可在域級(jí)別上應(yīng)用所有的帳戶策略組策略設(shè)置。在帳戶策略、帳戶鎖定策略和 Kerberos 策略內(nèi)置的默認(rèn)域控制器中提供了默認(rèn)值。請記住，在 Microsoft Active Directory 中設(shè)置這些策略時(shí)，Microsoft Windows 僅允許一個(gè)域帳戶策略：應(yīng)用于域樹根域的帳戶策略。域帳戶策略將成為屬于該域的任何 Windows 系統(tǒng)的默認(rèn)帳戶策略。此規(guī)則的唯一例外情況是，當(dāng)為組織單位定義了另外一個(gè)帳戶策略時(shí)。組織單位 (OU) 的帳戶策略設(shè)置將影響到該 OU 中任何計(jì)算機(jī)上的本地策略。本模塊將通篇討論其中每種類型的設(shè)置。

　　帳戶策略

　　帳戶策略是在域級(jí)別上實(shí)現(xiàn)的。Microsoft Windows Server 2003 域必須有一個(gè)針對該域的密碼策略、帳戶鎖定策略和 Kerberos V5 身份驗(yàn)證協(xié)議。在 Active Directory 中任何其他級(jí)別上設(shè)置這些策略將只會(huì)影響到成員服務(wù)器上的本地帳戶。如果有要求單獨(dú)密碼策略的組，應(yīng)根據(jù)任何其他要求將這些組分段到另一個(gè)域或目錄林。

　　在 Windows 和許多其他操作系統(tǒng)中，驗(yàn)證用戶身份最常用的方法是使用秘密通行碼或密碼。確保網(wǎng)絡(luò)環(huán)境的安全要求所有用戶都使用強(qiáng)密碼。這有助于避免未經(jīng)授權(quán)的用戶猜測弱密碼所帶來的威脅，他們通過手動(dòng)的方法或工具來獲取已泄密用戶帳戶的憑據(jù)。這一點(diǎn)對于管理帳戶尤其有用。隨本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”（英文）為默認(rèn)設(shè)置編制了文檔。請單擊此處下載。

　　定期更改的復(fù)雜密碼減少了密碼攻擊成功的可能性。密碼策略設(shè)置控制密碼的復(fù)雜性和壽命。本部分將討論每個(gè)特定的密碼策略帳戶設(shè)置。

　　注意：對于域帳戶，每個(gè)域只能有一個(gè)帳戶策略。必須在默認(rèn)域策略或鏈接到域根的新策略中定義帳戶策略，并且?guī)舨呗砸獌?yōu)先于由組成該域的域控制器強(qiáng)制實(shí)施的默認(rèn)域策略。域控制器總是從域的根目錄中獲取帳戶策略，即使存在應(yīng)用于包含域控制器的 OU 的其他帳戶策略。域的根目錄是該域的頂層容器，不要與目錄林中的根域相混淆；目錄林中的根域是該目錄林中的頂層域。

　　默認(rèn)情況下，加入域的工作站和服務(wù)器（即域成員計(jì)算機(jī)）還為其本地帳戶接收相同的帳戶策略。但是，通過為包含成員計(jì)算機(jī)的 OU 定義帳戶策略，可以使成員計(jì)算機(jī)的本地帳戶策略區(qū)別于域帳戶策略。

　　可以在組策略對象編輯器中的以下位置配置帳戶策略設(shè)置：

　　計(jì)算機(jī)配置\Windows 設(shè)置\安全設(shè)置\帳戶策略\密碼策略

　　強(qiáng)制密碼歷史

　　“強(qiáng)制密碼歷史”設(shè)置確定在重用舊密碼之前必須與用戶帳戶關(guān)聯(lián)的唯一新密碼的數(shù)量。

　　該組策略設(shè)置可能的值是：

　　用戶指定的值，在 0 至 24 之間

　　沒有定義

　　漏洞

　　密碼重用對于任何組織來說都是需要考慮的重要問題。許多用戶都希望在很長時(shí)間以后使用或重用相同的帳戶密碼。特定帳戶使用相同密碼的時(shí)間越長，攻擊者能夠通過暴力攻擊確定密碼的機(jī)會(huì)就越大。如果要求用戶更改其密碼，但卻無法阻止他們使用舊密碼，或允許他們持續(xù)重用少數(shù)幾個(gè)密碼，則會(huì)大大降低一個(gè)不錯(cuò)的密碼策略的有效性。

　　為此設(shè)置指定一個(gè)較低的數(shù)值將使用戶能夠持續(xù)重用少數(shù)幾個(gè)相同的密碼。如果還沒有配置“密碼最短使用期限”設(shè)置，用戶可以根據(jù)需要連續(xù)多次更改其密碼，以便重用其原始密碼。

　　對策

　　將“強(qiáng)制密碼歷史”設(shè)置成最大值“24”。將此值配置為最大設(shè)置有助于確保將因密碼重用而導(dǎo)致的漏洞減至最少。

　　由于此設(shè)置在組織內(nèi)有效，因此不允許在配置“密碼最短使用期限”后立即更改密碼。要確定將此值設(shè)置為何種級(jí)別，應(yīng)綜合考慮合理的密碼最長使用期限和組織中所有用戶的合理密碼更改間隔要求。

　　潛在影響

　　此設(shè)置的主要影響在于，每當(dāng)要求用戶更改舊密碼時(shí)，用戶都必須提供新密碼。由于要求用戶將其密碼更改為新的唯一值，用戶會(huì)為了避免遺忘而寫下自己的密碼，這就帶來了更大的風(fēng)險(xiǎn)。

　　密碼最長使用期限

　　“密碼最長使用期限”設(shè)置確定了系統(tǒng)要求用戶更改密碼之前可以使用密碼的天數(shù)。

　　此組策略設(shè)置可能的值是：

　　•用戶指定的天數(shù)，在 0 至 999 之間

　　漏洞

　　任何密碼都可以被破解。憑借當(dāng)前的計(jì)算能力，甚至是破解最復(fù)雜的密碼也只是時(shí)間和處理能力的問題。下列某些設(shè)置可以增加在合理時(shí)間內(nèi)破解密碼的難度。但是，經(jīng)常在環(huán)境中更改密碼有助于降低有效密碼被破解的風(fēng)險(xiǎn)，并可以降低有人使用不正當(dāng)手段獲取密碼的風(fēng)險(xiǎn)。可以配置密碼最長使用期限，以便從不要求用戶更改密碼，但這樣做將導(dǎo)致相當(dāng)大的安全風(fēng)險(xiǎn)。

　　對策

　　將“密碼最長使用期限”的天數(shù)設(shè)置在“30”和“60”之間。通過將天數(shù)設(shè)置為“0”，可以將“密碼最長使用期限”設(shè)置配置為從不過期。

　　潛在影響

　　密碼最長使用期限的值設(shè)置得太低將要求用戶非常頻繁地更改其密碼。這實(shí)際上可能降低了組織的安全性，因?yàn)橛脩舾赡転榱吮苊膺z忘而寫下自己的密碼。將此值設(shè)置太高也會(huì)降低組織的安全性，因?yàn)檫@可以使?jié)撛诠粽哂懈浞值臅r(shí)間來破解用戶的密碼。

　　密碼最短使用期限

　　“密碼最短使用期限”設(shè)置確定了用戶可以更改密碼之前必須使用密碼的天數(shù)密碼最短使用期限的值必須小于密碼最長使用期限的值。

　　如果希望“強(qiáng)制密碼歷史”設(shè)置有效，應(yīng)將“密碼最短使用期限”設(shè)置為大于 0 的值。如果將“強(qiáng)制密碼歷史”設(shè)置為“0”，用戶則不必選擇新的密碼。如果使用密碼歷史，用戶在更改密碼時(shí)必須輸入新的唯一密碼。

　　此組策略設(shè)置可能的值是：

　　用戶指定的天數(shù)，在 0 至 998 之間

　　沒有定義

　　漏洞

　　如果用戶可以循環(huán)使用一些密碼，直到找到他們所喜歡的舊密碼，則強(qiáng)制用戶定期更改密碼是無效的。將此設(shè)置與“強(qiáng)制密碼歷史”設(shè)置一起使用可以防止發(fā)生這種情況。例如，如果設(shè)置“強(qiáng)制密碼歷史”來確保用戶不能重用其最近用過的 12 個(gè)密碼，并將“密碼最短使用期限”設(shè)置為“0”，則用戶可以通過連續(xù)更改密碼 13 次，以返回到原來使用的密碼。因此，要使“強(qiáng)制密碼歷史”設(shè)置有效，必須將此設(shè)置配置為大于 0。

　　對策

　　將“密碼最短使用期限”的值設(shè)置為“2 天”。將天數(shù)設(shè)置為“0”將允許立即更改密碼，我們不建議這樣做。

　　潛在影響

　　將“密碼最短使用期限”設(shè)置為大于 0 的值時(shí)存在一個(gè)小問題。如果管理員為用戶設(shè)置了一個(gè)密碼，然后希望該用戶更改管理員定義的密碼，則管理員必須選擇“用戶下次登錄時(shí)須更改密碼”復(fù)選框。否則，用戶直到第二天才能更改密碼。

　　最短密碼長度

　　“最短密碼長度”設(shè)置確定可以組成用戶帳戶密碼的最少字符數(shù)。確定組織的最佳密碼長度有許多不同的理論，但是，“通行碼”一詞可能比“密碼”更好。在 Microsoft Windows 2000 及更高版本中，通行碼可以相當(dāng)長，并且可以包括空格。因此，諸如“I want to drink a $5 milkshake”之類的短語都是有效的通行碼，它比由 8 個(gè)或 10 個(gè)隨機(jī)數(shù)字和字母組成的字符串要強(qiáng)大得多，而且更容易記住。

　　此組策略設(shè)置可能的值是：

　　• 用戶指定的數(shù)值，在 0 至 14 之間

　　• 沒有定義

　　漏洞

　　可以執(zhí)行幾種類型的密碼攻擊，以獲取特定用戶帳戶的密碼。這些攻擊類型包括試圖使用常見字詞和短語的詞典攻擊，以及嘗試使用每一種可能的字符組合的暴力攻擊。另外，可通過獲取帳戶數(shù)據(jù)庫并使用破解帳戶和密碼的實(shí)用程序來執(zhí)行攻擊。

　　對策

　　應(yīng)該將“最短密碼長度”的值至少設(shè)置為“8”。如果字符數(shù)設(shè)置為“0”，則不要求使用密碼。

　　在大多數(shù)環(huán)境中都建議使用由 8 個(gè)字符組成的密碼，因?yàn)樗銐蜷L，可提供充分的安全性，同時(shí)也足夠短，便于用戶記憶。此設(shè)置將對暴力攻擊提供足夠的防御能力。提高復(fù)雜性要求將有助于降低詞典攻擊的可能性。下一部分將討論復(fù)雜性要求。

　　潛在影響

　　允許短密碼將會(huì)降低安全性，因?yàn)槭褂脤γ艽a執(zhí)行詞典攻擊或暴力攻擊的工具可以很容易地破解短密碼。要求很長的密碼可能會(huì)造成密碼輸入錯(cuò)誤而導(dǎo)致帳戶鎖定，從而增加了幫助臺(tái)呼叫的次數(shù)。

　　 要求極長的密碼實(shí)際上可能會(huì)降低組織的安全性，因?yàn)橛脩舾锌赡軐懴伦约旱拿艽a以免遺忘。但是，如果教會(huì)用戶使用上述通行碼，用戶應(yīng)該更容易記住這些密碼。

　　密碼必須符合復(fù)雜性要求

　　“密碼必須符合復(fù)雜性要求”設(shè)置確定密碼是否必須符合對強(qiáng)密碼相當(dāng)重要的一系列原則。

　　啟用此策略要求密碼符合下列要求：

　　• 密碼長度至少為 6 個(gè)字符。

　　• 密碼包含下列四類字符中的三類：

　　• 英語大寫字符 (A?Z)

　　• 英語小寫字符 (a?z)

　　• 10 個(gè)基數(shù) (0?9)

　　• 非字母數(shù)字（例如：!、$、# 或 %）

　　• 密碼不得包含三個(gè)或三個(gè)以上來自用戶帳戶名中的字符。如果帳戶名長度低于三個(gè)字符，因?yàn)槊艽a被拒概率過高而不會(huì)執(zhí)行此項(xiàng)檢查。檢查用戶全名時(shí)，有幾個(gè)字符被看作是將名稱分隔成單個(gè)令牌的分隔符，這些分隔符包括：逗號(hào)、句點(diǎn)、短劃線/連字符、下劃線、空格、磅字符和制表符。對于包含三個(gè)或更多字符的每個(gè)令牌，將在密碼中對其進(jìn)行搜索，如果發(fā)現(xiàn)了該令牌，就會(huì)拒絕密碼更改。例如，姓名“Erin M. Hagens”將被拆分為三個(gè)令牌：“Erin”、“M”和“Hagens”。因?yàn)榈诙€(gè)令牌僅包含一個(gè)字符，因而會(huì)將其忽略。因此，該用戶密碼中的任何位置都不能包含“erin”或“hagens”子字符串。所有這些檢查都是區(qū)分大小寫的。

　　這些復(fù)雜性要求在密碼更改或新建密碼時(shí)強(qiáng)制執(zhí)行。

　　不能直接修改 Windows Server 2003 策略中包括的這些規(guī)則。但是，可以創(chuàng)建一個(gè)新版本的 passfilt.dll，以應(yīng)用不同的規(guī)則集。關(guān)于 passfilt.dll 的源代碼，請參閱 Microsoft 知識(shí)庫文章 151082“HOW TO: Password Change Filtering & Notification in Windows NT”，其網(wǎng)址為：http://support.microsoft.com/default.aspx?scid=151082（英文）。

　　此組策略設(shè)置可能的值是：

　　• 啟用

　　• 禁用

　　• 沒有定義

　　漏洞

　　只包含字母數(shù)字字符的密碼非常容易被市場上可以買到的實(shí)用程序所破解。要防止出現(xiàn)這種情況，密碼應(yīng)該包含其他字符和要求。

　　對策

　　將“密碼必須符合復(fù)雜性要求”的值設(shè)置為“啟用”。

　　將此設(shè)置與“最短密碼長度”值為“8”的設(shè)置結(jié)合使用，可確保一個(gè)密碼至少有 218,340,105,584,896 種不同的可能性。這樣就很難使用暴力攻擊，但也并非不可能，如果某個(gè)攻擊者具有足夠的處理能力，能夠每秒測試 100 萬個(gè)密碼，則可以在七天半左右的時(shí)間內(nèi)確定這樣一個(gè)密碼。

　　潛在影響

　　啟用默認(rèn)的 passfilt.dll 可能會(huì)因帳戶鎖定而導(dǎo)致幫助臺(tái)的呼叫次數(shù)增加，因?yàn)橛脩艨赡懿]有使用包含字母表以外的字符的密碼。但此設(shè)置非常靈活，所有用戶都應(yīng)該能夠通過短時(shí)間的學(xué)習(xí)來滿足這些要求。

　　自定義的 passfilt.dll 中包括的其他設(shè)置是使用非上行符。上行符是指按住 Shift 鍵并鍵入任何數(shù)字（1 ? 10）時(shí)鍵入的字符。

　　同時(shí)，使用 Alt 鍵字符組合可大大增加密碼的復(fù)雜性。但是，要求組織中的所有用戶都遵守如此嚴(yán)格的密碼要求可能會(huì)導(dǎo)致用戶不滿，并將導(dǎo)致幫助臺(tái)極度繁忙?？紤]在組織內(nèi)實(shí)現(xiàn)這樣一種要求，即使用 0128 ? 0159 范圍內(nèi)的 Alt 字符作為所有管理員密碼的一部分。此范圍之外的 Alt 字符可表示標(biāo)準(zhǔn)的字母數(shù)字字符，而不會(huì)另外增加密碼的復(fù)雜性。

　　用可還原的加密來存儲(chǔ)密碼（針對域中的所有用戶）

　　“用可還原的加密來存儲(chǔ)密碼（針對域中的所有用戶）”設(shè)置確定 Microsoft Windows Server 2003、Windows 2000 Server、Windows 2000 Professional 和 Windows XP Professional 是否使用可還原的加密來存儲(chǔ)密碼。

　　此策略支持使用需要了解用戶密碼以便進(jìn)行身份驗(yàn)證的協(xié)議的應(yīng)用程序。根據(jù)定義，存儲(chǔ)以可還原方式加密的密碼意味著可以對加密的密碼進(jìn)行解密。能夠破解這種加密的高水平攻擊者然后可以使用已被破壞的帳戶來登錄到網(wǎng)絡(luò)資源。出于此原因，請永遠(yuǎn)不要啟用此設(shè)置，除非應(yīng)用程序的要求比保護(hù)密碼信息更為重要。

　　使用通過遠(yuǎn)程訪問的 CHAP 身份驗(yàn)證或 Internet 驗(yàn)證服務(wù) (IAS) 時(shí)要求啟用此設(shè)置。質(zhì)詢握手身份驗(yàn)證協(xié)議 (CHAP) 是 Microsoft 遠(yuǎn)程訪問和網(wǎng)絡(luò)連接使用的一種身份驗(yàn)證協(xié)議。Microsoft Internet 信息服務(wù) (IIS) 的摘要式驗(yàn)證也要求啟用此設(shè)置。

　　此組策略設(shè)置可能的值是：

　　• 啟用

　　• 禁用

　　• 沒有定義

　　漏洞

　　此設(shè)置確定 Windows Server 2003 是否以更容易遭到暴力攻擊的一種較弱格式來存儲(chǔ)密碼。

　　對策

　　將“用可還原的加密來存儲(chǔ)密碼（針對域中的所有用戶）”的值設(shè)置為“禁用”。

　　潛在影響

　　使用通過遠(yuǎn)程訪問的 CHAP 身份驗(yàn)證協(xié)議或 IAS 服務(wù)。IIS 中的摘要式身份驗(yàn)證要求將此值設(shè)置為“禁用”。將使用組策略逐個(gè)應(yīng)用到每位用戶是一種極其危險(xiǎn)的設(shè)置，因?yàn)樗笤?Active Directory 用戶和計(jì)算機(jī)管理控制臺(tái)中打開適當(dāng)?shù)挠脩魩魧ο蟆?

　　警告：請永遠(yuǎn)不要啟用此設(shè)置，除非業(yè)務(wù)要求比保護(hù)密碼信息更為重要。

　　帳戶鎖定策略

　　試圖登錄到系統(tǒng)時(shí)多次不成功的密碼嘗試可能表示攻擊者正在以試錯(cuò)法來確定帳戶密碼。Windows Server 2003 跟蹤登錄嘗試，而且可以將操作系統(tǒng)配置為通過在預(yù)設(shè)時(shí)間段內(nèi)禁用帳戶來響應(yīng)這種潛在攻擊。隨本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”（英文）為默認(rèn)設(shè)置編制了文檔。

　　可以在組策略對象編輯器的以下位置配置帳戶鎖定策略設(shè)置：

　　計(jì)算機(jī)配置\Windows 設(shè)置\安全設(shè)置\帳戶策略\帳戶鎖定策略

　　帳戶鎖定時(shí)間

　　“帳戶鎖定時(shí)間”設(shè)置確定在自動(dòng)解鎖之前鎖定帳戶保持鎖定狀態(tài)的時(shí)間。可用范圍為從 1 到 99,999 分鐘。通過將該值設(shè)定為“0”，可以指定在管理員明確解鎖之前鎖定帳戶。如果定義了帳戶鎖定閥值，帳戶鎖定時(shí)間必須大于或等于復(fù)位時(shí)間。

　　此組策略設(shè)置可能的值是：

　　• 用戶定義的值，在 0 至 99,999 分鐘之間

　　• 沒有定義

　　漏洞

　　如果攻擊者濫用“帳戶鎖定閥值”并反復(fù)嘗試登錄到帳戶，則可能產(chǎn)生拒絕服務(wù) (DoS) 攻擊。如果配置“帳戶鎖定閥值”，在失敗嘗試達(dá)到指定次數(shù)之后將鎖定帳戶。如果“帳戶鎖定時(shí)間”設(shè)置為 0，則在管理員手動(dòng)解鎖前帳戶將保持鎖定狀態(tài)。

　　對策

　　將“帳戶鎖定時(shí)間”設(shè)置為“30 分鐘”。要指定該帳戶永不鎖定，請將該值設(shè)置為“0”。

　　潛在影響

　　將此設(shè)置的值配置為永不自動(dòng)解鎖可能看上去是一個(gè)好主意，但這樣做會(huì)增加組織支持專家收到的要求解鎖意外鎖定帳戶的請求的數(shù)目。

　　帳戶鎖定閾值

　　“帳戶鎖定閥值”確定導(dǎo)致用戶帳戶鎖定的登錄嘗試失敗的次數(shù)。在管理員復(fù)位或帳戶鎖定時(shí)間到期之前，不能使用已鎖定的帳戶?？梢詫⒌卿泧L試失敗的次數(shù)設(shè)置在 1 至 999 之間，或者通過將該值設(shè)置為“0”，使帳戶永不鎖定。如果定義了帳戶鎖定閥值，帳戶鎖定時(shí)間必須大于或等于復(fù)位時(shí)間。

　　在使用 Ctrl+Alt+Delete 或受密碼保護(hù)的屏幕保護(hù)程序進(jìn)行鎖定的工作站或成員服務(wù)器上的失敗密碼嘗試，將不作為失敗的登錄嘗試來計(jì)數(shù)，除非啟用了組策略“交互式登錄：要求域控制器身份驗(yàn)證以解鎖工作站”。如果啟用了“交互式登錄：要求域控制器身份驗(yàn)證以解鎖工作站”，則因解鎖工作站而重復(fù)的失敗密碼嘗試次數(shù)將被計(jì)入“帳戶鎖定閥值”。

　　此組策略設(shè)置可能的值是：

　　• 用戶指定的值，在 0 至 999 之間

　　• 沒有定義

　　漏洞

　　密碼攻擊可能利用自動(dòng)化的方法，對任何或所有用戶帳戶嘗試數(shù)千甚至數(shù)百萬種密碼組合。限制可以執(zhí)行的失敗登錄次數(shù)幾乎消除了這種攻擊的有效性。

　　但是，請務(wù)必注意，可能在配置了帳戶鎖定閥值的域上執(zhí)行 DoS 攻擊。惡意攻擊者可編制程序來嘗試對組織中的所有用戶進(jìn)行一系列密碼攻擊。如果嘗試次數(shù)大于帳戶鎖定閥值，則攻擊者有可能鎖定每一個(gè)帳戶。

　　對策

　　由于配置此值或不配置此值時(shí)都存在漏洞，因此要定義兩種不同的對策。任何組織都應(yīng)該根據(jù)識(shí)別的威脅和正在嘗試降低的風(fēng)險(xiǎn)來在兩者之間進(jìn)行權(quán)衡。有兩個(gè)選項(xiàng)可用于此設(shè)置。

　　• 將“帳戶鎖定閥值”設(shè)置為“0”。這可確保帳戶永不鎖定。此設(shè)置可防止故意鎖定全部或一些特定帳戶的 DoS 攻擊。另外，此設(shè)置還有助于減少幫助臺(tái)的呼叫次數(shù)，因?yàn)橛脩舨粫?huì)將自己意外地鎖定在帳戶外。

　　由于它不能阻止暴力攻擊，因此只有在下列要求均得到明確滿足時(shí)才可以選擇此設(shè)置：

　　• 密碼策略強(qiáng)制所有用戶使用由 8 個(gè)或更多字符組成的復(fù)雜密碼。

　　• 強(qiáng)健的審核機(jī)制已經(jīng)就位，可以在組織環(huán)境中發(fā)生一系列失敗登錄時(shí)提醒管理員。

　　• 如果不滿足上述要求，請將“帳戶鎖定閥值”設(shè)置為足夠高的值，以便用戶能夠在意外地錯(cuò)誤輸入幾次密碼時(shí)不會(huì)鎖定自己的帳戶，但可確保暴力密碼攻擊仍然會(huì)鎖定帳戶。在這種情況下，將該值設(shè)置為 50 次無效登錄嘗試是一個(gè)不錯(cuò)的建議。如上所述，此設(shè)置可以避免意外的帳戶鎖定，從而降低了幫助臺(tái)的呼叫次數(shù)，但不能防止 DoS 攻擊。

　　潛在影響

　　啟用此設(shè)置可防止使用已鎖定的帳戶，直到管理員將該帳戶復(fù)位或帳戶鎖定時(shí)間到期。此設(shè)置很可能會(huì)生成許多其他的幫助臺(tái)呼叫。事實(shí)上，在許多組織中，鎖定帳戶都會(huì)為公司幫助臺(tái)帶來數(shù)目最多的呼叫。

　　如果將帳戶鎖定閥值設(shè)置為“0”，則可能檢測不到攻擊者嘗試使用暴力密碼攻擊來破解密碼。

　　復(fù)位帳戶鎖定計(jì)數(shù)器

　　“復(fù)位帳戶鎖定計(jì)數(shù)器”設(shè)置確定在登錄嘗試失敗后，將失敗登錄嘗試計(jì)數(shù)器復(fù)位到 0 次失敗登錄嘗試之前所必須經(jīng)過的時(shí)間（以分鐘為單位）。如果定義了“帳戶鎖定閾值”，則此復(fù)位時(shí)間必須小于或等于“帳戶鎖定時(shí)間”。

　　此組策略設(shè)置可能的值是：

　　• 用戶定義的數(shù)值，在 1 至 99,999 分鐘之間

　　• 沒有定義

　　漏洞

　　如果多次錯(cuò)誤地輸入密碼，用戶可能會(huì)意外地將自己鎖定在帳戶之外。要減少這種可能性，“復(fù)位帳戶鎖定計(jì)數(shù)器”設(shè)置確定在登錄嘗試失敗后，將無效登錄嘗試計(jì)數(shù)器復(fù)位到 0 之前所必須經(jīng)過的時(shí)間。

　　對策

　　將“復(fù)位帳戶鎖定計(jì)數(shù)器”的值設(shè)置為“30 分鐘”。

　　潛在影響

　　不設(shè)置此值，或者為此值設(shè)置的時(shí)間間隔太長都可能導(dǎo)致 DoS 攻擊。攻擊者對組織中的所有用戶惡意執(zhí)行大量的失敗登錄嘗試，以鎖定他們的帳戶，如上所述。如果沒有復(fù)位帳戶鎖定的策略，管理員必須手動(dòng)解鎖所有帳戶。如果設(shè)置了合理的值，用戶將被鎖定一段時(shí)間，但在這段時(shí)間結(jié)束后，其帳戶將自動(dòng)解鎖。

　　Kerberos 策略

　　在 Windows Server 2003 中，Kerberos V5 身份驗(yàn)證協(xié)議提供默認(rèn)的身份驗(yàn)證服務(wù)機(jī)制，以及用戶訪問資源并在該資源上執(zhí)行任務(wù)所必需的身份驗(yàn)證數(shù)據(jù)。通過縮短 Kerberos 票證的壽命，可降低攻擊者竊取并成功使用合法用戶憑據(jù)的風(fēng)險(xiǎn)。但這會(huì)增加授權(quán)開銷。在大多數(shù)環(huán)境中都不需要更改這些設(shè)置。在域級(jí)別應(yīng)用這些設(shè)置，在 Windows 2000 或 Windows Server 2003 Active Directory 域默認(rèn)安裝的默認(rèn)域策略 GPO 中配置這些默認(rèn)值。隨本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”（英文）為默認(rèn)設(shè)置編制了文檔。

　　可以在組策略對象編輯器的以下位置配置 Kerberos 策略設(shè)置：

　　計(jì)算機(jī)配置\Windows 設(shè)置\安全設(shè)置\帳戶策略\Kerberos 策略

　　強(qiáng)制用戶登錄限制

　　此安全設(shè)置確定 Kerberos V5 密鑰分布中心 (KDC) 是否根據(jù)用戶帳戶的用戶權(quán)限策略來驗(yàn)證會(huì)話票證的每個(gè)請求。驗(yàn)證會(huì)話票證的每個(gè)請求是可選功能，因?yàn)閳?zhí)行額外的步驟會(huì)消耗時(shí)間，并且可能會(huì)降低網(wǎng)絡(luò)訪問服務(wù)的速度。

　　漏洞

　　如果禁用此設(shè)置，可能會(huì)為用戶授予他們無權(quán)使用的服務(wù)的會(huì)話票證。

　　對策

　　將“強(qiáng)制實(shí)施用戶登錄限制”的值設(shè)置為“啟用”。

　　此組策略設(shè)置可能的值是：

　　• 啟用

　　• 禁用

　　• 沒有定義

　　潛在影響

　　這是默認(rèn)設(shè)置，沒有潛在影響。

　　　　　 畢業(yè)生如何找到工作? 7合1 GPS掌上電腦
　　　　 惠普2410調(diào)查頒獎(jiǎng)咯！ wow專用聊天工具
　　服務(wù)票證最長壽命

　　此安全設(shè)置確定可以使用所授予的權(quán)會(huì)話票證來訪問特定服務(wù)的最長時(shí)間（以分鐘為單位）。此設(shè)置必須大于或等于 10 分鐘，并小于或等于“用戶票證最長壽命”設(shè)置。

　　如果客戶端在請求連接到服務(wù)器時(shí)顯示過期的會(huì)話票證，該服務(wù)器將返回錯(cuò)誤消息?？蛻舳吮仨毾?Kerberos V5 密鑰分布中心 (KDC) 請求新的會(huì)話票證。但在連接通過驗(yàn)證之后，它將不再關(guān)心會(huì)話票證是否有效。會(huì)話票證只用于驗(yàn)證與服務(wù)器之間的新連接。如果驗(yàn)證連接的會(huì)話票證在連接期間到期，將不會(huì)中斷正在進(jìn)行的操作。

　　漏洞

　　如果此設(shè)置的值太高，用戶可以在其登錄時(shí)間范圍之外訪問網(wǎng)絡(luò)資源，或者其帳戶已經(jīng)被禁用的用戶可以使用帳戶禁用前發(fā)出的有效服務(wù)票證來繼續(xù)訪問網(wǎng)絡(luò)服務(wù)。

　　對策

　　將“服務(wù)票證最長壽命”設(shè)置為“600 分鐘”。

　　此組策略設(shè)置可能的值是：

　　• 用戶定義的值（以分鐘為單位），在 10 至 99,999 之間，或者為 0，表明服務(wù)票證不會(huì)過期

　　• 沒有定義

　　潛在影響

　　這是默認(rèn)設(shè)置，沒有潛在影響。

　　用戶票證最長壽命

　　此安全設(shè)置確定用戶的票證授權(quán)票證 (TGT) 的最長有效期（以小時(shí)為單位）。當(dāng)用戶的 TGT 到期時(shí)，必須請求新 TGT，或者必須“續(xù)訂”現(xiàn)有 TGT。

　　漏洞

　　如果此設(shè)置的值太高，用戶可以在其登錄時(shí)間范圍之外訪問網(wǎng)絡(luò)資源，或者其帳戶已經(jīng)被禁用的用戶可以使用帳戶禁用前發(fā)出的有效服務(wù)票證來繼續(xù)訪問網(wǎng)絡(luò)服務(wù)。

　　對策

　　將“用戶票證的最長有效期”的值設(shè)置為“10 小時(shí)”。

　　此組策略設(shè)置可能的值是：

　　• 用戶定義的值，在 0 至 99,999 分鐘之間

　　• 沒有定義

　　潛在影響

　　這是默認(rèn)設(shè)置，沒有潛在影響。

　　用戶票證續(xù)訂的最長壽命

　　此安全設(shè)置確定用戶票證授權(quán)票證 (TGT) 可以續(xù)訂的時(shí)間期限（以天為單位）。

　　漏洞

　　如果此設(shè)置的值太高，用戶可以續(xù)訂非常舊的用戶票證。

　　對策

　　將“用戶票證續(xù)訂的最長壽命”的值設(shè)置為“7 天”。

　　此組策略設(shè)置可能的值是：

　　• 用戶定義的值，在 0 至 99,999 分鐘之間

　　• 沒有定義

　　潛在影響

　　這是默認(rèn)設(shè)置，沒有潛在影響。

　　計(jì)算機(jī)時(shí)鐘同步的最大容差

　　此安全設(shè)置確定 Kerberos V5 可以承受的客戶端時(shí)鐘時(shí)間和運(yùn)行 Windows Server 2003（提供 Kerberos 身份驗(yàn)證）的域控制器時(shí)間之間的最大時(shí)間差（以分鐘表示）。

　　漏洞

　　為了防止“重播攻擊”，Kerberos V5 使用時(shí)間戳作為其協(xié)議定義的一部分。為了使時(shí)間戳正常運(yùn)行，客戶端和域控制器的時(shí)鐘需要盡可能同步。由于兩臺(tái)計(jì)算機(jī)的時(shí)鐘經(jīng)常不同步，管理員可以使用此策略建立 Kerberos V5 可以接受的客戶端時(shí)鐘和域控制器時(shí)鐘之間的最大時(shí)間差。如果客戶端時(shí)鐘和域控制器時(shí)鐘之間的時(shí)間差小于此策略指定的最大時(shí)間差，則兩臺(tái)計(jì)算機(jī)之間的會(huì)話所使用的任何時(shí)間戳都被認(rèn)為是可信的。

　　對策

　　將“計(jì)算機(jī)時(shí)鐘同步的最大容差”的值設(shè)置為“5 分鐘”。

　　此組策略設(shè)置可能的值是：

　　• 用戶定義的值，在 1 至 99,999 分鐘之間

　　• 沒有定義

　　潛在影響

　　這是默認(rèn)設(shè)置，沒有潛在影響。