Максимальный срок жизни билета службы

Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Максимальный срок действия билета службы.

Справка

Параметр политики Максимальный срок жизни билета службы определяет максимальное время в минутах, в течение которого действует запрос для доступа к той или иной службе. Значение должно быть больше или равно 10 минутам и должно быть меньше или равно значению параметра политики Максимальный срок жизни билета службы.

Ниже перечислены возможные значения этого параметра групповой политики.

  • Заданное пользователем время в минутах от 10 до 99 999 или 0 (в этом у билетов службы нет срока действия).

  • Не определено.

Если клиент сохраняет просроченный билет службы, когда ему нужно подключиться к серверу, сервер возвращает сообщение об ошибке. Клиенту необходимо запросить новый билет у центра распространения ключей Kerberos V5. Однако после проверки подлинности подключения не важно, действует ли билет сеанса. Билеты сеанса используются только для проверки подлинности новых подключений к серверам. Текущие операции не прерываются, если срок действия билета сеанса, который использовался для проверки подключения, истек.

Если значение этого параметра политики слишком большое, пользователи смогут получить доступ к сетевым ресурсам за пределами назначенных часов доступа. Кроме того, пользователи, учетные записи которых отключены, смогут продолжать получать доступ к сетевым службам с помощью действительных билетов службы, выданных до отключения учетной записи. Если значение параметра равно 0, срок действия билетов никогда не истекает.

Рекомендации

  • Рекомендуется установить для параметра Максимальный срок жизни билета службы значение 600 (минут).

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика Kerberos

Значения по умолчанию

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

600 минут

Политика контроллера домена по умолчанию

Не определено

Параметры автономного сервера по умолчанию

Не применимо

Действующие параметры контроллера домена по умолчанию

600 минут

Действующие параметры рядового сервера по умолчанию

Не применимо

Действующие параметры клиентского компьютера по умолчанию

Не применимо

 

Управление политикой

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.

Чтобы этот параметр политики вступил в силу, перезагружать устройство не требуется.

Этот параметр политики настраивается на контроллере домена.

Групповая политика

Клиентские компьютеры получат новый параметр во время следующего запланированного обновления групповой политики. Но чтобы немедленно применить новые параметры для контроллеров домена, необходимо выполнить команду gpupdate.exe /force. На локальном устройстве обработчик конфигурации безопасности обновит этот параметр приблизительно через пять минут.

Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.

  1. Параметры локальной политики

  2. Параметры политики сайта

  3. Параметры политики домена

  4. Параметры политики подразделений

Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Если задать для параметра Максимальный срок жизни билета службы слишком большое значение, пользователи смогут получить доступ к сетевым ресурсам за пределами назначенных часов доступа. Кроме того, пользователи, учетные записи которых отключены, смогут продолжать получать доступ к сетевым службам с помощью действительных билетов службы, выданных до отключения учетной записи.

Меры противодействия

Установите для параметра Максимальный срок жизни билета службы значение 600 минут.

Возможные последствия

Нет. Это конфигурация по умолчанию.

Связанные разделы

Политика Kerberos

 

 

Показ: