系统安全的关键是账户策略的恰当设置,根据系统的不同(例如域控制器、工作站、成员服务器),账户策略也会有相应的变化。在Windows 2000域中,账户策略是通过域的组策略 设置和强制执行的。在其它GPO中对域账户策略进行的设置将会被忽略。而在工作站或者成员服务器上直接配置账户策略也只能影响到相应计算机的本地账户策略以及锁定策。如果想要在本机和和域中使用一致的密码策略和账户锁定策略,就需要在域控制器(通过域GPO)以及本机(通过本地安全策略)设置同样的安全策略。关于选择合适的模板导入恰当的容器的详细信息可以参阅Guide to Securing Microsoft Windows 2000 Group Policy 一文。
要查看安全模板中关于账户策略的设置,在MMC中双击:
?安全模板
?默认的配置文件保存目录(%SystemRoot%SecurityTemplates)
?特定的配置文件
?账户策略
注意:在对一个配置文件进行了任何修改之后,请记得保存修改,然后在正式使用之前一定要先测试好。
密码策略
在对账户策略对话框进行修改之前,复查你的网络中已有的密码策略,在账户策略中设置的内容应该跟已有的密码策略相符合。用户也应该阅读和签署协议表明他们承认组织的计算机策略。
建议包括的密码策略包括:
?用户绝不能把密码写在纸上
?密码要很难猜测,并且最好能包括大小写字母、特殊字符(标点符号以及扩展字符),最后还有数字。字典中的词语不能用作密码。
?用户不能使用电子通讯技术明文传输密码。
要使用安全模板组件修改密码策略设置,依次双击:
账户策略?密码策略 ,查看或者编辑当前设置
表1 列出了密码策略的建议设置,图2显示了MMC中的密码策略设置窗口
图2 密码策略设置窗口
表1 密码策略选项
账户锁定策略
账户锁定功能会在产生三次无效登录后锁定登录的账户,这个设置会减慢字典攻击的速度,因为如果每三次连续的无效登录产生后账户都被锁定的话,入侵者就必须等待账户被重新启用。如果一个账户已经被锁定,管理员可以使用Active Directory用户和计算机工具启用域账户或者使用计算机管理启用本地账户,而不用等待到账户自动启用。
注意:系统内建的Administrator账户不会因为账户锁定策略的设置而被锁定。然而当使用远程桌面时,会因为账户锁定策略的设置而使得Administrator账户在限定时间内无法继续使用远程桌面。Administrator账户的本地登录是永远被允许的。
要通过安全模板组件修改账户锁定策略的设置,依次双击:
账户策略 ? 账户锁定策略 ,然后查看或者编辑当前设置
表2 列出了账户锁定策略的建议设置
表2 账户锁定策略选项
Kerberos策略
Kerberos是Windows 2000活动目录使用的默认认证方式,自从活动目录使用Kerberos 作为必要的认证方式后,Kerberos策略仅对Windows 2000域GPO具有重要作用,因此本文中讨论的Windows XP工作站的Kerberos策略都没有设定。以下信息仅供参考。
要通过安全模版组件修改Kerberos策略,依次双击:
账户策略 - Kerberos 策略,然后查看或者编辑目标内容
表3 列出了所有可以用于域组策略级别的Kerberos策略设置。
表3 Kerberos策略选项