Windows用户账户安全策略

6.3 封死黑客的“后门”
一个操作系统，特别是一个服务器操作系统中，由于开 放了许多网络服务，所以可以作为黑客攻击“后门”的有 许多，在此仅以最主要几种类型介绍。
6.3.1禁用Guest账户和更改管理员账户名 有很多入侵都是通过Guest（来宾）账户进一步获得管理 员密码或者权限，进而实现他们攻击的目的。 Guest账户 可以为我们用户间文件共享提供方便，因为它可以使其他 用户以匿名方式访问自己的共享文件，而无需输入正确的 用户名和密码。也正因如此，它给我留下了相当大的安全 隐患，有些黑客可以通过这个账户先登录系统，然后通过 账户复制功能，把管理员权限复制到这个来宾账户上，这 样黑客们就可以为所欲为了。 禁用这个账户的方法很简单，而且方法有多种，书中介 绍一种同时适用于Windows 2000/XP/Server 2003系统的方 法，参见书本P202~P203页。
定义“密码最长期限”策略设置，可以使密码的到期时间 尽可能短，通常的间隔是30至90天。
定义“最短密码期限”策略设置，可以使密码在指定的天 数内无法更改。
定义“最短密码长度”策略设置，可以使密码必须至少包 含指定个数的字符。
启用“密码必须符合复杂性要求”策略设置。 3. 谨慎定义账户锁定策略
如果创建或更新系统密钥用于域控制器：若要执行此过程， 您必须是Active Directory中Domain Admins组或Enterprise Admins组的成员，或者您必须被委派了适当的权限。作为 安全性的最佳操作，可以考虑使用运行方式来执行这个过 程。
如果存储系统密钥的磁盘丢失，或在选择了“密码启动” 方式后又忘记了系统密钥密码，您将无法启动计算机，除 非将注册表还原到使用系统密钥之前的状态。
对于在安装过程中所有加入到Windows Server 2003或 Windows 2000域的计算机都默认启用Kerberos V5身份验证 协议。Kerberos可对域内的资源和驻留在受信任的域中的 资源提供单一登录。可通过那些作为账户策略一部分的 Kerberos安全设置来控制Kerberos配置的某些方面。例如， 可设置用户的Kerberos 5票证生存周期。作为管理员，可以 使用默认的kerberos策略，也可以更改它以适应环境的需 要。
6.2.6 账户锁定策略配置
账户锁定策略就是让在指定的时间段内，输入不正确的 密码达到了指定的次数，将禁用用户账户。这些策略设置 有助于防止攻击者猜测用户密码，并由此减少成功袭击所 在网络的可能性。
账户锁定策略用于域账户或本地用户账户。它们确定某 个账户被系统锁定的情况和时间长短。这部分包含以下三 个方面： 账户锁定时间 账户锁定阈值 复位账户锁定计数器
Kerberos策略选项包括：强制用户登录限制、服务票证 最长寿命、用户票证最长寿命、用户票证续订最长寿命、 计算机时钟同步的最大容差。
域账户的Kerberos策略既可以在“默认域安全策略”中 设置，又可以在域组策略中设置，但它们的设置方法都是 一样的，不同的只是打开两者窗口的方式不一样。
Kerberos策略的具体设置方法参见书本P200~P202页介绍。
以上策略的具体设置方法参见书本P197~P199页介绍。
6.2.7 Kerberos身份验证策略配置
Kerberos V5身份验证协议是用于确认用户或主机身份的 身份验证机制，也是Windows 2000和Windows Server 2003 系统默认的身份验证服务。Internet协议安全性（IPSec） 可以使用Kerberos协议进行身份验证。
弱密码会使得攻击者易于访问您的计算机和网络，而强 密码则难以破解，即使使用当今的密码破解软件也难以办 到。密码破解工具正在不断进步，而用于破解密码的计算 机也比以往更为强大。密码破解软件使用下面三种方法之 一：巧妙猜测、词典攻击和自动尝试字符的各种可能的组 合。只要有足够时间，这种自动方法可以破解任何密码。 即便如此，破解强密码也远比破解弱密码困难得多。因为 安全的计算机需要对所有用户账户都使用强密码。
1. 新功能 授权管理器 存储用户名和密码 软件限制策略
2. 更改成现有的技术 证书颁发机构 受限委派 有效权限工具 加密文件系统 （EFS） Everyone成员身份 基于操作的审核 重新应用安全默认值
本节详细内容参见书本的P187~P188页。
6.1.3与以前系统相比的新增或更新的安全功能
使用Kerberos进行身份验证的计算机必须使其时间设置在 5分钟内与常规时间服务同步，否则身份验证将失败。运 行Windows Server 2003家族成员、Windows XP Professional或Windows 2000的计算机将自动更新当前时间， 并将域控制器用作网络时间服务。
Kerberos策略用于域用户账户，同样既可在“默认域安 全策略”中配置，又可在域的组策略中配置。
图6-1 默认域安全策略
在Windows Server 2003系统中账户策略包含密码策略、账 户锁定策略和Kerberos策略三个子集。而在Windows Server 2003系统中的本地策略中包含审核策略、用户权限分配和安 全选项三个子集。本节详细内容参见书本的P189~P190页。
6.2.2 域账户密码概述
Windows用户账户安全策略
在用户账户安全方面，与用户用户有关的安全因素还有 许多如用户密码策略、账户锁定策略、共享文件夹共享权 限、NTFS文件访问权限等。这些安全因素配置不当都有 可能给整个企业网络带来安全威胁，特别是用户账户密码 策略、文件夹共享和文件访问权限这几个方面。
本章重点如下： Windows Server 2003系统的主要安全功能 Windows Server 2003系统用户密码、账户锁定和Kerberos
1. 自Windows NT 4.0系统以后新增和更新的功能 加密文件系统 Internet协议安全性
2. 自Windows 2000系统以后的新增和更新功能 TCP/UDP端口所有权 加密文件系统改进功能 软件限制策略 Internet协议安全性监视改进功能
本节详细内容参见书本的P188页。
创建或更新系统密钥的具体步骤参见书中P195页介绍。 但执行该过程时需要视环境的不同而使用不同的管理凭据： 如果创建或更新系统密钥用于本地计算机：要执行该过程， 您必须是本地计算机Administrators组的成员，或者您必须 被委派适当的权限。如果将计算机加入域，Domain Admins组的成员可能也可以执行这个过程。作为安全性的 最佳操作，可以考虑使用运行方式来执行这个过程。
对于密码策略的设置和应用还可以在组策略中进行，具 体方法是在“Active Directory用户和计算机”管理工具中， 在域控制器上单击右键，在弹出菜单中选择“属性”选项， 然后在打开的对话框中选择“组策略”选项卡，具体配置 方法参见书本P196页介绍。
【技巧】因为系统管理员账户Administrator大家都知道， 所以出于安全考虑，通常把系统管理员账户名称进行更改 （注意，包括账户说明）。而为了欺骗那些非法用户，通 常把一个具有较低权限的用户名改为administrator。如果当 前是采用administrator系统管理员账户登录域控制器的，则 在管理员账户名更改后系统要求注销当前用户，重新以新 名称登录。
6.1.1 安全模型功能 在Windows Server 2003系统中，主要安全模型功能有以 下几个： 身份验证 基于对象的访问控制 安全策略 审核 Active Directory和安全性 数据保护 公钥基础结构 信任 本节详细内容参见书本的P186~P187页。
6.1.2 Windows Server 2003系统新安全功能
密码为抵御对企业的非法访问构筑了第一道防线。 Windows Server 2003家族拥有一项新增功能，可以在操作 系统启动时检查Administrator账户密码的复杂程度。如果 密码为空或者不满足复杂性要求，将显示Windows Installer 对话框，警告您Administrator账户不使用强密码可能存在 危险。如果继续使用空密码，您将无法通过网络访问该账 户。
策略 Windows Server 2003系统用户权限的配置 默认共享的取消和文件夹共享权限的配置 NTFS文件访问权限配置 Windows XP系统私人文件夹的创建
6.1Windows Server 2003系统安全概述
Windows Server 2003家族安全模型的主要功能是用户身 份验证和访问控制。
使用Kerberos V5进行成功的身份验证需要两个客户端系 统都必须运行Windows 2000、Windows Server 2003家族或 Windows XP Professional操作系统。
如果客户端系统尝试向运行其他操作系统的服务器进行 身份验证，则使用NTLM协议作为身份验证机制。NTLM 身份验证协议是用来处理两台计算机（其中至少有一台计 算机运行Windows NT 4.0或更早版本）之间事务的协议。
密码长度至少有七个字符。 不包含用户名、真实姓名或公司名称。 不包含完整的字典词汇。 与先前使用过的密码大不相同。递增密码 （Password1、
Password2、Password3 ...） 不能算作强密码。 包含书中表6-1所列的全部四组字符类型中三组或以上。
有的密码虽然可以满足大多数强密码的条件，但仍然较 弱。例如，Hello2U! 就是一个相对而言的弱密码，因为包 括一个完整、且顺序一致的单词。
密码策略的设置方法同样适用于域账户或本地用户账户。 这部分设置项目包括： 强制密码历史 密码最长使用期限 密码最短使用期限 密码长度最小值 密码必须符合复杂性要求 用可还原的加密来存储密码
本节详细内容参见书本的P192~P194页。
6.2.5系统密钥实用程序
用户账户的密码信息存储在工作站和成员服务器注册表 的安全账户管理器（SAM）数据库中。在域控制器上，密 码信息存储在目录服务中。通常情况下，密码破解软件大 都针对SAM数据库或目录服务来获取用户账户的密码。系 统密钥实用程序（Syskey）为对抗密码破解软件建立了另 一道防线。它使用强加密技术来保证存储在SAM数据库或 目录服务中的账户密码信息的安全。破解经过加密的账户 密码会变得更加困难，更为耗时。
不要随意使用账户锁定策略
如果决定采用账户锁定策略，应设置足够高的“账户锁定 阈值”策略设置，使合法用户不至于仅因敲错了密码而被 锁定。
如果合法用户在一台计算机上更改了密码，但没有同时更 改另一台计算机上的密码，这时合法用户将被锁定。 本节详细内容参见书本的P191~P192页。
6.2.4 域账户密码策略的设置
6.2.3 域账户密码使用原则
密码的使用最好遵循以下几个主要原则： 1. 鼓ห้องสมุดไป่ตู้用户遵循最佳密码保护策略 始终使用强密码。 如果不得不将密码写在纸上，请将纸张保存在安全的位置， 并在不再需要时销毁。 永远不要与任何人共享密码。 对所有用户账户都分别使用不同的密码。 密码一旦泄露，应立即更改密码。 谨慎选择密码在计算机上保存的位置。 2. 定义密码策略，用强密码保护所有用户账户 定义“强制密码历史”策略设置，可以使系统记忆几个以 前用过的密码。
6.2 域账户策略设置
本节要向大家介绍的就是这个域安全策略设置，不过它 的基本设置方法基本上都适用于单机的本地安全设置。
6.2.1域账户和本地策略简介 对于域账户，只有一种账户策略。账户策略必须在“默 认域策略设置”中定义，并且由组成该域的域控制器实施， 如图6-1所示。这一管理工具界面打开的方法是执行〖开始〗 →〖管理工具〗→〖域安全策略〗操作（注意不要选择了 “域控制器安全策略”选项，因为那只是针对域控制器本 身，而不是针对整个域网络）。 域控制器始终从“默认域策略设置”中获得账户策略， 即使已经存在了一个应用到包括该域控制器在内的组织单 位的不同账户策略。默认情况下，加入到域（例如成员计 算机）中的工作站和服务器会接收到相同的账户策略用于 本地账户。然而，本地账户策略可能不同于域账户策略。
通常所说的弱密码主要体现在以下几个方面：
根本没有密码，就是不设密码，这是许多初级网络管理员 最经常使用的。
包含用户名、真实姓名或公司名称，这也是我们日常经常 使用的。
包含完整的字典词汇。例如，Password就属于弱密码。这 很容易受到字典类的网络攻击。 而在Windows Server 2003系统中所规定的强密码则至少 需要满足以下条件：