较高的数字。此设置的默认值为“0 次无效登录”。
对于本指南中定义的两种环境,将“帐户锁定阈值”的值配置为“50 次无效登录”。
由于无论是否配置此设置的值都会存在漏洞,所以,为这些可能性中的每种可能性定义了独特措施。您的组织应该根据识别的威胁和正在尝试降低的风险来在两者之间做出平衡。有两个选项可用于此设置。
| • | 将“帐户锁定阈值”的值配置为“0”可以确保帐户不会锁定。此设置值将避免旨在锁定组织中的帐户的 DoS 攻击。它还可以减少帮助台呼叫次数,因为用户不会将自己意外地锁定在帐户外。由于此设置不能避免强力攻击,所以,只有当明确符合下列两个条件时才将它配置为比 0 大的值:
|
如果不符合上述条件,则第二个选项为:
| • | 将“帐户锁定阈值”设置配置为足够高的值,以便让用户可以意外输错密码若干次而不会将自己锁定在帐户外,同时确保强力密码攻击仍会锁定帐户。在这种情况下,将此设置的值配置为一定次数(例如 3 到 5 次)的无效登录可以确保适当的安全性和可接受的可用性。此设置值将避免意外的帐户锁定和减少帮助台呼叫次数,但不能如上所述避免 DoS 攻击。 |
复位帐户锁定计数器
表 2.10:设置
| 域控制器默认值 | 企业客户端 | 高安全级 |
| 没有定义 | 30 分钟 | 30 分钟 |
“复位帐户锁定计数器”设置确定“帐户锁定阈值”重置为零之前的时间长度。此设置的默认值为“没有定义”。如果定义了“帐户锁定阈值”,则此重置时间必须小于或等于“帐户锁定时间”设置的值。
对于本指南中定义的两种环境,将“复位帐户锁定计数器”设置配置为“30 分钟之后”。
将此设置保留为其默认值,或者以很长的间隔配置此值,都会使环境面临 DoS 攻击的威胁。攻击者对组织中的所有用户恶意地进行大量失败登录,如上所述锁定他们的帐户。如果没有确定策略来重置帐户锁定,则管理员必须手动解锁所有帐户。反过来,如果为此设置配置了合理的时间值,在所有帐户自动解锁之前用户只锁定一段已设置的时间。因此,建议的设置值 30 分钟定义了用户在无需求助于帮助台的情况下最可能接受的时间段。
用户权限分配
模块 3“Windows XP 客户端安全设置”中详细介绍了用户权限分配。但是,应该对所有域控制器设置“域中添加工作站”用户权限,本模块中讨论了其原因。“Windows 2003 Server Security Guide”(英文)的模块 3 和 4 中介绍了有关成员服务器和域控制器设置的其他信息。
域中添加工作站
表 2.11:设置
| 域控制器默认值 | 企业客户端 | 高安全级 |
| Authenticated Users | Administrators | Administrators |
“域中添加工作站”用户权限允许用户向特定域中添加计算机。为了使此权限生效,必须将它作为域的默认域控制器策略的一部分分配给用户。授予了此权限的用户可以向域中最多添加 10 个工作站。授予了 Active Directory 中 OU 或计算机容器的“创建计算机对象”权限的用户还可以将计算机加入域。授予了此权限的用户可以向域中添加不限数量的计算机,无论他们是否已被分配“域中添加工作站”用户权限。
默认情况下,“Authenticated Users”组中的所有用户能够向 Active Directory 域中最多添加 10 个计算机帐户。这些新计算机帐户是在计算机容器中创建的。
在 Active Directory 域中,每个计算机帐户是一个完整的安全主体,它能够对域资源进行身份验证和访问。某些组织想要限制 Active Directory 环境中的计算机数量,以便他们可以始终跟踪、生成和管理它们。
允许用户向域中添加工作站会妨碍此努力。它还为用户提供了执行更难跟踪的活动的途径,因为他们可以创建其他未授权的域计算机。
出于这些原因,在本指南中定义的两种环境中,“域中添加工作站”用户权限只授予给“Administrators”组。
安全设置
帐户策略必须在默认域策略中定义,且必须由组成域的域控制器强制执行。域控制器始终从默认域策略 GPO 获取帐户策略,即使存在对包含域控制器的 OU 应用的其他帐户策略。
在安全选项中有两个策略,它们也像域级别要考虑的帐户策略那样发挥作用。可以在组策略对象编辑器中的以下位置配置下表中的域组策略值:
计算机配置/Windows 设置/安全设置/本地策略/安全选项
Microsoft 网络服务器:当登录时间用完时自动注销用户
表 2.12:设置
| 域控制器默认值 | 企业客户端 | 高安全级 |
| 没有定义 | 已启用 | 已启用 |
“Microsoft 网络服务器:当登录时间用完时自动注销用户”设置确定在超过用户帐户的有效登录时间后,是否断开连接到本地计算机的用户。此设置影响服务器消息块 (SMB) 组件。启用此策略后,它使客户端与 SMB 服务的会话在超过客户端登录时间后强制断开。如果禁用此策略,则允许已建立的客户端会话在超过客户端登录时间后继续进行。启用此设置可以确保也启用了“网络安全:在超过登录时间后强制注销”设置。
如果组织已经为用户配置了登录时间,则很有必要启用此策略。否则,已假设无法在超出登录时间后访问网络资源的用户,实际上可以通过在允许的时间中建立的会话继续使用这些资源。
如果在组织中未使用登录时间,则启用此设置将没有影响。如果使用了登录时间,则当超过现有用户的登录时间后将强制终止现有用户会话。
网络访问:允许匿名 SID/名称 转换
表 2.13:设置
| 域控制器默认值 | 企业客户端 | 高安全级 |
| 没有定义 | 已禁用 | 已禁用 |
“网络访问:允许匿名 SID/名称 转换”设置确定匿名用户是否可以请求另一用户的 SID。
如果对域控制器启用此设置,知道管理员的 SID 属性的用户可以与也启用了此策略的计算机进行联系,并使用 SID 获取管理员的名称。然后,此人可以使用帐户名启动密码猜测攻击。成员计算机的默认设置为“已禁用”,这对它们没有影响。但是,域控制器的默认设置为“已启用”。禁用此设置会导致旧系统无法与以下 Windows Server 2003 域进行通信:
| • | 基于 Microsoft Windows NT® 4.0 的远程访问服务服务器。 |
| • | 当 IIS 上的 Web 应用程序配置为允许“基本身份验证”并同时禁用“匿名访问”时,内置的来宾用户帐户不能访问 Web 应用程序。另外,如果将内置的来宾用户帐户重命名为另一名称,则不能使用新名称访问 Web 应用程序。 |
| • | 在位于 Windows NT 3.x 域或 Windows NT 4.0 域中的 Windows 2000 计算机上运行的远程访问服务服务器。 |
网络安全:在超过登录时间后强制注销
表 2.14:设置
| 域控制器默认值 | 企业客户端 | 高安全级 |
| 已禁用 | 已启用 | 已启用 |
“网络安全:在超过登录时间后强制注销”设置确定在超过用户帐户的有效登录时间后是否断开连接到本地计算机的用户。此设置影响 SMB 组件。
启用此策略可以在超过客户端登录时间后强制断开客户端与 SMB 服务器的会话,此用户在他或她的下一次计划访问时间之前将无法登录到系统。禁用此策略会在超过客户端的登录时间后保留已建立的客户端会话。要影响域帐户,必须在默认域策略中定义此设置。
Kerberos 策略
Kerberos 版本 5 身份验证协议的策略是对域控制器配置的,而不是对域的成员计算机配置的。这些策略确定与 Kerberos 相关的设置,例如票证寿命和强制。本地计算机策略中不存在 Kerberos 策略。在大多数环境中,不应更改这些策略的默认值。本指南不提供对默认 Kerberos 策略的任何更改。有关这些设置的详细信息,请参阅位于以下站点的附加指南“Threats and Countermeasures:Security Settings in Windows Server 2003 and Windows XP”:http://go.microsoft.com/fwlink/?LinkId=15159(英文)。
OU 级别组策略
OU 级别组策略中包括的安全设置应该特定于 OU。这些设置同时包括计算机设置和用户设置。为了便于管理和提高安全级,在本指南中,介绍软件限制策略 (SRP) 的章节与其他安全设置分开。模块 6“Windows XP 客户端软件限制策略”详细讨论了 SRP。
安全设置组策略
您需要为环境中的每一类 Windows XP 计算机创建 GPO。在本指南中,便携式计算机和台式计算机分为单独的 OU,以便为这些计算机类别中的每个类别应用自定义的 GPO。
软件限制策略设置
在您的环境中创建用于配置 SRP 设置的专用 GPO。使 SRP 设置与其余组策略设置分开有一些被迫原因。首先,SRP 与其他组策略设置在概念上有所不同。SRP 并不需要管理员启用或禁用选项或配置值,而是需要管理员标识将支持哪些应用程序集、应用哪些限制以及如何处理异常。其次,如果在生产环境中实现 SRP 策略时出现了灾难错误,则此方法可以促进快速恢复:管理员可以临时禁用定义 SRP 设置的 GPO,而不影响任何其他安全设置。
组策略工具
Windows XP 附带的一些工具可以使对 GPO 的处理变得更容易。下一部分将简要概述其中一些工具。有关这些工具的详细信息,请参阅 Windows XP 的帮助。
强制组策略更新
Active Directory 定期更新组策略,但是您可以使用 GpUpdate(Windows XP Professional 附带的命令行工具)强制更新客户端计算机上的版本。此工具必须在客户端计算机上本地运行。
要使用 GpUpdate 工具更新本地计算机,请键入以下命令:
Gpupdate /force
运行 GpUpdate 后,将返回以下确认信息:
C:/Documents and Settings/administrator.MSSLAB>gpupdate /force 正在刷新策略... 用户策略刷新已完成。 计算机策略刷新已完成。 要检查策略处理中的错误,请查阅事件日志。 C:/Documents and Settings/administrator.MSSLAB>
对于基于用户的组策略,必须注销然后重新登录正在使用的计算机,以测试策略。计算机策略应该立即更新。
查看用于运行 Gpupdate 类型的其他选项:
Gpupdate /?
查看策略的结果集
Windows XP 附带的两个工具可以确定对环境中的计算机应用了哪些策略、它们何时应用以及以何种顺序应用。
RSoP 管理单元
策略的结果集工具 (RSoP.msc) 是 MMC 管理单元工具,它显示已经对计算机应用的所有策略的聚合设置。此工具可以本地运行,也可以从另一计算机远程运行。对于每个策略设置,RSoP 工具显示计算机设置和源 GPO。
GpResult
GpResult 是一个命令行工具,它提供关于最近向计算机应用组策略的时间、所应用的 GPO 和应用顺序的统计信息。此工具还提供有关通过筛选应用的任何 GPO 的信息。GpResult 工具可以远程使用或在客户端计算机上本地使用。
摘要
组策略是一种基于 Active Directory 的功能,它设计用于控制 Windows Server 2003 和 Windows 2000 域中的用户和计算机环境。在将组策略应用于环境中的 Windows XP 台式计算机之前,必须在域中执行某些基本步骤。
环境中的域控制器上的组策略对象 (GPO) 中存储的组策略设置链接到容器,这些容器包括网站、域和驻留在 Active Directory 结构中的 OU。在实现组策略之前,了解 Active Directory 结构和在其中配置不同设计选项的安全含义是非常重要的。
组策略是确保 Windows XP 安全的重要工具。本模块包括有关如何使用它从中心位置在整个网络中应用和维护一致安全策略的详细信息。
本模块还提供有关组策略的不同级别,以及 Windows XP 中可用来更新环境中的组策略的特殊工具的信息。
其他信息
有关 Active Directory 管理和设计的详细信息,请参阅位于以下 Microsoft 网站上的白皮书“Design Considerations for Delegation of Administration in Active Directory”:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ad/ windows2000/plan/addeladm.asp.
有关 Active Directory 设计的详细信息,请参阅位于以下 Microsoft 网站上的白皮书“Best Practice Active Directory Design for Managing Windows Networks”:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ad/ windows2000/plan/bpaddsgn.asp.
有关组策略的详细信息,请参阅以下 Microsoft 网站上的白皮书“Step - by - Step Guide to Understanding the Group Policy Feature Set”:
http://www.microsoft.com/windows2000/techinfo/planning/management/groupsteps.asp(英文)。
有关 Windows XP 安全的详细信息,请参阅以下 Microsoft 网站上的“Windows XP Professional Resource Kit”联机文档:
http://www.microsoft.com/WindowsXP/pro/techinfo/productdoc/resourcekit.asp(英文)。
有关 Windows XP 的新安全信息,请参阅以下 Microsoft 网站上的白皮书“What's New in Security for Windows XP Professional and Windows XP Home Edition”:
http://www.microsoft.com/china/technet/prodtechnol/winxppro/evaluate/xpsec.asp(英文)。
有关管理模板的详细信息,请参阅以下 Microsoft 网站上的白皮书“Implementing Registry - Based Group Policy”:
http://www.microsoft.com/windows2000/techinfo/howitworks/management/rbppaper.asp(英文)。
有关组更新 (GpUpdate) 工具的详细信息,请参阅:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ winxppro/proddocs/refrGP.asp(英文)。
有关策略的结果集 (RSoP) 工具的详细信息,请参阅:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ winxppro/proddocs/RSPintro.asp(英文)。
有关组策略结果 (GpResult) 工具的详细信息,请参阅:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/winxppro/proddocs/gpresult.asp(英文)。
有关在 Active Directory 中委派权限的详细信息,请参阅位于以下位置的“Windows 2000 Resource Kits”中有关“Planning Distributed Security”的章节:
http://www.microsoft.com/windows2000/techinfo/reskit/en-us/ default.asp?url=/windows2000/techinfo/reskit/en-us/deploy/dgbe_sec_haqs.asp(英文)。
8966
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
