Biblioteca de cunoștințe
在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面,而其中的“帐户策略”又包括:密码策略、帐户锁定策略和Kerberos策 略三个方面;另外的“本地策略”也包括:审核策略、用户权限分配和安全选项三部分。下面分别予以介绍。
一、密码策略的设置
密码策略作用于域帐户或本地帐户,其中就包含以下几个方面:
强制密码历史
密码最长使用期限
密码最短使用期限
密码长度最小值
密码必须符合复杂性要求
用可还原的加密来存储密码
以上各项的配置方法均需根据当前用户帐户类型来选择。默认情况下,成员计算机的配置与其域控制器的配置相同。下面分别根据几种不同用户类型介绍相应的密码策略配置方法。
1. 对于本地计算机
对于本地计算机的用户帐户,其密码策略设置是在“本地安全设置”管理工个中进行的。下面是具体的配置方法。
第1步,执行〖开始〗→〖管理工具〗→〖本地安全策略〗菜单操作,打开如图所示的“本地安全设置”界面。对于本地计算机中用户“帐户和本地策略”都查在此管理工具中进行配置的。
第2步,因密码策略是属于用户策略范畴,所以先需在如上图所示界面中单击选择“用户策略”选项,然后再选择“密码策略”选项,在右边详细信息窗口中将显示可配置的密码策略选项的当前配置。
因为各策略选项的配置方法基本一样,所以在此仅以一个选项的配置进行介绍,其它只对各选项的具体作用进行简单介绍。
如配置“密码必须符合复杂性要求”选项,可设置确定密码是否符合复杂性要求。启用该策略,则密码必须符合以下最低要求:
(1)不包含全部或部分的用户帐户名
(2)长度至少为六个字符
(3)包含来自以下四个类别中的三个的字符:
英文大写字母(从A到Z)
英文小写字母(从a到z)
10个基本数字(从0到9)
非字母字符(例如,!、$、#、%)
如果启用了此安全策略,而您所配置的用户密码不符合此配置要求时系统会提示错误。有时您可能百思不得其解,认为自己所设的密码已经够长,而且也是属于随 机的,不全都是数字或字母,可系统为什么还是老说错误呢?一般来说是由于您所设的密码所包括的字符类型不足以上四个中的三个。通常只各个领域其中的两种, 即数字和字母,而没有考虑到字母的大小写或者非字母字符,所以达不到复杂性要求。更改或创建密码时,会强制执行复杂性要求。
默认情况下,在域控制器上默认是已启用了这一策略的;而在独立服务器上则默认是禁用的。
这个安全选项的配置方法是在如上图所示界面的右边信息窗口中双击“密码必须符合复杂性要求”选项,打开如图所示对话框。在这个对话框中就可随意启用或者禁用这个安全策略选项,配置好后单击“确定”按钮使配置更改生效。
其它选项的配置方法都一样,都是通过双击或者单击右键,然后选择“属性”选项,打开类似如图2所示对话框,在这些对话框中进行配置即可。不过为了便于工作于大家理解和配置,下面简单介绍其它密码策略选项的含义。
强制密码历史
重新使用旧密码之前,该安全设置确定某个用户帐户所使用的新密码必须不能与该帐户所使用的最近多少旧密码一样。该值必须为0到24之间的一个数值。该策略通过确保旧密码不能在某段时间内重复使用,使用户帐户更安全。
在域控制器上的默认值为24;而在独立服务器上为0。
【注意】要维持密码历史记录的有效性,则在通过启用密码最短使用期限安全策略设置更改密码之后,不允许立即更改密码。
密码最长使用期限
该安全设置确定系统要求用户更改密码之前可以使用该密码的时间(单位为天)。可将密码的过期天数设置在1至999天之间;如果将天数设置为0,则指定密 码永不过期。如果密码最长使用期限在1至999天之间,那么“密码最短使用期限”(下面将介绍)必须小于密码最长使用期限。如果密码最长使用期限设置为 0,则密码最短使用期限可以是1至998天之间的任何值。
默认值:42。
【技巧】使密码每隔30至90天过期一次是一种安全最佳操作,取决于您的环境。通过这种方式,攻击者只能够在有限的时间内破解用户密码并访问您的网络资源。
第三步,密码最短使用期限。该安全策略设置确定用户可以更改密码之前必须使用该密码的时间(单位为天)。可以设置1到998天之间的某个值,或者通过将 天数设置为0,允许立即更改密码。密码最短使用期限必须小于上面设置的“密码最长使用期限”,除非密码最长使用期限设置为0(表明密码永不过期)。如果密 码最长使用期限设置为0,那么密码最短使用期限可设置为0到998天之间的任意值。
如果希望上面设置的“强制密码历史”安全策略 选项设置有效,请将密码最短有效期限配置为大于0。如果没有密码最短有效期限,则用户可以重复循环通过密码,直到获得喜欢的旧密码。默认设置不遵从这种推 荐方法,因此管理员可以为用户指定密码,然后要求当用户登录时更改管理员定义的密码。如果将该密码的历史记录设置为0,则用户不必选择新密码。因此,默认 情况下将密码历史记录设置为1。在域控制器上的默认值为1;而在独立服务器上为0。
第四步,密码长度最小值。该安全设置确定用户帐户的密码可以包含的最少字符个数。可以设置为1到14个字符之间的某个值,或者通过将字符数设置为0,可设置不需要密码。在域控制器上的默认值为7;而在独立服务器上为0。
第五步,用可还原的加密来存储密码。该安全设置确定操作系统是否使用可还原的加密来存储密码。如果应用程序使用了要求知道用户密码才能进行身份验证的协 议,则该策略可对它提供支持。使用可还原的加密存储密码和存储明文版本密码本质上是相同的。因此,除非应用程序有比保护密码信息更重要的要求,否则不必启 用该策略。
当使用质询握手身份验证协议(CHAP)通过远程访问或Internet身份验证服务(IAS)进行身份验证时,该策略是必需的。在Internet信息服务(IIS)中使用摘要式验证时也要求该策略。系统默认值为禁用。
上面介绍的是在本地计算机上配置以上密码安全策略选项的方法,下面继续介绍在其它两种情形中这些密码策略选项的配置方法。
2. 在域环境中,并且您位于已加入到域中的成员服务器或工作站
对于这种情形,用户的本地密码策略配置方法如下:
第1步,执行〖开始〗→〖运行〗菜单操作,在对话框的“打开”文本框中输入“mmc”命令,打开Microsoft管理控制台(MMC),如图所示。
第2步,执行〖文件〗→〖添加/删除管理单元〗菜单操作,打开如图所示对话框。在这个对话框中可以添加在控制台管理的管理单元。
第3步,单击“添加”按钮,打开如下图所示对话框。在这个对话框中找到“组策略对象编辑器”选项,然后双击,或单击选择它后按“添加”按钮,打开如图所示对话框。在这个对话框中要求选择所添加的“组策略对象编辑器”所作用的对象。
因此处介绍的是成员服务器或工作站(非本地计算机),所以需单击“浏览”按钮,在打开的对话框中选中“计算机”选项卡(对话框如下图所示)。在对话框中选择“另一计算机”单选项,然后直接在下面的文本框中输入或再次通过单击“浏览”按钮,打开对话框查找。
第4步,输入或者选择好计算机名后,单击“确定”按钮即可返回到如上图所示对话框。单击“完成”按钮,如果所选择的成员服务器或工作站与当前服务器的网络连接正常的话,即可把它们指派到组策略对象编辑器中。
第5步,单击对话框中的“关闭”按钮,返回到如图所示对话框。单击“确定”按钮返回到控制台界面,不过此时已是添加了“组策略对象编辑器”管理单元的控制台,如图所示。
第6步,依次单击展开〖计算机配置〗→〖Windows设置〗→〖安全设置〗→〖帐户策略〗→〖密码策略〗选项,然后在右边详细信息窗口中选择相应的密 码策略选项配置即可。配置方法也是在相应选项上单击右键,然后再选择“属性”选项,打开的对话框与前图一样,参照即可。
3. 您位于域控制器,或已安装 Windows Server 2003 管理工具包的工作站
对于这种情形,密码策略的配置方法如下:
第1步,执行〖开始〗→〖管理工具〗→〖Active Directory用户和计算机〗菜单操作,打开如图所示的“Active Directory用户和计算机”管理工具界面。
第2步,在控制台树中要设置组策略的域或组织单位上(本例以域grfwgz.com为例)单击右键,然后选择“属性”选项,在打开的对话框中选择“组策略”选项卡,对话框如图所示。
第3步,选择对话框“组策略对象链接”列表中的项目以选择现有的组策略对象(GPO),然后单击“编辑”按钮。也可单击“新建”按钮创建新的GPO,然后再单击“编辑”按钮,都可打开如图所示“组策略编辑器”界面。
第4步,在控制台树中依次单击展开以下选项〖计算机配置〗→〖Windows设置〗→〖安全设置〗→〖帐户策略〗→〖密码策略〗,展开后“密码策略”选项界面如图所示。在其中也包括本文前面所介绍的各密码策略选项。配置的方法也同上,不再赘述。
帐户锁定策略用于域帐户或本地用户帐户,它们确定某个帐户被系统锁定的情况和时间长短。这部分包含以下三个方面:
帐户锁定时间
帐户锁定阈值
复位帐户锁定计数器
1. 帐户锁定时间
该安全设置确定锁定的帐户在自动解锁前保持锁定状态的分钟数。有效范围从0到99,999分钟。如果将帐户锁定时间设置为0,那么在管理员明确将其解锁前,该帐户将被锁定。如果定义了帐户锁定阈值,则帐户锁定时间必须大于或等于重置时间。
默认值:无。因为只有当指定了帐户锁定阈值时,该策略设置才有意义。
2. 帐户锁定阈值
该安全设置确定造成用户帐户被锁定的登录失败尝试的次数。无法使用锁定的帐户,除非管理员进行了重新设置或该帐户的锁定时间已过期。登录尝试失败的范围可设置为0至999之间。如果将此值设为0,则将无法锁定帐户。
对于使用Ctrl+Alt+Delete组合键或带有密码保护的屏幕保护程序锁定的工作站或成员服务器计算机上,失败的密码尝试计入失败的登录尝试次数中。默认值:0。
3.复位帐户锁定计数器
该安全设置确定在登录尝试失败计数器被复位为0(即0次失败登录尝试)之前,尝试登录失败之后所需的分钟数。有效范围为1到99,999分钟之间。
如果定义了帐户锁定阈值,则该复位时间必须小于或等于帐户锁定时间。
默认值:无,因为只有当指定了“帐户锁定阈值”时,该策略设置才有意义。
它们的配置也要因当前用户所在的网络环境而定。对于本地计算机用户帐户,在如图1所示界面中配置;对于域中的成员服务器或工作站则在如图8所示对话框中配置;而对于域控制器用户则在如图11所示界面中配置。
配置方法也是通过双击,或单击选择某帐户锁定策略选项,然后再单击右键,选择“属性”选项,都可打开类似如图所示对话框,在其中进行配置即可。
Kerberos V5身份验证协议是用于确认用户或主机身份的身份验证机制,也是Windows 2000和Windows Server 2003系统默认的身份验证服务。Internet协议安全性(IPSec)可以使用Kerberos协议进行身份验证。
对于在安装过程中所有加入到Windows Server 2003或Windows 2000域的计算机都默认启用Kerberos V5身份验证协议。Kerberos可对域内的资源和驻留在受信任的域中的资源提供单一登录。
可通过那些作为帐户策略一部分的Kerberos安全设置来控制Kerberos配置的某些方面。例如,可设置用户的Kerberos 5票证生存周期。作为管理员,可以使用默认的kerberos策略,也可以更改它以适应环境的需要。使用Kerberos V5进行成功的身份验证需要两个客户端系统都必须运行Windows 2000、Windows Server 2003家族或Windows XP Professional操作系统。
如果客户端系统尝试向运行其他操作系统的服务器进行身份验证,则使用NTLM协议作为身份验证机制。NTLM身份验证协议是用来处理两台计算机(其中至少有一台计算机运行Windows NT 4.0或更早版本)之间事务的协议。
使用Kerberos进行身份验证的计算机必须使其时间设置在5分钟内与常规时间服务同步,否则身份验证将失败。运行Windows Server 2003家族成员、Windows XP Professional或Windows 2000的计算机将自动更新当前时间,并将域控制器用作网络时间服务。
Kerberos策略用于域用户帐户,确定与Kerberos相关的设置,例如票证的有效期限和强制执行。
Kerberos策略不存在于本地计算机策略中。这部分包含以下几个方面:
强制用户登录限制
服务票证最长寿命
用户票证最长寿命
用户票证续订最长寿命
计算机时钟同步的最大容差
1. 强制用户登录限制
本安全设置确定Kerberos V5密钥分发中心(KDC)是否要根据用户帐户的用户权限来验证每一个会话票证请求。验证每一个会话票证请求是可选的,因为额外的步骤需要花费时间,并可能降低服务的网络访问速度。默认值:已启用。
2. 服务票证最长寿命
该安全设置确定使用所授予的会话票证可访问特定服务的最长时间(以分钟为单位)。该设置必须大于10分钟并且小于或等于下面将要介绍的“用户票证最长寿命”选项中的设置。
【说明】票证是用于安全原则的标识数据集,是为了进行用户身份验证而由域控制器发行的。
Windows中的两种票证形式是票证授予式票证(TGT)和服务票证。
票证授予式票证(TGT)是用户登录时,Kerberos密钥分发中心(KDC)颁发给用户的凭据。当服务要求会话票证时,用户必须向KDC递交TGT。因为TGT对于用户的登录会话活动通常是有效的,它有时称为“用户票证”。
服务票证是由允许用户验证域中指定服务的KerberosV5票证授予服务(TGS)颁发的票证。如果客户端请求服务器连接时出示的会话票证已过期,服 务器将返回错误消息。客户端必须从Kerberos V5密钥分发中心(KDC)请求新的会话票证。然而一旦连接通过了身份验证,该会话票证是否仍然有效就无关紧要了。会话票证仅用于验证和服务器的新建连 接。如果用于验证连接的会话票证在连接时过期,则当前的操作不会中断。默认值:600分钟(10小时)。
3. 用户票证最长寿命
该安全设置确定用户票证授予票证(TGT)的最长使用时间(单位为小时)。用户TGT期满后,必须请求新的或“续订”现有的用户票证。默认值:10小时。
4. 用户票证续订最长寿命
该安全设置确定可以续订用户票证授予票证(TGT)的期限(以天为单位)。默认值:7天。
5. 计算机时钟同步的最大容差
本安全设置确定Kerberos V5所允许的客户端时钟和提供Kerberos身份验证的Windows Server 2003域控制器上的时间的最大差值(以分钟为单位)。
为防止“轮番攻击”,Kerberos V5在其协议定义中使用了时间戳。为使时间戳正常工作,客户端和域控制器的时钟应尽可能的保持同步。换言之,应该将这两台计算机设置成相同的时间和日期。 因为两台计算机的时钟常常不同步,所以管理员可使用该策略来设置Kerberos V5所能接受的客户端时钟和域控制器时钟间的最大差值。如果客户端时钟和域控制器时钟间的差值小于该策略中指定的最大时间差,那么在这两台计算机的会话中 使用的任何时间戳都将被认为是可信的。默认值:5分钟。
【注意】该设置并不是永久性的。如果配置该设置后重新启动计算机,那么该设置将被还原为默认值。
以上各Kerberos策略安全选项的配置方法如下:
第1步,在组策略界面中,依次单击展开下列选项〖计算机设置〗→〖Windows设置〗→〖安全设置〗→〖用户策略〗→〖Kerberos策略〗,在右边详细信息窗口中将列出当前所有的Kerberos策略选项,如图所示。
第2步,在详细信息窗口中显示了各Kerberos策略安全选项的当前配置,如果要重新配置某选项,可直接双击,也可在相应选项上单击右键,然后选择“属性”选项,都可打开类似如图所示的配置对话框。在这个对话框中可以选择是否启用或者重新配置该安全选项的参数值。
选择好后单击“确定”按钮即可生效。对 Kerberos 策略的任何修改都将影响域中的所有计算机。
Windows Server 2003系统审核策略的配置方法也要根据以下四种具体的情形而选择不同的配置方法。
1. 对于本地计算机
在这个情况下,审核策略的配置也是在 “本地安全设置”界面中进行的,只是此时要选择“本地策略”下的“审核策略”选项,如图所示。
双击详细信息窗格中要更改审核策略设置的事件类别,或在相应审核策略事件上单击右键,然后选择“属性”选项,都可打开如图所示对话框(本例选择的是“审核登录事件”选项)。执行以下一个或两个操作,然后单击“确定”按钮使配置生效。
要审核成功的尝试,请选中“成功”复选项。
要审核未成功的尝试,请选中“失败”复选项。
2. 您在一台域控制器上或已安装了Windows Server 2003管理工具包的工作站上
这种情形下审核策略的配置方法如下:
第1步,执行〖开始〗→〖管理工具〗→〖域控制器安全策略〗菜单操作,打开如图所示的“域控制器安全策略”管理工具界面。
第2步,在控制台树中,按〖Windows设置〗→〖安全设置〗→〖本地策略〗→〖审核策略〗顺序依次单击,展开各选项,直到“审核策略”选项。
第3步,双击详细信息窗格中要更改审核策略设置的事件类别,或者在相应事件上单击右键,然后选择“属性”选项,同样会打开如图5所示的对话框。配置方法与前一种情形“本地计算机”中介绍的方法一样,参照即可。
3. 您是在一台域控制器上或已安装了“管理工具包”的工作站上
在这种应用情形中,审核配置的配置方法是在“Active Directory用户和计算机”管理工具中打开组策略进行的。不同的此时选择的是“本地策略”下的“审核策略”选项,如图所示。
审核策略的配置方法与前两种情形中介绍的一样,不再赘述。
4. 对于域或组织单位,您是在一台成员服务器上或已加入域的工作站上
在这种情形中,审核策略的配置方法是在控制台中通过添加“组策略对象编辑器”管理单元进行的,参见图所示。不同的也只是在此处展开选择的是〖计算机配 置〗→〖Windows设置〗→〖安全设置〗→〖帐户策略〗→〖审核策略〗选项。配置方法与上面介绍的三种情形完全一样,不再赘述。
对于Windows Server 2003系统中,它还有许多安全策略选项配置,如文件系统、注册表和系统服务的本地计算机安全、用户权利、特权和登录权利、防火墙策略、域安全策略等,在此不一一介绍了。
一、密码策略的设置
密码策略作用于域帐户或本地帐户,其中就包含以下几个方面:
强制密码历史
密码最长使用期限
密码最短使用期限
密码长度最小值
密码必须符合复杂性要求
用可还原的加密来存储密码
以上各项的配置方法均需根据当前用户帐户类型来选择。默认情况下,成员计算机的配置与其域控制器的配置相同。下面分别根据几种不同用户类型介绍相应的密码策略配置方法。
1. 对于本地计算机
对于本地计算机的用户帐户,其密码策略设置是在“本地安全设置”管理工个中进行的。下面是具体的配置方法。
第1步,执行〖开始〗→〖管理工具〗→〖本地安全策略〗菜单操作,打开如图所示的“本地安全设置”界面。对于本地计算机中用户“帐户和本地策略”都查在此管理工具中进行配置的。
第2步,因密码策略是属于用户策略范畴,所以先需在如上图所示界面中单击选择“用户策略”选项,然后再选择“密码策略”选项,在右边详细信息窗口中将显示可配置的密码策略选项的当前配置。
因为各策略选项的配置方法基本一样,所以在此仅以一个选项的配置进行介绍,其它只对各选项的具体作用进行简单介绍。
如配置“密码必须符合复杂性要求”选项,可设置确定密码是否符合复杂性要求。启用该策略,则密码必须符合以下最低要求:
(1)不包含全部或部分的用户帐户名
(2)长度至少为六个字符
(3)包含来自以下四个类别中的三个的字符:
英文大写字母(从A到Z)
英文小写字母(从a到z)
10个基本数字(从0到9)
非字母字符(例如,!、$、#、%)
如果启用了此安全策略,而您所配置的用户密码不符合此配置要求时系统会提示错误。有时您可能百思不得其解,认为自己所设的密码已经够长,而且也是属于随 机的,不全都是数字或字母,可系统为什么还是老说错误呢?一般来说是由于您所设的密码所包括的字符类型不足以上四个中的三个。通常只各个领域其中的两种, 即数字和字母,而没有考虑到字母的大小写或者非字母字符,所以达不到复杂性要求。更改或创建密码时,会强制执行复杂性要求。
默认情况下,在域控制器上默认是已启用了这一策略的;而在独立服务器上则默认是禁用的。
这个安全选项的配置方法是在如上图所示界面的右边信息窗口中双击“密码必须符合复杂性要求”选项,打开如图所示对话框。在这个对话框中就可随意启用或者禁用这个安全策略选项,配置好后单击“确定”按钮使配置更改生效。
其它选项的配置方法都一样,都是通过双击或者单击右键,然后选择“属性”选项,打开类似如图2所示对话框,在这些对话框中进行配置即可。不过为了便于工作于大家理解和配置,下面简单介绍其它密码策略选项的含义。
强制密码历史
重新使用旧密码之前,该安全设置确定某个用户帐户所使用的新密码必须不能与该帐户所使用的最近多少旧密码一样。该值必须为0到24之间的一个数值。该策略通过确保旧密码不能在某段时间内重复使用,使用户帐户更安全。
在域控制器上的默认值为24;而在独立服务器上为0。
【注意】要维持密码历史记录的有效性,则在通过启用密码最短使用期限安全策略设置更改密码之后,不允许立即更改密码。
密码最长使用期限
该安全设置确定系统要求用户更改密码之前可以使用该密码的时间(单位为天)。可将密码的过期天数设置在1至999天之间;如果将天数设置为0,则指定密 码永不过期。如果密码最长使用期限在1至999天之间,那么“密码最短使用期限”(下面将介绍)必须小于密码最长使用期限。如果密码最长使用期限设置为 0,则密码最短使用期限可以是1至998天之间的任何值。
默认值:42。
【技巧】使密码每隔30至90天过期一次是一种安全最佳操作,取决于您的环境。通过这种方式,攻击者只能够在有限的时间内破解用户密码并访问您的网络资源。
第三步,密码最短使用期限。该安全策略设置确定用户可以更改密码之前必须使用该密码的时间(单位为天)。可以设置1到998天之间的某个值,或者通过将 天数设置为0,允许立即更改密码。密码最短使用期限必须小于上面设置的“密码最长使用期限”,除非密码最长使用期限设置为0(表明密码永不过期)。如果密 码最长使用期限设置为0,那么密码最短使用期限可设置为0到998天之间的任意值。
如果希望上面设置的“强制密码历史”安全策略 选项设置有效,请将密码最短有效期限配置为大于0。如果没有密码最短有效期限,则用户可以重复循环通过密码,直到获得喜欢的旧密码。默认设置不遵从这种推 荐方法,因此管理员可以为用户指定密码,然后要求当用户登录时更改管理员定义的密码。如果将该密码的历史记录设置为0,则用户不必选择新密码。因此,默认 情况下将密码历史记录设置为1。在域控制器上的默认值为1;而在独立服务器上为0。
第四步,密码长度最小值。该安全设置确定用户帐户的密码可以包含的最少字符个数。可以设置为1到14个字符之间的某个值,或者通过将字符数设置为0,可设置不需要密码。在域控制器上的默认值为7;而在独立服务器上为0。
第五步,用可还原的加密来存储密码。该安全设置确定操作系统是否使用可还原的加密来存储密码。如果应用程序使用了要求知道用户密码才能进行身份验证的协 议,则该策略可对它提供支持。使用可还原的加密存储密码和存储明文版本密码本质上是相同的。因此,除非应用程序有比保护密码信息更重要的要求,否则不必启 用该策略。
当使用质询握手身份验证协议(CHAP)通过远程访问或Internet身份验证服务(IAS)进行身份验证时,该策略是必需的。在Internet信息服务(IIS)中使用摘要式验证时也要求该策略。系统默认值为禁用。
上面介绍的是在本地计算机上配置以上密码安全策略选项的方法,下面继续介绍在其它两种情形中这些密码策略选项的配置方法。
2. 在域环境中,并且您位于已加入到域中的成员服务器或工作站
对于这种情形,用户的本地密码策略配置方法如下:
第1步,执行〖开始〗→〖运行〗菜单操作,在对话框的“打开”文本框中输入“mmc”命令,打开Microsoft管理控制台(MMC),如图所示。
第2步,执行〖文件〗→〖添加/删除管理单元〗菜单操作,打开如图所示对话框。在这个对话框中可以添加在控制台管理的管理单元。
第3步,单击“添加”按钮,打开如下图所示对话框。在这个对话框中找到“组策略对象编辑器”选项,然后双击,或单击选择它后按“添加”按钮,打开如图所示对话框。在这个对话框中要求选择所添加的“组策略对象编辑器”所作用的对象。
因此处介绍的是成员服务器或工作站(非本地计算机),所以需单击“浏览”按钮,在打开的对话框中选中“计算机”选项卡(对话框如下图所示)。在对话框中选择“另一计算机”单选项,然后直接在下面的文本框中输入或再次通过单击“浏览”按钮,打开对话框查找。
第4步,输入或者选择好计算机名后,单击“确定”按钮即可返回到如上图所示对话框。单击“完成”按钮,如果所选择的成员服务器或工作站与当前服务器的网络连接正常的话,即可把它们指派到组策略对象编辑器中。
第5步,单击对话框中的“关闭”按钮,返回到如图所示对话框。单击“确定”按钮返回到控制台界面,不过此时已是添加了“组策略对象编辑器”管理单元的控制台,如图所示。
第6步,依次单击展开〖计算机配置〗→〖Windows设置〗→〖安全设置〗→〖帐户策略〗→〖密码策略〗选项,然后在右边详细信息窗口中选择相应的密 码策略选项配置即可。配置方法也是在相应选项上单击右键,然后再选择“属性”选项,打开的对话框与前图一样,参照即可。
3. 您位于域控制器,或已安装 Windows Server 2003 管理工具包的工作站
对于这种情形,密码策略的配置方法如下:
第1步,执行〖开始〗→〖管理工具〗→〖Active Directory用户和计算机〗菜单操作,打开如图所示的“Active Directory用户和计算机”管理工具界面。
第2步,在控制台树中要设置组策略的域或组织单位上(本例以域grfwgz.com为例)单击右键,然后选择“属性”选项,在打开的对话框中选择“组策略”选项卡,对话框如图所示。
第3步,选择对话框“组策略对象链接”列表中的项目以选择现有的组策略对象(GPO),然后单击“编辑”按钮。也可单击“新建”按钮创建新的GPO,然后再单击“编辑”按钮,都可打开如图所示“组策略编辑器”界面。
第4步,在控制台树中依次单击展开以下选项〖计算机配置〗→〖Windows设置〗→〖安全设置〗→〖帐户策略〗→〖密码策略〗,展开后“密码策略”选项界面如图所示。在其中也包括本文前面所介绍的各密码策略选项。配置的方法也同上,不再赘述。
帐户锁定时间
帐户锁定阈值
复位帐户锁定计数器
1. 帐户锁定时间
该安全设置确定锁定的帐户在自动解锁前保持锁定状态的分钟数。有效范围从0到99,999分钟。如果将帐户锁定时间设置为0,那么在管理员明确将其解锁前,该帐户将被锁定。如果定义了帐户锁定阈值,则帐户锁定时间必须大于或等于重置时间。
默认值:无。因为只有当指定了帐户锁定阈值时,该策略设置才有意义。
2. 帐户锁定阈值
该安全设置确定造成用户帐户被锁定的登录失败尝试的次数。无法使用锁定的帐户,除非管理员进行了重新设置或该帐户的锁定时间已过期。登录尝试失败的范围可设置为0至999之间。如果将此值设为0,则将无法锁定帐户。
对于使用Ctrl+Alt+Delete组合键或带有密码保护的屏幕保护程序锁定的工作站或成员服务器计算机上,失败的密码尝试计入失败的登录尝试次数中。默认值:0。
3.复位帐户锁定计数器
该安全设置确定在登录尝试失败计数器被复位为0(即0次失败登录尝试)之前,尝试登录失败之后所需的分钟数。有效范围为1到99,999分钟之间。
如果定义了帐户锁定阈值,则该复位时间必须小于或等于帐户锁定时间。
默认值:无,因为只有当指定了“帐户锁定阈值”时,该策略设置才有意义。
它们的配置也要因当前用户所在的网络环境而定。对于本地计算机用户帐户,在如图1所示界面中配置;对于域中的成员服务器或工作站则在如图8所示对话框中配置;而对于域控制器用户则在如图11所示界面中配置。
配置方法也是通过双击,或单击选择某帐户锁定策略选项,然后再单击右键,选择“属性”选项,都可打开类似如图所示对话框,在其中进行配置即可。
Kerberos V5身份验证协议是用于确认用户或主机身份的身份验证机制,也是Windows 2000和Windows Server 2003系统默认的身份验证服务。Internet协议安全性(IPSec)可以使用Kerberos协议进行身份验证。
对于在安装过程中所有加入到Windows Server 2003或Windows 2000域的计算机都默认启用Kerberos V5身份验证协议。Kerberos可对域内的资源和驻留在受信任的域中的资源提供单一登录。
可通过那些作为帐户策略一部分的Kerberos安全设置来控制Kerberos配置的某些方面。例如,可设置用户的Kerberos 5票证生存周期。作为管理员,可以使用默认的kerberos策略,也可以更改它以适应环境的需要。使用Kerberos V5进行成功的身份验证需要两个客户端系统都必须运行Windows 2000、Windows Server 2003家族或Windows XP Professional操作系统。
如果客户端系统尝试向运行其他操作系统的服务器进行身份验证,则使用NTLM协议作为身份验证机制。NTLM身份验证协议是用来处理两台计算机(其中至少有一台计算机运行Windows NT 4.0或更早版本)之间事务的协议。
使用Kerberos进行身份验证的计算机必须使其时间设置在5分钟内与常规时间服务同步,否则身份验证将失败。运行Windows Server 2003家族成员、Windows XP Professional或Windows 2000的计算机将自动更新当前时间,并将域控制器用作网络时间服务。
Kerberos策略用于域用户帐户,确定与Kerberos相关的设置,例如票证的有效期限和强制执行。
Kerberos策略不存在于本地计算机策略中。这部分包含以下几个方面:
强制用户登录限制
服务票证最长寿命
用户票证最长寿命
用户票证续订最长寿命
计算机时钟同步的最大容差
1. 强制用户登录限制
本安全设置确定Kerberos V5密钥分发中心(KDC)是否要根据用户帐户的用户权限来验证每一个会话票证请求。验证每一个会话票证请求是可选的,因为额外的步骤需要花费时间,并可能降低服务的网络访问速度。默认值:已启用。
2. 服务票证最长寿命
该安全设置确定使用所授予的会话票证可访问特定服务的最长时间(以分钟为单位)。该设置必须大于10分钟并且小于或等于下面将要介绍的“用户票证最长寿命”选项中的设置。
【说明】票证是用于安全原则的标识数据集,是为了进行用户身份验证而由域控制器发行的。
Windows中的两种票证形式是票证授予式票证(TGT)和服务票证。
票证授予式票证(TGT)是用户登录时,Kerberos密钥分发中心(KDC)颁发给用户的凭据。当服务要求会话票证时,用户必须向KDC递交TGT。因为TGT对于用户的登录会话活动通常是有效的,它有时称为“用户票证”。
服务票证是由允许用户验证域中指定服务的KerberosV5票证授予服务(TGS)颁发的票证。如果客户端请求服务器连接时出示的会话票证已过期,服 务器将返回错误消息。客户端必须从Kerberos V5密钥分发中心(KDC)请求新的会话票证。然而一旦连接通过了身份验证,该会话票证是否仍然有效就无关紧要了。会话票证仅用于验证和服务器的新建连 接。如果用于验证连接的会话票证在连接时过期,则当前的操作不会中断。默认值:600分钟(10小时)。
3. 用户票证最长寿命
该安全设置确定用户票证授予票证(TGT)的最长使用时间(单位为小时)。用户TGT期满后,必须请求新的或“续订”现有的用户票证。默认值:10小时。
4. 用户票证续订最长寿命
该安全设置确定可以续订用户票证授予票证(TGT)的期限(以天为单位)。默认值:7天。
5. 计算机时钟同步的最大容差
本安全设置确定Kerberos V5所允许的客户端时钟和提供Kerberos身份验证的Windows Server 2003域控制器上的时间的最大差值(以分钟为单位)。
为防止“轮番攻击”,Kerberos V5在其协议定义中使用了时间戳。为使时间戳正常工作,客户端和域控制器的时钟应尽可能的保持同步。换言之,应该将这两台计算机设置成相同的时间和日期。 因为两台计算机的时钟常常不同步,所以管理员可使用该策略来设置Kerberos V5所能接受的客户端时钟和域控制器时钟间的最大差值。如果客户端时钟和域控制器时钟间的差值小于该策略中指定的最大时间差,那么在这两台计算机的会话中 使用的任何时间戳都将被认为是可信的。默认值:5分钟。
【注意】该设置并不是永久性的。如果配置该设置后重新启动计算机,那么该设置将被还原为默认值。
以上各Kerberos策略安全选项的配置方法如下:
第1步,在组策略界面中,依次单击展开下列选项〖计算机设置〗→〖Windows设置〗→〖安全设置〗→〖用户策略〗→〖Kerberos策略〗,在右边详细信息窗口中将列出当前所有的Kerberos策略选项,如图所示。
第2步,在详细信息窗口中显示了各Kerberos策略安全选项的当前配置,如果要重新配置某选项,可直接双击,也可在相应选项上单击右键,然后选择“属性”选项,都可打开类似如图所示的配置对话框。在这个对话框中可以选择是否启用或者重新配置该安全选项的参数值。
选择好后单击“确定”按钮即可生效。对 Kerberos 策略的任何修改都将影响域中的所有计算机。
Windows Server 2003系统审核策略的配置方法也要根据以下四种具体的情形而选择不同的配置方法。
1. 对于本地计算机
在这个情况下,审核策略的配置也是在 “本地安全设置”界面中进行的,只是此时要选择“本地策略”下的“审核策略”选项,如图所示。
双击详细信息窗格中要更改审核策略设置的事件类别,或在相应审核策略事件上单击右键,然后选择“属性”选项,都可打开如图所示对话框(本例选择的是“审核登录事件”选项)。执行以下一个或两个操作,然后单击“确定”按钮使配置生效。
要审核成功的尝试,请选中“成功”复选项。
要审核未成功的尝试,请选中“失败”复选项。
2. 您在一台域控制器上或已安装了Windows Server 2003管理工具包的工作站上
这种情形下审核策略的配置方法如下:
第1步,执行〖开始〗→〖管理工具〗→〖域控制器安全策略〗菜单操作,打开如图所示的“域控制器安全策略”管理工具界面。
第2步,在控制台树中,按〖Windows设置〗→〖安全设置〗→〖本地策略〗→〖审核策略〗顺序依次单击,展开各选项,直到“审核策略”选项。
第3步,双击详细信息窗格中要更改审核策略设置的事件类别,或者在相应事件上单击右键,然后选择“属性”选项,同样会打开如图5所示的对话框。配置方法与前一种情形“本地计算机”中介绍的方法一样,参照即可。
3. 您是在一台域控制器上或已安装了“管理工具包”的工作站上
在这种应用情形中,审核配置的配置方法是在“Active Directory用户和计算机”管理工具中打开组策略进行的。不同的此时选择的是“本地策略”下的“审核策略”选项,如图所示。
审核策略的配置方法与前两种情形中介绍的一样,不再赘述。
4. 对于域或组织单位,您是在一台成员服务器上或已加入域的工作站上
在这种情形中,审核策略的配置方法是在控制台中通过添加“组策略对象编辑器”管理单元进行的,参见图所示。不同的也只是在此处展开选择的是〖计算机配 置〗→〖Windows设置〗→〖安全设置〗→〖帐户策略〗→〖审核策略〗选项。配置方法与上面介绍的三种情形完全一样,不再赘述。
对于Windows Server 2003系统中,它还有许多安全策略选项配置,如文件系统、注册表和系统服务的本地计算机安全、用户权利、特权和登录权利、防火墙策略、域安全策略等,在此不一一介绍了。
- 54 utilizatori au considerat informația utilă