Максимальный срок жизни билета пользователя

Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики Максимальный срок действия билета пользователя.

Справка

Параметр политики Максимальный срок жизни билета пользователя определяет максимальное время (в часах), в течение которого действует билет на получение билетов. Если срок действия билета на получение билетов истекает, необходимо запросить новый или обновить существующий.

Ниже перечислены возможные значения этого параметра групповой политики.

  • Определяемое пользователем количество часов от 0 до 99 999.

  • Не определено

Если значение этого параметра политики слишком большое, пользователи смогут получить доступ к сетевым ресурсам за пределами назначенных часов доступа. Кроме того, пользователи, учетные записи которых отключены, смогут продолжать получать доступ к сетевым службам с помощью действительных билетов службы, выданных до отключения учетной записи. Если значение равно 0, срок действия билета на получение билетов никогда не истекает.

Рекомендации

  • Рекомендуется установить для параметра Максимальный срок жизни билета пользователя значение 10 часов.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика Kerberos

Значения по умолчанию

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

10 часов

Политика контроллера домена по умолчанию

Не определено

Параметры автономного сервера по умолчанию

Не применимо

Действующие параметры контроллера домена по умолчанию

10 часов

Действующие параметры рядового сервера по умолчанию

Не применимо

Действующие параметры клиентского компьютера по умолчанию

Не применимо

 

Управление политикой

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.

Чтобы этот параметр политики вступил в силу, перезагружать компьютер не требуется.

Этот параметр политики настраивается на контроллере домена.

Групповая политика

Клиентские устройства получат новый параметр во время следующего запланированного обновления групповой политики. Но чтобы немедленно применить новые параметры для контроллеров домена, необходимо выполнить команду gpupdate.exe /force. На локальном компьютере обработчик конфигурации безопасности обновит этот параметр приблизительно через пять минут.

Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.

  1. Параметры локальной политики

  2. Параметры политики сайта

  3. Параметры политики домена

  4. Параметры политики подразделений

Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Если задать для параметра Максимальный срок жизни билета пользователя слишком большое значение, пользователи смогут получить доступ к сетевым ресурсам за пределами назначенных часов доступа. Кроме того, пользователи, учетные записи которых отключены, смогут продолжать получать доступ к сетевым службам с помощью действительных билетов, выданных до отключения учетной записи. Если задать для параметра слишком маленькое значение, запросы в центр распространения ключей могут ухудшить его производительность, что позволит проводить атаки типа "отказ в обслуживании".

Меры противодействия

Установите для параметра Максимальный срок жизни билета пользователя значение от 4 до 10 часов.

Возможные последствия

Если задать для этого параметра значение меньше значения по умолчанию, снизится вероятность того, что билет на получение билетов будет использоваться для доступа к ресурсам, для которых у пользователя нет прав. Однако для этого потребуется чаще отправлять запросы центру распространения ключей от пользователей. Большинство центров распространения ключей могут поддерживать значение "4 часа" без каких-либо проблем.

Связанные разделы

Политика Kerberos

 

 

Показ: