本模塊內(nèi)容

　　本模塊主要關(guān)注如何實現(xiàn)安全的域環(huán)境。文中描述了若干域組件以及各組件在設計和創(chuàng)建管理完善的域基礎結(jié)構(gòu)中的使用方法。模塊通過一系列方案深入研究了各種安全事項和解決方案，這些方案涉及通過組織單位層次結(jié)構(gòu)應用組策略、將管理任務委派給管理組成員、通過安全模板配置安全設置等。模塊從整體角度演示了組織單位的層次結(jié)構(gòu)，但側(cè)重點是域策略，同時明確了在域級應用相應的安全設置并詳細論述了相應功能。模塊使用 3 種不同的安全方案，分別是原客戶端、企業(yè)客戶端和高安全客戶端。

目標

　　使用本模塊可以：

　　?考慮 Microsoft? Active Directory? 目錄服務設計的相關(guān)安全問題。

　　?研究在組策略應用中使用組織單位層次結(jié)構(gòu)設計的方法

　　?研究在委派管理任務中使用組織單位層次結(jié)構(gòu)設計的方法

　　?了解安全模板的使用方法。

　　?了解安全模板與組策略的集成方式。

　　?學習域策略示例。

　　?了解域策略所應用的設置和相應功能。

適用范圍

　　本模塊適用于下列產(chǎn)品和技術(shù)：

　　?Microsoft? Windows Server? 2003 操作系統(tǒng)

如何使用本模塊

　　本模塊提供了一種設計和實施安全域基礎結(jié)構(gòu)的方法。本模塊描述了設計和實施的過程和操作步驟指南。模塊中的指南主要用于設計或創(chuàng)建 Active Directory 域環(huán)境。但其內(nèi)容還與現(xiàn)有結(jié)構(gòu)有關(guān)，您可以使用本指南確認現(xiàn)有內(nèi)容的有效性，或強調(diào)可能需要重新建立結(jié)構(gòu)的區(qū)域。本模塊包含了大量在安全模板配置的設置信息，安全模板是域策略的一部分。

　　為了更好地理解本模塊的內(nèi)容，請：

　　?閱讀模塊 Windows 2003 安全性簡介。其中說明了“Windows 2003 安全性簡介”的目的和內(nèi)容。

　　?使用附帶的“如何”文章。使用本模塊引用的下列指導性文章：

　　?如何在 Windows Server 2003 中創(chuàng)建組織單位和委派控制

　　?如何在 Windows Server 2003 中應用組策略和安全模板

概述

　　本模塊通過建立域環(huán)境展示了保護 Windows Server 2003 結(jié)構(gòu)安全的方法。

　　模塊首先關(guān)注的是域級的安全設置和對策。其中包括 Active Directory 設計、組織單位 (OU) 設計、組策略設計和管理組設計的高級說明。

　　模塊還介紹了在原有環(huán)境、企業(yè)環(huán)境和高安全環(huán)境中保護 Windows Server 2003 域環(huán)境安全的方法。Windows 2003 安全性簡介簡要描述了上面三種環(huán)境。上述信息比較基礎，但提供了在域基礎結(jié)構(gòu)中從原有環(huán)境演變到高安全級環(huán)境的情景。

　　Windows Server 2003 附帶了安全狀態(tài)的默認設置值。為了提高本材料的可用性，本模塊僅討論已更改了默認值的設置。有關(guān)所有默認設置的信息，請參考附帶的“Threats and Countermeasures:Security Settings in Windows Server 2003 and Windows XP”(英文)指南。

Active Directory 設計

　　如果要詳細介紹 Active Directory 結(jié)構(gòu)的設計方法，可能需要足足一本書。Active Directory 允許應用程序查找、使用和管理分布式計算環(huán)境中的目錄資源。本節(jié)簡要討論了上述概念，并建立起本模塊后續(xù)內(nèi)容的參考框架。

　　在創(chuàng)建 Active Directory 體系結(jié)構(gòu)時，必須仔細考慮環(huán)境的安全邊界。如果組織的安全委派和實施日程都計劃充分，組織的 Active Directory 將更加安全。之后，只有環(huán)境發(fā)生了重大變化(例如，并購或重組)才需要重建結(jié)構(gòu)。

　　如果您的組織已有 Active Directory 設計，本模塊則從安全角度深入講述了其中的優(yōu)點和潛在問題。

建立 Windows Server 2003 目錄邊界

　　Active Directory 中有幾種不同的邊界類型。它們定義了目錄林、域、站點拓撲結(jié)構(gòu)和權(quán)限委派。

　　這些邊界在安裝 Active Directory 時自動建立，但必須確保在權(quán)限邊界中融入組織的要求和策略。根據(jù)組織的不同要求，管理權(quán)限委派可能非常靈活。例如，要保持安全性與管理功能間的適當平衡，可以使權(quán)限委派邊界細分至安全邊界和管理邊界。

安全邊界

　　安全邊界可幫助定義組織內(nèi)部不同組的獨立性或隔離。如果既要基于公司業(yè)務邊界確保適當?shù)陌踩裕忠^續(xù)提供穩(wěn)固的基本功能，平衡二者將是非常困難的。

　　為了成功平衡，您必須考慮委派相應管理權(quán)限后組織可能面臨的危險，以及其他有關(guān)環(huán)境網(wǎng)絡體系結(jié)構(gòu)的選擇，然后在各種因素間認真權(quán)衡。

目錄林和域安全邊界

　　目錄林是真正的“安全”邊界。本指南建議您創(chuàng)建單獨的目錄林來保護自己的環(huán)境不受惡意管理員的攻擊;創(chuàng)建單獨的域?qū)h(huán)境與惡意管理員和其他潛在危險相隔離。

　　域是 Active Directory 的“管理”邊界。如果組織成員都很善意，域邊界將獨立管理各組織域中的服務和數(shù)據(jù)。

　　但不幸的是，安全并非那么容易實現(xiàn)。例如，域不能完全隔離惡意域管理員的攻擊。這種隔離只能在目錄林級實現(xiàn)。

　　因此，組織必須考慮將當前 Active Directory 設計中服務和數(shù)據(jù)的管理控制權(quán)加以劃分。要完成 Active Directory 設計，必須完全了解組織在服務和數(shù)據(jù)兩方面的獨立和隔離要求。

管理邊界

　　由于潛在的服務和數(shù)據(jù)分割要求，必須定義必要的不同管理級別。除了唯一執(zhí)行組織服務的管理員，建議設立下列管理員類型。

服務管理員

　　Active Directory 服務管理員負責配置和提供目錄服務。例如，維護域控制器服務器、控制目錄范圍的各種配置設置、負責確保服務可用性。應將組織中的 Active Directory 管理員看作您的服務管理員。

　　在很多情況下，Active Directory 服務配置都由屬性值確定。屬性值與目錄中存儲的屬性值對象的設置對應。因此，Active Directory 中的服務管理員也是數(shù)據(jù)管理員。根據(jù)組織的不同要求，下面是一些可能納入 Active Directory 服務設計的其他服務管理員組：

　　?域管理組，負責目錄服務。

　　目錄林管理員，負責選擇組來管理每個域。由于授予各域管理員的訪問權(quán)限很高，因此這些管理員必須高度可信。執(zhí)行域管理的組通過“域管理員”組和其他內(nèi)置組來控制各域。

　　?負責管理域名系統(tǒng) (DNS) 的管理員組。

　　DNS 管理員組負責完成 DNS 設計并管理 DNS 結(jié)構(gòu)。DNS 管理員通過“DNS 管理員”組來管理 DNS 結(jié)構(gòu)。

　　?負責管理 OU 的管理員組。

　　OU 管理員負責指定各 OU 的管理者(組或個人)。OU 管理員負責管理保存在已指定 Active Directory OU 中的數(shù)據(jù)。這些組可控制如何委派管理，如何將策略應用于 OU 中的對象。此外，OU 管理員還可創(chuàng)建新的子樹并委派所負責 OU 的管理權(quán)限。

　　?負責管理結(jié)構(gòu)服務器的管理員組。

　　管理結(jié)構(gòu)服務器的組主要負責管理 Windows Internet 命名服務 (WINS) 和動態(tài)主機配置協(xié)議 (DHCP)，但還可能管理 DNS 結(jié)構(gòu)。有時，管理域的組要管理 DNS 結(jié)構(gòu)，原因是 Active Directory 已與 DNS 集成并保存在域控制器中，其管理也在域控制器中完成。

數(shù)據(jù)管理員

　　Active Directory 數(shù)據(jù)管理員負責管理保存在 Active Directory 中的數(shù)據(jù)，或加入 Active Directory 的計算機中的數(shù)據(jù)。這些管理員不能控制目錄服務的配置和交付。數(shù)據(jù)管理員是由組織設立的安全小組的成員。有時，Windows 的默認安全組并不清楚組織的所有情況。此時，組織可開發(fā)自己的安全組命名標準和意義，最大程度地滿足環(huán)境的需要。數(shù)據(jù)管理員的部分日常工作包括：

　　?控制目錄中對象子集。通過可繼承的屬性級訪問控制權(quán)限，授予數(shù)據(jù)管理員特定目錄內(nèi)容的控制權(quán)限，但不包括服務本身的配置權(quán)限。

　　?管理目錄中的成員計算機和其上數(shù)據(jù)。

　　注意：在很多情況下，在目錄中保存的對象的屬性值確定了目錄的服務配置。

　　總之，若允許 Active Directory 服務和目錄結(jié)構(gòu)的所有者加入目錄林或域基礎結(jié)構(gòu)，組織必須信任目錄林和所有域中的所有服務管理員。此外，企業(yè)安全計劃必須研究標準的策略和操作步驟，給管理員提供合適的后臺屏蔽。在安全指南中，信任服務管理員是指：

　　?合理信任服務管理員將關(guān)注組織的最佳利益。如果目錄林或域的所有者可能有合理原因來惡意攻擊組織，組織不應選擇將這些所有者加入目錄林或域。

　　?合理信任服務管理員將遵循最佳做法并限制域控制器的物理訪問。

　　?了解并接受組織可能遇到的風險，具體包括：

　　?惡意管理員 — 受信管理員可能變成惡意管理員，并且濫用賦予他們的系統(tǒng)管理權(quán)。如果目錄林中有惡意管理員，他(她)可以輕松找到其他域管理員的安全標識符 (SID)，然后使用應用程序編程接口 (API)、磁盤編輯器或調(diào)試程序?qū)⒏`取的 SID 添加到自己域中某帳戶的 SID 歷史列表中。一旦將竊取的 SID 添加到用戶 SID 歷史列表，惡意管理員便可以在自己的域中實施被竊取 SID 所在域的管理權(quán)限。

　　?脅迫管理員 — 受信管理員有可能受到一定的脅迫來執(zhí)行破壞系統(tǒng)安全的操作。為了得到訪問系統(tǒng)的用戶名和密碼，用戶或管理員可能運用一些社會工程技法騙取系統(tǒng)合法管理員的信任。

　　有些組織可能接受來自組織的其他部門的惡意或脅迫服務管理員造成的安全破壞風險。這些組織可能認為，相比于上述風險的危害而言，共享結(jié)構(gòu)帶來的協(xié)作能力和成本效益更顯著。但是，另一些組織可能并不接受這種風險，因為可能的安全危害非常嚴重。

推動組策略管理和委派的 OU 結(jié)構(gòu)

　　盡管本指南不是 Active Directory 的設計指南，但還是有必要提供一些必需的設計信息，從而深入了解使用組策略安全管理組織的域、域控制器和特定服務器角色的方法。

　　OU 不僅提供了一種簡單分組用戶和其他安全原則的方法，而且還提供了一種有效分割管理邊界的機制。

　　此外，基于服務器角色使用 OU 提供不同的組策略對象 (GPO) 是組織整體安全結(jié)構(gòu)必不可少的一部分。

委派管理和應用組策略

　　OU 只是域中的容器。您可以設置特定的訪問控制列表 (ACL) 將 OU 控制權(quán)委派給組或個人。

　　通常，您可以使用 OU 提供類似 Microsoft Windows NT? 操作系統(tǒng)版本 4.0 資源域中的管理功能。您還可以創(chuàng)建 OU，使之包含一組其他用戶管理的資源服務器。這將賦予其他用戶組獨立控制特定 OU 的權(quán)限，您無需將這些用戶與域剩余部分隔離。

　　委派特定 OU 的控制權(quán)限的管理員可能是服務管理員。在級別較低的授權(quán)中，控制 OU 的用戶通常是數(shù)據(jù)管理員。

　管理組

　　通過創(chuàng)建管理組，管理員可以將用戶群集、安全組或服務器分割到不同的容器，進而獨立管理。

　　例如，考慮域中的結(jié)構(gòu)服務器，結(jié)構(gòu)服務器包括了正在運行基本網(wǎng)絡服務的所有非域控制器，其中有運行 WINS 和 DHCP 服務的服務器。所有 DNS 服務器都在域控制器上運行，位于域控制器 OU 中。本例的 DNS 服務器不能看作是結(jié)構(gòu)服務器。

　　通常，由操作組或結(jié)構(gòu)管理組負責維護這些服務器。如果將各種服務器都移至 OU(本例是結(jié)構(gòu) OU)，則可輕松通過 OU 提供這些服務器的管理功能，然后再將 OU 的控制權(quán)委派給相關(guān)的管理組。

　　下圖是這種 OU 的高級視圖。

　　圖 1 OU 管理委派

　　有關(guān)創(chuàng)建 OU、創(chuàng)建管理組、將用戶移動到組和“委派控制”的操作步驟信息，請參考如何在 Windows Server 2003 中創(chuàng)建組織單位和委派控制。

　　這只是使用 OU 來提供管理性分割機制的若干方法中的一種。如果組織情況更復雜，請參考本模塊結(jié)尾的“更多信息”部分。

　　完成了上述操作步驟后，“結(jié)構(gòu)管理”組應能完全控制結(jié)構(gòu) OU，以及 OU 中的所有服務器和對象。這樣，下一階段(使用組策略保護服務器角色)的準備工作便完成。

　　組策略應用

　　使用組策略并委派管理權(quán)限，將特定設置、權(quán)限和行為應用到 OU 中的所有服務器。請盡量使用組策略而不要手動設置。如果將來有任何其他變化，更新一組服務器來得更簡單。

　　組策略按下圖所示的順序累積和應用。

　　圖 2 GPO 應用層次結(jié)構(gòu)

　　如上圖所示，策略首先應用于本地計算機策略級。應用本地策略后，依次在站點級和域級應用任何 GPO。如果服務器嵌套于若干 OU，則位于最高級 OU 中的 GPO 首先應用。然后，GPO 的應用過程繼續(xù)沿 OU 層次結(jié)構(gòu)進行。最后應用 GPO 的位置是包含服務器對象的子 OU 級。處理組策略的優(yōu)先順序首先是最高級 OU(離用戶或計算機帳戶最遠)，最后是最低級 OU(實際包含用戶或計算機帳戶)。

當應用組策略時請記住下列幾點：

　　?如果組策略級有多個 GPO，必須設置 GPO 應用順序。如果多策略指定同一選項，最后應用的選項有效。

　　?使用“禁止替代”選項配置組策略可防止其他 GPO 覆蓋它。

安全模板

　　安全模板是基于文本的文件。您可以使用 Microsoft 管理控制臺 (MMC) 的安全模板管理單元來更改這些文件，也可以通過使用文本編輯器(如記事本)更改這些文件。模板文件的部分內(nèi)容包含了使用安全描述符定義語言 (SDDL) 編寫的特定 ACL。您可以在 Microsoft MSDN? 中找到更多編輯安全模板和 SDDL 的相關(guān)信息。

模板管理

　　在默認情況下，授權(quán)用戶有讀取組策略對象中所有設置的權(quán)限。因此，將生產(chǎn)環(huán)境的安全模板保存在安全位置非常重要，只有負責實施組策略的管理員才能訪問這些安全模板。這樣做的目的不是禁止查看 *.inf 文件，而是防止源安全模板受到未授權(quán)的更改。為此，所有運行 Windows Server 2003 的計算機都將安全模板保存在 %SystemRoot%\security\templates 文件夾。

　　此文件夾不是跨多個域控制器復制的。因此，您需要選擇一個域控制器來保存安全模板的主副本，以避免遇到與模板有關(guān)的版本控制問題。此最佳操作確保您始終修改模板的同一副本。

管理組策略并導入安全模板

　　如何在 Windows Server 2003 中應用組策略和安全模板提供了必要操作步驟，指導您將安全模板(位于：http://go.microsoft.com/fwlink/?LinkId=14846)導入到本模塊所建議的 OU 結(jié)構(gòu)中。在域控制器上實施操作步驟之前，特定策略 (.inf) 文件必須位于環(huán)境中的 Windows Server 2003 系統(tǒng)。

　　警告：本指南的安全模板旨在提高環(huán)境的安全性。一旦安裝了這些安全模板，環(huán)境中的一些功能很有可能失效。有些關(guān)鍵任務應用也有可能失效。

　　將這些模板部署在生產(chǎn)環(huán)境之前，一定要徹底測試。應用新的安全設置前，請首先備份環(huán)境中的所有域控制器和服務器。確保備份包括了系統(tǒng)狀態(tài)，以便恢復注冊表設置或 Active Directory 對象。

　　應創(chuàng)建新的域策略并導入相關(guān) Domain.inf 安全模板。域策略應配置“禁止替代”選項來防止被覆蓋。

　　有關(guān)創(chuàng)建和應用組策略、導入安全模板的操作步驟指南，請參考如何在 Windows Server 2003 中應用組策略和安全模板。

　　注意：驗證“事件日志”，確保組策略成功下載，服務器能與域中的其他域控制器通信。

　　警告：創(chuàng)建“企業(yè)客戶端 - 域策略”時，請確保啟用“禁止替代”選項，以便在整個域中應用此策略。這是本指南中唯一必須啟用“禁止替代”選項的組策略。本指南的其他組策略都不要啟用此選項。如果需要恢復默認設置，請不要修改 Windows Server 2003 默認域策略。

　　要確保新策略的優(yōu)先級高于默認策略，請將新策略置于 GPO 鏈接中的最高優(yōu)先級位置。

　　您可以直接修改默認策略來創(chuàng)建新安全配置，但創(chuàng)建新的組策略有一優(yōu)點：如果策略出現(xiàn)問題，新策略可輕松禁用，然后由現(xiàn)有的默認域策略繼續(xù)控制。

　　Gpupdate.exe 是一種命令行工具。如果在批處理文件或自動任務調(diào)度器中調(diào)用，它可自動應用模板并分析系統(tǒng)安全性。此外，它還可以從命令行動態(tài)運行。

　　重要：本策略應導入組織中的所有其他域。但是，在環(huán)境中查找根域密碼策略更嚴格于其他域根域密碼策略的情形非常多。應仔細確保使用同一策略的其他域都有相同的業(yè)務需求。由于密碼策略只能在域級設置，可能有一些業(yè)務或法律方面的需求要求將部分用戶分離在單獨的域中，從而在其中使用更嚴格的密碼策略。

　　本指南定義了三種環(huán)境，它們的根域和子域都使用相同的策略，各域都有相關(guān)聯(lián)的安全模板。例如，原客戶端、企業(yè)客戶端和高安全客戶端分別使用 Leacy Client – Domain.inf、Enterprise Client – Domain.inf 和 High Security – Domain.inf 文件。類似上面的操作步驟應該應用到基準策略和增量策略的后續(xù)模板。

成功的 GPO 應用事件

　　除了手動檢查全部設置來確保它們正確應用于組織中的服務器之外，“事件日志”中還應出現(xiàn)一個事件，通知管理員域策略已成功下載到每個服務器。“應用程序日志”中應出現(xiàn)下列事件信息，各自有唯一事件 ID 號：

　　類型：信息

　　源 ID：SceCli

　　事件 ID： 1704

　　說明：已成功應用組策略對象中的安全策略。

　　有關(guān)詳細信息，請參考“幫助和支持中心”，位于：http://go.microsoft.com/fwlink/events.asp。

　　如果應用域策略幾分鐘后未出現(xiàn)此消息，請重新運行 Gpupdate.exe 命令行工具來應用該域策略，然后重新啟動服務器強制下載該域策略。

　　在默認情況下，工作站或服務器上的安全設置每 90 分鐘刷新一次，域控制器每 5 分鐘刷新一次。如果在間隔時間發(fā)生更改，您就可以看到此事件。此外，無論是否有新的更改，這些設置也將每 16 小時刷新一次。

時間配置

　　您應確保系統(tǒng)時間精確，且組織中的所有服務器都使用相同的時間源。Windows Server 2003 W32Time 服務向運行于 Active Directory 域中的基于 Windows Server 2003 和 Microsoft Windows XP 的計算機提供了時間同步功能。

　　W32Time 服務可根據(jù)域中的域控制器來同步基于 Windows Server 2003 的計算機的客戶端時鐘。這是 Kerberos 版本 5 的身份驗證協(xié)議和 NTLMv2 正常運行的必要條件。要正確運行，很多 Windows 服務器系列組件必須基于精確且同步的時間。如果客戶端的時鐘不同步，Kerberos v5 身份驗證協(xié)議可能將登錄請求錯誤理解為入侵嘗試，并拒絕用戶的訪問。

　　時間同步的另一優(yōu)點是，企業(yè)所有客戶的事件能相互關(guān)聯(lián)起來。環(huán)境中經(jīng)同步的客戶端時鐘可確保您正確分析整個企業(yè)中在客戶端按同一順序發(fā)生的成功或失敗事件。

　　Kerberos 是麻省理工學院 (MIT) 開發(fā)的網(wǎng)絡身份驗證協(xié)議。該協(xié)議可驗證試圖登錄網(wǎng)絡的用戶的身份，并使用機密的密鑰加密方法加密用戶通信。

　　W32Time 服務使用 Network 時間協(xié)議 (NTP) 同步時鐘。在 Windows Server 2003 目錄林中，時間按如下方式同步：

　　?目錄林根域中的主域控制器 (PDC) 模擬器操作主機是組織的權(quán)威時間源。

　　?目錄林其他域中的所有 PDC 操作主機在選擇 PDC 模擬器同步時間時，都遵循域的層次結(jié)構(gòu)。

　　?域的所有域控制器都根據(jù)域的 PDC 模擬器操作主機(作為它的傳入時間伙伴)同步時間。

　　?所有成員服務器和客戶端桌面計算機都使用驗證身份的域控制器作為傳入時間伙伴。

　　要確保時間精確，目錄林根域中的 PDC 模擬器可與外部 NTP 時間服務器同步。但這要求打開防火墻端口。NTP 使用 UDP 端口 123。在此之前，請首先權(quán)衡配置變化帶來的優(yōu)點和潛在風險。

　　?根據(jù)外部時間源同步內(nèi)部時間源

　　1.打開“命令提示符”。

　　2.鍵入下列內(nèi)容(其中 PeerList 是所需時間源的 DNS 名稱或 Internet 協(xié)議 (IP) 地址的逗號分隔列表)：

　　w32tm /config /syncfromflags:manual /manualpeerlist:PeerList

　　3.要更新類型，請鍵入：

　　w32tm /config /update。

　　4.選中“事件日志”。如果計算機不能訪問服務器，操作將失敗，并且會在“事件日志”中寫入一條記錄。

　　本操作最常見的用途是根據(jù)非常精確的外部時間源同步內(nèi)部網(wǎng)絡的權(quán)威時間源。然而，本操作可在任何運行 Windows XP 的計算機或 Windows Server 2003 系列的計算機上運行。

　　在很多情況下，根據(jù)外部源同步所有服務器沒有必要，只要這些服務器都使用同一內(nèi)部源同步時間即可。

　　如果網(wǎng)絡中的計算機正在運行 Windows 98 或 Windows NT 4.0 操作系統(tǒng)，請在登錄腳本中使用下列命令來同步這些計算機上的時鐘，其中 <timecomputer></timecomputer>代表網(wǎng)絡的域控制器：

　　net time \\<timecomputer></timecomputer> /set /yes

　　運行此命令后，將根據(jù)整個域中其他計算機上的時鐘來同步這些計算機上的時鐘。

　　注意：為了正確分析日志，運行非 Windows 操作系統(tǒng)的網(wǎng)絡計算機也應將其時鐘與 Windows Server 2003 PDC 模擬器同步。

　　基準服務器角色組織單位

　　前面管理組織結(jié)構(gòu)服務器的示例可進一步用在企業(yè)基礎結(jié)構(gòu)的其他服務器和服務中。目標是創(chuàng)建一種覆蓋所有服務器的無縫組策略，同時確保 Active Directory 中駐留的服務器符合環(huán)境的安全標準。

　　這種覆蓋環(huán)境中所有服務器的組策略形成了企業(yè)中所有服務器標準設置的一致基準。此外，OU 結(jié)構(gòu)和組策略應用必須提供精確的設計，從而為組織中特定類型的服務器提供安全設置。例如，Internet 信息服務器 (IIS)、文件、打印、Internet 驗證服務器 (IAS) 和證書服務都說明了組織中一些可能需要單獨組策略的服務器角色。

　　成員服務器基準策略

　　建立服務器角色 OU 的第一步是創(chuàng)建基準策略。為此，請創(chuàng)建一個基準安全模板，然后將其導入組策略。Enterprise Client – Member Server Baseline.inf 文件位于 http://go.microsoft.com/fwlink/?LinkId=14846，它可提供此功能和指南。企業(yè)客戶端是按組織不同兼容要求設置的不同中間級安全性的參考，請參閱 Windows 2003 安全性簡介。

　　將 GPO 安全模板與成員服務器 OU 相關(guān)聯(lián)。Enterprise Client – Member Server Baseline.inf 安全模板將向成員服務器 OU 中的所有服務器，以及子 OU 中的所有服務器應用該基準組策略的設置。為了簡單起見，本模塊的其他示例都使用這個企業(yè)客戶端安全級別。在模塊創(chuàng)建 Windows Server 2003 服務器的成員服務器基準中，討論了成員服務器基準策略。

　　基準組策略應為組織中的所有服務器定義所需的設置。請使基準組策略盡量有一定限制性，然后將本策略不涉及的所有服務器劃分到單獨的服務器特定 OU。

　　服務器角色類型和組織單位

　　繼續(xù)上面的示例，創(chuàng)建單獨的策略用于對結(jié)構(gòu)服務器策略進行增量更改。將必需的設置放入名為“Enterprise Client – Infrastructure Server.inf”的安全模板，確保基礎服務功能可運行，并能通過網(wǎng)絡進行訪問。

　　將 GPO 結(jié)構(gòu)模板與結(jié)構(gòu) OU 相關(guān)聯(lián)。最后，使用“受限制的組”設置將下面三個組添加到“企業(yè)客戶端：結(jié)構(gòu)服務器策略”的“本地管理員”組中：域管理員、企業(yè)管理員和結(jié)構(gòu)管理員。

　　具體過程如下圖。

　　圖 3 配置增量組策略

　　如上所述，這只是為部署 GPO 創(chuàng)建的 OU 結(jié)構(gòu)的若干方法之一。有關(guān)創(chuàng)建 OU 實施組策略的詳細信息，請參考 Microsoft TechNet 文章“How to Deploy Active Directory”(英文)，位于： http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/AD/windows2000/deploy/depovg/add.asp。

　　本安全指南定義了幾種服務器角色。下表包含了可增強角色安全的各種模板(遵循上述步驟)：

　　表 1：Windows Server 2003 角色

　　服務器角色說明安全模板

　　Windows Server 2003 域控制器包含 Active Directory 域控制器的組。Enterprise Client – Domain Controller.inf

　　Windows Server 2003 成員服務器域的所有成員服務器，位于成員服務器 OU 中或之下。Enterprise Client – Member Server Baseline.inf

　　Windows Server 2003 文件服務器包含鎖定文件服務器的組。Enterprise Client – File Server.inf

　　Windows Server 2003 打印服務器包含鎖定打印服務器的組。Enterprise Client – Print Server.inf

　　Windows Server 2003 結(jié)構(gòu)服務器包含鎖定 DNS、WINS 和 DHCP 服務器的組。Enterprise Client – Infrastructure Server.inf

　　Windows Server 2003 IAS 服務器包含鎖定 IAS 服務器的組。Enterprise Client – IAS Server.inf

　　Windows Server 2003 證書服務服務器包含鎖定證書頒發(fā)機構(gòu) (CA) 服務器的組。Enterprise Client – CA Server.inf

　　Windows Server 2003 Bastion Host包含 Internet 服務器的組。High Security – Bastion Host.inf

　　Windows Server 2003 IIS 服務器包含鎖定 IIS 服務器的組。Enterprise Client – IIS Server.inf

　　所有增量模板文件都必須應用于成員服務器 OU 下的 OU。因此，每個這樣的低級 OU 都需要您在其中應用 Enterprise Client – Member Server Baseline.inf 文件和特定的增量文件，從而定義每個 OU 在組織中承擔的角色。

　　所有這些服務器角色的安全要求各不相同。各種角色的相應安全設置將在模塊后續(xù)內(nèi)容中詳細介紹。

　　重要：本指南假設運行 Windows Server 2003 的計算機都執(zhí)行專門定義的角色。如果組織中的服務器與這些角色不符，或者您有多用途服務器，請使用此處定義的設置創(chuàng)建自己的安全模板。但請記住，服務器執(zhí)行的功能越多，受到攻擊的可能性就越大。

　　支持這些定義的服務器的最終 OU 設計如下圖所示。

　　圖 4 OU 設計示例

　　OU、GPO 和管理組設計

　　上面建議的 OU 和組策略將為重建公司 Windows Server 2003 計算機的現(xiàn)有 OU 結(jié)構(gòu)建立一種基準或新環(huán)境。此外，管理員將使用預定義的管理邊界來創(chuàng)建各自的管理組。這些組與管理員管理的 OU 之間有如下的關(guān)系：

　　表 2：OU 和管理組

　　OU 名稱管理組

　　域控制器域設計

　　成員服務器域設計

　　結(jié)構(gòu)操作

　　文件操作

　　打印操作

　　IAS域設計

　　CA企業(yè)管理員

　　WebWeb 服務

　　環(huán)境中的每個管理組都作為子域中的“全局組”創(chuàng)建。

　　“域工程管理”已使用相應的 GPO 將各管理組添加到相應的受限組。上面創(chuàng)建的管理組只是一些計算機的本地管理員組的成員，這些計算機所在的 OU 僅包含與管理組作業(yè)功能相關(guān)的計算機。

　　最后，域工程師要在每個 GPO 上設置權(quán)限，以便只有域工程組中的管理員才能編輯這些 GPO。

　　在默認情況下，新的 OU 結(jié)構(gòu)將繼承父容器中的很多安全設置。對于每個 OU，您可以阻止權(quán)限繼承。

　　有關(guān)阻止權(quán)限繼承的操作步驟指南，請參考如何在 Windows Server 2003 中創(chuàng)建組織單位和委派控制。

　　刪除管理員以前添加的所有不必要的組，然后添加各服務器角色 OU 的效應域組。保留“域管理員”組的“完全控制”設置。

　　您不一定要按照特定的順序建立這些 OU，但它們之間確實存在明顯的相關(guān)性。例如，將不同 OU 的控制權(quán)委派給組時，必須首先存在域組。下表定義了實施這些任務的建議順序：

　　1.創(chuàng)建 OU 結(jié)構(gòu)。

　　2.將計算機移至適當?shù)?OU。

　　3.創(chuàng)建管理組。

　　4.向管理組添加相應的域帳戶。

　　5.將每個 OU 的管理權(quán)限委派給相應的域組。

　　6.在 OU 中需要應用策略的地方創(chuàng)建組策略。

　　7.根據(jù)需要將每個組策略與其他 OU 相關(guān)聯(lián)。

　　8.將適當?shù)陌踩０鍖朊總€ GPO。

　　9.設置各 GPO 的權(quán)限，以便只有適當?shù)挠蚪M才能控制它們。

　　10.將正確的域組添加到“受限制的組”。

　　11.測試并調(diào)整組策略。

域策略

　　您可以在組織的幾個不同級別應用組策略安全設置。上面討論的基準環(huán)境通過組策略在以下域基礎結(jié)構(gòu)的三種層次應用了設置：

　　?域級別 - 滿足一般的安全要求，如要求域中所有服務器都使用的帳戶和密碼策略。

　　?基準級別 - 滿足域基礎結(jié)構(gòu)中所有服務器通用的特定服務器安全要求。

　　?角色特定級別 — 滿足特定服務器角色的安全要求。例如，基礎結(jié)構(gòu)服務器的安全要求不同于正在運行 Microsoft Internet 信息服務 (IIS) 的服務器的安全要求。

　　本模塊的下面幾部分都僅詳述域級別策略。大多數(shù)的域安全設置都是用戶帳戶和密碼。在復查域邊界中每個帳戶應用的設置和設置建議時，請記住這一點。

　　域策略概述

　　組策略的功能非常強大，它使管理員能配置標準的網(wǎng)絡計算機。由于允許管理員同時更改域中、域子集中的所有計算機的安全性，GPO 可為任何企業(yè)提供配置管理解決方案的重要環(huán)節(jié)。

　　本節(jié)詳細介紹了一些安全設置，您可以使用這些設置增強 Windows Server 2003 的安全性。本節(jié)還提供了一些表，這些表對每種設置的安全目標和達到每個目標所必需的配置進行了說明。根據(jù)各種設置在 Windows Server 2003 安全配置編輯器 (SCE) 用戶界面中的表現(xiàn)形式，系統(tǒng)將設置劃分為多種類別。

　　可通過組策略同時應用的安全更改類型包括：

　　?修改文件系統(tǒng)的權(quán)限。

　　?修改注冊表對象的權(quán)限。

　　?更改注冊表中的設置。

　　?更改用戶權(quán)限分配。

　　?配置系統(tǒng)服務。

　　?配置審核和事件日志。

　　?設置帳戶和密碼策略。

帳戶策略

　　帳戶策略(包括密碼策略、帳戶鎖定策略和 Kerberos 策略安全設置)僅與本指南介紹的所有三種環(huán)境中的域策略相關(guān)。密碼策略提供了一種滿足復雜性要求又能經(jīng)常更改的方法，適用于安全性高度重要的環(huán)境。帳戶鎖定策略允許跟蹤不成功的密碼登錄，并根據(jù)需要啟動帳戶鎖定。Kerberos 策略用于域用戶帳戶。這些策略確定了與 Kerberos 相關(guān)的設置，例如票證壽命和強制。

密碼策略

　　定期更改復雜密碼可以減少密碼攻擊成功的可能性。密碼策略設置控制密碼的復雜性和使用期限。本節(jié)將討論每個特定的密碼策略設置，以及這些設置與三種環(huán)境中每個環(huán)境的關(guān)系：舊客戶端、企業(yè)客戶端和高安全級。

　　對密碼長度和復雜性創(chuàng)建嚴格的要求并不一定表示用戶和管理員要使用強密碼。啟用密碼策略后，系統(tǒng)用戶可能符合系統(tǒng)定義的密碼技術(shù)復雜性要求，但是要更改錯誤的密碼使用習慣，還需要其他強企業(yè)安全策略。例如，Breakfast! 可能符合所有密碼復雜性要求。但破解這個密碼并不難。

　　如果了解創(chuàng)建密碼的人，就可以根據(jù)他們喜歡的食物、汽車或者電影猜測出他(或她)的密碼。用于培訓用戶選擇強密碼的企業(yè)安全計劃的一個策略是，設計一個海報，其中列出較差的密碼，并將其張貼在公共區(qū)域，如飲水機或復印機旁邊。您的組織應設置一些用于創(chuàng)建強密碼的安全指南，其中應包括下列內(nèi)容：

　　?避免使用來自字典的詞、常見的或智能拼錯的詞以及外來詞。

　　?避免使用數(shù)字遞增密碼。

　　?避免在密碼前面或后面添加數(shù)字。

　　?避免使用其他人通過查看您的書桌就能輕易猜出的密碼(如寵物名字、運動隊名稱和家人的姓名)。

　　?避免使用來自流行文化的詞語。

　　?避免考慮使用本身被認為是機密代碼的詞語。

　　?強制使用需要使用雙手在鍵盤上鍵入的密碼。

　　?強制在所有密碼中都使用大寫字母、小寫字母、數(shù)字和符號。

　　?強制使用空格字符和只有按 Alt 鍵才能生成的字符。

　　上述指南也適用于您組織內(nèi)的所有服務帳戶密碼。下面幾節(jié)講述了用于本指南中定義的三種安全環(huán)境的密碼策略建議。這些值在以下位置設置：

　　計算機配置\Windows 設置\安全設置\帳戶策略\密碼策略

強制密碼歷史

　　表 3：設置

　　域成員默認設置 舊客戶端 企業(yè)客戶端 高安全級

　　24 個記住的密碼 24 個記住的密碼 24 個記住的密碼 24 個記住的密碼

　　“強制密碼歷史”設置確定在重用舊密碼之前必須與用戶帳戶相關(guān)的唯一新密碼的數(shù)量。此設置的值必須在 0 到 24 個密碼之間。Windows Server 2003 的默認值為最大設置，24 個密碼。此策略設置使得管理員能夠通過確保不持續(xù)重用舊密碼來增強安全性。要維護密碼歷史的有效性，還需要配置“密碼最短使用期限”來防止密碼被立即更改。這種組合使得用戶很難重新使用舊密碼，無論是偶然還是有意。

　　重用密碼經(jīng)常會引發(fā)易攻擊隱患，如果將此設置設為較低的數(shù)字，用戶就可以持續(xù)循環(huán)使用很少的一些密碼，所以此設置建議適用于本指南定義的所有環(huán)境。此外，對于包含舊客戶端的環(huán)境，將此值設置為最大值還沒有出現(xiàn)相關(guān)的已知問題。

　　密碼最長使用期限

　　表 4：設置

　　域成員默認設置 舊客戶端 企業(yè)客戶端 高安全級

　　42 天 42 天 42 天 42 天

　　您可以配置“密碼最長使用期限”設置，以便密碼在環(huán)境需要時過期。此設置的默認值范圍為 1 到 999 天。此策略設置定義了破解密碼的攻擊者在密碼過期之前使用該密碼訪問網(wǎng)絡計算機的期限。定期更改密碼可以防止密碼泄漏。此設置的默認值為 42 天。

　　如果有足夠的時間和計算能力，大多數(shù)密碼都可以被破解;密碼更改越頻繁，創(chuàng)建的新密碼將攻擊者用來破解舊密碼的努力付諸東流之前，攻擊者用來破解密碼的時間就越少。然而，此值設置得越低，呼叫幫助臺支持增多的可能性就越大。為了平衡企業(yè)環(huán)境中對安全性和可用性的要求，可以增大此設置在舊客戶端和企業(yè)客戶端中的值。通過確保密碼定期更換，這些推薦值可以增強密碼的安全性。此外，這些推薦值還可以避免用戶不得不經(jīng)常更換密碼，以至于記不住密碼的情況發(fā)生。

　　密碼最短使用期限

　　表 5：設置

　　域成員默認設置 舊客戶端 企業(yè)客戶端 高安全級

　　1 天 2 天 2 天 2 天

　　“密碼最短使用期限”設置確定了用戶更改密碼之前必須使用密碼的天數(shù)。此設置的值范圍為 1 到 999 天。如果將此值設置為 0，可以立即更改密碼。此設置的默認值為 1 天。

　　“密碼最短使用期限”設置必須小于“密碼最長使用期限”設置，除非“密碼最長使用期限”設置為 0，表示密碼永不過期。這種情況下，可以將“密碼最短使用期限”設置為 0 到 999 之間的任何值。

　　如果希望“強制密碼歷史”有效，應將“密碼最短使用期限”設置為大于 0 的值。如果沒有密碼最短使用期限，用戶就可以循環(huán)使用一些密碼，直到返回到一個喜歡的舊密碼。

　　請將此設置從默認值更改為 2 天，因為如果該設置與“強制密碼歷史”設置中類似的較低值一起使用時，這種限制就會防止用戶不斷循環(huán)使用相同的密碼。如果“密碼最短使用期限”保持為 1 天，“強制密碼歷史”設置為 2 個密碼，用戶就必須等待 2 天才能使用喜歡的舊密碼。此設置值確保用戶必須等待整整兩天才能更改密碼。

　　默認設置沒有遵循這個建議，因此管理員可以為用戶指定密碼，然后要求用戶在登錄時更改管理員定義的密碼。如果密碼歷史設置為 0，則用戶不必選擇新密碼。因此，“強制密碼歷史”的默認設置為 1。它還可以阻止用戶通過快速設置 24 個新密碼來廢止“密碼歷史設置”限制。

　　最短密碼長度

　　表 6：設置

　　域成員默認設置 舊客戶端 企業(yè)客戶端 高安全級

　　7 個字符 8 個字符 8 個字符 12 個字符

　　“最短密碼長度”設置確保密碼至少包含指定數(shù)量的字符。包含八個或更多字符的長密碼通常比短密碼更強。使用此策略設置后，用戶將不能使用空密碼，并且其創(chuàng)建的密碼必須是特定多個字符長。

　　此設置的默認值為“7”個字符，但我們推薦您使用 8 個字符的密碼，因為它的長度可以提供一定級別的安全性，同時仍便于記憶。此設置能夠?qū)ΤＳ玫脑~典攻擊和強力攻擊產(chǎn)生很強的防御作用。

　　詞典攻擊是一種攻擊者使用詞匯列表中的所有條目進行反復試驗，以獲取密碼的方法。強力攻擊是一種通過試驗所有可能的值來獲取密碼或其他加密文本的方法。強力密碼攻擊的可行性取決于密碼的長度、可能字符集的大小以及攻擊者所具有的計算能力。

　　在高安全級環(huán)境下，本指南建議將密碼長度取值設置為 12 個字符。

　　通過單向哈希算法的處理后，密碼將被存儲在安全帳戶管理器 (SAM) 數(shù)據(jù)庫或 Active Directory 中。這種算法是不可逆的。因此，判斷您是否擁有正確密碼的唯一方法是使用相同的單向哈希算法對密碼進行計算，并比較結(jié)果。詞典攻擊通過在加密的整個過程中嘗試整個詞典來尋找匹配值。對于找出以“password”或“guest”這樣的常用詞作為帳戶密碼的使用者，這是一種非常簡單，但卻很有效方法。

　　如果密碼為七個字符或更少，LM 哈希的第二部分將解析為一個特定值，破譯者可以根據(jù)此值判斷密碼短于八個字符。要求密碼至少為八個字符可以使較脆弱的 LM 哈希變得更為強大，因為較長的密碼使攻擊者不得不解密每個密碼的兩個部分(而不是一個部分)。由于可以并行攻擊 LM 哈希的兩個部分，LM 哈希的第二部分長度僅為 1 個字符，因此在百萬分之一秒時就會被強力攻擊破解，因此，這樣做實際上并不能真的顯著改善環(huán)境的安全性，除非密碼使用的是 ALT 字符集。

　　另外，密碼中的每個額外字符都會使其復雜性以指數(shù)級增加。例如：一個七位密碼可能具有 267,或 1 x 107 種可能的組合。區(qū)分大小寫的七字符字母密碼有 527 種組合。不帶標點，且區(qū)分大小寫的七字符字母數(shù)字密碼有 6277 種組合。在每秒進行 1,000,000 次嘗試的速度下，只需要 48 分鐘即可破解。八字符密碼具有 268，或 2 x 1011 種可能的組合。從表面上看，這似乎是大得不得了的數(shù)字。但是，在每秒進行 1,000,000 次嘗試(許多密碼破譯工具都具有這樣能力)的速度下，只需 59 個小時即可嘗試完畢所有可能的密碼。請記住，如果密碼使用 ALT 字符和其他特殊鍵盤字符(如 ! 或 @)，則這種時間會大大增加。

　　為此，不推薦您用較短的密碼代替較長的密碼。不過，要求太長的密碼可能會造成很多錯誤輸入的密碼，導致帳戶發(fā)生鎖定的情況增加，以及技術(shù)支持工作量的增加。此外，要求過長的密碼可能會在實際上降低組織的安全性，因為用戶很可能寫下密碼以免忘記。

　　密碼必須符合復雜性要求

　　表 7：設置

　　域成員默認設置 舊客戶端 企業(yè)客戶端 高安全級

　　啟用 啟用 啟用 啟用

　　“密碼必須符合復雜性要求策略”選項檢查所有新密碼以確保它們符合強密碼的基本要求。

　　在創(chuàng)建密碼時，將強制復雜性要求。不能對 Windows Server 2003 策略規(guī)則直接進行修改。但是，可以創(chuàng)建一個新版本的 passfilt.dll，以應用不同的規(guī)則集。有關(guān) passfilt.dll 的源代碼，請參閱 Microsoft 知識庫文章 151082(英文)：“HOW TO:Password Change Filtering & Notification in Windows NT.”(英文)

　　實際上，可以設置包含 20 個或更多字符的密碼，這樣便于用戶記憶，并且比八字符的密碼更安全。以下是一個 27 字符的密碼：I love cheap tacos for $.99。這種類型的密碼，才是真正意義上的通行碼，與 P@55w0rd 這樣較短的密碼相比，可能更便于用戶記憶。

　　這個推薦的值，在最短密碼長度設置為 8 時，包括密鑰空間中的大寫和小寫字母和數(shù)字，從 26 個字符增加為 62 個字符。因此一個八字符密碼就具有 2.18 x 1014 種可能的組合。在每秒進行 1,000,000 次嘗試的速度下，循環(huán)嘗試所有可能的排列需要 6.9 年的時間。結(jié)合使用這些設置會使強力攻擊的變得非常困難。出于此原因，在本指南所定義的三種環(huán)境中，推薦使用這種設置。

　　使用可逆的加密存儲密碼

　　表 8：設置

　　域成員默認設置 舊客戶端 企業(yè)客戶端 高安全級

　　禁用 禁用 禁用 禁用

　　“使用可逆的加密存儲密碼”的安全設置決定了操作系統(tǒng)是否使用可逆加密存儲密碼。

　　該策略支持所使用的協(xié)議要求用戶輸入密碼以進行身份驗證的應用程序。與不使用此選項而存儲的密碼相比，使用可逆加密存儲的密碼更容易獲得，這就增加了安全漏洞。出于此原因，請永遠不應啟用此策略，除非應用程序的要求比保護密碼信息更為重要。

　　通過遠程訪問或 IAS 的質(zhì)詢握手身份驗證協(xié)議 (CHAP) 以及 IIS 中的摘要式身份驗證都要求使用此策略。

　　如何防止用戶更改密碼(除非在要求這么做時)

　　除以上密碼策略外，某些組織要求對所有用戶進行集中式控制。本節(jié)描述如何防止用戶更改密碼(除非要求他們這樣做)。

　　對用戶密碼的集中控制是設計優(yōu)良的 Windows Server 2003 安全方案的基礎。如前所述，可以使用組策略設置密碼的最短和最長期限。但是請記住，要求經(jīng)常更改密碼可能會讓用戶規(guī)避環(huán)境的密碼歷史設置。要求太長的密碼還會讓用戶忘記密碼，從而導致技術(shù)支持工作量增多。

　　用戶可以在密碼的最短和最長期限設置之間的時間段內(nèi)更改密碼。然而，高安全級環(huán)境要求用戶只有在 42 天以后操作系統(tǒng)提醒他們時才能更改密碼，這是在“密碼最長期限”設置中進行的配置。要防止用戶更改密碼(除非要求更改)，可以在當您按 Ctrl+Alt+Delete 時顯示的“Windows 安全”對話框中禁用“更改密碼”選項。

　　可以使用組策略對整個域?qū)崿F(xiàn)此配置，也可以通過編輯注冊表對一個或多個特定用戶實現(xiàn)此配置。關(guān)此配置的詳細說明，請參閱 Microsoft 知識庫文章 324744，“How To：在 Windows Server 2003 中防止用戶在非必要情況下更改密碼”，網(wǎng)址是： http://support.microsoft.com/default.aspx?scid=324744 。

帳戶鎖定策略

　　帳戶鎖定策略是一項 Windows Server 2003 安全功能，它在指定時間段內(nèi)多次登錄嘗試失敗后鎖定用戶帳戶。允許的嘗試次數(shù)和時間段是由為安全策略鎖定設置配置的值決定的。用戶不能登錄到鎖定的帳戶。Windows Server 2003 跟蹤登錄嘗試，而且服務器軟件可以配置為通過在預設的登錄失敗次數(shù)后禁用帳戶來對此類潛在攻擊作出響應。

　　在 Windows Server 2003 中配置帳戶鎖定策略時，管理員可以為嘗試次數(shù)和時間段變量設置任何值。但是，如果“復位帳戶鎖定計數(shù)器”設置的值大于“帳戶鎖定時間”設置的值，則 Windows Server 2003 自動將“帳戶鎖定時間”設置的值調(diào)整為與“復位帳戶鎖定計數(shù)器”設置相同的值。另外，如果“帳戶鎖定時間”設置的值比為“復位帳戶鎖定計數(shù)器”設置配置的值低，則域控制器自動將“復位帳戶鎖定計數(shù)器”的值調(diào)整為與“帳戶鎖定時間”設置相同的值。因此，如果您定義了“帳戶鎖定時間”，那么“復位帳戶鎖定計數(shù)器”的值必須小于或等于“帳戶鎖定時間”。

　　Windows Server 2003 執(zhí)行此操作是為了避免安全策略中出現(xiàn)沖突的設置值。如果管理員將“復位帳戶鎖定計數(shù)器”設置的值配置為比“帳戶鎖定時間”設置的值大，則為“帳戶鎖定時間”設置配置的值的強制將首先過期，讓用戶能夠重新登錄回網(wǎng)絡上。但是，“復位帳戶鎖定計數(shù)器”設置將繼續(xù)計數(shù)。因此帳戶鎖定閾值仍維持為最多 3 次無效登錄，用戶將無法登錄。

　　為了避免這種情況，Windows Server 2003 將“復位帳戶鎖定計數(shù)器”設置的值自動重置為與“帳戶鎖定時間”設置的值相等。

　　這些安全策略設置有助于防止攻擊者猜測用戶密碼，并且可以降低對網(wǎng)絡環(huán)境的攻擊成功的可能性。可以在域組策略中的以下位置對下列各部分中的值進行配置：

　　計算機配置\Windows 設置\安全設置\帳戶策略\帳戶鎖定策略

帳戶鎖定時間

　　表 9：設置

　　域成員默認設置舊客戶端企業(yè)客戶端高安全級

　　未定義30 分鐘30 分鐘15 分鐘

　　“帳戶鎖定時間”設置確定在未鎖定帳戶且用戶可以嘗試再次登錄之前所必須經(jīng)歷的時間長度。此設置通過指定鎖定帳戶保持不可用的分鐘數(shù)來實現(xiàn)此功能。如果“帳戶鎖定時間”設置的值配置為 0，則鎖定的帳戶將保持鎖定，直到管理員將它們解鎖。此設置的 Windows Server 2003 默認值為“未定義”。

　　將此設置的值配置為永不自動解鎖可能看上去是一個好主意，但這樣做會因意外鎖定帳戶而增加組織中解鎖的技術(shù)支持工作量。對舊客戶端環(huán)境和企業(yè)客戶端環(huán)境將此設置的值設為 30 分鐘，而對高安全級別將此設置的值設為 15 分鐘，這樣可以減少發(fā)生拒絕服務 (DoS) 攻擊時操作所消耗的資源量。在 DoS 攻擊中，攻擊者對組織中的所有用戶進行的惡意登錄嘗試多次失敗后，導致這些用戶的帳戶被鎖定。此設置值還讓用戶在帳戶被鎖定時有機會在 30 分鐘后再次登錄，這是在無需求助于幫助臺的情況下他們最可能接受的時間段。

　　在高安全級環(huán)境下，本指南建議您將該值設置為 15 分鐘。

帳戶鎖定閾值

　　表 10：設置

　　域成員默認設置舊客戶端企業(yè)客戶端高安全級

　　0 次無效登錄50 次無效登錄50 次無效登錄10 次無效登錄

　　“帳戶鎖定閾值”設置確定用戶在帳戶鎖定之前可以嘗試登錄帳戶的次數(shù)。

　　授權(quán)用戶被鎖定在自己的帳戶外的原因可能有：輸錯密碼或記錯密碼，或者在登錄一臺計算機時更改了在另一臺計算機上的密碼。帶有錯誤密碼的計算機會不斷嘗試對用戶進行身份驗證，但由于它用來進行身份驗證的密碼不正確，最終導致用戶帳戶被鎖定。為了避免鎖定授權(quán)用戶，請將帳戶鎖定閾值設置為較高的數(shù)字。

　　由于無論是否配置此設置的值都會存在漏洞，所以，為所有這些可能性分別定義了不同的應對措施。您的組織應當根據(jù)確定的威脅和正在嘗試降低的風險在兩者之間做出權(quán)衡。

　　?為了避免鎖定，請將“帳戶鎖定閾值”的值設置為 0。將“帳戶鎖定閾值”的值設置為 0 有助于減少技術(shù)支持工作量，這是因為用戶不會意外將自己鎖在帳戶外，而且，還可以阻止故意鎖定您的組織中的帳戶的 DoS 攻擊。由于它不能阻止強力攻擊，因此只有在下列要求均得到明確滿足時才可以選擇此設置：

　　?密碼策略強制所有用戶使用由 8 個或更多字符組成的復雜密碼。

　　?已建立強大的審核機制，能夠在組織環(huán)境中發(fā)生一系列帳戶鎖定時提醒管理員。例如，審核解決方案應監(jiān)視安全事件 539，該事件為“登錄失敗。當進行登錄嘗試時帳戶被鎖定”。此事件意味著當嘗試進行登錄閾值所規(guī)定的登錄時帳戶被鎖定。然而，事件 539 僅表示帳戶鎖定，而不是一次失敗的密碼嘗試。因此，您的管理員也應對一系列錯誤密碼嘗試進行監(jiān)視。

　　?如果不能滿足這些條件，您的第二種選擇是將“帳戶鎖定閾值”設置配置為足夠高的值，以便讓用戶可以意外輸錯密碼若干次而不將自己鎖定在帳戶外，同時確保強力密碼攻擊仍會鎖定帳戶。這種情況下，將無效登錄嘗試設置為一個較高的值就能夠確保足夠的安全性和可接受的可用性。如上所述，此設置值可以避免意外的帳戶鎖定并降低技術(shù)支持工作量，但不能防止 DoS 攻擊。

　　在高安全級環(huán)境下，本指南建議您將該值設置為 10 次無效登錄嘗試。

　　復位帳戶鎖定計數(shù)器

　　表 11：設置

域成員默認設置 舊客戶端 企業(yè)客戶端 高安全級

　　未定義 30 分鐘 30 分鐘 15 分鐘

　　“復位帳戶鎖定計數(shù)器”設置決定了“帳戶鎖定閾值”復位為 0 以及帳戶被解鎖之前所必須經(jīng)過的時間長度。因此，如果定義了“帳戶鎖定閾值”，則此復位時間必須小于或等于“帳戶鎖定時間”的值。

　　與按本指南其他部分配置的其他值相結(jié)合，保留此設置的默認值，或者將值配置為一個太長的時間間隔，都會使您的環(huán)境易于遭受帳戶鎖定 DoS 攻擊。如果沒有復位帳戶鎖定的策略，管理員必須手動解鎖所有帳戶。相反，如果為此設置配置了合理的時間值，用戶將會被鎖定一段固定的時間，然后所有帳戶都會自動解鎖。因此，建議的設置值 30 分鐘所定義的時間段是用戶在無需求助幫助臺的情況下最有可能接受的。如果保留此設置的默認值，但同時按照建議的方式更改了其他設置，則保留此設置的默認值只會使帳戶鎖定 DoS 更易得逞。降低此級別會減少拒絕服務 (DoS) 攻擊過程中操作所消耗的資源量。在 DoS 攻擊中，攻擊者對組織中的所有用戶進行的惡意登錄嘗試多次失敗后，導致這些用戶的帳戶被鎖定。

　　在高安全級環(huán)境下，本指南建議您將該值設置為 15 分鐘。

Kerberos 策略

　　Kerberos 策略用于域用戶帳戶。這些策略確定與 Kerberos 版本 5 協(xié)議相關(guān)的設置，例如票證壽命和強制。本地計算機策略中不存在 Kerberos 策略。減少 Kerberos 票證的壽命會降低攻擊者盜取密碼并冒充合法用戶帳戶的風險。但是，保持這些策略也會增加授權(quán)的開銷。在大多數(shù)環(huán)境中，不應更改這些策略的默認值。Kerberos 設置被包括在默認域策略中并在該策略中強制，因此，本指南所附帶的安全模板中并不包含它們。

　　本指南不提供對默認 Kerberos 策略的任何更改。有關(guān)這些設置的詳細信息，請參閱附加指南“Threats and Countermeasures:Security Settings in Windows Server 2003 and Windows XP(英文)。”

安全選項

　　必須在默認域策略中定義帳戶策略，它們是由組成域的域控制器強制的。域控制器始終從默認域策略 GPO 獲取帳戶策略，即使對包含域控制器的 OU 應用了其他帳戶策略。

　　在安全選項中有兩個策略，它們的行為類似于帳戶策略，應當考慮在域級別應用它們。可以在下表中配置域組策略值，其位置為：

　　計算機配置\Windows 設置\安全設置\本地策略\安全選項

　　Microsoft 網(wǎng)絡服務器:當?shù)卿洉r間用完時自動注銷用戶

　　表 12：設置

　　域成員默認設置 舊客戶端 企業(yè)客戶端 高安全級

　　未定義 啟用 啟用 啟用

　　“Microsoft 網(wǎng)絡服務器：當?shù)卿洉r間用完時自動注銷用戶”安全設置確定在超過用戶帳戶的有效登錄時間后，是否斷開連接到本地計算機的用戶。此設置影響服務器消息塊 (SMB) 組件。啟用此策略后，將使客戶端與 SMB 服務的會話在超過客戶端登錄時間后被強行斷開。如果禁用此策略，則允許已建立的客戶端會話在超過客戶端登錄時間后繼續(xù)進行。啟用此設置后，應確保也啟用了“網(wǎng)絡安全：在超過登錄時間后強制注銷在超過登錄時間后強制注銷”。

　　如果您的組織已經(jīng)為用戶配置了登錄時間，那么啟用此策略很有意義，否則，應當在超過登錄時間后就不能訪問網(wǎng)絡資源的用戶實際上將能夠利用在允許的時間內(nèi)建立的會話來繼續(xù)使用那些資源。

　　如果未在組織中使用登錄時間，則啟用此設置沒有任何影響。如果使用了登錄時間，則現(xiàn)有用戶會話將在超過登錄時間后被強行終止。

　　網(wǎng)絡訪問：允許匿名 SID/名稱轉(zhuǎn)換

　　表 13：設置

　　域成員默認設置 舊客戶端 企業(yè)客戶端 高安全級

　　未定義 禁用 禁用 禁用

　　“網(wǎng)絡訪問：允許匿名 SID/名稱轉(zhuǎn)換”設置確定匿名用戶是否可以請求另一用戶的 SID。

　　如果對域控制器啟用此設置，則知道管理員的 SID 屬性的用戶將可以與也啟用了此策略的計算機進行通訊，并使用該 SID 獲取管理員的名稱。然后，此人可以使用帳戶名啟動密碼猜測攻擊。成員計算機的默認設置為“禁用”，因此這對它們沒有影響。但是，域控制器的默認設置為“啟用”。禁用此設置會導致舊系統(tǒng)無法與基于 Windows Server 2003 域進行通訊，這樣的域如：

　　?基于 Microsoft Windows NT 4.0 的遠程訪問服務服務器。

　　?當 IIS 上的 Web 應用程序配置為允許基本身份驗證并同時禁用匿名訪問時，內(nèi)置的來賓用戶帳戶將不能訪問該 Web 應用程序。另外，如果將內(nèi)置的來賓用戶帳戶重命名為另一名稱，將無法使用新名稱訪問 Web 應用程序。

　　?在位于 Windows NT 3.x 域或 Windows NT 4.0 域中的基于 Windows 2000 的計算機上運行的遠程訪問服務服務器。

　　網(wǎng)絡安全：在超過登錄時間后強制注銷

　　表 14：設置

　　域成員默認設置 舊客戶端 企業(yè)客戶端 高安全級

　　禁用 啟用 啟用 啟用

　　“網(wǎng)絡安全：在超過登錄時間后強制注銷”設置確定在超過用戶帳戶的有效登錄時間后是否斷開連接到本地計算機的用戶。此設置影響 SMB 組件。

　　啟用此策略可以在超過客戶端登錄時間后強制斷開客戶端與 SMB 服務器的會話，用戶在他或她計劃中的下一次訪問時間之前將無法登錄到系統(tǒng)。禁用此策略會在超過客戶端的登錄時間后保留已建立的客戶端會話。要影響域帳戶，必須在默認域策略中定義此設置。

小結(jié)

　　在重新審視目錄林、域以及組織單元 (OU) 的設計，以確保環(huán)境的安全時，有些設計方面的注意事項需要考慮到。

　　研究和記錄組織的所有特定的自主和獨立要求很重要。行政自主、運營獨立以及法律或管理獨立都是考慮復雜目錄林設計的有效理由。

　　了解控制服務管理員的方法也很重要。惡意的服務管理員會給組織帶來巨大的風險。在較低的級別上，惡意的域管理員可以訪問目錄林中所有域的數(shù)據(jù)。

　　雖然更改組織中的目錄林或域的設計可能不容易，但對企業(yè)的一些安全風險進行補救是必要的。同時，根據(jù)服務管理員和數(shù)據(jù)管理員的需要對組織中的 OU 部署進行規(guī)劃也很重要。本模塊詳細介紹了創(chuàng)建一種 OU 模型的過程，該 OU 模型支持使用 GPO 進行對企業(yè)中不同服務器角色的當前管理。

　　最后，本模塊指出了重新審視組織中所有的域級設置的重要性。只能為每個域配置一組密碼、帳戶鎖定以及 Kerberos 版本 5 身份驗證協(xié)議策略。其他密碼和帳戶鎖定只會對成員服務器上的本地帳戶產(chǎn)生影響。應當認真考慮對將應用于域中的所有成員服務器的設置的配置，并確保這些設置能為整個組織提供足夠的安全級別。

　　其他信息

　　以下是在發(fā)布本指南時可以得到的最新信息源，其主題與創(chuàng)建域基礎結(jié)構(gòu)和 Windows Server 2003 密切相關(guān)。

　　有關(guān) Windows 2000、Windows XP 以及 Windows Server 2003 的帳戶和本地策略的更多信息，請參閱： http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsnetserver/proddocs/server/sag_sceacctpols.asp(英文)。

　　有關(guān) Microsoft 上安全和隱私的更多信息，請參閱： http://www.microsoft.com/security。

　　有關(guān)十條永恒安全法則的信息，請參閱： http://www.microsoft.com/technet/treeview/default.asp?url=/technet/columns/security/essays/10imlaws.asp(英文)。

　　有關(guān)委派 Active Directory 中的管理權(quán)限的設計事項的信息，請參閱： http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ad/windows2000/plan/addeladm.asp(英文)。

　　有關(guān)配置時間服務器的信息，請參閱Microsoft 知識庫文章“How to Configure an Authoritative Time Server in Windows 2000”，位于：

　　有關(guān)網(wǎng)絡訪問和允許匿名 SID/名稱 轉(zhuǎn)換的信息，請參閱：

　　http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/server/623.asp(英文)。

　　有關(guān)網(wǎng)絡安全和在超過登錄時間后強制注銷的信息，請參閱：

　　http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/server/566.asp(英文).

　　當匿名訪問被禁用時來賓用戶帳戶不可用

　　http://support.microsoft.com/default.aspx?scid=kb;en-us;251171(英文)。

配置Windows 2003環(huán)境中的域基礎結(jié)構(gòu)