---------------------------------------------------------------------- 密码策略 推荐值 ---------------------------------------------------------------------- Enforce password history 12 到 24 位 Maximum password age 30 到 90 天 Minimum password age 1 到 3 天 Minimum password length 7 到 14 个字母 Password must meet complexity requirements Enabled Store password using reversible encryption Disabled 表 1
缺省情况下,这些设置储存在默认域策略GPO中,但不应从那里监听,你应该分析诸如DUMPSEC或者域控制器的本地安全策略(在域控制器上运行GPEDIT.MSC)这样的工具。DUMPSEC将不收集密码的复杂要求,它通过其他途径来收集该信息。本地安全策略能够提供监听这些设置的所有信息。
#2 帐户拒绝登陆策略
该策略在用户忘记密码的时候起作用。当然,为了阻止入侵者猜密码或者强制攻击这些密码,最好确保该设置与你的其他安全策略一起使用。如果你的安全策略中没有定义这些设置,下表给出了对这些设置来说最实用的值。
--------------------------------------------------------------------- 帐户拒绝策略设置 推荐值 --------------------------------------------------------------------- Account lockout duration 9999 (也可设小一点的数字,比如5,但不能是0) Account lockout threshold 3 到 5 Reset account lockout counter after 9999 --------------------------------------------------------------------- 表 2 默认情况下,这些设置储存在默认域策略GPO中,但不是在那里监听,应该分析诸如DUMPSEC或者域控制器的本地安全策略(在域控制器上运行GPEDIT.MSC)这样的工具。 #3 服务器管理员组成员权限 服务器管理员组的成员是Active Directory目录服务器的一个重要的组。该组成员可以对“服务器”的功能类型进行整体变换,包括修改Active Directory站点,服务器DFS配置等等类似方面。他们还能够管理在整个域中的所有用户的帐户,组帐户,以及电脑帐户。 这个组只存在于根域中(Active Director forest中的第一个域)。因此,你只需检查Active Directory forest中的一个域就可以监听该组。该组成员数量应该控制在有限的几个以内。鉴于域管理组中的成员可以添加或者删除该组成员,所以我建议日常情况下该组没有任何成员比较好。 DUMPSEC非常适合用来监听该组。你也可以就用Active Directory Users and Computers项来浏览有该组成员权限的组和用户。 #4 计划管理组成员权限 该组的权限跟服务器管理组差不多大,但是针对Active Directory的另一不同的方面的。该组成员能够修改Active Directory的计划,该计划将影响到Forest中所有的域。对该计划的错误修改将使整个服务器瘫痪和崩溃。 该组也只存在于根域中。同样,鉴于计划很少需要变更并且很受限制,日常情况下该组可以没有任何成员。限制该组成员数量或者干脆删去他们,你才能够更好的管理和控制计划变更。 DUMPSEC非常适合用来监听该组。你也可以就用Active Directory Users and Computers来浏览有该组成员权限的组和用户。 #5 域管理组成员权限 该组可以全权管理单独域中的所有用户、组以及电脑。该组的权限很大,并且每天都会用到。该组成员数也要控制数量,但是不要让这个组是空的。如果需要某些域功能,你应该使用Active Directory 委任,而不是向这个组添加用户。该委任对所有的Active Directory进行粗略的管理,它不会像域管理组那样分发出太多的权限。该组在所有的Active Directory域中都存在,所以你需要监听所有这些域。 DUMPSEC非常适合用来监听该组。你也可以就用Active Directory Users and Computers来浏览有该组成员权限的组和用户。 总结 对Active Directory进行基本管理至关重要。如果用户的帐户密码太简单,能够轻易被破解,不经常更换或者根本没有设置密码,那么网络和服务器就很容易被攻击。务必正确设置这些密码值以及帐户拒绝登陆策略。那些最实用的值能够帮助你阻挡针对密码的种种攻击。同样的,以上Active Directory服务器三个组的用户权限应当妥善管理并经常监听。如果普通用户拥有服务器,计划或者域管理组的此类权限,那将很可能引发重大损失或严重问题。