系统到底安全不安全说到底还是要看使用者到底会不会用,同样的一套系统,不同的人使用就有不同的结 果。怎样才能让Windows XP更安全,这是本文要讨论的问题。
本文是翻译文章,原文来自美国国家安全局 ,本文由本人以学习为目的独自翻译完成,阅读或传播该中文译本的同时请确保此行为符合本站的版权声明 。
由于译者水平有限,因此翻译的内容可能与原文有歧义,在这种情况下请以原文为准。
如果您对文章中的说法有疑问,请直接咨询作者:XPGuides@nsa.gov,同时也欢迎您直接与我讨论,但 本人水平有限,不承诺能绝对解决您的问题,也不对您的实际操作负任何责任。
如果您对文章的翻译有任何建议或者意见,欢迎您跟我联系。
当本页面更新后通知我 / 点击这里发表对本文的评论和意见
第一章 使用本文的重要信息
本文的目的在于告知使用Windows XP Professional的读者一些安全上的建议设置,这些设置可以通过安全 设置管理器、组策略以及手工设置来进行。
Windows XP Professional是一个客户端操作系统,其相应的服务器版本还没有发布(应该是指Windows Server 2003,已发布-译者)。因此,本文将会把Windows XP放在Windows 2000域环境中,并使用Windows 2000 的活动目录和组策 略。关于组策略对象(Group Policy Object,GPO)的其他安全信息可以在Guide to Securing Microsoft Windows 2000 Group Policy一文中找到,并且在阅读本文之前建议你先阅读那篇文章。
注意:本文 不包括Windows XP Home Edition或者Windows XP Professional独立工作站(即没有加入域)计算机的安全设置。
尽管本文的大环境是Windows 2000域中的Windows XP计算机,第16章仍然介绍了把Windows XP加入到 Windows NT 4域所遇到的一些安全问题。
同时包含在本文中的还有安全模板:workstation.inf,安全模板的用途和使用方法将会在下文中详细介绍。
本文的预期读者是Windows网络管理员,以及其他所有关心Windows XP以及网络安全的人。
假设条件
阅读本文前,请先确保你有以下环境:
� 网络仅由全新安装(即不是升级安装)的Windows 2000和Windows XP Professional计算机构成。
注意:第十六章对把Windows XP加入Windows NT 4域的一些问题进行了讨论。
� Windows XP 计算机使用NTFS文件系统格式化。
� 域控制器是运行了Windows 2000以及活动目录的计算机。
� 已经安装了最新的Windows 2000和Windows XP service pack以及hotfix补丁。关于Windows Update的 详细信息,请访问Windows Update网页,或者在Technet 安全公告网页上搜索。
� 网络中所有计算机都是Intel架构的。
� 所有的应用程序都跟Windows XP 兼容。
� 用户对Windows XP 和Windows 2000的安装以及基本管理方法有初步认识。
阅读本文前的建议
在使用本文的内容对网络进行操作之前,用户需要了解以下一些要点:
� 在实施任何操作之前,请先在实验用途的环境中进行测试,确保绝对可行。
� 本文仅包含一些建议的安全设置,但并不希望你用本文的设置取代你的网络中已经部署好的安全策略。 另外,本文只提供通用的设置方法,当你根据本文的建议配置诸如Microsoft Exchange、IIS、还有SMS等产品的时候一定要加倍小 心。
� 本文中的安全设置仅适用于Microsoft Windows XP Professional操作系统,并不适合其他版本的Windows操作系统。
� 当使用程序(例如安全设置管理器、注册表编辑器)修改系统设置时,不恰当的设置可能会使得 Windows XP系统严重受损而变得不可恢复。因此,在部署本文中任何设置之前最好能在测试环境中仔细测试。
注意:在Windows XP中,regedt32.exe只是一个到regedit.exe的链接。
� 现在,对Windows XP注册表做出的设置还无法直接还原,因此使用注册表编辑器修改注册表时,注册表 编辑器会要求用户确认是否应用修改。但是当一个注册表项被删除时,确认信息中并不包含将要删除的注册表项的名称,因此在确 定之前要确保你没有删错。
约定和常用表达方式
用户和被验证的用户
在Windows XP工作站的ACL(Access Control List,访问控制列表)中,微 软大量使用了用户组。默认情况下用户组包括已通过验证的用户组和交互式用户,还有域用户。用户组之间的关系可以由 Administrators组成员控制,这也是微软在ACL中使用Administrators组的证明。查看工作站的默认安全模板(关于这个模板的相关 信息请参阅下一章)可知,用户组主要用在了文件和注册表权限以及用户权利指派等用途。
系统变量
本文 涉及到以下几个系统变量:
� %SystemDrive% -安装Windows XP的分区,通常是 C:\
� %SystemRoot% - 包含Windows XP操作系统文件的文件夹,通常是%SystemDrive%\WINDOWS
� %SystemDirectory% -%SystemRoot% \system32
� %ProgramFiles% - 安装大部分应用程序的文件夹,通常是%SystemDrive%\Program Files
� % AllUsersProfile% - 用来保存所有用户通用文件的文件夹,通常是%SystemDrive%\Documents and Settings\All Users
管理工具位置
默认情况下,在Windows XP的开始菜单中并不显示管理工具,想要在Windows XP的开始菜单 上显示管理工具菜单:
� 在工具栏(通常位于屏幕的底部)上点击鼠标右键
� 从弹出菜单中选择属性
� 点 击开始菜单选项卡
� 点击自定义按钮
� 点击高级选项卡
� 在开始菜单项目下,拖动 滚动条找到系统管理工具选项
� 选中在所有程序菜单和开始菜单上显示或者在所有程序菜单上显示
本 文假设你可以通过所有程序菜单访问管理工具。
关于本文
本文包含以下章节:
第1章,“使用本文的重要信息”,提 供了在使用本文前需要注意的事项。
第2章,“Windows XP中新的安全特性”,对Windows XP中新增的安全特性做了概述。
第3章,“介绍安全配置管理器”,对安全配置管理器的功能作了简单介绍,并且说明了怎样在微 软管理控制台(Microsoft Management Console,MMC)的安全模板组件中编辑和创建新的安全配置文件。本章同时还对附带的安全 配置文件的作用以及使用方法做出了说明。
第4章,“使用安全模板修改账户策略设置”,介绍了如何使用安全模板设置域范围内的账户策略 。同时本章还包括密码策略、账户锁定策略以及Kerberos策略设置等内容。
第5章,“使用安全模板修改本地策略设置”,说明了如何使用安全模板组件实现和修改本地策略 设置。尤其是本章还提供了关于审核策略、用户权限分配以及安全选项策略的详细建议设置。
第6章,“使用安全模板修改系统日志设置”,解释了如何通过系统日志来获得、查看以及保存网 络上发生的重要事件的记录。
第7章,“使用安全模板管理受限制的组”,讨论了如何使用受限组选项管理敏感组之间的关系。
第8章,“使用安全模板管理系统服务”,介绍了如何使用安全模板组件管理系统服务的启动类型 和访问控制等内容。本章同时还描述了各种设置是如何生效并控制每个用户或者组所具有的权限,例如执行、写、删除、启动、暂 停、停止一个服务。
第9章,“使用安全模板修改注册表安全设置”,讨论了如何配置注册表键的访问控制列表,同时 还包括了注册表键的安全设置建议。
第10章,“使用安全模板修改文件系统安全设置”,针对使用安全模板组件对文件和文件夹的权限 进行设置的过程对读者进行了说明,除此之外本章还包括了文件和文件夹权限的设置建议。
第11章,“安全配置和分析”,解释了一旦当前的配置文件发生了改变,如何通过安全设置和分析 组件或者命令行程序对新的安全配置进行分析和配置。
第12章,“在Windows 2000 域中分析Windows XP 组策略”,讨论了如何从运行活动目录的 Windows 2000域控制器上把组策略设置发布(Push)到Windows XP客户端。
第13章,“远程协助/桌面设置”,对在Windows XP中如何安全使用远程协助/桌面给出了建议。
第14章,“Internet连接防火墙”,讨论了Windows XP中自带的网络防火墙的使用问题。
第15章,“其他安全设置”,描述了其他的建议安全设置,例如Administrator账户的使用以及共 享权限的设置。
第16章,“Windows NT域中Windows XP的改变”,描述了作为Windows NT域成员时Windows XP上一 些建议的安全设置。
第二章 Windows XP 中新的安全特性
在新增了一些安全特性的同时,Windows XP还改进了Windows 2000中原有的一些安全特性。本章将会对域 环境中Windows XP的这些安全特性做一概述,不过这其中并不包括独立工作站的Windows XP系统。
增强的安全特性
以下这些安全特性是来自Windows 2000并在XP中得到加强的:
Everyone 组的关系
在Windows NT和Windows 2000中,系统内建的Everyone组包括匿名用户(空连接),这意味着任何一个空 连接都有等同于Everyone组的访问权限。默认情况下,Windows XP中的Everyone组不再包括匿名用户。
可管理的所有权
在Windows NT和Windows 2000中,任何由Administrators组成员创建的对象都会自动给所有 Administrators组成员指派所有权。在Windows XP中,Administrators组的成员可以创建仅自己具有所有权的对象。
打印机的安装
在Windows XP中,只有属于Power Users组或者Administrators组的成员才有安装本地打印机的权限。除此 之外,用户还必须有装载/卸载设备驱动程序的权限。
注意:默认情况下Administrators组成员已经有了 装载/卸载设备驱动程序的权限。
空密码限制
Windows XP的本地账户如果没有密码那就只能用控制台登录,而不能通过网络登录。
注意:该限制不对域账户生效,同时也不影响Guest账户。若Guest账户被启用并且使用了空密码,那任何人都可以使用该账 户远程登录系统并获得Guest的访问权限。
Convert.exe
在Windows NT和Windows 2000中,使用命令行工具convert.exe把FAT32文件系统的硬盘分区转换为NTFS文 件系统后,会导致Everyone组对整个硬盘分区具有完全控制的权限。然而在Windows XP中,convert.exe会在文件系统转换完成后自 动给整个分区设置系统默认的NTFS权限。
子系统
Windows NT和Windows 2000对OS/2和POSIX子系统提供了支持。然而Windows XP不再支持这些子系统,对 POSIX的支持现在包含在Microsoft Windows Interix 2.2中,详细信息请访问这里。
加密文件系统
加密文件系统(Encrypting File System,EFS)允许用户加密文件和文件夹或者整个硬盘分区。Windows XP中的EFS包括了以下一些新特性:
� 其他用户可以通过授权访问被加密的文件
� 离线文件也可以被加密
� 数 据恢复代理是可选的
� triple-DES (3DES)加密算法可以用来取代DESX
� 密码重设盘可以重设一个用户的密码
� 加 密过的文件可以保存在Web文件夹中
新增的安全特性
本段将讨论Windows XP中新增的安全特性。
软件限制策略
有越来越多间谍程序通过互联网传播,大量蠕虫病毒通过电子邮件传播,这些程序可能会收集用户的私人 信息或者直接使电脑系统崩溃。现在Windows XP提供了一种全新的机制,使得管理员可以决定哪些程序是可信赖的而哪些是不可信 赖的。
通过软件限制策略,可以通过配置如下类型的规则禁止一个软件运行:
� 路径–可以通过存储路径决定一个应用程序是否允许被运行,路经规则还可以包含通配符,例 如通过指定*.vbs就可以禁止所有的VB脚本运行。
� Hash–可以通过应用程序文件的Hash值决定一个程序是否被允许运 行,文件的Hash值是与文件本身的内容以及标识符相关的,如果一个文件被使用某种方法修改过,那么文件的Hash值就会发生变化 。
� 证书–通过检查随应用程序附带的证书可以决定一个程序是否被允许运行。
� Internet 区域–应用 程序可以根据下载它们的网站所在的Internet区域的不同而设置是否允许被运行,以下区域都可以指定:Internet、本地Intranet 、受限制的站点、受信任的站点,还有我的电脑。但是这些规则仅对使用Windows Installer安装技术安装的软件生效。
� 强制属性–决定软件库文件(包含常见变量和函数定义的文件)是否包含在软件限制策略中。同时这个选项也可以避免软件限 制策略被应用到本地Administrators组成员。
� 特定的文件类型–允许对可执行代码的文件类型进行增加或者减少。
� 被信任的发行商–决定哪个用户可以选择被信任的发行商。
关于其他更详细的信息,请参考微软知识库文章Q310791 “Description of the Software Restriction Policies in Windows XP”。
新的服务账户
为了运行特定的服务,两个新的服务账户Network Service和Local Service取代了原来的LocalSystem,以 下将会就此问题详细说明。
LocalSystem 账户
LocalSystem是预设的拥有本机所有权限的本地账户,这个账户跟通常的用户账户没有任何关联,也没有用 户名和密码之类的凭证。这个服务账户可以打开注册表的HKEY_LOCAL_MACHINE\Security键,当LocalSystem访问网络资源时,它是 作为计算机的域账户使用的。
举例来说,以LocalSystem账户运行的服务主要有:WindowsUpdate Client、 Clipbook、Com+、DHCP Client、Messenger Service、Task Scheduler、Server Service、Workstation Service,还有Windows Installer。
Network Service 账户
Network Service账户是预设的拥有本机部分权限的本地账户,它能够以计算机的名义访问网络资源。以这 个账户运行的服务会根据实际环境把访问凭据提交给远程的计算机。Network Service账户通常可以访问Network Service、 Everyone组,还有认证用户有权限访问的资源。
举例来说,以Network Service账户运行的服务主要有:Distributed Transaction Coordinator、DNS Client、Performance Logs and Alerts,还有RPC Locator。
Local Service 账户
Local Service账户是预设的拥有最小权限的本地账户,并在网络凭证中具有匿名的身份。Local Service 账户通常可以访问Local Service、Everyone组还有认证用户有权限访问的资源。
举例来说,以Local Service账户运行的服务主要有:Alerter、Remote Registry、Smart Card、SSDP,还 有WebClient。
第三章 介绍安全配置管理器
Windows XP还支持安全配置管理器(Security Configuration Manager,SCM),SCM工具允许系统管理员 把多个与安全相关的系统设置集成到一个统一的界面下(叫做模板或者本文中称为inf文件,因为它的扩展名是 .inf),将安全配 置文件集成到一起可以更方便地调整应用软件和系统安全设置。这些安全设置可以作为GPO(Group Policy Object,组策略对象) 的一部分或者直接通过计算机管理程序应用到运行Windows XP的计算机上。
有很多工具可以用来在Windows XP上配置安全设置
� 本地安全策略
� 组策略的安全设置组件
� 安全配置管理器,包括以下内容:
� 安全模板组件
� 安全配置和分析组件
� Secedit.exe 命令行工具
这些工具可以分析和配置以下内容:
� 账户策略–包括密码策略、账户锁定策略还有Kerberos策略
� 本地策略–包括审 核策略、用户权限分配还有安全选项
� 事件查看器–包括系统日志的设置
� 受限组–包括对一些敏感组 之间关系的设置
� 系统服务–包括系统服务的设置
� 注册表–包括注册表键的DACL(Discretionary Access Control List,无条件访问控制列表)设置(例如注册表键的访问权限)
� 文件系统–包括NTFS卷下的文件和 文件夹的DACL (例如文件和文件夹的访问权限)
第4-10章将会对如何自定义模板以及建议的安全设置做详细说明,第11章将会对如何进行安全分析与设置 做详细说明。
关于安全配置管理器的更多信息,请参考Step by Step Guide to Using the Security Configuration Toolset。
安全配置功能
安全配置管理器工具同时支持图形界面(Graphical User Interface,GUI)和字符界面两种形式。
安全配置GUI
图形界面是通过微软管理控制台(Microsoft Management Console,MMC)提供的,MMC是一个包含了 Windows XP中大部分管理工具和其他程序的容器,工具是通过“组件(snap-in)”的形式载入MMC的。
实际上,安全配置管理器包含两个MMC组件:安全模板,安全配置和分析。这两个组件的详细使用方法将会 在本章和第11章各自说明。
安全配置管理器允许管理员:
创建和/或编辑已有的安全配置模板
进行安全分析
以图形的方式查看分析结果
应用安全配置到 系统中
GUI可以用不同的颜色、字体还有图标区分基准设置和实际设置之间的差异,当进行安全分析或设置的时候 ,安全模板中所列出的所有安全区域都会被分析或者设置。
命令行下的安全配置工具
命令行下的安全配置工具(secedit.exe)可以用来:
进行安全分析
应用新的安全配置文件到 Windows XP系统中
命令行工具可以让系统只对安全模板中某一特定的安全区域进行分析,同时分析结果也可以立刻以文件的 方式输出,供以后查看。命令行工具在通过分布式系统管理工具(distributed systems management tools)把安全模板的设置同 时应用到多台计算机时也非常有效。
安全模板
安全模板是包含了一系列安全设置的文件。模板提供了一种对整个域所有平台进行统一安全设置的简便方 法,它们可以通过导入GPO或者直接在本地计算机的安全配置管理器中应用的方法部署到运行Windows XP的计算机上。
本段大致描述了安全模板组件的内容以及讨论了附带的安全配置文件。
将安全模板组件载入MMC
在使用前,安全模板组件必须被载入MMC,MMC默认在Windows XP中是安装好了的。要将安全模板组件载入 MMS:
运行微软管理控制台(mmc.exe)
选择文件–添加/删除组件
点击添加
选择安全模板
点击添加
点击关闭
点击确定
图1 显示了将安全模板组件载入MMC 。
图1 安全模板组件
为了避免退出后再运行MMC时每次都要重新载入,可以使用以下的方法保存MMC的当前设置:
� 在控制台菜单,选择保存。默认情况下,文件会被保存在当前登录用户的管理工具菜单下。
� 输入想要使用的文件名
� 点击保存
从这时开始,这个控制台就可以通过开始 – 所有程序 – 管理工具直接访问了,当然前提是用户已经设 置了在开始菜单中显示管理工具。
查看安全模板的内容
尽管不建议,但是安全模板文件的内容同样可以使用文本编辑器例如notepad.exe来查看,其中开头处的模 板地址文件(template addressing file)以及注册表访问控制列表可能因为加密而无法直接查看。实际上安全模板文件是由一种 名为SDDL(Security Descriptor Definition Language,安全描述定义语言)的语言写成的,微软有一篇SDK文章说明了SDDL标记 ,点击查看。
安全配置文件
本段介绍了系统默认的以及NSA推荐的安全模板。
默认安全模板
在全新安装(即不是升级得来的)Windows XP计算机上,保存有系统默认设置的安全模板文件,如果你在 对计算机进行过一些设置但又向返回初始设置时,就可以利用这个文件。
默认的安全模板文件保存在 %SystemRoot% \security\templates,文件名为“setup security.inf”。
注意:“Setup security.inf”无法通过组 策略由域控制器部署到客户机上,只能通过MMC的安全配置和分析组件或者secedit.exe应用到本机。这是因为每个系统的默认安全 模板都是根据安装过程自定义得到的,它们并不能通用。同时,默认的安全模板包含了大量的配置信息,如果通过域控制器上的GPO 部署,可能会降低网络性能。
微软提供的模板
在安全模板组件里,微软也提供了几个不同安全等级的模板,它们是:compatws.inf、securews.inf,还 有hisecws.inf。因为本文件以使用NSA提供的安全模板(见下文)为例说明,因此关于微软的安全模板,这里不做太多讨论。
NSA提供的模板
随本文一起提供的,还有一个安全配置文件workstation.inf。
在更改安全设置之前
如果你一次对系统进行大量安全设置之后产生了严重的问题,那么错误排查将会很困难。因此最重要一点 ,在测试环境中把你将要应用的所有设置仔细测试一遍。同时,使用命令行工具secedit.exe (将在第11章具体介绍)一次只应用安全模板文件中的一个安全区域,或者把安全模板文件中不同区域的内容拆分为若干个小的inf 文件,每次应用一个。这样做每次只会应用所有设置中的一类(例如所有关于账户策略或者文件系统的设置),然后你可以在重启 动后检查系统是否运行正常,如果正常则可以接着测试下一段。
撤销设置的最可靠的方法就是备份。“setup security.inf”文件 (本章开头处介绍过)可以用来重设大部分系统设置到默认状态,但是有些情况下这并不可靠。
本文中建议设置的列表
本段提供了自定义NSA安全模板时需要注意的一些问题的列表。
� 复查并了解第1章中的警告。在对照第4-10章的介绍仔细检查之前,请不要直 接应用NSA提供的安全模板。
� 备份你的系统。备份系统是在设置失败后最可靠的后悔药。
� 下载恰当的配 置文件到安全模板目录(%Systemroot%\Security\Templates),或者添加其他的安全模板搜索路径。
� 如果打算修改默认设 置,建议你先以不同的名称备份要使用的安全模板文件。这可以在在MMC中打开安全模板之前进行,或者在修改了默认模板设置后使 用另存为命令保存修改过的文件为其他名称。
� NSA的安全模板中添加了很多新的安全选项,要使用这些选项,请从网站上下 载sceregvl.inf文件并保存到%SystemRoot%\inf 文件夹中。你可以在这之前先把原有的sceregvl.inf文件重命名,这样在你想使用 最初的默认设置时还可以重设。
� 要注册这些新的安全选项,下载NSA的sceregvl.inf文件到%SystemRoot%\inf 文件夹,然后 在命令行模式下运行regsvr32 scecli.dll。第5章的末尾将要讨论怎样把其他安全选项添加到模板中。
� 复查第4-10章的建议 安全设置,通过MMC的安全模板组件,根据网络的实际情况修改现有的安全配置文件。对于文中举出的那些选项一定要重点关注。要 修改现有安全模板:
� 在MMC中,双击左侧面板中的安全模板一节
�双击默认的配置文件目录(%Systemroot%\Security\Templates),接着会出现一个所有 可用的配置文件的列表。
注意:在安全模板项目上点击右键,选择新建模 板搜索路径,就可以搜索保存在其他位置的模板文件。
� 双击一个特定的配置 文件
� 双击指定的安全区域
� 双击右侧面板中的 安全对象
� 根据你的环境自定义安全设置
� 用其 他名称保存这个模板文件(避免覆盖已有的文件),右键点击左侧面板中的文件,然后选择则另存为,并指定一个新的文件名。
� 有几个安全设置是建议使用的,但是并没有在安全模板中直接指出,因为它们是跟实际环境有关的。应当根据实际情况 决定它们该如何设置。这些设置将会在第5章详细说明,它们分别是:
� 账户:重命名 系统管理员账户
� 账户:重命名来宾账户
�交互式 登录:用户试图登录时消息文字
� 交互式登录:用户试图登录时消息标题
� 一旦 安全模板根据你的实际情况设置和保存好,就可以应用了。如果这个模板是本机使用的,请查阅第11章关于通过安全配置和分析组 件或者secedit.exe命令行工具进行设置的详细信息。如果这个模板要导入GPO,请查阅第12章。
� 如果需要,可以设置第13- 16章中提到的额外的安全选项。
第四章 使用安全模板修改账户策略设置
系统安全的关键是账户策略的恰当设置,根据系统的不同(例如域控制器、工作站、成员服务器),账户 策略也会有相应的变化。在Windows 2000域中,账户策略是通过域的组策略设置和强制执行的。在其它 GPO中对域账户策略进行的设置将会被忽略。而在工作站或者成员服务器上直接配置账户策略也只能影响到相应计算机的本地账户策 略以及锁定策略。如果想要在本机和和域中使用一致的密码策略和账户锁定策略,就需要在域控制器(通过域GPO)以 及本机(通过本地安全策略)设置同样的安全策略。关于选择合适的模板导入恰当的容器的详细信息可以参阅Guide to Securing Microsoft Windows 2000 Group Policy 一文。
要查看安全模板中关于账户策略的设置,在MMC中双击:
� 安全模板
� 默认的配置文件保存目录(%SystemRoot%\Security\Templates)
� 特定的配置文 件
� 账户策略
注意:在对一个配置文件进行了任何修改之后,请记得保存修改,然后在正式使用之前一定要先测试好 。
密码策略
在对账户策略对话框进行修改之前,复查你的网络中已有的密码策略,在账户策略中设置的内容应该跟已 有的密码策略相符合。用户也应该阅读和签署协议表明他们承认组织的计算机策略。
建议包括的密码策略包括:
� 用户绝不能把密码写在纸上
� 密码要很难猜测,并且最好能 包括大小写字母、特殊字符(标点符号以及扩展字符),最后还有数字。字典中的词语不能用作密码。
� 用户不能使用电子通 讯技术明文传输密码。
要使用安全模板组件修改密码策略设置,依次双击:
账户策略 – 密码策略 ,查看或者编辑当前设置
表1 列出了密码策略的建议设置,图2显示了MMC中的密码策略设置窗口
图2 密码策略设置窗口
|
密码策略选项 |
建议的设置 |
|
阻止用户把少数几个密码轮流使用,因为这样做会密码被破 解的可能。如果这个选项被设置为0,用户可以立刻使用一个之前用过的密码继续使用。这 个选项可用的设置范围是0(不记录历史密码)到24(记录24 个历史密码)。 |
24个密码 |
|
用户可以一直使用一个密码而不更改的最长期限。可用的设 置范围是0(密码永不过期)或者1到999(天后过期)。为了保证 安全,最常使用期限可以设置为90天。 |
90天 |
|
密码最短使用期限决定了一个用户在修改过密码后至少多长 时间里不能再次修改。默认情况下,用户可以在任何时间修改他们的密码,因此,用户可以更换一个密码,然后立刻再更改回原来 的老密码。这个选项可用的设置范围是0(密码随时可以修改)或者1到 998(天)。 |
1天 |
|
注意:实际上, Windows 2000和XP支持长达127个字符的密 码。长度超过14个字符的密码有一个很明显的优势,长密码的LanManager Hash值是无效的,因此这样的密码局不能被密码破解工具利用常规的方法破解。然而不幸的是安全模板的相关设置不允许使用长 度超过14位的密码,同时,如果网络中有Windows 9x或者Windows NT 4.0以及更早期电脑的情况下,长度超过14位的密码在那些电脑的图形界面中就没有足够的空间 以供输入。 注意:建议有特权的用户 (例如Administrators组的用户)的密码长度都要超过12个字符。一个可选的用来加 强密码长度的方法是使用不在默认字符集中的字符。举例来说,Unicode字符从0128到0159。这种做法有两个好处:(1)它们使得LanMan hash不可用,(2)常用的密码字典都不包含这些字符。然而使用这类字符作为密码也一定不能大意。某些 Unicode字符例如0200 (È ),看起来和其他字符很相似,就像0069 (E)。要输入这样的字符,可以在按下Alt键的同时在数字小键盘上输入代表该字符的数字。对 于笔记本用户,可以同时按下Fn和Alt键,然后输入数字。 |
12个字符 |
|
强制对所有用户使用强密码,更强的密码提供了更高等级的 安全。密码必须同时包含以下3到4种元素:大写字母、小写字 母、数字,还有特殊字符(例如标点符号),同时,密码还不能跟用户的用户名相同。这个策略将会在用户下次更改密码的时候生 效,已有的密码是不受这个策略影响的。 注意: NSA提供了一个增强密码复杂性的插件ENPASFLT.DLL,该文件就可以用在这个选项中。 ENPASFLT.DLL仅供美国政府机构使用,这个密码插件可以强制用户使用最短8位 的密码,并且要包含所有以上的四类字符。除此之外,使用用户的登录名或者用户全名作为密码也是不允许的。安装信息可以参阅 ENPASFLT的相关文件。如果使用ENPASFLT取代这个选项,你应该把这个选项设置为 “禁用” 以避免互相影响。 注意:如果要获得更多关 于自定义密码插件的信息,请参阅微软知识库文章Q151082 “HOWTO: Password Change Filtering and Notification in Windows NT” 。 |
启用 |
|
用来决定是否使用双向Hash (two-way hash)保存用户的密码。这个选项是为某些应用程序提供密码信息而准备的。然而,使用可 还原的加密存储密码那和把密码明文保存一样,是应该严格禁止的。 |
禁用 |
表1 密码策略选项
账户锁定策略
账户锁定功能会在产生三次无效登录后锁定登录的账户,这个设置会减慢字典攻击的速度,因 为如果每三次连续的无效登录产生后账户都被锁定的话,入侵者就必须等待账户被重新启用。如果一个账户已经被锁定,管理员可 以使用Active Directory用户和计算机工具启用域账户或者使用计算机管理启用本地账户,而不用等待到账户自动启用。
注意:系统内建的Administrator账户不会因为账户锁定策略的设置而被锁定。然而当使用远程桌面时, 会因为账户锁定策略的设置而使得Administrator账户在限定时间内无法继续使用远程桌面。Administrator账户的本地登录是永远 被允许的。
要通过安全模板组件修改账户锁定策略的设置,依次双击:
账户策略 – 账户锁定策略 ,然后查看或者编辑当前设置
表2 列出了账户锁定策略的建议设置
|
账户锁定策略选项 |
建议的设置 |
|
设定一个账户被锁定的时间。可用的设置范围是 0(账户一直被锁定,直到Administrator解除)或者1到 00000(分钟)。 警告:设置该选项为0(锁定直到管理员解除)可能会引起一种潜在的拒绝服务攻击。并且要清楚,内建的 Administrator账户本地登录永远不会被锁 定。 |
15分钟 |
|
阻止对系统密码的强制破解和猜测,这个选项设置了在一个 账号被锁定之前允许发生的无效登录次数,可用的设置范围是0(账户永远不被锁定)到 999(次)。虽然这里建议设置为3,但是3到 5都是个不错的选择。 注意:如果计算机由Ctrl-Alt-Del组 合键或者受密码保护的屏幕保护导致的锁定后产生的无效登录,不会受这个策略影响。 |
3次无效登录企图 |
|
设定无效登录被锁定的账户在多久后被复位。可用的设置范 围是1到99999(分钟)。 |
15分钟 |
表2 账户锁定策略选项
Kerberos策略
Kerberos是Windows 2000活动目录使用的默认认证方式,自从活动目录 使用Kerberos 作为必要的认证方式后,Kerberos策略仅对Windows 2000域GPO具有重要作用,因此本文中讨论的Windows XP工作站 的Kerberos策略都没有设定。以下信息仅供参考。
要通过安全模版组件修改Kerberos策略,依次双击:
账户策略 - Kerberos 策略,然后查看或者编辑目标内 容
表3 列出了所有可以用于域组策略级别的Kerberos策略设置。
|
Kerberos 策略选项 |
建议的设置 |
|
强制KDC(Key Distribution Center,密钥分发中心)检查请求会话票证(service ticket)的用户是否具有本地 登录(对于本机的服务访问)或网络登录的权限。如果用户没有相应的权限,会话票证就不会被发布。启用这个选项会增强安全型 ,但是可能会降低服务器的网络访问速度。 |
启用 |
|
决定一个Kerberos服务票证的可用时间 (以分钟为单位)。该选项的值必须介于10分钟和“用户票证最长 寿命”设置值之间。默认的域GPO中这个选项被设置为600分钟。 注意:当创建一个到服务器的新连接时,过期的服务票证 只会被更新,如果一个已建立的会话的票证过期了,会话并不会中断。 |
600分钟 |
|
决定Kerberos TGT (ticket-granting ticket,票证授予票证)的最长使用时间(以小时为单位), TGT到期后,必须重新申请一个新的票证或者更新已有的。默认的域GPO中这个选项 被设置为10小时。 |
10小时 |
|
设置可以续订TGT的最大期限 (以天为单位)。默认的域GPO中这个选项被设置为7天。 |
7天 |
|
设定了KDC和客户端计算机时钟时间 差距的最大值(以分钟为单位),为了防止轮番攻击,Kerberos使用了时间戳。因此为了时间戳能正常工作, KDC和客户端时钟尽可能保持同步是很重要的。在默认的域GPO中,这个选项被设置为 5分钟。 |
5分钟 |
表3 Kerberos策略选项