登录  
 加关注
查看详情
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

网络之路

常过来窜门,信息安等级保护.网络工程.网络安全工程.Linux.Unix.服务器

 
 
 

日志

 
 
 
 

windows2003 帐户策略- 威胁和对策  

2010-02-09 21:52:11|  分类: 2003 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

帐户策略

有三种不同类型的帐户策略:密码策略、帐户锁定策略和 Kerberos 身份验证协议策略。单个 Microsoft Windows Server? 2003 域可能具有各种策略中的任意一个。如果在 Active Directory 中的其他任意级别设置这些策略,则只有成员服务器上的本地帐户将会受到影响。

注意:对于域帐户,每个域只能有一个帐户策略。必须在默认域策略或链接到域根的新策略中定义帐户策略,并且帐户策略要优先于由组成该域的域控制器强制实施的默认域策略。域控制器总是从域的根目录中获取帐户策略,即使存在应用于包含域控制器的 OU 的其他帐户策略。域的根目录是该域的顶层容器,不要与目录林中的根域相混淆;目录林中的根域是该目录林中的顶层域。

可在域级别上应用组策略中的所有帐户策略设置。在密码策略、帐户锁定策略和 Kerberos 策略内置的默认域控制器策略中提供了默认值。在 Active Directory® 目录服务中配置这些策略时,切记 Microsoft® Windows® 仅允许一个域帐户策略,即应用于域目录树根域的帐户策略。域帐户策略将成为属于该域的任何 Windows 计算机的默认帐户策略。

此规则的唯一例外情况是,当为组织单位 (OU) 定义了另外一个帐户策略时。OU 的帐户策略设置将影响 OU 中包含的任何计算机上的本地策略。例如,如果 OU 策略定义一个与域级别帐户策略不同的密码最长使用期限,OU 策略将只在用户登录至本地计算机时应用和强制实施。只有默认本地计算机策略将应用至未应用 OU 帐户策略和域策略的工作组或域中的计算机。

本章将通篇讨论其中每种策略类型的设置。

密码策略

在 Windows 和其他许多操作系统中,验证用户身份最常用的方法是使用秘密通行短语或密码。安全网络环境要求所有用户均使用强密码(具有至少十个字符并包括字母、数字和符号组合的密码)。这些密码有助于防止使用手动方法或自动工具来猜测弱密码的未经授权人员破坏用户帐户和管理帐户。定期进行更改的强密码减少了密码攻击成功的可能性。本章稍后的“密码必须符合复杂性要求”部分提供了有关强密码的详细信息。

您可以通过适当密码策略强制使用强密码。密码策略设置控制密码的复杂性和使用期限。本部分讨论各个特定密码策略帐户设置。本指南还包括一个 Microsoft Excel® 工作簿“Windows 默认安全和服务配置”,该工作簿说明了默认设置。

您可以在组策略对象编辑器的下列位置配置密码策略设置:

计算机配置\Windows 设置\安全设置\帐户策略\密码策略

如果有组要求单独的密码策略,应根据任何其他要求将这些组分段到另一个域或林。

强制密码历史

此策略设置确定在重用旧密码之前必须与用户帐户关联的唯一新密码的数量。

“强制密码历史”设置的可能值为:

?

用户指定的值,在 0 至 24 之间

?

没有定义

漏洞

密码重用对于任何组织来说都是需要考虑的重要问题。许多用户都希望在很长时间以后使用或重用相同的帐户密码。特定帐户使用相同密码的时间越长,攻击者能够通过强力攻击确定密码的机会就越大。此外,任何可能已被破坏的帐户,只要其密码没有更改,就将一直可被利用。如果要求更改密码但仍在重用密码,或者用户不断重用少数几个密码,则好的密码策略的有效性将会大大降低。

如果您为此策略设置指定较小的数字,用户将反复使用少数几个相同密码。如果您也不配置“密码最短使用期限”设置,用户可以反复更改其密码直到可重用其原始密码。

对策

将“强制密码历史”设置配置为“24”(最大设置),有助于尽量减少由密码重用引起的漏洞的数量。

由于此设置在组织内有效,因此不允许在配置“密码最短使用期限”设置后立即更改密码。要确定将“强制密码历史”值设置为何种级别,应综合考虑合理的密码最长使用期限和组织中所有用户的合理密码更改间隔要求。

潜在影响

此配置的主要影响在于,每当要求用户更改旧密码时,用户都必须创建新密码。如果要求用户将其密码更改为新的唯一值,用户会为了避免遗忘而在某处写下自己的密码,这就带来了更大的风险。另外一项风险就是,用户可能会创建以增量更改的密码(例如,password01password02,等等)来帮助记忆。此外,“密码最短使用期限”设置值过低很可能会增加管理开销,因为忘记密码的用户可能会要求帮助台帮助重置密码。

密码最长使用期限

此策略设置确定用户在必须更改密码之前可使用该密码的天数。

“密码最长使用期限”设置的可能值为:

?

用户指定的天数,在 0 至 999 之间

?

没有定义

漏洞

任何密码,甚至最复杂的密码,都可能会被有足够的时间和计算机处理能力的攻击者猜测(或者“破译”)出来。下列某些策略设置可使密码在一个合理的时间段内较难被破译。如果经常要求用户更改其密码,可降低有效密码被破译的风险,还可降低以不正当手段获取密码的人员未经授权登录的风险。您可以配置“密码最长使用期限”设置以便不要求用户更改其密码,但这种配置是一个重大的安全风险。

对策

将“密码最长使用期限”设置配置为适合您的组织业务要求的值。Microsoft 建议大多数组织将此值设置为 90 天。您可以将“密码最长使用期限”设置配置为 0 以使密码永不过期,但并不建议使用这种配置。

潜在影响

如果“密码最长使用期限”设置的值太低,则会经常要求用户更改其密码。这种配置实质上会降低组织的安全性,因为用户更有可能会在某处写下其密码以免忘记,然后将信息保留在不安全的位置或将其丢失。如果将此策略设置的值配置得过高,会降低组织的安全级别,因为它将使潜在攻击者有更多时间来破译用户密码或使用被破坏的帐户。

密码最短使用期限

此策略设置确定在允许用户更改密码之前必须使用该密码的天数。“密码最短使用期限”值必须小于“密码最长使用期限”值。

如果要使“强制密码历史”设置有效,应将此策略设置配置为大于 0 的数。如果将“强制密码历史”设置配置为 0,则在提示用户更改其密码时不要求用户选择新的唯一密码。如果使用密码历史,用户在更改密码时必须输入新的唯一密码。

“密码最短使用期限”设置的可能值为:

?

用户指定的天数,在 0 至 998 之间

?

没有定义

漏洞

如果用户可以循环使用一些密码,直到可重用他们想要的旧密码,则要求用户定期更改密码是无效的。使用此策略设置与“强制密码历史”设置以防止重用旧密码。例如,如果配置“强制密码历史”设置以确保用户无法重用其最后使用的任意 12 个密码,他们可以在几分钟内将其密码更改 13 次,除非将“密码最短使用期限”设置配置为大于 0 的数,他们才能重用其首先使用过的密码。要使“强制密码历史”设置有效,必须将此策略设置配置为大于 0 的数。

对策

将“密码最短使用期限”设置的值配置为至少 2 天。如果将天数配置为 0,则允许立即更改密码,但是建议不要采用这种设置。

潜在影响

将“密码最短使用期限”设置配置为大于 0 的数时存在一个小问题。如果管理员为用户设置了一个密码,但希望用户在首次登录时更改该密码,则管理员必须选中“用户下次登录时须更改密码”复选框。否则,用户直到第二天才能更改密码。

密码长度最小值

此策略设置确定用户帐户的密码必须至少由几个字符构成。如何确定组织的最佳密码长度有许多不同的理论,但是,“通行短语”一词可能比“密码”更好。在 Microsoft Windows 2000 及更高版本中,通行短语可以相当长,并且可以包括空格、标点符号和 Unicode 字符。因此,诸如“I want to drink a $5 beverage!”之类的短语都是有效的通行短语。这样的短语比由 8 或 10 个随机数字和字母组成的字符串要强大得多,而且更容易记住。

“密码长度最小值”设置的可能值为:

?

用户指定的数值,在 0 至 14 之间

?

没有定义

漏洞

可以执行几种类型的密码攻击,以获取特定用户帐户的密码。这些攻击类型包括试图使用常见字词和短语的词典攻击,以及尝试使用每一种可能的字符组合的强力攻击。另外,攻击者有时还会尝试获取帐户数据库以便可以使用实用程序破解帐户和密码。

对策

将“密码长度最小值”设置的值配置为 8 或更长。如果字符数设置为 0,则不要求使用密码。

在大多数环境中都建议使用由 8 个字符组成的密码,因为它足够长,可提供充分的安全性,同时用户也不太难记住。此配置将对强力攻击提供足够的防御能力。其他复杂性要求将有助于降低词典攻击的可能性。本章的下一部分将讨论复杂性要求。此外,还应注意某些国家(地区)对于密码长度有相应的法律要求。

潜在影响

要求过长的密码实质上可能会降低组织的安全性,因为用户更有可能会在某处写下其密码以免忘记,然后将信息保留在不安全的位置或将其丢失。但是,如果教会用户使用上述通行短语,用户应该更容易记住这些密码。

如果允许使用短密码,则会降低安全性,因为使用可执行词典攻击或强力攻击的工具将很容易破译这些密码。如果要求使用非常长的密码,密码输入错误则可能导致帐户被锁定,并且相继增加帮助台呼叫的数量。

Windows 旧版本(例如,Windows 98 和 Windows NT® 4.0)不支持长度超过 14 个字符的密码。运行这些旧操作系统的计算机无法验证要求使用长密码帐户的计算机或域。

密码必须符合复杂性要求

此策略设置确定密码是否必须符合一系列被认为是对于强密码来说很重要的规则。

如果启用此策略设置,密码必须符合以下要求:

?

密码长度至少有 6 个字符。

?

密码包含下列四类字符中的三类:

?

大写字符(A、B、C、...)

?

小写字符(a、b、c、...)

?

数字(0、1、2、3、4、5、6、7、8、9)

?

非字母数字字符和 Unicode 字符(( ) ` ~ !@ # $ % ^ & * - + = | \ { } [ ] : ; " ' < > , . ? / ? Γ ? λ 以及空格)

?

密码不包含用户帐户名或显示名称中的三个或多个连续字符。如果帐户名的长度少于三个字符,则不会执行此项检查,因为密码被拒的概率过高。在对用户的完整名称执行检查时,若干字符会被视为将名称分隔为各个标记的分隔符:逗号、句点、破折号/连字符、下划线、空格、英镑符号和制表符。对于包含三个或更多字符的每个标记,将在密码中对其进行搜索,如果发现了该标记,就会拒绝密码更改。

例如,名字 Erin M. Hagens 会被分成三个标记:Erin、M 和 Hagens。由于第二个标记的长度只有一个字符,从而被忽略。因此,此用户密码中的任何位置都不能包含“erin”或“hagens”子字符串。所有这些检查都区分大小写形式。

这些复杂性要求在密码更改或新建密码时强制执行。

不能直接修改 Windows Server 2003 策略中包括的这些规则。但是,可以创建一个新版本的 Passfilt.dll 文件,以应用不同的规则集。有关如何创建自己的密码筛选器的详细信息,请参阅 MSDN® 上 Windows 平台软件开发工具包 (SDK) 中的 密码筛选器文档,网址为 http://msdn.microsoft.com/library/en-us/secmgmt/security/password_filters.asp。

“密码必须符合复杂性要求”设置的可能值为:

?

已启用

?

已禁用

?

没有定义

漏洞

只包含字母数字字符的密码非常容易被许多公用的实用程序所破译。为防止密码被破译,密码应包含更为广泛的字符。

对策

将“密码必须符合复杂性要求”设置配置为“已启用”。

当与配置为 8 的“最短密码长度”结合使用时,此策略设置能够确保一个密码的不同可能性数量非常之广泛,使强力攻击难以(但不是没有可能)成功获取密码。一位具有足够的处理能力、能够每秒测试一百万个密码的攻击者,可在七天半之内确定这类密码。(如果增大“密码长度最小值”设置,就将延长成功攻击一个密码的必要平均用时。)

潜在影响

如果保留默认密码复杂性配置,将会引起更多由于帐户被锁定而请求的帮助台呼叫,因为用户可能不习惯使用包含非字母字符的密码。但是,所有用户都应能够遵守该复杂性要求而不会有太大困难。

如果组织有更严格的安全要求,可以创建允许使用任意复杂密码强度规则的自定义版本 Passfilt.dll文件。例如,自定义密码筛选器可能要求使用非上行符。(上行字符是那些要求按住 Shift 键并按介于 1 和 0 之间的任意数字而得到的字符。)自定义密码筛选器可能还会执行词典检查以验证提交的密码不包含常规词典单词或片断。

而且,使用 Alt 键字符组合可大大增加密码的复杂性。但是,如此严格的密码要求可能导致用户不满并导致帮助台非常繁忙。或者,组织可以考虑要求所有管理员密码均使用 0128 – 0159 范围内的 Alt 字符。(超出此范围之外的 Alt 字符可表示标准字母数字字符,不会额外增加密码的复杂性。)

用可还原的加密来储存密码(针对域中的所有用户)

此策略设置确定 Microsoft Windows Server 2003、Windows 2000 Server、Windows 2000 Professional 和 Windows XP Professional 在存储密码时是否使用可还原的加密。

“用可还原的加密来储存密码(针对域中的所有用户)”设置为需要了解用户密码以进行身份验证的应用程序协议提供支持。而以可还原方式储存的加密密码是可以解密的。能够破解这种加密的高水平攻击者然后可以通过已被破坏的帐户来登录到网络资源。

警告:请永远不要启用此策略设置,除非业务要求比保护密码信息更为重要。

通过远程访问或 Internet 验证服务 (IAS) 服务使用质询握手身份验证协议 (CHAP) 进行身份验证时,需要启用此策略设置。CHAP 是 Microsoft 远程访问和网络连接可使用的一个身份验证协议。

“用可还原的加密来储存密码(针对域中的所有用户)”设置的可能值为:

?

已启用

?

已禁用

?

没有定义

漏洞

此策略设置确定 Windows Server 2003 是否以更容易遭到破坏的一种较弱格式来储存密码。

对策

将“用可还原的加密来储存密码(针对域中的所有用户)”设置配置为“已禁用”。

潜在影响

如果您的组织通过远程访问或 IAS 服务使用 CHAP 身份验证协议,或在 IIS 中使用摘要式身份验证,则必须将此策略设置配置为“已启用”。将此设置逐个用户应用到组策略是异常危险的,因为它需要相应用户帐户对象在 Microsoft 管理控制台 (MMC) Active Directory 用户和计算机管理单元中打开。

帐户锁定策略

试图登录到计算机时多次密码提交不成功可能表示攻击者正在尝试以试错法来确定帐户密码。Windows Server 2003 SP1 可跟踪登录尝试,而且可以将操作系统配置为在指定的尝试失败次数后的预置时段禁用帐户。帐户锁定策略设置控制此响应的阈值以及达到该阈值后应执行什么操作。本指南包括一个 Microsoft Excel 工作簿“Windows 默认安全和服务配置”,该工作簿说明了默认设置。

您可以在组策略对象编辑器的下列位置配置帐户锁定策略设置:

计算机配置\Windows 设置\安全设置\帐户策略\帐户锁定策略

帐户锁定时间

此策略设置确定在自动解锁之前锁定帐户保持锁定状态的分钟数。可用范围为从 1 到 99,999 分钟。要指定在管理员手动解锁之前帐户保持锁定状态,请将该值配置为 0。如果定义了帐户锁定阈值,“帐户锁定时间”必须大于或等于复位时间。

“帐户锁定时间”设置的可能值为:

?

用户定义的值,在 0 至 99,999 分钟之间

?

没有定义

漏洞

如果攻击者滥用“帐户锁定阈值”并反复尝试登录到特定帐户,则可能导致拒绝服务 (DoS) 状况。如果对“帐户锁定阈值”设置进行配置,帐户将在指定的尝试失败次数后被锁定。如果将“帐户锁定时间”设置配置为 0,则帐户会一直保持锁定状态,直到管理员手动将其解锁。

对策

将“帐户锁定时间”设置配置为适合于您的环境的值。要指定在管理员手动解锁之前帐户保持锁定状态,则将该值配置为 0。如果“帐户锁定时间”设置配置为非零值,自动尝试猜测帐户密码的操作必须等待超过此时间间隔后才能继续尝试猜测特定帐户。如果结合使用此设置和“帐户锁定阈值”设置,这类自动密码猜测尝试将进行困难或不起作用。

潜在影响

尽管将此策略设置配置为永不自动解锁帐户似乎是一个好主意,但这样配置可能会增加组织的帮助台收到解锁不小心锁定的帐户的要求数量。

帐户锁定阈值

此策略设置确定导致用户帐户被锁定的登录失败尝试次数。在管理员复位或帐户锁定时间到期之前,不能使用已锁定的帐户。可将登录失败尝试次数指定为多达 999 次,也可以将该值设置为 0 以指定永不锁定帐户。如果定义了“帐户锁定阈值”,“帐户锁定时间”必须大于或等于复位时间。

在使用 Ctrl+Alt+Delete 或受密码保护的屏幕保护程序进行锁定的工作站或成员服务器上的失败密码尝试,将不作为失败的登录尝试来计数,除非启用了策略设置“交互式登录:要求域控制器身份验证以解锁工作站”。如果启用了该策略设置,则因解锁工作站而重复的失败密码尝试次数将被计入“帐户锁定阈值”。

“帐户锁定阈值”设置的可能值为:

?

用户指定的值,在 0 至 999 之间

?

没有定义

漏洞

密码攻击可能利用自动化的方法,对任何或所有用户帐户尝试数千甚至数百万种密码组合。如果限定可执行的失败登录次数,几乎可使这类攻击失效。

但是,请务必注意,可能在配置了帐户锁定阈值的域上执行 DoS 攻击。恶意攻击者可编制程序来尝试对组织中的所有用户进行一系列密码攻击。如果尝试次数大于帐户锁定阈值,则攻击者有可能锁定每一个帐户。

对策

由于配置此值或不配置此值时都存在漏洞,因此要定义两种不同的对策。任何组织都应该根据识别的威胁和想要降低的风险来在两者之间进行权衡。这两种对策选项是:

?

将“帐户锁定阈值”设置配置为 0。此配置可确保帐户永不锁定,并可防止故意试图锁定全部或一些特定帐户的 DoS 攻击。此配置还有助于减少帮助台呼叫次数,因为用户不会将自己意外地锁定在帐户外。

由于它不能阻止强力攻击,因此只有在下列要求均得到明确满足时才可以选择此配置:

?

密码策略要求所有用户使用由 8 个或更多字符组成的复杂密码。

?

强健的审核机制已经就位,可以在组织环境中发生一系列失败登录时提醒管理员。

?

如果您的组织不能满足上述要求,将“帐户锁定阈值”设置配置为足够高的值,可在帐户被锁定之前允许用户数次意外错误键入其密码,但要确保强力密码攻击仍会导致锁定帐户。将这类配置设为 50 次无效登录尝试是一个较好的建议,这将防止意外帐户锁定并减少帮助台呼叫数量,但不能阻止 DoS 攻击(如前所述)。

潜在影响

如果启用了此策略设置,则在管理员重置或帐户锁定时间过期之前,锁定的帐户将不可用。此设置很可能导致产生许多额外的帮助台呼叫。事实上,在许多组织中,锁定帐户都会导致数目最多的帮助台呼叫。

如果将“帐户锁定阈值”配置为 0,在没有强健的审核机制的情况下,攻击者有可能使用强力密码攻击尝试破译密码而不被发现。

复位帐户锁定计数器

此策略设置确定跟踪登录失败尝试次数并触发帐户锁定的计数器复位为 0 之前必须经过的分钟数。如果定义了“帐户锁定阈值”,则此复位时间必须小于或等于“帐户锁定时间”设置配置。

“复位帐户锁定计数器”设置的可能值为:

?

用户定义的分钟数,在 1 至 99,999 之间

?

没有定义

漏洞

如果多次错误地输入密码,用户可能会意外地将自己锁定在帐户之外。要减少这类意外锁定的可能性,“复位帐户锁定计数器”设置可确定跟踪失败登录尝试次数并触发锁定的计数器复位为 0 之前必须经过的分钟数。

对策

将“复位帐户锁定计数器”设置配置为“30 分钟”。

潜在影响

如果不配置此策略设置或该值配置的时间间隔太长,都可能会发生 DoS 攻击。攻击者可以恶意尝试多次登录各个用户的帐户,并锁定其帐户(如前面几个段落所描述的)。如果不配置“复位帐户锁定计数器”设置,管理员必须手动解锁所有帐户。如果将此策略设置配置为合理值,这段时间内用户被锁定在帐户外,则超过这段时间其帐户将自动解锁。确保将此策略设置使用的值通知给用户,以便他们会首先等待锁定计时器到期,然后才会在必要时就无法登录问题呼叫帮助台。

Kerberos 策略

在 Windows Server 2003 SP1 中,Kerberos 身份验证协议提供默认的域身份验证服务机制,以及用户访问资源并在该资源上执行任务所必需的身份验证数据。如果缩短 Kerberos 票证的寿命,可降低攻击者窃取并成功使用合法用户凭据的风险。但这会增加授权开销。

在大多数环境中都不需要更改 Kerberos 策略设置。在域级别应用这些策略设置,在 Windows 2000 或 Windows Server 2003 Active Directory 域默认安装的默认域策略 GPO 中配置这些默认值。本指南包括一个 Microsoft Excel 工作簿“Windows 默认安全和服务配置”,该工作簿说明了默认设置。

您可以在组策略对象编辑器的下列位置配置 Kerberos 策略设置:

计算机配置\Windows 设置\安全设置\帐户策略\Kerberos 策略

强制用户登录限制

此策略设置确定密钥发行中心 (KDC) 是否根据用户帐户的用户权限策略来验证会话票证的每个请求。验证会话票证的每个请求是可选功能,因为执行额外的步骤会消耗时间,并且可能会降低网络访问服务的速度。

“强制用户登录限制”设置的可能值为:

?

已启用

?

已禁用

?

没有定义

漏洞

如果禁用此策略设置,用户可能会收到他们不再有权使用的服务的会话票证,因为该权限在他们登录后被删除。

对策

将“强制用户登录限制”设置配置为“已启用”。

潜在影响

无。这是默认配置。

服务票证最长寿命

此策略设置确定可以使用所授予的会话票证来访问特定服务的最长时间(以分钟为单位)。此设置必须大于或等于 10 分钟,并小于或等于“用户票证最长寿命”设置的配置值。

如果客户端在请求连接到服务器时显示过期的会话票证,该服务器将返回错误消息,客户端必须向 KDC 请求新的会话票证。在连接通过验证之后,会话票证是否仍有效并不重要。会话票证只用于验证与服务器之间的新连接。如果验证连接的会话票证在连接期间到期,将不会中断操作。

“服务票证最长寿命”设置的可能值为:

?

用户定义的值,在 10 至 99,999 分钟之内。如果将此策略设置配置为 0,则服务票证不会过期。

?

没有定义。

漏洞

如果将“服务票证最长寿命”设置的值配置得太高,用户可能可以在超出其登录时间之外访问网络资源。此外,其帐户已被禁用的用户可以使用帐户禁用前发出的有效服务票证来继续访问网络服务。

对策

将“服务票证最长寿命”设置配置为“600 分钟”。

潜在影响

无。这是默认配置。

用户票证最长寿命

此策略设置确定用户的票证授权票证 (TGT) 的最长有效期(以小时为单位)。当用户的 TGT 到期时,必须请求新 TGT,或者必须续订现有 TGT。

“用户票证最长寿命”设置的可能值为:

?

用户定义的小时值,介于 0 到 99,999 之间。默认值为 10 小时。

?

没有定义。

漏洞

如果将“用户票证最长寿命”设置的值配置得太高,用户可能可以在超出其登录时间之外访问网络资源。此外,其帐户已被禁用的用户可以使用帐户禁用前发出的有效服务票证来继续访问网络服务。

对策

将“用户票证最长寿命”设置配置为 10 小时。

潜在影响

无。这是默认配置。

用户票证续订最长寿命

此策略设置确定用户票证授权票证 (TGT) 可以续订的时间期限(以天为单位)。

“用户票证续订最长寿命”设置的可能值为:

?

用户定义的值,在 0 至 99,999 分钟之间

?

没有定义

漏洞

如果“用户票证续订最长寿命”设置的值太高,用户可以续订非常旧的用户票证。

对策

将“用户票证续订最长寿命”设置配置为“10080 分钟”(7 天)。

潜在影响

无。这是默认配置。

计算机时钟同步的最大容差

此策略设置确定 Kerberos 协议可以允许的客户端计算机时钟时间和基于 Windows Server 2003 的域控制器(提供 Kerberos 身份验证)时间之间的最大时间差(以分钟表示)。

“计算机时钟同步的最大容差”设置的可能值为:

?

用户定义的值,在 1 至 99,999 分钟之间

?

没有定义

漏洞

为防止“重播攻击”,Kerberos 身份验证协议使用时间戳作为其协议定义的一部分。为了使时间戳正常运行,客户端和域控制器的时钟需要尽可能同步。由于两台计算机的时钟通常未同步,管理员可使用此策略建立必须完成 Kerberos 协商的最长用时;用时从时间戳来计算。此设置的值限制域控制器和客户端计算机之间可容许的最大时间差。

对策

将“计算机时钟同步的最大容差”设置配置为“5 分钟”。

潜在影响

无。这是默认配置。

  评论这张
 
阅读(1296)| 评论(0)

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018