Active Directory域基礎結構配置三
繼上篇文章Active Directory域基礎結構配置二之后,本文的Active Directory域基礎結構配置三由下文所述:
帳戶鎖定策略
帳戶鎖定策略是一項 Active Directory 安全功能,它在一個指定時間段內多次登錄嘗試失敗后鎖定用戶帳戶。允許的嘗試次數和時間段基于為安全策略鎖定設置配置的值。用戶不能登錄到鎖定的帳戶。域控制器跟蹤登錄嘗試,而且服務器軟件可以配置為通過在預設時間段禁用帳戶來響應此類潛在攻擊。
在 Active Directory 域中配置帳戶鎖定策略時,管理員可以為嘗試和時間段變量設置任何值。但是,如果“復位帳戶鎖定計數器”設置的值大于“帳戶鎖定時間”設置的值,則域控制器自動將“帳戶鎖定時間”設置的值調整為與“復位帳戶鎖定計數器”設置相同的值。
另外,如果“帳戶鎖定時間”設置的值比為“復位帳戶鎖定計數器”設置配置的值低,則域控制器自動將“復位帳戶鎖定計數器”的值調整為與“帳戶鎖定時間”設置相同的值。因此,如果定義了“帳戶鎖定時間”設置的值,則“復位帳戶鎖定計數器”設置的值必須小于或等于為“帳戶鎖定時間”設置所配置的值。
域控制器執行此操作,以避免與安全策略中的設置值沖突。如果管理員將“復位帳戶鎖定計數器”設置的值配置為比“帳戶鎖定時間”設置的值大,則為“帳戶鎖定時間”設置配置的值的實施將首先過期,因此用戶可以登錄回網絡上。但是,“復位帳戶鎖定計數器”設置將繼續計數。因此“帳戶鎖定閾值”設置將保留最大值( 3 次無效登錄),用戶將無法登錄。
為了避免此情況,域控制器將“復位帳戶鎖定計數器”設置的值自動重置為與“帳戶鎖定時間”設置的值相等。 這些安全策略設置有助于防止攻擊者猜測用戶密碼,并且會降低對網絡環境的攻擊成功的可能性。可以在組策略對象編輯器中以下位置的域組策略中配置下表中的值: 計算機配置\Windows 設置\安全設置\帳戶策略\帳戶鎖定策略 下表包含對本指南中定義的兩種安全環境的帳戶鎖定策略建議。
帳戶鎖定時間
“帳戶鎖定時間”設置確定在未鎖定帳戶且用戶可以嘗試再次登錄之前所必須經歷的時間長度。此設置通過指定鎖定帳戶保持不可用的分鐘數來執行此操作。如果“帳戶鎖定時間”設置的值配置為 0,則鎖定的帳戶將保持鎖定,直到管理員將它們解鎖。此設置的 Windows XP 默認值為“沒有定義”。
為了減少幫助臺支持呼叫的次數,同時提供安全的基礎結構,對于本指南中定義的兩種環境,將“帳戶鎖定時間”設置的值配置為“30 分鐘”。
將此設置的值配置為永不自動解鎖似乎是一個好主意,但這樣做會增加組織中的幫助臺為了解鎖不小心鎖定的帳戶而收到的呼叫的次數。對于每個鎖定級別,將此設置的值配置為 30 分鐘可以減少“拒絕服務 (DoS)”攻擊的機會。此設置值還使用戶在帳戶鎖定時有機會在 30 分鐘內再次登錄,這是在無需求助于幫助臺的情況下他們最可能接受的時間段。
帳戶鎖定閾值
“帳戶鎖定閾值”設置確定用戶在帳戶鎖定之前可以嘗試登錄帳戶的次數。
授權用戶將自己鎖定在帳戶外的原因可能有:輸錯密碼或記錯密碼,或者在計算機上更改了密碼而又登錄到其他計算機。帶有錯誤密碼的計算機連續嘗試對用戶進行身份驗證,由于它用于身份驗證的密碼不正確,導致用戶帳戶最終鎖定。對于只使用運行 Windows Server 2003 或更早版本的域控制器的組織,不存在此問題。為了避免鎖定授權用戶,請將帳戶鎖定閾值設置為較高的數字。此設置的默認值為“0 次無效登錄”。
對于本指南中定義的兩種環境,將“帳戶鎖定閾值”的值配置為“50 次無效登錄”。 由于無論是否配置此設置的值都會存在漏洞,所以,為這些可能性中的每種可能性定義了獨特措施。您的組織應該根據識別的威脅和正在嘗試降低的風險來在兩者之間做出平衡。
有兩個選項可用于此設置。 將“帳戶鎖定閾值”的值配置為“0”可以確保帳戶不會鎖定。此設置值將避免旨在鎖定組織中的帳戶的 DoS 攻擊。它還可以減少幫助臺呼叫次數,因為用戶不會將自己意外地鎖定在帳戶外。由于此設置不能避免強力攻擊,所以,只有當明確符合下列兩個條件時才將它配置為比 0 大的值 密碼策略強制所有用戶使用由 8 個或更多字符組成的復雜密碼。 強健的審核機制已經就位,以便當組織環境中發生一系列帳戶鎖定時提醒管理員。例如,審核解決方案應該監視安全事件 539(此事件為登錄失敗)。此事件意味著當嘗試登錄時鎖定帳戶。
如果不符合上述條件,則第二個選項為: 將“帳戶鎖定閾值”設置配置為足夠高的值,以便讓用戶可以意外輸錯密碼若干次而不會將自己鎖定在帳戶外,同時確保強力密碼攻擊仍會鎖定帳戶。在這種情況下,將此設置的值配置為一定次數(例如 3 到 5 次)的無效登錄可以確保適當的安全性和可接受的可用性。此設置值將避免意外的帳戶鎖定和減少幫助臺呼叫次數,但不能如上所述避免 DoS 攻擊。
復位帳戶鎖定計數器
“復位帳戶鎖定計數器”設置確定“帳戶鎖定閾值”重置為零之前的時間長度。此設置的默認值為“沒有定義”。如果定義了“帳戶鎖定閾值”,則此重置時間必須小于或等于“帳戶鎖定時間”設置的值。 對于本指南中定義的兩種環境,將“復位帳戶鎖定計數器”設置配置為“30 分鐘之后”。
將此設置保留為其默認值,或者以很長的間隔配置此值,都會使環境面臨 DoS 攻擊的威脅。攻擊者對組織中的所有用戶惡意地進行大量失敗登錄,如上所述鎖定他們的帳戶。如果沒有確定策略來重置帳戶鎖定,則管理員必須手動解鎖所有帳戶。
反過來,如果為此設置配置了合理的時間值,在所有帳戶自動解鎖之前用戶只鎖定一段已設置的時間。因此,建議的設置值 30 分鐘定義了用戶在無需求助于幫助臺的情況下最可能接受的時間段。
用戶權限分配
模塊 3“Windows XP 客戶端安全設置”中詳細介紹了用戶權限分配。但是,應該對所有域控制器設置“域中添加工作站”用戶權限,本模塊中討論了其原因。“Windows 2003 Server Security Guide”(英文)的模塊 3 和 4 中介紹了有關成員服務器和域控制器設置的其他信息。
域中添加工作站
“域中添加工作站”用戶權限允許用戶向特定域中添加計算機。為了使此權限生效,必須將它作為域的默認域控制器策略的一部分分配給用戶。授予了此權限的用戶可以向域中最多添加 10 個工作站。授予了 Active Directory 中 OU 或計算機容器的“創建計算機對象”權限的用戶還可以將計算機加入域。授予了此權限的用戶可以向域中添加不限數量的計算機,無論他們是否已被分配“域中添加工作站”用戶權限。
默認情況下,“Authenticated Users”組中的所有用戶能夠向 Active Directory 域中最多添加 10 個計算機帳戶。這些新計算機帳戶是在計算機容器中創建的。 在 Active Directory 域中,每個計算機帳戶是一個完整的安全主體,它能夠對域資源進行身份驗證和訪問。某些組織想要限制 Active Directory 環境中的計算機數量,以便他們可以始終跟蹤、生成和管理它們。
允許用戶向域中添加工作站會妨礙此努力。它還為用戶提供了執行更難跟蹤的活動的途徑,因為他們可以創建其他未授權的域計算機。 出于這些原因,在本指南中定義的兩種環境中,“域中添加工作站”用戶權限只授予給“Administrators”組。
安全設置
帳戶策略必須在默認域策略中定義,且必須由組成域的域控制器強制執行。域控制器始終從默認域策略 GPO 獲取帳戶策略,即使存在對包含域控制器的 OU 應用的其他帳戶策略。
在安全選項中有兩個策略,它們也像域級別要考慮的帳戶策略那樣發揮作用。可以在組策略對象編輯器中的以下位置配置下表中的域組策略值: 計算機配置\Windows 設置\安全設置\本地策略\安全選項 Microsoft 網絡服務器:當登錄時間用完時自動注銷用戶
“Microsoft 網絡服務器:當登錄時間用完時自動注銷用戶”設置確定在超過用戶帳戶的有效登錄時間后,是否斷開連接到本地計算機的用戶。此設置影響服務器消息塊 (SMB) 組件。啟用此策略后,它使客戶端與 SMB 服務的會話在超過客戶端登錄時間后強制斷開。如果禁用此策略,則允許已建立的客戶端會話在超過客戶端登錄時間后繼續進行。啟用此設置可以確保也啟用了“網絡安全:在超過登錄時間后強制注銷”設置。
如果組織已經為用戶配置了登錄時間,則很有必要啟用此策略。否則,已假設無法在超出登錄時間后訪問網絡資源的用戶,實際上可以通過在允許的時間中建立的會話繼續使用這些資源。 如果在組織中未使用登錄時間,則啟用此設置將沒有影響。如果使用了登錄時間,則當超過現有用戶的登錄時間后將強制終止現有用戶會話。
希望本系列Active Directory域基礎結構配置內容能夠對讀者有所幫助。
【編輯推薦】
