Windows安全指南之域级别策略

Windows安全指南之域级别策略

ID:46847733

大小:63.00 KB

页数:13页

时间:2019-11-28

Windows安全指南之域级别策略_第1页
Windows安全指南之域级别策略_第2页
Windows安全指南之域级别策略_第3页
Windows安全指南之域级别策略_第4页
Windows安全指南之域级别策略_第5页
资源描述:

《Windows安全指南之域级别策略》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、Windows安全指南之域级别策略简介可在域级别上应用所有的帐户策略组策略设置。在帐户策略、帐户锁定策略和Kerberos策略内置的默认丄或控制器屮捉供了默认值。请记住,在MicrosoftActiveDirectory屮设置这些策略时,MicrosoftWindows仅允许一个域帐户策略:应用于域树根域的帐户策略。域帐户策略将成为属于该域的任何Windows系统的默认帐户策略。此规则的唯一例外情况是,当为组织单位定义了另外一个帐户策略吋。组织单位(0U)的帐户策略设置将影响到该0U屮任何计算机上的本地策略。本模块将通篇讨论其屮每种类型的设置。帐户策略帐户策略是在域级别上实现的。M

2、icrosoftWindowsServer2003域必须有一个针对该域的密码策略、帐户锁定策略和KerberosV5身份验证协议。在ActiveDirectory中任何其他级别上设置这些策略将只会影响到成员服务器上的本地帐户。如果有要求单独密码策略的组,应根据任何英他要求将这些组分段到另一个威或目录林。在Windows和许多其他操作系统中,验证用户身份最常用的方法是使用秘密通行码或密码。确保网络环境的安全要求所有用户都使用强密码。这有助于避免未经授权的用户猜测弱密码所带來的威胁,他们通过手动的方法或工具來获取已泄密用户帐户的凭据。这一点对于管理帐户尤其有用。随本指南提供的Micro

3、softExcel工作簿"WindowsDefaultSecurityandServicesConfigurationv(英文)为默认设置编制了文档。请单击此处卜载。定期更改的复杂密码减少了密码攻击成功的可能性。密码策略设置控制密码的复杂性和寿命。本部分将讨论每个特定的密码策略帐户设置。注意:对于域帐户,每个域只能有一个帐户策略。必须在默认域策略或链接到域根的新策略小定义帐户策略,并且帐户策略要优先于由组成该域的域控制器强制实施的默认域策略。域控制器总是从域的根目录屮获取帐户策略,即使存在应用于包含域控制器的0U的其他帐户策略。域的根目录是该域的顶层容器,不要与目录林中的根域相混淆

4、;目录林中的根域是该§录林中的顶层域。默认情况卞,加入域的工作站和服务器(即域成员计算机)还为其木地帐户接收相同的帐户策略。但是,通过为包含成员计算机的0U定义帐户策略,可以使成员计算机的本地帐户策略区别于域帐户策略。可以在组策略对象编辑器中的以下位置配置帐户策略设置:计算机配置Windows设置安全设置帐户策略密码策略强制密码历史“强制密码历史”设置确定在mm密码之前必须与用户帐户关联的唯一新密码的数量。该组策略设置可能的值是:•用户指定的值,在0至24之间•没有定义漏洞密码重用对于任何组织來说都是需要考虑的重要问题。许多用户都希瑕在很长吋间以后使用或重用相同的帐户密码。特定帐户

5、使用相同密码的时间越长,攻击者能够通过暴力攻击确定密码的机会就越大。如果要求用户更改英密码,但却无法阻止他们使用旧密码,或允许他们持续重用少数儿个密码,则会大大降低一个不错的密码策略的有效性。为此设置指定一个较低的数值将使用户能够持续重用少数几个相同的密码。如果还没有配置“密码最短使用期限”设置,用户可以根据需要连续多次更改其密码,以便重用其原始密码。对策将“强制密码历史”设置成最大值“24”。将此值配置为最大设置有助于确保将因密码重用而导致的漏洞减至最少。由于此设置在组织内有效,因此不允许在配置“密码最短使用期限”后立即更改密码。要确定将此值设置为何种级别,应综合考虑合理的密码最

6、长使用期限和组织屮所冇用户的合理密码更改间隔要求。潜在影响此设置的主要影响在于,每当要求用户更改III密码时,用户都必须提供新密码。由于要求用户将英密码更改为新的唯一值,用户会为了避免遗忘而写下自己的帑码,这就带来了更大的风险。密码最长使用期限“密码最长使用期限”设置确定了系统要求用户更改密码Z前可以使用密码的天数。此组策略设置可能的值是:•用户指定的天数,在0至999之间•没有定义漏洞任何密码都可以被破解。凭借当前的计算能力,甚至是破解最复朵的密码也只是时间和处理能力的问题。下列某些设置可以增加在合理时间内破解密码的难度。但是,经常在环境中更改密码有助于降低有效密码被破解的风险,

7、并可以降低有人使用不正当手段获取密码的风险。可以配置密码最长使用期限,以便从不要求用户更改密码,但这样做将导致相当大的安全风险。对策将“密码最长使用期限”的天数设置在“30”和“60”之间。通过将天数设置为“0”,可以将“密码最长使用期限”设置配置为从不过期。潜在影响密码最长使用期限的值设置得太低将要求用户非常频繁地更改其密码。这实际上可能降低了组织的安全性,因为用户更可能为了避免遗忘而写下自己的帑码。将此值设置太高也会降低组织的安全性,因为这可以使潜在攻击者有更充分

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。