Overview
發佈日期: 2003 年 5 月 22 日 | 更新日期: 2006 年 4 月 13 日
本頁內容
本單元內容
目標
適用於
如何使用本單元
群組原則
支援安全性管理的 OU 設計
支援安全性管理的 GPO 設計
網域層級的群組原則
帳戶鎖定原則
使用者權限指派
安全性設定
Kerberos 原則
OU 層級的群組原則
群組原則工具
總結
本單元內容
本單元提供概念性介紹,以便將「群組原則」套用至 Microsoft Windows Server 2003 和 Microsoft Windows 2000 Server 網域中的 Microsoft® Windows® XP Professional 用戶端。「群組原則」是 Microsoft Active Directory® 目錄服務的一項功能,讓系統管理員能夠變更使用者和電腦設定並管理組態。不過,在您將「群組原則」套用至環境中的 Microsoft Windows XP Professional 用戶端之前,需要先在您的網域中進行特定的預備步驟。
「群組原則」是保障 Windows XP 安全之不可或缺的工具。本單元提供詳細資訊,說明如何從中央位置跨網路地使用群組原則,來套用和維護一致的安全性原則。
本指南同時針對「企業」和「高安全性」環境提供選項。本單元建議的設定同時適用於桌上型和膝上型用戶端。
目標
透過此單元即可:
適用於
本單元適用於下列產品及技術:
如何使用本單元
本單元提供了一套方法,並逐步說明如何使用「群組原則」來保障 Windows Server 2003 或 Windows 2000 Active Directory 網域中的 Windows XP Professional 用戶端的安全性。
若要充分瞭解此單元:
群組原則
「群組原則」是 Active Directory 的一項功能,可變更使用者和電腦的設定,以及管理 Windows Server 2003 和 Windows 2000 Server 網域。然而,在您將群組原則套用至環境中的 Windows XP Professional 用戶端之前,需要先在您的網域中進行特定的預備步驟。
群組原則設定儲存在您環境內的網域控制站上的「群組原則物件 (GPO)」中。GPO 與包含 Active Directory 站台、網域和組織單位 (OU) 的容器相連結。由於群組原則與 Active Directory 如此緊密地整合,因此在實作群組原則之前,必須先瞭解 Active Directory 結構和不同設定選項對於安全性的影響。如需有關 Active Directory 設計的詳細資訊,請參閱《Windows Server 2003 安全性指南》的<設定網域基礎結構>單元。
[表 1] 基礎安全性範本
|
說明
|
企業用戶端
|
高安全性
|
|---|
|
用戶端的基準安全性範本
|
企業用戶端-domain.inf
|
高安全性-domain.inf
|
支援安全性管理的 OU 設計
OU 是 Active Directory 網域當中的一個容器。OU 可以包含使用者、群組、電腦和其他組織單位,稱為子 OU。您可將 GPO 與 OU 連結,這是 Active Directory 階層中最低層的容器。您也可以委派系統管理授權給 OU。OU 提供一個簡單的方法,可以為使用者、電腦和其他安全性主體分組,也是區隔系統管理界限的有效方法。請將使用者和電腦指定到不同的 OU,因為部份設定只能套用到使用者,而部份只能套用到電腦。
您可以使用 Active Directory 使用者和電腦 Microsoft Management Console (MMC) 嵌入式管理單元所提供的「委派精靈」,來委派對群組或個別 OU 的控制權。請參閱本單元最後的<其他資訊>,即可連結至有關委派授權的說明文件。
設計環境 OU 結構的主要目標,是要提供一個根基來建立完整的群組原則實作,以涵蓋存在 Active Directory 中的所有的工作站,同時確保它們符合 貴組織的安全性標準。另外,OU 結構的設計必須針對組織內的特定使用者類型,提供適合的安全性設定。例如,准許開發人員在他們的工作站上進行的工作,可以是不允許一般使用者進行的工作。膝上型電腦使用者的安全性需求,可能會與桌上型電腦使用者稍有差異。下圖代表一個簡單的 OU 結構,可搭配本單元針對群組原則的討論。此 OU 的結構可能與您環境中的組織需求不太一樣。
.jpg)
[圖 1]
Windows XP 電腦的 OU 結構
部門 OU
隨著組織內部安全性需求經常的變化,在您的環境中建立部門 OU 應該蠻實用的。部門安全性設定可經由 GPO 套用到個別部門 OU 中的電腦和使用者。
安全的 XP 使用者 OU
此 OU 包含同時參與「企業用戶端」和「高安全性」環境的使用者帳戶。套用至此 OU 的設定在<Windows XP 的系統管理範本>單元的<使用者組態>一節有加以討論。
Windows XP OU
此 OU 包含您環境中每種 Windows XP 用戶端的子 OU。此處涵蓋了桌上型和膝上型用戶端的指引。也因此建立了「桌上型電腦 OU」和「膝上型電腦 OU」。
支援安全性管理的 GPO 設計
請使用 GPO 來確保特定設定、使用者權限和行為已套用到所有的工作站或 OU 當中的使用者。透過使用群組原則而非手冊上的步驟,比較容易更新在未來需要其他變更的大量工作站或使用者。代替使用 GPO 來套用這些設定另外可行的方法是,派遣一位技術人員在每一用戶端上進行手動設定。
.jpg)
[圖 2]
GPO 應用程式物件層次
上列圖表說明 GPO 套用至屬於子 OU 成員之一的電腦之順序。群組原則會先從每一 Windows XP 工作站的本機原則開始套用。在套用本機原則之後,接著會套用在站台層級的所有 GPO,然後是網域層級。
對於巢放在不同 OU 層的 Windows XP 用戶端而言,GPO 會以階層中最高的 OU 層級到最低層級的順序套用。最後的 GPO 會從包含用戶端電腦的 OU 套用。GPO 處理的順序 - 本機原則、站台、網域、父 OU 和子 OU - 非常重要,因為在過程中稍後套用的 GPO 會覆寫先前套用的 GPO。使用者 GPO 也是以相同的方式套用,唯一的差別在於使用者帳戶並沒有本機安全性原則。
在設計群組原則時,請將下列考量事項謹記在心。
-
系統管理員必須設定您將多個 GPO 與 OU 連結的順序,否則將依其與 OU 連結的預設順序套用原則。如果在多個原則中指定相同的順序,會優先採用該容器之原則清單當中最高的原則。
-
您可以 [無覆寫] 選項來設定 GPO。藉由選取此選項,其他 GPO 就無法覆寫為此原則設定的設定值。
-
您可以 [封鎖原則繼承] 選項來設定 Active Directory、站台、網域或 OU。此選項會封鎖處於 Active Directory 較高階層的 GPO 之 GPO 設定,除非它們已選取 [無覆寫] 選項。
-
群組原則設定會根據使用者或電腦物件於 Active Directory 中所在的位置來套用到使用者和電腦。在某些情況下,使用者物件可能需要原則根據電腦物件的位置,而不是使用者物件的位置套用到它們身上。群組原則回送處理功能讓系統管理員有能力根據使用者登入哪台電腦來套用使用者「群組原則」設定。如需有關回送處理支援的詳細資訊,請參閱本單元<其他資訊>中所列出的《群組原則》白皮書。
下圖展開了初步的 OU 結構來說明 GPO 可能如何套用至屬於膝上型和桌上型 OU 且執行 Windows XP 的用戶端。
.jpg)
[圖 3]
展開的 OU 結構與執行 Windows 的桌上型和膝上型電腦的安全性 GPO
在上述範例中,膝上型電腦是「膝上型電腦 OU」的成員。第一個套用的原則是執行 Windows XP 的膝上型電腦上的「本機安全性原則」。因為在此範例中只有一個站台,因此站台層級尚未套用任何 GPO,使得「網域 GPO」成為下一個要套用的原則。最後套用的是「膝上型電腦 GPO」。
注意: 「桌上型電腦原則」並未套用到任何膝上型電腦,因為它不與內含「膝上型電腦 OU」的階層內的任何 OU 相連結。此外,「安全的 XP 使用者 OU」也沒有相對應的安全性範本 (.inf 檔),因為它只包含「系統管理範本」的設定。
為了示範 GPO 之間的優先順序是怎麼運作的,[允許透過終端機服務登入] 的 Windows XP OU 原則設定會設為 [系統管理員] 群組。而 [允許透過終端機服務登入] 的膝上型 GPO 設定則設為 [進階使用者 (Power User)] 和 [系統管理員] 群組。在此例中,其帳戶屬於 [進階使用者] 群組的使用者可使用終端機服務登入膝上型電腦。這是因為「膝上型電腦 OU」是 Windows XP OU 的子項。如果啟用了 Windows XP GPO 中的 [無覆寫] 選項,則只有其帳戶屬於 [系統管理員] 群組的人才能使用「終端機服務」登入用戶端。
安全性範本
群組原則範本是以文字為主的檔案。您可以使用 MMC 的「安全性範本」嵌入式管理單元或使用文字編輯器 (例如記事本) 來變更這些檔案。範本檔案的部份區段包含特定的存取控制清單 (ACL),由 Security Descriptor Definition Language (SDDL) 所定義。有關編輯安全性範本和 SDDL 的詳細資訊,請參閱本單元中的<其他資訊>一節。
安全性範本管理
將實際執行的環境中所使用之安全性範本,儲存在基礎結構中一個安全的位置內是相當重要的。對安全性範本的存取權應該只授予負責實作「群組原則」的系統管理員。安全性範本預設會存放在所有執行 Windows XP 和 Windows Server 2003 的電腦上的 %SystemRoot%\security\templates 資料夾。
此資料夾不會跨多網域控制站複寫。因此,您需要選擇一個網域控制站來保存安全性範本的主複本,這樣一來就不會碰到範本的版本控制問題。這個最佳作法可確保您修改的永遠都是範本的相同版本。
匯入安全性範本
請使用下列步驟來匯入安全性範本。
-
若要將安全性範本匯入 GPO 中:
-
巡覽至「群組原則物件編輯器」中的 [Windows 設定] 資料夾。
-
展開 [Windows 設定] 資料夾並選取 [安全性設定]。
-
在 [安全性設定] 資料夾上按一下滑鼠右鍵,再按一下 [匯入原則]。
-
選取您要匯入的安全性範本,再按一下 [開啟]。此檔案的設定接著便會匯入到 GPO 中。
系統管理範本
名為「系統管理範本」的 Unicode 檔內有提供額外的安全性設定。系統管理範本是包含影響 Windows XP 及其元件,以及其他應用程式 (例如 Microsoft Office XP) 登錄設定的檔案。系統管理範本可包含電腦設定,也可包含使用者設定。電腦設定是存放在 HKEY_LOCAL_MACHINE 登錄群組中。使用者設定則存放在 HKEY_CURRENT_USER 登錄群組中。
系統管理範本管理
將實際執行的環境中所使用之系統管理範本,儲存在基礎結構中一個安全的位置內是相當重要的,就跟上述儲存安全性範本的最佳作法一樣。只有負責實作群組原則的系統管理員才應該具有此位置的存取權。Windows XP 和 Windows 2003 Server 隨附的系統管理範本乃儲存在 %systemroot%\inf 目錄中。Office XP 的其他範本則包含在 Office XP Resource Kit 中。這些範本都不應該編輯,因為他們可能會在 Service Pack 發行時有所變更。
新增系統管理範本到原則中
除了 Windows XP 隨附的系統管理範本之外,也請將 Office XP 範本套用至您希望設定 Office XP 的該些 GPO 中。請使用下列步驟新增額外的範本到 GPO 中。
-
若要新增系統管理範本到 GPO:
-
巡覽至「群組原則物件編輯器」中的 [系統管理範本] 資料夾。
-
在 [系統管理範本] 資料夾上按一下滑鼠右鍵,再按一下 [新增/移除範本]。
-
在 [新增/移除範本] 對話方塊中,按一下 [新增]。
-
巡覽至內含您的系統管理範本檔的資料夾。
-
選取您要新增的範本,再按一下 [開啟],接著按 [關閉]。
網域層級的群組原則
網域層級的群組原則包含套用到網域內所有電腦和使用者的設定。網域層級安全性在《Windows Server 2003 安全性指南》的<在 Windows Server 2003 環境中設定網域基礎結構>中有詳加探討,位於:http://go.microsoft.com/fwlink/?LinkId=14845。
密碼原則
定期變更的複雜密碼可降低成功密碼攻擊的可能性。密碼原則設定控制著密碼的複雜度和存留期。本節將探討「企業用戶端」及「高安全性」環境的每一密碼原則設定。
請在「群組原則物件編輯器」中的以下位置設定下列「網域群組原則」中的值:
Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy
下表包括針對本指南中定義的兩種安全環境,所建議的密碼原則。
強制執行密碼歷程記錄
[表 2] 設定
|
網域控制站預設值
|
企業用戶端
|
高安全性
|
|---|
|
24 組密碼
|
24 組密碼
|
24 組密碼
|
[強制執行密碼歷史記錄] 設定指出重複使用舊密碼之前,必須與使用者帳戶相關聯的唯一新密碼數量。此設定的值必須介於 0 到 24 組密碼。Windows XP 的預設值為 0 組密碼,但網域的預設值則為 24 組密碼。為了維護密碼歷程記錄的有效性,請使用 [密碼最短使用期限] 設定以防止使用者重複變更他們的密碼來規避 [強制執行密碼歷程記錄] 設定。
請針對本指南中定義的兩種安全性環境,將 [強制執行密碼歷程記錄] 設定設為 [24 組密碼]。設定上限值可確保使用者無法輕易重複使用密碼,無論是不小心或有意,進而強化密碼安全。它還可幫助確保攻擊者所偷竊的密碼會在破解使用者帳戶之前就失效。設定此值的上限並沒有相關的已知問題。
密碼最長使用期限
[表 3] 設定
|
網域控制站預設值
|
企業用戶端
|
高安全性
|
|---|
|
42 天
|
42 天
|
42 天
|
此設定的值範圍介於 1 至 999 天。您也可將此值設為 0 以指定該密碼永遠不會過期。此設定定義了破解密碼的攻擊者在密碼過期之前,可能會利用該密碼存取網路上的電腦的期間。此設定的預設值為 42 天。
請針對本指南中定義的兩種安全性環境,將 [密碼最長使用期限] 設定設為 [42 天]。大多數的密碼都可以破解。因此密碼變更的頻率越高,攻擊者使用已破解之密碼的機會就越渺茫。不過,此值設得越小,打給服務支援的電話量增加的可能性就越高。將 [密碼最長使用期限] 設定的值設為 42 可確保密碼定期循環,進而提高密碼的安全性。
密碼最短使用期限
[表 4] 設定
|
網域控制站預設值
|
企業用戶端
|
高安全性
|
|---|
|
1 天
|
2 天
|
2 天
|
[密碼最短使用期限] 設定指出在使用者變更密碼之前必須使用的天數。此設定的值範圍介於 1 到 998 天,或者您可將此設定的值設為 0,允許密碼馬上變更。此設定的預設值為 0 天。
[密碼最短使用期限] 設定的值必須小於比 [密碼最長使用期限] 設定所指定的,除非 [密碼最長使用期限] 設定的值是設為 0,而這使得密碼永遠都不會過期。如果 [密碼最長使用期限] 設定的值設為 0,則 [密碼最短使用期限] 設定的值必須設為任何介於 0 至 999 之間的值。
如果您希望 [強制執行密碼歷程記錄] 設定能產生預期效果,請將此值設為大於 0。[密碼最短使用期限] 設定若未設定值,使用者就可重複循環密碼,直到找到之前愛用的為止。此設定的預設值並不遵循此建議。這樣一來系統管理員即可為使用者指定密碼,並要求他在登入的時候,變更系統管理員定義的密碼。如果 [強制執行密碼歷程記錄] 設為 0,那麼使用者就不需要選擇新密碼。
請針對本指南中定義的兩種安全性環境,將 [密碼最短使用期限] 設定設為 [2 天]。當此設定與 [強制執行密碼歷程記錄] 設定類似的短期值搭配使用時,2 天的值就蠻恰當的。這項限制可確保使用者必須等候足足兩天才能變更密碼,進而防止使用者再次循環利用相同的密碼。此值同樣也強制使用者使用密碼至少兩天才能重設,以鼓勵使用者記住他們的新密碼,並藉由快速設定 24 組新密碼來防止使用者規避 [強制執行密碼歷程記錄] 設定的限制。
密碼長度下限
[表 5] 設定
|
網域控制站預設值
|
企業用戶端
|
高安全性
|
|---|
|
7 個字元的密碼
|
8 個字元的密碼
|
12 個字元的密碼
|
[密碼長度下限] 設定會要求密碼必須包括特定數量的字元。長密碼 - 八個或以上的字元 -通常比短密碼還要強固。有了此項設定,使用者就無法使用空白密碼,而且他們必須建立含特定字元數量的密碼長度。此設定的預設值為 0 個字元。
增加密碼複雜性需求可降低字典攻擊的可能性,在這類的攻擊中,攻擊者會嘗試使用字典內已知的字和無數常用的密碼名稱來嘗試猜測密碼。複雜性需求將於本單元的下一節中討論。強制使用太短的密碼會降低安全性,因為短密碼可能很容易就能用對密碼執行字典或暴力攻擊的工具加以破解。在暴力攻擊的情況下,攻擊者會藉由嘗試所有可能的密碼或金鑰直到找出正確的密碼或金鑰,來試圖尋找秘密的密碼或對稱的加密金鑰。強制使用過長的密碼可能會產生一大堆打錯的密碼,而導致鎖定帳戶及相關服務支援電話量的增加。另外,強制使用相當長的密碼實際上會降低組織的安全性,因為使用者很有可能因為怕忘記而將他們的密碼寫下來。
另一方面,密碼中每多增一個字元就使它的複雜度成指數性成長。透過強制使用至少含 8 個字元的密碼,即使是最孱弱的 LMHash 也跟著強壯許多,因為長一點的密碼會迫使攻擊者要破解每一密碼的兩個部份,而不是只有一部份。如果密碼只有 7 個或以下的字元,LMHash 的第二半會解析成特定值,因而能通知攻擊者密碼少於 8 個字元。
對於 8 個字元的密碼在存有 LMHash 時比 7 個字元的密碼還不安全的爭論,延續了很長一段時間。如果密碼只有七個或以下的字元,LMHash 的第二半會解析成特定值,因而能通知攻擊者密碼少於八個字元。透過強制使用至少含八 個字元的密碼,可使即使是孱弱的 LMHash 都更加堅固,因為長一點的密碼會迫使攻擊者要解密每一密碼的兩個部份,而不是只有一部份。由於您能夠同時平行攻擊 LM 雜湊的兩個部份,而 LM 雜湊的第二部份只有 1 個字元長;它在毫秒內就會屈從於暴力攻擊,因此這麼做並沒有辦法真正改進環境中的安全性太多,除非密碼是 ALT 字元集。
較長的密碼向來比較恰當,而如果未存有 LMHashes,8 個字元的密碼在比 7 個字元的密碼在數量級上要安全得多。基於這些原因,我們建議使用較長的密碼來取代短密碼。
在「企業用戶端」環境中,確定 [密碼長度下限] 設定的值已設為預設值 [8 個字元的密碼]。此密碼設定長到足以提供充分的安全性,但仍短到讓使用者能夠輕易記住。在「高安全性」環境中,將該值設為 [12 個字元的密碼]。
密碼必須符合複雜性需求
[表 6] 設定
|
網域控制站預設值
|
企業用戶端
|
高安全性
|
|---|
|
啟用
|
啟用
|
啟用
|
[密碼必須符合複雜性需求] 設定會檢查所有的新密碼,以確保它們達到強性密碼的基本需求。此設定的值在 Windows XP 中預設設定為 [停用],但此設定在 Windows Server 2003 網域中是 [啟用] 的。
另外,密碼中每多增一個字元就使它的複雜度成指數性成長。例如,一個七個數字的密碼會有 267,或 1 x 107 種可能的組合。七個字母字元的密碼加上大小寫就有 527 種的組合。七個分大小寫字母字元的密碼不加標點符號有 627 種的組合。以每秒進行 1,000,000 次嘗試的速度,只需要 48 分鐘就可以破解。一個八個字元的密碼會有 268,或 2 x 1011 種可能的組合。表面上看來,這好像是很驚人的數字。然而,以許多破解密碼公用程式每秒進行 1,000,000 次嘗試的能力來說,只需要花 59 個小時就可以嘗試所有可能的密碼。記住,這些數字隨著使用 ALT 字元和其他特殊鍵盤字元 (例如 ! 或 @) 的密碼而大幅增加。
搭配使用這些設定可讓暴力攻擊的準備工作難上加難 (但不是不可能)。
使用可還原的加密來存放網域中所有使用者的密碼
[表 7] 設定
|
網域控制站預設值
|
企業用戶端
|
高安全性
|
|---|
|
停用
|
停用
|
停用
|
[使用可還原的加密來存放網域中所有使用者的密碼] 設定指出作業系統是否使用可還原的加密來儲存密碼。此設定提供對使用通訊協定來獲知使用者的密碼以供驗證用途的應用程式的支援。使用可還原的加密來儲存密碼跟儲存純文字版本的密碼基本上是一樣的。基於此原因,除非應用程式需求比保護密碼資訊還重要,否則決不應該啟用本原則。此設定的預設值為 [停用]。
在透過遠端存取或「網際網路驗證服務 (IAS)」使用「Challenge-Handshake 驗證通訊協定 (CHAP)」時,必須要用到此原則。在 Microsoft Internet Information Services (IIS) 中使用「摘要式驗證」時也需要用到此原則。
確保 [使用可還原的加密來存放網域中所有使用者的密碼] 設定的值已設為 [停用]。此設定在 Windows Server 2003 的預設網域 GPO,以及在工作站和伺服器的本機安全性原則中是停用的。
因為啟用此設定所造成的重大弱點,Microsoft 建議在本指南中定義的兩種環境中強制執行 [停用] 預設值。
防止使用者在除非必要時變更密碼
除了上述的密碼原則外,集中控制所有使用者對部份組織也是必備的。本節將說明如何防止使用者在除非必要的時候變更他們的密碼。
集中控制使用者密碼是精心設計之 Windows XP 安全性配置的基石。您可以使用「群組原則」來設定稍早討論到的密碼最短及最長使用期限。但要注意,要求密碼經常變更會讓使用者規避您環境中的密碼歷程記錄設定。要求使用過長的密碼可能也會因使用者忘記密碼而導致服務支援電話量的增加。
使用者可以在密碼最短和最長使用期限的期間內變更他們的密碼。不過,「高安全性」環境的安全性設計會要求使用者只有在他們的密碼達到 42 天的上限而作業系統提示他們的時候,才能變更密碼。系統管理員可設定 Windows 只允許使用者在作業系統提示他們變更密碼的時候才能變更。若要防止使用者變更他們密碼 (除非必要),您可以停用在您按下 CTRL+ALT+DELETE 時出現的 [Windows 安全性] 對話方塊中的 [變更密碼] 按鈕。
您可以使用群組原則針對整個網域實作此項設定,或藉由編輯登錄針對一個或多個特定的使用者來實作此設定。有關此設定的詳細指示,請參閱微軟知識庫文件 324744《How To:Prevent Users from Changing a Password Except When Required in Windows Server 2003 (英文)》,位於:http://support.microsoft.com/default.aspx?scid=324744。如果您擁有 Windows 2000 網域,請參閱微軟知識庫文件 309799《How To:避免使用者在非必要的情況下變更密碼》,位於:http://support.microsoft.com/default.aspx?scid=309799。
帳戶鎖定原則
「帳戶鎖定原則」是一項 Active Directory 安全性功能,會在指定的期間內經過數次登入失敗的嘗試後鎖定使用者帳戶。所容許的嘗試次數及期間是以安全性原則鎖定設定的值為依據。使用者無法登入至已鎖定的帳戶。網域控制站會追蹤登入嘗試,而伺服器軟體可經過設定,將帳戶停用一段時間來回應這一類可能的攻擊。
在 Active Directory 中設定帳戶鎖定原則時,系統管理員可以為嘗試和期間變數設定任意值。然而,如果 [重設帳戶鎖定計數器的時間] 設定的值大於 [帳戶鎖定時間] 設定的值,則網域控制站會將 [帳戶鎖定時間] 設定的值自動調整為與 [重設帳戶鎖定計數器的時間] 設定相同的值。
此外,如果 [帳戶鎖定時間] 設定的值小於為 [重設帳戶鎖定計數器的時間] 設定所設定的值,則網域控制站會將 [重設帳戶鎖定計數器的時間] 設定的值自動調整為與 [帳戶鎖定時間] 設定相同的值。因此,如果已定義好 [帳戶鎖定時間] 設定的值,[重設帳戶鎖定計數器的時間] 設定必須小於或等於為 [帳戶鎖定時間] 設定所設定的值。
網域控制站這麼做是為了避免在安全性原則產生衝突的設定值。如果系統管理員將 [重設帳戶鎖定計數器的時間] 設定的值設得比 [帳戶鎖定時間] 設定的值還大,則 [重設帳戶鎖定計數器的時間] 設定強制設定的值會先過期,結果可能會讓使用者能夠登回網路。不過,[重設帳戶鎖定計數器的時間] 設定會繼續倒數。也因為如此,[帳戶鎖定閾值] 設定將維持最多三次不正確的嘗試,之後使用者將無法登入。
為了避免發生這種情況,網域控制站會自動將 [重設帳戶鎖定計數器的時間] 設定的值,重設為等於 [帳戶鎖定時間] 設定的值。
這些安全性原則設定可幫助防止攻擊者猜測使用者密碼,而且它們也降低了成功攻擊您網路環境的可能性。下表的值可在「群組原則物件編輯器」中以下位置的「網域群組原則」中設定:
Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policy
[表 8] 包括針對本指南中定義的兩種安全環境,所建議的帳戶鎖定原則。
帳戶鎖定時間
[表 8] 設定
|
網域控制站預設值
|
企業用戶端
|
高安全性
|
|---|
|
未定義
|
30 分鐘
|
30 分鐘
|
[帳戶鎖定時間] 設定指出在帳戶解除鎖定而使用者可再次嘗試登入之前必須經歷的時間長度。此設定透過指定鎖定帳戶將保持無法使用的分鐘數來完成設定。如果 [帳戶鎖定時間] 設定設為 0,則鎖定帳戶將維持鎖定狀態直到系統管理員解除鎖定為止。此設定的 Windows XP 預設值為 [未定義]。
若要減少服務支援電話的數量,同時提供安全的基礎結構,請針對本指南定義的兩種環境,將 [帳戶鎖定時間] 設定的值設為 [30 分鐘]。
雖然將此設定的值設定為永不自動解除鎖定看似不錯的辦法,但這麼做可能會增加組織內收到要解除不小心鎖定的帳戶的服務支援電話量。針對每一鎖定層級將此設定的值設為 30 分鐘可減少拒絕服務 (Dos) 攻擊的機會。此設定值也給予使用者在帳戶被鎖定的 30 分鐘內再次登入的機會,這是他們比較可能接受而不致訴諸服務支援的時間。
帳戶鎖定閾值
[表 9] 設定
|
網域控制站預設值
|
企業用戶端
|
高安全性
|
|---|
|
0 次不正確的登入嘗試
|
50 次不正確的登入嘗試
|
50 次不正確的登入嘗試
|
[帳戶鎖定閾值] 設定指出使用者在帳戶鎖定之前可嘗試登入的次數。
授權使用者可能會因打錯密碼或記錯密碼,或在仍登入另一台電腦時卻在某電腦上變更密碼的情況下,使帳戶被鎖定。含不正確密碼的電腦會持續嘗試驗證使用者,而因為它用來驗證的密碼並不正確,因此使用者帳戶到最後就會被鎖定。這個問題不存在於單純使用執行 Windows Server 2003 或更早版本的網域控制站的組織。若要避免鎖定授權使用者,請將帳戶鎖定閾值設成大一點的數字。此設定的預設值為 0 次不正確的登入嘗試。
請針對本指南中定義的兩種安全性環境,將 [帳戶鎖定閾值] 設定的值設為 [50 次不正確的登入嘗試]。
由於此設定的值設定與否都會存在漏洞,因此已針對這些可能性定義了特殊的因應對策。您的組織應該根據識別出的威脅及您嘗試緩和的風險來斟酌這兩者之間的抉擇。對此設定有兩個選項要考量。
如果符合上述條件,第二個選項是:
重設帳戶鎖定計數器的時間
[表 10] 設定
|
網域控制站預設值
|
企業用戶端
|
高安全性
|
|---|
|
未定義
|
30 分鐘
|
30 分鐘
|
[重設帳戶鎖定計數器的時間] 設定指出 [帳戶鎖定閾值] 重設為 0 之前的時間長度。此設定的預設值為 [未定義]。如果已定義好 [帳戶鎖定閾值],那麼此重設時間必須小於或等於 [帳戶鎖定時間] 設定的值。
請針對本指南中定義的兩種環境,將 [重設帳戶鎖定計數器的時間] 設定的值設為 [30 分鐘]。
將此設定保留為其預設值,或將此值的間隔設得過長,都可能讓您的環境容易遭受到 Dos 攻擊。攻擊者可對組織內的所有使用者惡意地執行眾多失敗的登入嘗試,而如上述般的鎖定他們的帳戶。如果未決定任何原則來重設帳戶鎖定,系統管理員就必須手動解除鎖定所有的帳戶。反過來說,如果為此設定設有合理的時間值,使用者就只會被鎖定一段時間,接著所有帳戶就會自動解除鎖定。因此,30 分鐘的建議設定值定義了一段使用者比較可能接受,而不致訴諸服務支援的期間。
使用者權限指派
使用者權限指派在<Windows XP 用戶端的安全性設定>單元有詳加討論。無論如何,應該在所有網域控制站上設定 [新增工作站到網域] 使用者權限,因此會在本單元中探討。有關成員伺服器和網域控制站設定的其他資訊,可以在《Windows 2003 Server 安全性指南》的<建立 Windows Server 2003 伺服器的成員伺服器基準>單元中找到。
新增工作站到網域
[表 11] 設定
|
網域控制站預設值
|
企業用戶端
|
高安全性
|
|---|
|
授權使用者
|
系統管理員
|
系統管理員
|
[新增工作站到網域] 使用者權限允許使用者新增電腦到特定的網域中。若要讓此權限生效,必須將之指派到屬於網域「預設網域控制站原則」一員的使用者。授有此權限的使用者可以新增多達 10 部工作站到網域中。在 Active Directory 中授有 OU 或「電腦」容器的 [建立電腦物件] 權限的使用者,也可將電腦加入網域。授有此權限的使用者不管有沒有被指派 [新增工作站到網域] 使用者權限,都可以加入無限數量的電腦到網域中。
[授權使用者] 群組中的所有使用者依預設能夠加入多達 10 台電腦到 Active Directory 網域。這些新電腦帳戶是建立在「電腦」容器中。
在 Active Directory 網域中,每個電腦帳戶都是個完整的安全性主體,且具備授權和存取網域資源的能力。有些組織希望限制 Active Directory 環境中的電腦數量,方便他們進行一致地追蹤、建置和管理工作。
允許使用者加入工作站到網域可能會妨礙此項努力。它還提供方法讓使用者進行更難追蹤的活動,因為他們能夠建立其他未授權的網域電腦。
基於這些理由,[新增工作站到網域] 使用者權限應該只授予在本指南中定義的兩種環境內的 [系統管理員] 群組。
安全性設定
帳戶原則必須在「預設網域原則」中定義,並由構成網域的網域控制站強制執行。網域控制站固定會從預設網域原則 GPO 取得帳戶原則,即使有不同的帳戶原則套用到包含網域控制站的 OU 也一樣。
[安全性選項] 中再網域層級還有兩個原則的舉止也像帳戶原則要考量。您可以在「群組原則物件編輯器」中的以下位置設定下表中的「網域群組原則」值:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
Microsoft 網路伺服器:當登入時數過期時,中斷用戶端連線
[表 12] 設定
|
網域成員預設值
|
企業用戶端
|
高安全性
|
|---|
|
未定義
|
啟用
|
啟用
|
[Microsoft 網路伺服器:當登入時數過期時,中斷用戶端連線] 設定,會決定是否要在連線到本機電腦的使用者超過其使用者帳戶的有效登入時數時,中斷其連線。此設定會影響伺服器訊息區 (SMB) 元件。當啟用此原則時,會導致使用 SMB 服務的用戶端工作階段,在用戶端的登入時數過期時強制中斷連線。如果停用此原則,則會允許建立的用戶端工作階段在用戶端登入時數過期後仍繼續。當啟用此設定時,請確保 [網路安全性:強制限制登入時數] 設定也啟用。
如果您的組織已為使用者設定登入時數,則啟用此原則就蠻實用的。否則,假設在其登入時數之外無法存取網路資源的使用者,可能實際上就能夠透過在允許的時數期間建立的工作階段繼續使用該些資源。
如果您的組織內未採用登入時數,則啟用此設定並不會有任何影響。如果採用登入時數,那麼現有的使用者工作階段將在其登入時數過期時,被強制終止。
網路存取:允許匿名 SID/名稱轉譯
[表 13] 設定
|
網域成員預設值
|
企業用戶端
|
高安全性
|
|---|
|
未定義
|
停用
|
停用
|
[網路存取:允許匿名 SID/名稱轉譯] 設定指出匿名使用者是否能夠要求另一名使用者的 SID。
如果在網域控制站上啟用此設定,則知道系統管理員 SID 屬性的使用者就能夠連繫同樣有啟用此原則的電腦,並使用該 SID 來取得系統管理員的名稱。該人員接著可利用該帳戶名稱來初始密碼猜測攻擊。「成員電腦」上的預設設定是 [停用],這對它們沒有影響。不過,「網域控制站」的預設設定是 [啟用]。停用此設定可能會造成傳統系統無法與如下 Windows Server 2003 架構的網域通訊:
-
Microsoft Windows NT® 4.0 架構的遠端存取服務伺服器。
-
當 IIS 上的 Web 應用程式設定成允許 [基本驗證],並同時停用 [匿名存取] 的話,內建的「來賓」使用者帳戶就無法存取 Web 應用程式。同樣地,如果您將內建「來賓」使用者帳戶重新命名稱另一個名稱,則新名稱也無法用來存取 Web 應用程式。
-
在位於 Windows NT 3.x 網域或 Windows NT 4.0 網域內的 Windows 2000 電腦上執行的遠端存取服務伺服器。
網路安全性:強制限制登入時數
[表 14] 設定
|
網域成員預設值
|
企業用戶端
|
高安全性
|
|---|
|
停用
|
啟用
|
啟用
|
[網路安全性:強制限制登入時數] 設定,會決定是否要在連線到本機電腦的使用者超過其使用者帳戶的有效登入時數時,中斷其連線。此設定會影響 SMB 元件。
啟用此原則會在用戶端的登入時數過期時,強制中斷使用 SMB 伺服器的用戶端工作階段,而且使用者在直到其下次排定的存取時間之前,都無法登入系統。停用此原則可在用戶端的登入時數過期時,繼續維持建立的用戶端工作階段。若要影響網域帳戶,此設定必須在「預設網域原則」中定義。
Kerberos 原則
Kerberos version 5 驗證通訊協定的原則是在網域控制站上,而不是在網域的成員電腦上設定的。這些原則會決定 Kerberos 的相關設定,例如票證存留期和強制執行。Kerberos 原則不存在「本機電腦原則」中。在大多數環境中,這些原則的預設值都不應該變更。本指南並未提供對預設 Kerberos 原則的任何變更。有關這些設定的詳細資訊,請參閱同系列的指南《Threats and Countermeasures:Security Settings in Windows Server 2003 and Windows XP (英文)》,位於 http://go.microsoft.com/fwlink/?LinkId=15159。
OU 層級的群組原則
包含在此 OU 層級的群組原則中的安全性設定應該是特別針對該 OU。這同時包括電腦設定和使用者設定。為方便管理和改進安全性,探討「軟體限制原則 (SRP)」的章節已與本指南中的其他安全性設定分開。<Windows XP 用戶端的軟體限制原則>單元詳細探討 SRP。
安全性設定群組原則
您需要為您環境中的每個 Windows XP 電腦類別分別建立一個 GPO。膝上型和桌上型電腦在本指南中已劃分成不同的 OU,以便套用針對每個電腦類別自訂的 GPO。
軟體限制原則設定
建立專用 GPO 以設定環境中的 SRP 設定。將 SRP 設定與其餘的「群組原則」設定分隔開來有幾個重要的理由。首先,SRP 在概念上與其他群組原則設定大不相同。SRP 並不是啟用或停用選項或設定數值,它反倒是要求系統管理員識別即將支援的應用程式集;即將套用的限制,以及將如何處理例外等。其次,此方法在實際執行的環境中實作 SRP 原則而發生災難性錯誤時,可加速迅速復原:系統管理員可暫時停用定義 SRP 設定的 GPO,而不致影響任何其他安全性設定。
群組原則工具
Windows XP 隨附有幾項工具可讓 GPO 的使用更加簡單。下一節提供有部份這些工具的簡短概觀。有關這些工具的詳細資訊,請參閱 Windows XP 的「說明」。
強制群組原則更新
Active Directory 會定期更新群組原則,但您可以使用 GpUpdate (隨附在 Windows XP Professional 的一種命令列工具) 強迫更新您用戶端電腦上的版本。該工具必須在用戶端電腦上於本機執行。
若要使用 GpUpdate 工具來更新本機電腦,請鍵入下列命令:
Gpupdate /force
在您執行 GpUpdate 之後,會傳回下列確認資訊:
C:\Documents and Settings\administrator.MSSLAB>gpupdate /force
正在重新整理原則...
使用者原則重新整理已完成。
電腦原則重新整理已完成。
如果要檢查原則處理中的錯誤,請檢視事件日誌。
C:\Documents and Settings\administrator.MSSLAB>
對於使用者架構的群組原則,您必須登出再登回您用來測試原則的電腦。電腦原則應該會立即更新。
若要查看其他執行 Gpupdate 的選項,請鍵入:
Gpupdate /?
檢視原則結果組
Windows XP 隨附的兩項工具可讓您確定環境內的電腦套用了哪些原則,何時套用,以及套用的順序為何。
RSoP 嵌入式管理單元
原則結果組工具 (RSoP.msc) 是一個 MMC 嵌入式管理單元工具,會顯示所有套用至電腦的原則其彙總設定。該工具可在本機或在遠端從另一台電腦執行。針對每一原則設定,RSoP 工具都會展示電腦設定和來源 GPO。
GpResult
GpResult 是一個命令列工具,提供有關群組原則最近套用至電腦的時間、在電腦套用哪些 GPO,以及套用的順序等統計數字。該工具還提供任何透過篩選套用的 GPO 的相關資訊。GpResult 工具可在用戶端上從遠端或從本機使用。
總結
「群組原則」是以 Active Directory 為基礎的功能,專為控制 Windows Server 2003 和 Windows 2000 網域內的使用者和電腦環境而設計。在將群組原則套用至您環境中的 Windows 桌面之前,您必須先在網域中執行特定的預備步驟。
儲存在您環境中網域控制站上的「群組原則物件 (GPO)」的群組原則設定會與容器相連結,其中包括常駐在 Active Directory 結構中的網站、網域和 OU。在實作群組原則之前,先了解 Active Directory 結構以及在當中設定不同設計選項的安全性含意是很重要的。
「群組原則」是保障 Windows XP 安全之不可或缺的工具。本單元包括有關您如何能夠從中央位置跨您的網路用它來套用和維護一致的安全性原則的詳細資訊。
本單元還提供不同層級的群組原則,以及 Windows XP 所提供的特殊工具,可用來更新您環境中的群組原則之相關資訊。
其他資訊
有關 Active Directory 管理和設計的詳細資訊,請參閱 Microsoft 網站上的白皮書《Design Considerations for Delegation of Administration in Active Directory (英文)》:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ad/windows2000/plan/addeladm.asp。
有關 Active Directory 設計的詳細資訊,請參閱 Microsoft 網站上的白皮書《Best Practice Active Directory Design for Managing Windows Networks (英文)》:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ad/windows2000/plan/bpaddsgn.asp。
有關群組原則的詳細資訊,請參閱 Microsoft 網站上的白皮書《Step-by-Step Guide to Understanding the Group Policy Feature Set (英文)》:http://www.microsoft.com/windows2000/techinfo/planning/management/groupsteps.asp。
有關 Windows XP 安全性的詳細資訊,請參閱 Microsoft 網站上的 Windows XP Professional Resource Kit 線上說明文件:http://www.microsoft.com/WindowsXP/pro/techinfo/productdoc/resourcekit.asp。
若要尋找 Windows XP 的安全性新資訊,請參閱 Microsoft 網站上的白皮書《What's New in Security for Windows XP Professional and Windows XP Home Edition (英文)》:http://www.microsoft.com/technet/prodtechnol/winxppro/evaluate/xpsec.asp。
有關系統管理範本的詳細資訊,請參閱 Microsoft 網站上的白皮書《Implementing Registry-Based Group Policy (英文)》:http://www.microsoft.com/windows2000/techinfo/howitworks/management/rbppaper.asp。
有關群組更新 (GpUpdate) 工具的其他資訊,請參閱 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/winxppro/proddocs/refrGP.asp。
有關原則結果組 (RSoP) 工具的其他資訊,請參閱:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/winxppro/proddocs/RSPintro.asp。
有關群組原則結果 (GpResult) 工具的其他資訊,請參閱:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/winxppro/proddocs/gpresult.asp。
有關在 Active Directory 中委派授權的詳細資訊,請參閱 Windows 2000 Resource Kits<Planning Distributed Security>一節:http://www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp?url=/windows2000/techinfo/reskit/en-us/deploy/dgbe_sec_haqs.asp。