在 Windows Server 2003 環境中設定網域基礎結構

Overview

發佈日期: 2003 年 12 月 31 日 | 更新日期: 2006 年 4 月 26 日

本頁內容

本單元內容
目標
適用於
如何使用本單元
概觀
網域原則
帳戶原則
密碼原則
帳戶鎖定原則
Kerberos 原則
安全性選項
總結

本單元內容

本單元說明如何實作安全網域環境。將描述網域元件以及它們在設計與建立良好管理之網域基礎結構中的使用狀況。本單元將透過設想情況來研究安全性考量,包括透過組織單位階層的群組原則應用、將管理委派給管理群組,以及透過安全性範本進行安全性設定。本單元還將組織單位階層視為整體當作示範,但特別著重於網域原則,識別要在網域層級套用的安全性設定並詳細討論它們的功能。本單元使用三種不同的安全性狀況,包括傳統用戶端、企業用戶端和高安全性用戶端。

目標

透過此單元即可:

  • 考量和 Microsoft® Active Directory® 目錄服務設計相關的安全性議題。

  • 研究組織單位階層設計在群組原則的應用中的使用

  • 研究組織單位階層設計在管理委派中的使用

  • 瞭解安全性範本的使用。

  • 瞭解安全性範本和「群組原則」的整合。

  • 學習網域原則範例。

  • 瞭解由網域原則及其功能所套用的設定。


適用於

本單元適用於下列產品及技術:

  • Microsoft® Windows Server™ 2003 作業系統


如何使用本單元

本單元提供設計與實作安全網域基礎結構的方法學。將描述設計與實作程序並提供逐步指示。本模組中的指南的用意在於供設計或建立 Active Directory 網域環境時使用。不過,它還和現有基礎結構相關,因為您可以用它來確認何者有效,或者指出可能需要重新建構的潛在區域。本單元含有與實作為網域原則之一部份的安全性範本中設定之設定值相關的豐富資訊。

若要充分瞭解此單元:


概觀

本單元使用網域環境的建構來示範如何保障 Windows Server 2003 的安全基礎結構。

本單元首先著重於網域層級的安全性設定和因應對策。其中包括Active Directory 設計、組織單位 (OU) 設計、「群組原則」設計和管理群組設計的高層次描述。

本單元還說明如何保障在<Windows 2003 安全性簡介>單元描述之傳統、企業及高安全性環境的 Windows Server 2003 網域環境安全。本資訊是基礎,並提供在網域基礎結構內從舊型環境邁向高安全性網域的願景。

Windows Server 2003 隨附預設設定值,以保障安全狀態。為提昇本資料的可用性,本單元只討論其預設值已經變更的設定的部份。如需所有預設設定的資訊,請參閱同系列指南的《Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP》(英文)。

Active Directory 設計

有關設計 Active Directory 結構的資訊相當的多,加起來已經能寫成一本書了。Active Directory 可供應用程式在分散式計算環境中尋找、使用和管理目錄資源。本節簡短討論建立本單元其餘部份所需之參考框架的概念。

在建立 Active Directory 架構時,您必須小心考量環境的安全性界限。詳細規劃組織的安全性委派和實作時間表可使組織的Active Directory 設計獲得更高的安全保障。之後,只有環境的大變更,例如併購或組織重組,才需要重新建構。

如果您的組織已經有 Active Directory 設計,本單元可以從安全性觀點,深入探討 Active Directory 設計的優點或潛在問題。

建立 Windows Server 2003 目錄界限

Active Directory 內部有許多不同類型的界限。這些界限定義樹系、網域、網站拓樸以及權限委派。

這些界限在安裝 Active Directory 時自動建立,但是您必須確定權限界限符合組織需求和原則。視組織的需求,管理權限委派可以具有很大的彈性。例如,要維護安全性與管理功能性之間適當的平衡,您可以將權限委派界限進一步細分為安全性界限和管理界限。

安全性界限

安全性界限可以協助定義組織內各種群組的自治或區隔。要在確保公司業務界限建立方式上足夠的安全性,與持續提供平實穩定的功能之間取得折衷,並不簡單。

若要成功地達到這個平衡,您必須權衡委派管理權限對組織帶來的安全性牽連威脅,以及其它和您環境的網路架構相關的選擇。

樹系對網域安全性界限

樹系是真正的安全性界限。本指南建議您建立個別的樹系來使您的環境遠離居心不良的管理員,而不是建立個別的網域來提供安全性和隔離居心不良的管理員和潛在威脅。

網域是 Active Directory 的管理界限。組織如果有個人都具善意,網域界限將可以在組織的每一個網域內提供服務和資料的自治管理。

不幸的是,當討論安全性時,這並不容易達到。例如,網域便無法完全避免遭到居心不良的網域管理員攻擊。這個層級的隔離只可在樹系層級達到。

因為這個緣故,您的組織可能需要考量在目前的 Active Directory 設計中分割服務和資料的管理控制。Active Directory 設計要求充分瞭解您的組織針對服務自治與服務區隔,以及資料自治與資料區隔的需求。

管理界限

由於區隔服務和資料的潛在需要,您必須定義必要的各種管理層級。除了為組織執行特定服務的管理員外,還建議設置下列類型的管理員。

服務管理員

Active Directory 服務管理員負責設定和提供目錄服務。例如,服務管理員負責維護網域控制站伺服器、控制整體目錄的配置設定,和負責確保服務可用性。您組織中的 Active Directory 管理員應該就是您的服務管理員。

在許多情況中,Active Directory 服務設定是由屬性值決定。這些屬性值相當於儲存在目錄中之個別物件的設定。因此,Active Directory 中的服務管理員同時也是資料管理員。視您的組織需求而定,以下列出您可能需要加到 Active Directory 服務設計中的其它一些服務管理員群組:

  • 主要負責目錄服務的網域管理群組。

    樹系管理員負責選擇管理每一個網域的群組。由於每一個網域的管理員已授予最高層級的存取權,這些管理員應該是受到高度信任的個人。執行網域管理的群組透過 Domain Admins 群組及其它內建群組來控制網域。

  • 負責網域名稱系統 (DNS) 管理的管理員群組。

    DNS 管理員群組負責完成 DNS 設計和管理 DNS 基礎結構。DNS 管理員透過 DNS 管理群組來管理 DNS 基礎結構。

  • 負責 OU 管理的管理員群組。

    OU 管理員指定群組或個人當作每一個 OU 的管理員。每一個 OU 管理員負責管理儲存在指派之 Active Directory OU 中的資料。這些群組可以管理的委派方式,以及原則套用到其中之 OU 的物件的方式。此外,OU 管理員還可以建立新子樹以及委派它們負責之 OU 的管理。

  • 負責基礎結構伺服器管理的管理員群組。

    負責基礎結構伺服器管理的群組還負責管理 Windows 網際網路名稱服務 (WINS) 、動態主機設定通訊協定 (DHCP)、以及可能還包括 DNS 基礎結構。在某些情況,負責網域管理的群組還將管理 DNS 基礎結構,因為 Active Directory 已經整合 DNS 並在網域控制站上儲存和管理。

資料管理員

Active Directory 資料管理員負責管理儲存在 Active Directory 中或加入 Active Directory 的電腦上的資料。這些管理員不控制目錄服務的設定或提供目錄服務。這些管理員是您組織建立之安全性群組的成員。有時候,Windows 中的預設安全性群組對組織中的所有狀況不是都有意義。因此,組織可以開發安全性群組命名標準和意義,來符合本身環境需求。有些資料管理員的每天工作包括:

  • 控制目錄中的一部份物件。透過繼承屬性層級存取權控制,資料管理員便有權控制目錄的非常特定的段落,但不控制服務本身的設定。

  • 管理目錄中之成員的電腦和那些電腦上的資料。

注意:在許多情況中,儲存在目錄中之物件的屬性值將決定目錄的服務設定。

總而言之,要允許 Active Directory 的擁有者和目錄結構加入樹系或網域基礎結構,則組織必須信任樹系以及所有網域中的所有服務管理員。此外,企業安全性方案必須開發標準原則和程序,以提供適當的管理員背景篩選。在這種安全性指南的脈絡下,信任服務管理員即表示:

  • 合理地相信服務管理員會為組織尋找最佳利益。組織不應該選擇加入樹系或網域,如果樹系或網域的擁有者有正當理由惡意反對組織的話。

  • 合理地相信服務管理員將遵守最佳常規和限制網域控制站的實際存取。

  • 瞭解並接受組織可能遇到的風險,包括下列可能性:

    • 居心不良的管理員—值得信賴的管理員可能變成居心不良的管理員,利用職權再系統上進行破壞。如果您在樹系中有一個居心不良的管理員,該管理員將可以很容易地從另一個網域來查詢另一個管理員的安全性識別元 (SID) 。居心不良的管理員接著可能使用應用程式設計介面 (API)、磁碟編輯器或偵錯程式,將竊取的 SID 加到自已網域內某帳戶的 SID 記錄清單中。藉由將竊取的 SID 加到使用者的 SID 記錄,以及本身擁有的網域,居心不良的管理員便取得竊取之 SID 網域的管理權限。

    • 面臨壓力的管理員—值得信 賴的管理員可能會不得不執行破壞系統安全性的作業。使用者或管理員可能對電腦系統的合法管理員使用社交手腕,來取得存取系統所需的使用者名稱和密碼。

有些組織從外頭僱來的管理員可能居心叵測,或面臨壓力不得不執行一些手段,結果卻妥協了安全性。這種組織可能以為只要能夠透過協同合作節省成本,承擔一些風險是沒關係的。不過,這種風險對有些組織來說可能無法接受,因為破壞安全性的潛在結果太過嚴重,難以承擔。

促進群組原則管理和委派的 OU 結構

儘管本指南不在於討論 Active Directory 設計,但某些設計資訊仍屬必要,以便幫助您了解如何透過群組原則保障您組織的網域、網域控制站,並確保特定的伺服器角色安全。

OU 不僅提供一個簡單的方法來對為使用者、電腦和其他安全性主體進行分組,也是區隔系統管理界限的有效方法。

此外,使用 OU 來依據伺服器角色,提供不同的群組原則物件 (GPO) 是組織整體安全性架構中不可或缺的部分。

委派管理和套用群組原則

OU 簡單來說就是網域內的一個容器。您可以在每一個容器上個別設定存取權控制清單 (ACL),將 OU 控制委派給群組或個人。

通常您可以使用 OU 來提供類似 Microsoft Windows NT® 作業系統 4.0 資源網域的管理功能。還可以建立 OU,放置要由其它使用者管理之資源伺服器群組。如此一來,這個群組的其它使用者便能自主控制特定的 OU,而不必將 OU 從網域其餘部份隔離。

委派控制特定 OU 控制的管理員可能就是服務管理員。在較低層的授權中,通常是由資料管理員負責控制 OU。

管理群組

管理員可透過建立管理群組,將使用者、安全性群組或伺服器群體以容器區隔,來達到自治管理的目的。

網域內的基礎結構伺服器就是一個應用範圍。基礎結構伺服器包含執行基本網路服務 (如執行 WINS 和 DHCP 服務) 的伺服器等所有非網域控制站。所有 DNS 伺服器都是在位於網域控制站 OU 中的網域控制站上執行。這裡的 DNS 伺服器就不算是基礎結構伺服器。

通常這些伺服器是由營運群組或基礎結構管理群組負責維護。使用 OU 即可輕鬆地管理這些伺服器,只要將伺服器移到一個 OU (也就是基礎結構 OU),然後將 OU 控制委派給相關的管理群組即可。

下列圖表提供這種 OU 的高層次檢視。

管理的 OU 委派

圖 1
管理的 OU 委派


有關建立 OU、建立管理群組、將使用者移入群組及委派控制的逐步指示,請參閱<How To Create an Organizational Unit and Delegate Control with Windows Server 2003>

這只是使用 OU 來提供管理區隔的諸多方法之一。有關更複雜的組織,請參閱本單元結尾段落的<其他資訊>。

在遵循這個程序執行後,基礎結構管理群組應該可以完全控制基礎結構 OU,以及這個 OU 中的所有伺服器和物件。這樣可以進入下一個階段,使用群組原則來保障伺服器角色安全。

群組原則應用

請使用群組原則和委派管理來套用特定設定、權利和行為到 OU 內的所有伺服器。透過使用群組原則而非手冊上的步驟,比較容易更新在未來需要其他變更的大量伺服器。

群組原則會累積,並依以下圖表所示順序套用。

GPO 應用程式層級

圖 2
GPO 應用程式層級


如以上所示,原則是首先從電腦的本機原則層級開始套用。之後,在站台層級套用 GPO,然後才是網域層級。如果伺服器在多個 OU 形成巢狀,存在於最高層級 OU 的 GPO 將最先被採用。套用 GPO 的程序將繼續往下進行至 OU 階層。最後一個 GPO 將在含有伺服器物件的子 OU 層級被套用。處理群組原則的優先順序將從 (離使用者或電腦帳戶最遠的) 最高 OU 延伸至 (實際含有使用者或電腦帳戶的) 最低 OU。

在套用群組原則時,請記住下列考量事項:

  • 您必須對具有多重 GPO 的群組原則設定 GPO 應用順序。如果多個原則指定相同選項,最後套用的那一個具有高優先順序。

  • 使用 [不可強制覆蓋] 選項設定群組原則可防止它被其它 GPO 覆寫。

安全性範本

安全性範本是以文字為主的檔案。您可以使用 Microsoft Management Console (MMC) 的「安全性範本」嵌入式管理單元或使用文字編輯器 (例如記事本) 來變更這些檔案。範本檔案的有些段落含有以由 Security Descriptor Definition Language (SDDL) 撰寫的特定 ACL。您可以在 Microsoft MSDN® 找到更多關於編輯安全性範本和 SDDL 的其他資訊。

範本管理

依預設,通過驗證的使用者有權讀取「群組原則」物件中所含的所有設定。因此,將用於實際執行環境的安全性範本儲存在負責實作群組原則的管理員可以存取的安全位置,這非常重要。它的目的不是防止 *.inf 檔案被偷看,而是防止原始安全性範本遭到未經授權的更改。為達到這個目的,所有執行 Windows Server 2003 的電腦都將安全性範本存放在 %SystemRoot%\security\templates 資料夾中。

不過,這個資料夾不會跨多網域控制站複寫。因此,您需要指定一個網域控制站來保存安全性範本的主複本,這樣就不會有範本的版本控制問題。這樣可以確保您修改的範本永遠都是相同版本。

管理群組原則和匯入安全性範本

<如何使用 Windows Server 2003 套用群組原則和安全性範本>指導您完成將可從下列取得之安全性範本的必要步驟:http://go.microsoft.com/fwlink/?LinkId=14846 匯入到本單元建議的 OU 結構中。在網域控制站上實作該程序之前,環境中的 Windows Server 2003 系統上必須要有特定的原則 (.inf) 檔案。

警告:本指南中的安全性範本的設計目的是提昇您環境的安全性。安裝範本後貴組織環境中的某些功能可能會喪失,包括關鍵性應用程式失效。

先經過仔細測試再將這些範本部署到實際執行環境,非常重要。請先將您的環境中每個網域控制站和伺服器備份,再套用新的安全性設定。請確定備份中包含系統狀態,以便能還原登錄設定或 Active Directory 物件。

請建立新的「網域原則」和匯入相關 Domain.inf 安全性範本。並請將「網域原則」設定為「不可強制覆蓋」以免被覆寫。

有關建立和套用群組原則以及匯入安全性範本的逐步指示,請參閱<如何使用 Windows Server 2003 套用群組原則和安全性範本>

注意:請驗證 [事件日誌],確認群組原則下載成功以及伺服器可以和網域中的其它網域控制站通訊。

警告:建立企業用戶端網域原則時,請確定啟用 [不可強制覆蓋] 選項,在整個網域中強制使用這個原則。這是本指南中唯一需要啟用 [不可強制覆蓋] 選項的群組原則。請不要在在本指南中指定之其它群組原則中啟用這個選項。另外,請不要修改Windows Server 2003 預設網域原則,以免日後須改回預設值。

要確保這個新原則的優先順序先於預設原則,請將它定位在所有 GPO 連結中具有最高的優先順序。

您可以修改預設原則 來建立新的安全性設定,不過,建立新的「群組原則」有一個好處,因為如果新的發生問題,可以輕易地停用,並由「預設網域原則」繼續控制。

Gpupdate.exe 是一個命令列工具,從批次檔或自動工作排程器呼叫執行時,可以用來自動套用範本和分析系統安全性。也可以透過命令列,動態地執行。

重要:這個原則應該匯入到組織中的任何其它網域。不過,根網域密碼原則比其它網域還嚴謹的環境並不常見。另外請小心執行,確保使用相同原則的其它網域具有相同的業務需求。由於密碼原則只可在網域層級設定,有時為因應某些業務或法律需求,必須對每些群組使用更嚴謹的密碼原則,結果將使用者區隔至個別的網域。

在本指南定義的三個環境中,已經對其根及子網域使用相同的原則,同時還對每一個使用關聯的安全性範本。例如,針對每一個個別的層級,已經使用 Legacy Client – Domain.inf、Enterprise Client – Domain.inf 和 High Security – Domain.inf 檔案。應該使用與上述類似的程序,來套用基礎原則和增量原則的任何後續範本。

成功的 GPO 應用事件

除了手動檢查所有設定以確保已經適當套用到您組織中的伺服器外,「事件日誌」中應該出現一個事件以通知管理員,網域原則已經成功下載至每一個伺服器。下列事件資訊應該出現在「應用程式記錄」中,並具有唯一的事件識別碼數字:

類型:資訊

來源 ID:SceCli

事件 ID: 1704

描述:群組原則物件中的安全性原則已經套用成功。

如需更多資訊,請參閱位於 http://go.microsoft.com/fwlink/events.asp 的「說明及支援中心」。

如果在套用網域原則後數分鐘內未出現這個訊息,請重新執行 Gpupdate.exe 命令列工具來套用網域原則,然後重新啟動伺服器以強制下載網域原則。

依預設,安全性設定在工作站或伺服器每隔 90 分鐘重新整理一次,在網域控制站每隔 5 分鐘重新整理一次。如果在這些間隔期間發生任何變更,您將看到這個事件。此外,設定還會每隔 16 小時重新整理,不論是否有新變更。

時間設定

您應該確定系統時間準確,以及您的組織中的所有伺服器都使用同一個時間來源。Windows Server 2003 W32Time 服務可對Active Directory 網域中執行的Windows Server 2003 和 Microsoft Windows XP 架構的電腦,提供時間同步處理。

W32Time 服務可以將 Windows Server 2003 架構電腦的用戶端時鐘和網域中的網域控制站同步化。這對 Kerberos 5 驗證通訊協定以及 NTLMv2 的正常運作是必要的。多數 Windows Server 系列元件依賴於準確和同步化的時間,才得以正常運作。如果用戶端上的時鐘未同步化,Kerberos 5 驗證通訊協定可能將登入要求錯誤解譯為入侵企圖而拒絕使用者存取。

時間同步處理提供的另一個重要優點是提供您企業中的所有用戶端的事件相互關係。您環境中用戶端的時鐘同步化,可確保您可以正確地分析用戶端上依統一順序發生的事件在企業中為成功或失敗。

Kerberos 是美國麻省理工學院 (MIT) 所開發的網路驗證通訊協定。這個通訊協定可以識別試圖登入網路之使用者的身分並以秘密 – 鍵加密方法將通訊進行加密。

W32Time 服務使用使用網路時間通訊協定 (NTP) 來使時鐘同步化。在 Windows Server 2003 樹系,時間的同步化方式如下:

  • 樹系根網域中的網域主控站 (PDC) 模擬器主作業是組織的權威性時間來源。

  • 當選取 PDC 模擬器來使本身的時間同步化時,樹系中其它網域內的所有 PDC 主作業都遵循網域的階層。

  • 網域中的所有網域控制站會將時間和 PDC 模擬器主作業同步化,以當作輸入時間夥伴。

  • 所有成員伺服器和用戶端桌面電腦都使用驗證網域控制站當作本身的輸入時間夥伴。

為了確保時間準確,樹系根網域中的 PDC 模擬器可以和外部 NTP 時間伺服器同步化。樹系根網域中的 PDC 模擬器可以和外部 NTP 時間伺服器同步化。不過,這樣做會導致必須在防火牆開啟連接埠。NTP 使用 UDP 連接埠 123。在這樣做之前,請權衡進行這些設定變更的優點和潛在的安全性風險。

  • 若要使內部時間來源和外部時間來源同步化

    1. 開啟 [命令提示字元]

    2. 輸入下列,其中 PeerList 是逗點分隔的 DNS 名稱或網際網路通訊協定 (IP) 位址清單,表示所要的時間來源:
      w32tm /config /syncfromflags:manual /manualpeerlist:PeerList

    3. 若要更新,請輸入:
      w32tm /config /update

    4. 檢查 [事件日誌]。如果電腦無法連上伺服器,表示程序失敗並有登錄寫入 [事件日誌] 中。

這個程序的常見用法是使內部網路的權威性時間來源和外部時間來源精確地同步化。不過,這個程序可以在執行 Windows XP 的任何電腦或 Windows Server 2003 系列的成員上執行。

在許多情況中,所有伺服器時間和外部來源同步化是必要的,只要它們和同一個內部來源同步化的話。

如果網路上的電腦執行 Windows 98 或 Windows NT 4.0 作業系統,則在登入指令檔中使用下列命令,來使那些機器上的時鐘同步化,其中 <timecomputer> 是網路上的網域控制站:

net time \\<timecomputer> /set /yes

執行這個命令將使這些電腦中的時鐘時間,和整個網域其它電腦的時鐘時間同步化。

注意:為了取得準確的日誌分析,執行非 Windows 作業系統的網路電腦的時鐘還應該和 Windows Server 2003 PDC 模擬器同步化。

基礎伺服器角色組織單位

前面用於管理組織的基礎結構伺服器的範例可加以擴充,來包含公司基礎結構中的其它伺服器和服務。它的目標是建立涵蓋所有伺服器的完整群組原則,同時確保位於 Active Directory 內的伺服器符合您的環境的安全性標準。

這種涵蓋您環境中所有伺服器的群組原則類型,對您企業中所有伺服器的標準設定形成一致的基礎。此外,OU 結構和群組原則的應用必須提供粒狀設計,來對組織中特定類型伺服器的安全性設定。例如,Internet Information Server (IIS)、檔案、列印、網際網路驗證伺服器 (IAS) 和憑證服務,便顯示組織中一些可能需要獨特群組原則的伺服器角色。

成員伺服器基礎原則

建立伺服器角色 OU 的第一個步驟是建立基礎原則。其方法是,先建立基礎安全性範本,然後將它匯入到群組原則。企業用戶端成員伺服器 Baseline.inf 檔案位於:http://go.microsoft.com/fwlink/?LinkId=14846,可提供這個功能和指南。企業用戶端是<Windows 2003 安全性簡介>單元中討論之以組織相容性需求為依據之中間層級的不同安全性的參考。

請將這個 GPO 安全性範本連結到成員伺服器 OU。企業用戶端成員伺服器 Baseline.inf 安全性範本將把基礎群組原則的設定套用到成員伺服器 OU 中的任何伺服器,以及子 OU 中的任何伺服器。為求簡明,本單元的其餘範例將使用企業用戶端安全性等級。成員伺服器基礎原則將在<建立 Windows Server 2003 成員伺服器的基準線>單元中討論。

基礎群組原則應該定義組織內所有伺服器所需的設定。請製作基礎群組原則儘可能嚴謹的基礎群組原則,並將任何需要和這個原則區別的任可伺服器區隔到個別伺服器專屬 OU 中。

伺服器角色類型和組織單位

繼續上面範例,建立一個個別的原則,當作基礎結構伺服器原則的增量變更。請將必要設定放置在稱為企業用戶端基礎結構 Server.inf 的安全性範本中,來確保基礎結構服務功能正常且可以透過網路存取。

請將這個 GPO 基礎結構範本連結到基礎結構 OU。最後,請使用「受限群組」設定,將下列三個群組加到「本機系統管理員」中,位置是「企業用戶端:Infrastructure Server Policy」:網域管理員、企業管理員和基礎結構管理員。

以下圖表顯示這個程序。

設定增量群組原則

圖 3
設定增量群組原則


前面說過,這只是建立 OU 結構以部署 GPO 諸多方法之一。如需關於建立群組原則實作所需之 OU 的更多資訊,請參閱 Microsoft TechNet 文章《How to Deploy Active Directory》(英文),位址是: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/AD/windows2000/deploy/depovg/add.asp

本安全性指南定義許多伺服器角色。下表含有遵循上述處理執行時用以增加這些角色的安全性而建立的範本。

表 1:Windows Server 2003 角色

伺服器角色

說明

安全性範本

Windows Server 2003 網域控制站

含有 Active Directory 網域控制站的群組。

Enterprise Client – Domain Controller.inf

Windows Server 2003 成員伺服器

屬於網域的成員並位於成員伺服器 OU 之中或以下的所有伺服器。

Enterprise Client – Member Server Baseline.inf

Windows Server 2003 檔案伺服器

含有已鎖定檔案伺服器的群組。

Enterprise Client – File Server.inf

Windows Server 2003 列印伺服器

含有已鎖定列印伺服器的群組。

Enterprise Client – Print Server.inf

Windows Server 2003 基礎結構伺服器

含有已鎖定 DNS、WINS 和 DHCP 伺服器的群組。

Enterprise Client – Infrastructure Server.inf

Windows Server 2003 IAS 伺服器

含有已鎖定 IAS 伺服器的群組。

Enterprise Client – IAS Server.inf

Windows Server 2003 憑證服務伺服器

含有已鎖定憑證授權 (CA) 伺服器的群組。

Enterprise Client – CA Server.inf

Windows Server 2003 Bastion 主機

含有網際網路專用伺服器的群組。

High Security – Bastion Host.inf

Windows Server 2003 IIS 伺服器

含有已鎖定 IIS 伺服器的群組。

Enterprise Client – IIS Server.inf


所有增量範本檔案都應該套用到成員伺服器 OU 下的 OU。因為這個原因,這些較低層級 OU 每一個都要求您同時套用 Enterprise Client – Member Server Baseline.inf 檔和特定的增量檔,來定義每一個要在組織中履行的角色。

這些伺服器角色各自的安全性需求互為不同。每一個角色適當的安全性設定將在以後的單元中詳細討論。

重要:本指南假設執行 Windows Server 2003 的電腦將執行特別定義的角色。如果您的組織中的伺服器不符合這些角色,或者您有多用途伺服器,請使用此處定義的設定當作指南來建立自己的安全性範本。不過,有一點要留意的是,每部伺服器所執行的功能越多,就越容易受到攻擊。

以下圖表顯示支援這些所定義之伺服器角色的最終 OU 設計。

OU 設計範例

圖 4
OU 設計範例

OU、GPO 和管理群組設計

以上討論之建議 OU 和群組原則可以建立建立基礎或新環境,以針對執行 Windows Server 2003 的電腦來重新建構公司的現有 OU 結構。此外,管理員還使用預先定義的管理界限,來建立自己個別的管理群組。下表顯示這些群組和其管理之 OU 之間的相互關係。

表 2:OU 及管理群組

OU 名稱

管理群組

網域控制站

網域工程

成員伺服器器

網域工程

基礎結構

作業

檔案

作業

列印

作業

IAS

網域工程

CA

企業管理

Web

Web 服務


在做為子網域的「全域群組」中建立管理群組。

「網域工程」會使用對應的 GPO,將這些管理群組新增至適當限制的群組。如上所建立的管理群組只能成為電腦的 Local Administrators 成員之一,且這些位在OU 中的電腦具有與工作特別相關的功能。

最後,網域工程師會設定每個 GPO 的權限,只有網域工程群組中的管理員可以加以編輯。

根據預設,新的 OU 結構會繼承上層容器的安全性設定。您可針對每個 OU 封鎖權限繼承。

關於如何逐步封鎖權限的指示,請參閱<如何使用 Windows Server 2003 建立組織單位及委派控制>

移除管理員先前所新增之不必要的群組,並新增對應到每個伺服器角色 OU 的網域群組。保留針對 Domain Admins 群組所設定的 [完全控制]

您無須依照特定的順序建立 OU,但其中確有某些明顯的相依性。例如,網域群組必須先存在,您才能將不同的 OU 控制委派至群組。下列清單定義了執行這些工作的建議順序:

  1. 建立 OU 結構。

  2. 將電腦移動到適當的 OU。

  3. 建立管理群組。

  4. 將適當的網域帳戶新增至管理群組。

  5. 針對每個 OU 將適當的管理委派到適當的網域群組。

  6. 在要套用的 OU 中建立群組原則。

  7. 視情況將每個「群組原則」連結到其他的 OU。

  8. 將適當的安全性範本匯入每個 GPO。

  9. 針對每個 GPO 建立適當的網域群組可控制之權限。

  10. 針對每個 GPO,將適當的網域群組新增至「限制群組」。

  11. 測試並精簡群組原則。

網域原則

您可將「群組原則」安全性設定套用至組織中數個不同的層級。上列討論的基礎環境可使用「群組原則」,套用下列網域結構中三種繼承層級的設定:

  • 網域層級 — 設定一般安全性需求,例如:網域中所有伺服器中必須強制執行的帳戶及密碼原則。

  • 基礎層級 — 設定網域結構中所有伺服器所需之特定伺服器安全性需求。

  • 特定角色層級 — 設定特定伺服器角色的安全性需求。例如:結構伺服器的安全性需求與執行 Microsoft Internet Information Services (IIS) 的安全性需求不同

本單元的下個章節只詳加探討「網域層級原則」。網域安全性多半是針對使用者帳戶及密碼而設定。請記住,在檢閱這些設定及建議項目時,所有的設定必須套用到網路界線中的每一位使用者。

網域原則概觀

群組原則具有強大的功能,因為它可讓管理員設定標準網路電腦。若管理員能同時針對網域 (或部分網域) 中所有的電腦進行安全性變更,GPO 便可提供企業主要的設定管理解決方案。

本節提供了安全性設定的詳細說明文件,您可用於增強 Windows Server 2003 的安全性。以下提供的表格說明了每項設定的安全性目的及達成目的所需之設定。設定劃分為在 Windows Server 2003 之 Security Configuration Editor (SCE) 介面中展現及對應的類別。

您可透過「群組原則」同時套用的安全性變更類型包括:

  • 修改檔案系統的權限。

  • 修改登錄物件的權限。

  • 變更登錄設定。

  • 變更使用者權限指派。

  • 設定系統服務。

  • 設定稽核及事件件記錄。

  • 設定帳戶及密碼原則。


帳戶原則

帳戶原則 (含「密碼原則」、「帳戶鎖定原則」及「Kerberos 原則」等安全性設定) 只與本指南中詳述之三種環境的「網域原則」相關。「密碼原則」提供了設定複雜性及變更排程的方式,以保障高度安全的環境密碼。「帳戶鎖定原則」可讓您追蹤失敗的密碼登入嘗試,並視情況起始帳戶鎖定。Kerberos 原則用於網域使用者帳戶。這些原則會決定 Kerberos 的相關設定,例如票證存留期和強制執行。

密碼原則

定期變更的複雜密碼可降低成功密碼攻擊的可能性。密碼原則設定控制著密碼的複雜度和存留期。本節將探討每一特定的密碼原則設定,以及該設定與下列三種環境有何關連:傳統用戶端、企業用戶端,以及高安全性等環境。

針對密碼長度及複雜性建立的嚴格需求,並不一定會解譯為使用者及管理員的強性密碼。使用者可透過啟用的密碼原則,達到系統所定義的密碼需求 (技術複雜性需求),但仍需使用其他強性的企業安全性原則來改變密碼誤用的慣性狀態。例如, Breakfast! 可能符合所有密碼複雜性的需求。但並非無法輕易破解的密碼。

如果了解人員建立密碼的方式,您可以根據他偏好的食物、車款或電影來猜出所設定的密碼。企業安全性課程可教育使用者如何選擇強性密碼,最佳的策略便是建立說明不當密碼的公佈欄,並展示在公開區域,例如:飲水機或影印機附近。公司應設定安全性指南,以協助建立如下的強性密碼:

  • 避免使用字典上的名詞、常見字彙或巧妙地拼字錯誤,以及外國語言。

  • 避免使用數字遞增的密碼。

  • 避免使用先前或附加數字的密碼。

  • 避免使用其他人瀏覽桌上物品後便容易猜到的密碼 (例如:寵物的名字、球隊,以及家庭成員的姓名)。

  • 避免使用流行文化中的用語。

  • 避免使用個人秘密代號做為密碼。

  • 強制使用需兩手在鍵盤上操作鍵入的密碼。

  • 強制在所有的密碼中使用大小寫字母、數字及符號。

  • 強制使用空白字元及僅能按 Alt 鍵產生的字元。

上述指南之原則適用於所有組織中的服務帳號密碼。下節包含建議在本指南定義的三種安全性環境中使用的「密碼原則」。上述值設定的位置:

電腦設定\Windows 設定\安全性設定\帳戶設定\密碼原則

強制執行密碼歷程記錄

表 3:設定

網域成員預設

傳統用戶端

企業用戶端

高安全性

24 組可記憶密碼

24 組可記憶密碼

24 組可記憶密碼

24 組可記憶密碼


[強制密碼歷程記錄] 設定可決定獨特的新密碼數目,且必須在重新使用舊密碼之前與使用者帳戶相關。此設定值必須介於 0 到 24 組密碼。Windows Server 2003 的預設值最多可設定 24 組密碼。此原則設定可讓管理員增強安全性功能,以確保不會繼續重用舊的密碼。若要維護密碼歷程記錄的有效性,請同時設定 [密碼最短使用期限] 以防止密碼立即被變更。該組合可讓使用者不會在意外或故意的情況下重用舊密碼。

因為重用密碼會出現相關的漏洞,且針對該項設定指定短碼可讓可用者重覆回收較短的密碼。此建議的設定適用於本指南中定義的所有環境。此外,目前並沒有在包含傳統用戶端的環境設定該值的相關問題。

密碼最長使用期限

表 4:設定

網域成員預設

傳統用戶端

企業用戶端

高安全性

42 天

42 天

42 天

42 天


您可進行 [密碼最長使用期限] 設定,視環境所需來決定密碼到期的天數。此設定的預設值範圍為 1 到 999 天。此原則定義了破解密碼的攻擊者在密碼過期之前,可能會利用該密碼存取網路上的電腦的期間。定期變更密碼是防止密碼受危害的最佳方式。此設定的預設值為 42 天。

只要有足夠的時間和電腦技能,皆可破解大部分的密碼。密碼若經常變更,則攻擊者必須搶在新的密碼建立之前破解舊的密碼,導致徒勞無功。不過,這個值設得越小,打電話尋求支援服務的人就會愈多。為了在安全性需求和企業環境可用性之間取得平衡,您可在「傳統用戶端」及「企業用戶端」之間增加設定規則。建議使用的值可增加密碼安全性,以確保密碼定期回收。此外,建議使用的值可防止使用者因太常變更密碼,而忘記自己所設定的值為何。

密碼最短使用期限

表 5:設定

網域成員預設

傳統用戶端

企業用戶端

高安全性

1 天

2 天

2 天

2 天


[密碼最短使用期限] 設定可決定使用者變更密碼之前的最短使用天數。此設定值的範圍為 0 到 999 天。該值若設定為 0,您可立即變更密碼。此設定的預設值為 1 天。

[密碼最短使用期限] 設定必須短於 [密碼最長使用期限] 設定的天數,除非 [密碼最長使用期限]已設定為 0,這代表密碼不具有過期的時效。在此情況下,[密碼最短使用期限] 可設定為 0 到 999 之間的任何一個數值。

若您要 [強制密碼歷程記錄] 有效的話,請將 [密碼最短使用期限] 設定為大於 0 的值。使用者無須透過密碼最短使用期限便可重覆回收密碼,直到找到舊的我的最愛密碼。

根據預設將該設定變更為 2 天,因為在用於結合 [強制密碼歷程記錄] 設定中近似的短值時,該限制會阻礙使用者重覆回收相同的密碼。若 [密碼最短使用期限] 只剩 1 天,且 [強制密碼歷程記錄] 設定為 2 個密碼,使用者只需要再等 2 天,便可以使用舊的我的最愛密碼。此設定可確保使用者等候整整兩天,再進行密碼變更。

預設設定將不會遵循建議的方式,因此管理員可指定使用者的密碼,並要求他在登入時,變更系統管理員–定義的密碼。若密碼歷程記錄設定為 0,則使用者便不需要選擇新的密碼。因此,[強制密碼歷程記錄] 會根據預設而設定為 1。該設定也可防止使用者倉促設定 24 組新的密碼,進而規避 [密碼設定] 的限制。

密碼長度下限

表 6:設定

網域成員預設

傳統用戶端

企業用戶端

高安全性

7 個字元

8 個字元

8 個字元

12 個字元


[密碼長度下限] 設定可確保密碼至少為指定的字元數目。較長或 8 個字元以上的密碼—通常比短的密碼更為強固。根據原則設定,使用者將無法使用空白的密碼,而必須建立具有特定字元數目及長度的密碼。

此設定的預設值為 7 個字元,但仍建議使用 8 個字元的密碼,因為其長度可提供某種安全性層級,但亦能方便使用者記憶。此設定可提供相當程度的防禦機制,以抵抗常用的字典及暴力攻擊。

所謂的字典攻擊是透過採用嘗試錯誤的方式,攻擊者會使用文字清單上所有的名詞,試圖破解密碼。所謂的暴力攻擊是透過嘗試所有可能的值,以破解密碼或其他加密文件的方式。暴力攻擊是否得逞,取決於密碼的長度、字元集可能的大小,以及攻擊者本身的電腦運算技能。

本指南建議在「高安全性」環境下將密碼的長度設定為 12 個字元。

密碼會在通過單向式雜湊演算法的驗證之後,儲存至 「安全性帳戶管理員 (SAM)」的資料庫或 Active Directory。此種類型的演算法無法還原。因此,確認密碼是否正確的唯一方式,便是以相同的單向式雜湊演算法加以執行,並比較結果是否相符。字典攻擊會透過加密程序來執行整本字典的內容,並尋找相符的名詞。這是用於找出使用諸如 password 或 guest 等常見帳戶密碼之最簡易卻最有效的方式。

如果密碼只有 7 個或以下的字元,LMHash 的第二半會解析成特定值,因而能通知攻擊者密碼少於 8 個字元。透過強制使用至少含八 個字元的密碼,可使即使是孱弱的 LMHash 都更加堅固,因為長一點的密碼會迫使破解者要解密每一密碼的兩個部份,而不是只有一部份。由於您能夠同時平行攻擊 LM 雜湊的兩個部份,而 LM 雜湊的第二部份只有 1 個字元長;它在毫秒內就會屈從於暴力攻擊,因此並無法讓您放心,除非密碼是 ALT 字元集。

此外,密碼中每多增一個字元就使它的複雜度成指數性成長。例如:七個數字的密碼會出現 267 或 1 x 107 種可能的組合方式。七個字母字元的密碼加上大小寫就有 5277 種的組合。七個分大小寫字母字元 – 的密碼不加標點符號有 6277 種的組合。以每秒進行 1,000,000 次嘗試的速度,只需要 48 分鐘就可以破解。八個字元的密碼會出現 268 或 2 x 1011 種可能的組合方式。表面上看來,這好像是很驚人的數字。然而,以許多破解密碼公用程式每秒進行 1,000,000 次嘗試的能力來說,只需要花 59 個小時就可以嘗試所有可能的密碼。記住,這些數字隨著使用 ALT 字元和其他特殊鍵盤字元 (例如 ! 或 @) 的密碼而大幅增加。

因此,在此不建議使用較短的密碼取代長的密碼。然而,強制使用過長的密碼可能會產生一大堆打錯的密碼,而導致鎖定帳戶及相關服務支援電話量的增加。另外,強制使用相當長的密碼實際上會降低組織的安全性,因為使用者很有可能因為怕忘記而將他們的密碼寫下來。

密碼必須符合複雜性需求

表 7:設定

網域成員預設

傳統用戶端

企業用戶端

高安全性

啟用

啟用

啟用

啟用


[密碼必須符合複雜性需求原則] 的選項會檢查所有新的密碼,以確保其符合強性密碼的基本需求。

建立密碼時,複雜性需求會強制執行。Windows Server 2003 原則的規則無法直接修改。然而,您可建立新版本的 passfilt.dll 來套用至不同系列的規則。關於 passfilt.dll 原程式碼的詳細資訊,請參閱 Micorosoft 知識庫文件 151082:《HOW TO:Password Change Filtering & Notification in Windows NT》(英文)。

含 20 字元以上的密碼能以方便使用者記憶的方式設定,且較 8 個字元的密碼更為安全。下列 27 個字元的密碼:例如:I love cheap tacos for $.99。這種類型的密碼如同通關秘語,且比諸如:P@55w0rd 的短密碼更方便使用者記憶。

該建議使用的值若與設定為 8[密碼長度下限] 結合,再包含鍵盤上的大小寫字母及數字,其長度將從 26 個字元增加為 62 個字元。八個字元的密碼便具有 2.18 x 1014 種可能的組合方式。以每秒進行 1,000,000 次嘗試的速度,則必須花上 6.9 年才能跑完所有可能的排列。搭配使用這些設定可讓暴力攻擊的準備工作難上加難。因此,這是本指南定義的三種環境中建議使用的方式。

使用可還原的加密來儲存密碼

表 8:設定

網域成員預設

傳統用戶端

企業用戶端

高安全性

停用

停用

停用

停用


[使用可還原的加密來儲存密碼] 的安全性設定可決定是否使用可還原加密的作業系統來儲存密碼。

此原則可支援需有使用者密碼的通訊協定,以做為驗證之用途。使用可還原加密的密碼,比未使用該選項的密碼容易擷取,且增加安全性的漏洞。因此,除非應用程式需求比保護密碼資訊還重要,否則決不應該啟用本原則。

透過遠端存取或 IAS 的「Challenge-Handshake 驗證通訊協定 (CHAP)」及 IIS 中的「摘要式驗證」皆必須遵循此原則。

除非必要,否則應如何防止使用者變更密碼

除了上述的密碼原則,組織必須對所有的使用者進行集中控制。本節將說明如何防止使用者在除非必要的時候變更他們的密碼。

集中控制使用者密碼是精心設計之Windows Server 2003 安全性配置的基石。您可以使用「群組原則」來設定稍早討論到的密碼最短及最長使用期限。但要注意要求密碼經常變更會讓使用者規避您環境中的密碼歷程記錄設定。要求使用過長的密碼可能也會因使用者忘記密碼而導致服務支援電話量的增加。

使用者可以在密碼最短和最長使用期限設定的期間內變更他們的密碼。然而,「高安全性」環境設定只在作業系統提示已超過 42 天時,方會要求使用者變更密碼,如同 [密碼最長使用期限] 中的設定。若要防止使用者變更他們的密碼 (除非必要),您可以停用在您按下 CTRL+ALT+DELETE 時出現的 [Windows 安全性] 對話方塊中的 [變更密碼] 選項。

您可以使用群組原則針對整個網域實作此項設定,或藉由編輯登錄針對一個或多個特定的使用者來實作此設定。有關此設定的詳細指示,請參閱 Micorosoft 知識庫文件 324744《How To:Prevent Users from Changing a Password Except When Required in Windows Server 2003》(英文),網址為http://support.microsoft.com/default.aspx?scid=324744

帳戶鎖定原則

「帳戶鎖定原則」是一項 Windows Server 2003 安全性功能,會在指定的期間內經過數次登入失敗的嘗試後鎖定使用者帳戶。所容許的嘗試次數及期間是以安全性原則鎖定設定的值為依據。使用者無法登入至已鎖定的帳戶。Windows Server 2003 會追蹤登入嘗試,而伺服器軟體可經過設定,將預設登入數次失敗的帳戶停用一段時間來回應這一類可能的攻擊。

在 Windows Server 2003 中設定帳戶鎖定原則時,系統管理員可以為嘗試和期間變數設定任意值。然而,如果 [重設帳戶鎖定計數器的時間] 設定的值大於 [帳戶鎖定時間] 設定的值,則 Windows Server 2003 會將 [帳戶鎖定時間] 設定的值自動調整為與 [重設帳戶鎖定計數器的時間] 設定相同的值。此外,如果 [帳戶鎖定時間] 設定的值小於為 [重設帳戶鎖定計數器的時間] 設定所設定的值,則 Windows Server 2003 會將 [重設帳戶鎖定計數器的時間] 設定的值自動調整為與 [帳戶鎖定時間] 設定相同的值。因此,如果已定義 [帳戶鎖定時間],則 [重設帳戶鎖定計數器的時間] 必須小於或等於 [帳戶鎖定時間]。

Windows Server 2003 這麼做是為了避免在安全性原則產生衝突的設定值。如果系統管理員將 [重設帳戶鎖定計數器的時間] 設定的值設得比 [帳戶鎖定時間] 設定的值還大,則 [帳戶鎖定時間] 設定強制設定的值會先過期,結果可能會讓使用者能夠登回網路。不過,[重設帳戶鎖定計數器的時間] 設定會繼續倒數。也因為如此,帳戶鎖定閾值設定將維持最多三次不正確的嘗試,之後使用者將無法登入。

若要避免發生這種情況,Windows Server 2003 會自動將 [重設帳戶鎖定計數器的時間] 設定的值重設為等於 [帳戶鎖定時間] 設定的值。

這些安全性原則設定可幫助防止攻擊者猜測使用者密碼,而且它們也降低了成功攻擊您網路環境的可能性。這些區段的值可在「網域群組原則」的下列位置中設定:

電腦設定\Windows 設定\安全性設定\帳戶原則\帳戶鎖定原則

帳戶鎖定時間

表 9:設定

網域成員預設

傳統用戶端

企業用戶端

高安全性

未定義

30 分鐘

30 分鐘

15 分鐘


[帳戶鎖定時間] 設定可決定解除鎖定帳戶之前的時間長度,使用者可再次嘗試登入。此設定透過指定鎖定帳戶將保持無法使用的分鐘數來完成設定。如果 [帳戶鎖定時間] 設定設為 0,則鎖定帳戶將維持鎖定狀態直到系統管理員解除鎖定為止。此設定的 Windows Server 2003 預設值為 [尚未定義]。

雖然將此設定的值設定為永不自動解除鎖定看似不錯的辦法,但這麼做可能會增加組織內收到要解除不小心鎖定的帳戶的服務支援電話量。如果舊版及企業用戶端環境設定的值為 30 分鐘,且將高安全性的層級設定為 15 分鐘,則將減少拒絕服務 (DoS) 攻擊中的作業負荷的次數。在 DoS 攻擊中,攻擊者會針對組織中所有的使用者,惡意執行數次登入失敗的嘗試,進而鎖定其帳戶。此設定值也給予被鎖定的使用者於 30 分鐘內再次登入的機會,這是他們比較可能接受而不致訴諸服務支援的時間。

本指南建議在高安全性環境中將值設定為 15 分鐘。

帳戶鎖定閾值

表 10:設定

網域成員預設

傳統用戶端

企業用戶端

高安全性

0 次無效的登入嘗試

50 次無效的登入嘗試

50 次無效的登入嘗試

10 次無效的登入嘗試


[帳戶鎖定閾值] 設定決定了使用者登入帳戶到被鎖定之前可嘗試的次數。

獲得授權的使用者可能因為輸入的密碼不正確,或在正在登入其他電腦時變更密碼,而導致帳戶被鎖定。含不正確密碼的電腦會持續嘗試驗證使用者,而因為它用來驗證的密碼並不正確,因此使用者帳戶到最後就會被鎖定。若要避免鎖定授權使用者,請將帳戶鎖定閾值設成大一點的數字。

由於此設定的值設定與否都會存在漏洞,因此已針對這些可能性定義了特殊的因應對策。您的組織應該根據識別出的威脅及您嘗試緩和的風險來斟酌這兩者之間的抉擇。

  • 若要避免帳戶遭到鎖定,請將 [帳戶鎖定閾值] 設定為 0[帳戶鎖定閾值] 若設定為 0,將可減少服務支援電話量,因為使用者不會意外地鎖定自己的帳戶,亦能防止蓄意鎖定組織內帳戶的 DoS 攻擊。由於這項指定無法預防暴力攻擊,因此,只有在遇到下列兩種情況時才進行這種設定:

    • 密碼原則強迫所有使用者擁有由 8 個或更多的字元組成的複雜密碼。

    • 備有強大的稽核機制在環境內發生一系列帳戶鎖定時,警告系統管理員。例如,稽核解決方案應該監視安全性事件 539,這是一個登入失敗。帳戶在進行嘗試登入時便遭到鎖定。此事件表示帳戶在嘗試登入的當時被鎖定。然而,事件 539 只顯示帳號被鎖定,而未顯示嘗試失敗的密碼。因此,管理員也應該監視一系列錯誤的密碼嘗試。

  • 如果不符合上述條件,第二個選項是將 [帳戶鎖定閾值] 設定成大一點的值,足以讓使用者能夠意外打錯密碼數次而不致鎖定帳戶,並同時確保暴力密碼攻擊仍會鎖定帳戶。在此情況下,請將無效的登入嘗試設定為較高的數字 (例如:50),以確保充分的安全性和可接受的使用性。此設定值將可避免意外的帳戶鎖定,並減少服務支援電話量,但無法防止上述的 Dos 攻擊。

本指南建議在高安全性環境中將無效登入嘗試的值設定為 10 分鐘。

重設帳戶鎖定計數器的時間

表 11:設定

網域成員預設

傳統用戶端

企業用戶端

高安全性

未定義

30 分鐘

30 分鐘

15 分鐘


[重設帳戶鎖定計數器的時間] 設定決定了將 [帳戶鎖定閾值] 重設為 0,以解除帳戶鎖定之前的時間長度。如果您已定義 [帳戶鎖定閾值],那麼此重設時間必須小於或等於 [重設帳戶鎖定計數器的時間] 的值。

在與指南中所述之其他設定值進行協同合作時,若使用原先的預設值,或設定太長的間隔值,這樣會出現讓 DoS 攻擊鎖定帳戶的環境漏洞。如果未使用原則來重設帳戶鎖定,系統管理員就必須手動解除鎖定所有的帳戶。反過來說,如果此設定具有合理的時間值,使用者就只會被鎖定一段時間,接著所有帳戶就會自動解除鎖定。30 分鐘的建議設定值定義了一段使用者比較可能接受而不致訴諸服務支援的期間。保留設定的預設值,抑或保留預設值但採用建議的方式變更其他的值,這將使得您在面對帳戶鎖定 DoS 時毫無防衛能力。降低層級會減少在拒絕服務 (DoS) 攻擊時作業負荷的次數。在 DoS 攻擊中,攻擊者會針對組織中所有的使用者,惡意執行數次登入失敗的嘗試,進而鎖定其帳戶。

本指南建議在高安全性環境中將值設定為 15 分鐘。

Kerberos 原則

Kerberos 原則用於網域使用者帳戶。這些原則會決定 Kerberos 版本 5 通訊協定的相關設定,例如票證存留期和強制執行。本機電腦原則中不存在 Kerberos 原則。減少 Kerberos 票證的存留期可降低攻擊者竊取密碼及模擬合法使用者帳戶的風險。然而,維護這些原則會增加授權的負荷。在大多數環境中,這些原則的預設值都不應該變更。Kerberos 設定已納入「預設網域原則」並強制執行,因此本指南不再將其納入隨附的安全性範本裡面。

本指南並未提供對預設 Kerberos 原則的任何變更。關於這些設定的詳細資訊,請參閱同系列指南的《Threats and Countermeasures:Security Settings in Windows Server 2003 and Windows XP》(英文)

安全性選項

帳戶原則必須在「預設網域原則」中定義,並由構成網域的網域控制站強制執行。網域控制站固定會從預設網域原則 GPO 取得帳戶原則,即使有不同的帳戶原則套用到包含網域控制站的 OU 也一樣。

[安全性選項] 中再網域層級還有兩個原則的舉止也像帳戶原則要考量。您可在表格中的下列位置設定「網域群組原則」值:

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Microsoft 網路伺服器:當登入時數過期時,中斷用戶端連線

表 12:設定

網域成員預設

傳統用戶端

企業用戶端

高安全性

未定義

啟用

啟用

啟用


[Microsoft 網路伺服器:當登入時數過期時] 中斷用戶端連線,安全性設定可指出是否要在連線到本機電腦的使用者超過其使用者帳戶的有效登入時數時,中斷其連線。此設定會影響伺服器訊息區 (SMB) 元件。當啟用此原則時,會導致使用 SMB 服務的用戶端工作階段,在用戶端的登入時數過期時強制中斷連線。如果停用此原則,則會允許建立的用戶端工作階段在用戶端登入時數過期後仍繼續維護。當啟用此設定時,您亦應確保 [網路安全性:] 強制限制登入時數

如果組織已經設定使用者的登入時數,則啟用這項原則是合理的決定,否則使用者在登入時數到期時,原本應無法進行網路資源的存取,但卻能繼續使用在允許時數內建立的工作階段。

如果您的組織內未採用登入時數,則啟用此設定並不會有任何影響。如果採用登入時數,那麼現有的使用者工作階段將在其登入時數過期時,被強制終止。

網路存取:允許匿名 SID/名稱轉譯

表 13:設定

網域成員預設

傳統用戶端

企業用戶端

高安全性

未定義

停用

停用

停用


[網路存取:允許匿名 SID/名稱轉譯] 設定指出匿名使用者是否能夠要求另一名使用者的 SID。

如果在網域控制站上啟用此原則,則知道系統管理員 SID 屬性的使用者就能夠連繫同樣有啟用此原則的電腦,並使用該 SID 來取得系統管理員的名稱。該人員接著可利用該帳戶名稱來初始密碼猜測攻擊。成員電腦上的預設設定是停用,這對它們沒有影響。不過,網域控制站的預設設定是 [啟用]。停用此設定可能會造成傳統系統無法與如下 Windows Server 2003 架構的網域通訊:

  • Windows NT 4.0 架構的遠端存取服務伺服器。

  • 當 IIS 上的 Web 應用程式設定成允許「基本」驗證,並同時停用「匿名」存取的話,內建的 Guest 使用者帳戶就無法存取 Web 應用程式。同樣地,如果您將內建 Guest 使用者帳戶重新命名稱另一個名稱,則新名稱也無法用來存取 Web 應用程式。

  • 在位於 Windows NT 3.x 網域或 Windows NT 4.0 網域內的 Windows 2000 電腦上執行的遠端存取服務伺服器。

網路安全性:強制限制登入時數

表 14:設定

網域成員預設

傳統用戶端

企業用戶端

高安全性

停用

啟用

啟用

啟用


[網路安全性:強制限制登入時數] 設定指出是否要在連線到本機電腦的使用者超過其使用者帳戶的有效登入時數時,中斷其連線。此設定會影響 SMB 元件。

啟用此原則會在用戶端的登入時數過期時,強制中斷使用 SMB 伺服器的用戶端工作階段,而且使用者在直到其下次排定的存取時間之前,都無法登入系統。停用此原則可在用戶端的登入時數過期時,繼續維持建立的用戶端工作階段。若要影響網域帳戶,此設定必須在「預設網域原則」中定義。

總結

在檢閱樹系、網域及組織單位 (OU) 等保障環境的安全性設計時有數種考量存在。

研究並記錄組織特定之自治及孤立的條件,這是非常重要的。政策上的自治、作業的孤立,以及獨立的法規,這些都是在樹系設計考量時的關鍵原因。

瞭解如何控制服務管理員是很重要的。惡意的服務管理員對組織所造成的風險很大。最起碼,惡意網域管理員可在樹系中任何一個網域中存取資料。

要變更組織中的樹系或網域設計並非易事,因此您必須重新調整企業可能有的某些安全性風險。根據服務管理員的需求來進行 OU 配置,以及 資料管理員亦是不可或缺。本單元會詳細說明如何使用 GPO 來建立 OU 模式,以持續管理企業中不同的伺服器角色。

最後,本單元會指出檢閱組織中所有網域之廣泛設定的重要程度。每個網域只能設定一組密碼、帳戶鎖定,以及 Kerberos 版本 5 驗證通訊協定原則。其他的密碼及帳戶鎖定設定只會影響到成員伺服器上的本機帳戶。計劃可套用至網域上所有成員伺服器之設定,並確保這些設定可提供組織內部適當的安全層級。

其他資訊

下列資訊來源是本產品公開發行當時,與建立網域結構及 Windows Server 2003 相關的最新主題。

如需關於 Windows 2000、Windows XP 及 Windows Server 2003 帳戶及本機原則的更多資訊,請參閱: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsnetserver/proddocs/server/sag_sceacctpols.asp

如需關於 Microsoft 安全性及隱私權的更多資訊,請參閱: http://www.microsoft.com/security

如需關於「安全性十大守則」的資訊,請參閱: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/columns/security/essays/10imlaws.asp

如需關於 Active Directory 中委派管理設計考量的資訊,請參閱: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ad/windows2000/plan/addeladm.asp

如需關於設定「時間伺服器」的資訊,請參閱:Microsoft 知識庫文件《How to Configure an Authoritative Time Server in Windows 2000》(英文),所在位置:

http://support.microsoft.com/default.aspx?scid=216734

如需關於「網路」存取及允許 SID/NAME 轉譯的資訊,請參閱:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/server/623.asp

如需關於「網路」安全性及登入時數到期時強制執行登出的資訊,請參閱:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/server/566.asp

Guest Account Cannot be Used When Anonymous Access Is Disabled (英文)

http://support.microsoft.com/default.aspx?scid=kb;en-us;251171

顯示: