可在域级别上应用所有的帐户策略组策略设置。在帐户策略、帐户锁定策略和 Kerberos 策略内置的默认域控制器中提供了默认值。请记住,在 Microsoft Active Directory 中设置这些策略时,Microsoft Windows 仅允许一个域帐户策略
Windows安全指南之域级别策略(下)
复位帐户锁定计数器
“复位帐户锁定计数器”设置确定在登录尝试失败后,将失败登录尝试计数器复位到 0 次失败登录尝试之前所必须经过的时间(以分钟为单位)。如果定义了“帐户锁定阈值”,则此复位时间必须小于或等于“帐户锁定时间”。
此组策略设置可能的值是:
| • |
用户定义的数值,在 1 至 99,999 分钟之间 |
| • |
没有定义 |
漏洞
如果多次错误地输入密码,用户可能会意外地将自己锁定在帐户之外。要减少这种可能性,“复位帐户锁定计数器”设置确定在登录尝试失败后,将无效登录尝试计数器复位到 0 之前所必须经过的时间。
对策
将“复位帐户锁定计数器”的值设置为“30 分钟”。
潜在影响
不设置此值,或者为此值设置的时间间隔太长都可能导致 DoS 攻击。攻击者对组织中的所有用户恶意执行大量的失败登录尝试,以锁定他们的帐户,如上所述。如果没有复位帐户锁定的策略,管理员必须手动解锁所有帐户。如果设置了合理的值,用户将被锁定一段时间,但在这段时间结束后,其帐户将自动解锁。
Kerberos 策略
在 Windows Server 2003 中,Kerberos V5 身份验证协议提供默认的身份验证服务机制,以及用户访问资源并在该资源上执行任务所必需的身份验证数据。通过缩短 Kerberos 票证的寿命,可降低攻击者窃取并成功使用合法用户凭据的风险。但这会增加授权开销。在大多数环境中都不需要更改这些设置。在域级别应用这些设置,在 Windows 2000 或 Windows Server 2003 Active Directory 域默认安装的默认域策略 GPO 中配置这些默认值。随本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”(英文)为默认设置编制了文档。
可以在组策略对象编辑器的以下位置配置 Kerberos 策略设置:
计算机配置\Windows 设置\安全设置\帐户策略\Kerberos 策略
强制用户登录限制
此安全设置确定 Kerberos V5 密钥分布中心 (KDC) 是否根据用户帐户的用户权限策略来验证会话票证的每个请求。验证会话票证的每个请求是可选功能,因为执行额外的步骤会消耗时间,并且可能会降低网络访问服务的速度。
漏洞
如果禁用此设置,可能会为用户授予他们无权使用的服务的会话票证。
对策
将“强制实施用户登录限制”的值设置为“启用”。
此组策略设置可能的值是:
| • |
启用 |
| • |
禁用 |
| • |
没有定义 |
{ad}潜在影响
这是默认设置,没有潜在影响。
服务票证最长寿命
此安全设置确定可以使用所授予的权会话票证来访问特定服务的最长时间(以分钟为单位)。此设置必须大于或等于 10 分钟,并小于或等于“用户票证最长寿命”设置。
如果客户端在请求连接到服务器时显示过期的会话票证,该服务器将返回错误消息。客户端必须向 Kerberos V5 密钥分布中心 (KDC) 请求新的会话票证。但在连接通过验证之后,它将不再关心会话票证是否有效。会话票证只用于验证与服务器之间的新连接。如果验证连接的会话票证在连接期间到期,将不会中断正在进行的操作。
漏洞
如果此设置的值太高,用户可以在其登录时间范围之外访问网络资源,或者其帐户已经被禁用的用户可以使用帐户禁用前发出的有效服务票证来继续访问网络服务。
对策
将“服务票证最长寿命”设置为“600 分钟”。
此组策略设置可能的值是:
| • |
用户定义的值(以分钟为单位),在 10 至 99,999 之间,或者为 0,表明服务票证不会过期 |
| • |
没有定义 |
潜在影响
这是默认设置,没有潜在影响。
用户票证最长寿命
此安全设置确定用户的票证授权票证 (TGT) 的最长有效期(以小时为单位)。当用户的 TGT 到期时,必须请求新 TGT,或者必须“续订”现有 TGT。
漏洞
如果此设置的值太高,用户可以在其登录时间范围之外访问网络资源,或者其帐户已经被禁用的用户可以使用帐户禁用前发出的有效服务票证来继续访问网络服务。
对策
将“用户票证的最长有效期”的值设置为“10 小时”。
此组策略设置可能的值是:
| • |
用户定义的值,在 0 至 99,999 分钟之间 |
| • |
没有定义 |
潜在影响
这是默认设置,没有潜在影响。
用户票证续订的最长寿命
此安全设置确定用户票证授权票证 (TGT) 可以续订的时间期限(以天为单位)。
漏洞
如果此设置的值太高,用户可以续订非常旧的用户票证。
对策
将“用户票证续订的最长寿命”的值设置为“7 天”。
此组策略设置可能的值是:
| • |
用户定义的值,在 0 至 99,999 分钟之间 |
| • |
没有定义 |
潜在影响
这是默认设置,没有潜在影响。
计算机时钟同步的最大容差
此安全设置确定 Kerberos V5 可以承受的客户端时钟时间和运行 Windows Server 2003(提供 Kerberos 身份验证)的域控制器时间之间的最大时间差(以分钟表示)。
漏洞
为了防止“重播攻击”,Kerberos V5 使用时间戳作为其协议定义的一部分。为了使时间戳正常运行,客户端和域控制器的时钟需要尽可能同步。由于两台计算机的时钟经常不同步,管理员可以使用此策略建立 Kerberos V5 可以接受的客户端时钟和域控制器时钟之间的最大时间差。如果客户端时钟和域控制器时钟之间的时间差小于此策略指定的最大时间差,则两台计算机之间的会话所使用的任何时间戳都被认为是可信的。
对策
将“计算机时钟同步的最大容差”的值设置为“5 分钟”。
此组策略设置可能的值是:
| • |
用户定义的值,在 1 至 99,999 分钟之间 |
| • |
没有定义 |
潜在影响
这是默认设置,没有潜在影响。
网友评论