继上篇文章Active Directory域基础结构配置二之后,本文的Active Directory域基础结构配置三由下文所述:
帐户锁定策略
帐户锁定策略是一项 Active Directory 安全功能,它在一个指定时间段内多次登录尝试失败后锁定用户帐户。允许的尝试次数和时间段基于为安全策略锁定设置配置的值。用户不能登录到锁定的帐户。域控制器跟踪登录尝试,而且服务器软件可以配置为通过在预设时间段禁用帐户来响应此类潜在攻击。
在 Active Directory 域中配置帐户锁定策略时,管理员可以为尝试和时间段变量设置任何值。但是,如果“复位帐户锁定计数器”设置的值大于“帐户锁定时间”设置的值,则域控制器自动将“帐户锁定时间”设置的值调整为与“复位帐户锁定计数器”设置相同的值。
另外,如果“帐户锁定时间”设置的值比为“复位帐户锁定计数器”设置配置的值低,则域控制器自动将“复位帐户锁定计数器”的值调整为与“帐户锁定时间”设置相同的值。因此,如果定义了“帐户锁定时间”设置的值,则“复位帐户锁定计数器”设置的值必须小于或等于为“帐户锁定时间”设置所配置的值。
域控制器执行此操作,以避免与安全策略中的设置值冲突。如果管理员将“复位帐户锁定计数器”设置的值配置为比“帐户锁定时间”设置的值大,则为“帐户锁定时间”设置配置的值的实施将首先过期,因此用户可以登录回网络上。但是,“复位帐户锁定计数器”设置将继续计数。因此“帐户锁定阈值”设置将保留最大值( 3 次无效登录),用户将无法登录。
为了避免此情况,域控制器将“复位帐户锁定计数器”设置的值自动重置为与“帐户锁定时间”设置的值相等。 这些安全策略设置有助于防止攻击者猜测用户密码,并且会降低对网络环境的攻击成功的可能性。可以在组策略对象编辑器中以下位置的域组策略中配置下表中的值: 计算机配置\Windows 设置\安全设置\帐户策略\帐户锁定策略 下表包含对本指南中定义的两种安全环境的帐户锁定策略建议。
帐户锁定时间
“帐户锁定时间”设置确定在未锁定帐户且用户可以尝试再次登录之前所必须经历的时间长度。此设置通过指定锁定帐户保持不可用的分钟数来执行此操作。如果“帐户锁定时间”设置的值配置为 0,则锁定的帐户将保持锁定,直到管理员将它们解锁。此设置的 Windows XP 默认值为“没有定义”。
为了减少帮助台支持呼叫的次数,同时提供安全的基础结构,对于本指南中定义的两种环境,将“帐户锁定时间”设置的值配置为“30 分钟”。
将此设置的值配置为永不自动解锁似乎是一个好主意,但这样做会增加组织中的帮助台为了解锁不小心锁定的帐户而收到的呼叫的次数。对于每个锁定级别,将此设置的值配置为 30 分钟可以减少“拒绝服务 (DoS)”攻击的机会。此设置值还使用户在帐户锁定时有机会在 30 分钟内再次登录,这是在无需求助于帮助台的情况下他们最可能接受的时间段。
帐户锁定阈值
“帐户锁定阈值”设置确定用户在帐户锁定之前可以尝试登录帐户的次数。
授权用户将自己锁定在帐户外的原因可能有:输错密码或记错密码,或者在计算机上更改了密码而又登录到其他计算机。带有错误密码的计算机连续尝试对用户进行身份验证,由于它用于身份验证的密码不正确,导致用户帐户最终锁定。对于只使用运行 Windows Server 2003 或更早版本的域控制器的组织,不存在此问题。为了避免锁定授权用户,请将帐户锁定阈值设置为较高的数字。此设置的默认值为“0 次无效登录”。
对于本指南中定义的两种环境,将“帐户锁定阈值”的值配置为“50 次无效登录”。 由于无论是否配置此设置的值都会存在漏洞,所以,为这些可能性中的每种可能性定义了独特措施。您的组织应该根据识别的威胁和正在尝试降低的风险来在两者之间做出平衡。
有两个选项可用于此设置。 将“帐户锁定阈值”的值配置为“0”可以确保帐户不会锁定。此设置值将避免旨在锁定组织中的帐户的 DoS 攻击。它还可以减少帮助台呼叫次数,因为用户不会将自己意外地锁定在帐户外。由于此设置不能避免强力攻击,所以,只有当明确符合下列两个条件时才将它配置为比 0 大的值 密码策略强制所有用户使用由 8 个或更多字符组成的复杂密码。 强健的审核机制已经就位,以便当组织环境中发生一系列帐户锁定时提醒管理员。例如,审核解决方案应该监视安全事件 539(此事件为登录失败)。此事件意味着当尝试登录时锁定帐户。
如果不符合上述条件,则第二个选项为: 将“帐户锁定阈值”设置配置为足够高的值,以便让用户可以意外输错密码若干次而不会将自己锁定在帐户外,同时确保强力密码攻击仍会锁定帐户。在这种情况下,将此设置的值配置为一定次数(例如 3 到 5 次)的无效登录可以确保适当的安全性和可接受的可用性。此设置值将避免意外的帐户锁定和减少帮助台呼叫次数,但不能如上所述避免 DoS 攻击。
复位帐户锁定计数器
“复位帐户锁定计数器”设置确定“帐户锁定阈值”重置为零之前的时间长度。此设置的默认值为“没有定义”。如果定义了“帐户锁定阈值”,则此重置时间必须小于或等于“帐户锁定时间”设置的值。 对于本指南中定义的两种环境,将“复位帐户锁定计数器”设置配置为“30 分钟之后”。
将此设置保留为其默认值,或者以很长的间隔配置此值,都会使环境面临 DoS 攻击的威胁。攻击者对组织中的所有用户恶意地进行大量失败登录,如上所述锁定他们的帐户。如果没有确定策略来重置帐户锁定,则管理员必须手动解锁所有帐户。
反过来,如果为此设置配置了合理的时间值,在所有帐户自动解锁之前用户只锁定一段已设置的时间。因此,建议的设置值 30 分钟定义了用户在无需求助于帮助台的情况下最可能接受的时间段。
用户权限分配
模块 3“Windows XP 客户端安全设置”中详细介绍了用户权限分配。但是,应该对所有域控制器设置“域中添加工作站”用户权限,本模块中讨论了其原因。“Windows 2003 Server Security Guide”(英文)的模块 3 和 4 中介绍了有关成员服务器和域控制器设置的其他信息。
域中添加工作站
“域中添加工作站”用户权限允许用户向特定域中添加计算机。为了使此权限生效,必须将它作为域的默认域控制器策略的一部分分配给用户。授予了此权限的用户可以向域中最多添加 10 个工作站。授予了 Active Directory 中 OU 或计算机容器的“创建计算机对象”权限的用户还可以将计算机加入域。授予了此权限的用户可以向域中添加不限数量的计算机,无论他们是否已被分配“域中添加工作站”用户权限。
默认情况下,“Authenticated Users”组中的所有用户能够向 Active Directory 域中最多添加 10 个计算机帐户。这些新计算机帐户是在计算机容器中创建的。 在 Active Directory 域中,每个计算机帐户是一个完整的安全主体,它能够对域资源进行身份验证和访问。某些组织想要限制 Active Directory 环境中的计算机数量,以便他们可以始终跟踪、生成和管理它们。
允许用户向域中添加工作站会妨碍此努力。它还为用户提供了执行更难跟踪的活动的途径,因为他们可以创建其他未授权的域计算机。 出于这些原因,在本指南中定义的两种环境中,“域中添加工作站”用户权限只授予给“Administrators”组。
安全设置
帐户策略必须在默认域策略中定义,且必须由组成域的域控制器强制执行。域控制器始终从默认域策略 GPO 获取帐户策略,即使存在对包含域控制器的 OU 应用的其他帐户策略。
在安全选项中有两个策略,它们也像域级别要考虑的帐户策略那样发挥作用。可以在组策略对象编辑器中的以下位置配置下表中的域组策略值: 计算机配置\Windows 设置\安全设置\本地策略\安全选项 Microsoft 网络服务器:当登录时间用完时自动注销用户
“Microsoft 网络服务器:当登录时间用完时自动注销用户”设置确定在超过用户帐户的有效登录时间后,是否断开连接到本地计算机的用户。此设置影响服务器消息块 (SMB) 组件。启用此策略后,它使客户端与 SMB 服务的会话在超过客户端登录时间后强制断开。如果禁用此策略,则允许已建立的客户端会话在超过客户端登录时间后继续进行。启用此设置可以确保也启用了“网络安全:在超过登录时间后强制注销”设置。
如果组织已经为用户配置了登录时间,则很有必要启用此策略。否则,已假设无法在超出登录时间后访问网络资源的用户,实际上可以通过在允许的时间中建立的会话继续使用这些资源。 如果在组织中未使用登录时间,则启用此设置将没有影响。如果使用了登录时间,则当超过现有用户的登录时间后将强制终止现有用户会话。
希望本系列Active Directory域基础结构配置内容能够对读者有所帮助。
【编辑推荐】
