資源描述:
《域策略中賬戶策略和密碼策略配置》由會員上傳分享���,免費在線閱讀��,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫���。
1����、域策略中賬戶策略和密碼策略的配置域策略中賬戶策略和密碼策略的配置詳解電腦問題2009-04-0213:26:15閱讀828評論0字號:大中小訂閱在實際配置域環(huán)境的策略中,需要注意配置的策略有以下幾點:賬戶策略����、密碼策略、賬戶鎖定策略�、Kerberos策略。首先我們確定域策略的級別��,級別有以下幾種:域級別�����、基準(zhǔn)級別和特定于角色的級別����。而在日常使用過程中,除服務(wù)器和特別的服務(wù)以外,都是基于運用域級別的策略�����。在域的組策略中���,管理員可以修改相應(yīng)的策略和配置�����,以達到安全的目的�。我們可以通過策略來修改文件系統(tǒng)的權(quán)限��,使不同用戶擁有不同的訪問權(quán)限�,從而限制一些用戶訪問個別的文件,也杜絕用戶修改系統(tǒng)文件�����;另外
2�、,我們也可以修改注冊表中的設(shè)置����,注冊表中的信息是十分強大的�����,運用組策略修改注冊表能達到意想不到的效果��,包括前面所說的屏保就是通過注冊表來修改的�,還有IE的起始頁設(shè)置�����、桌面和菜單的設(shè)置��、各種安全選項和系統(tǒng)信息的配置以及阻止某些應(yīng)用程序的設(shè)置等等�����;還可以配置系統(tǒng)服務(wù)���,開啟和關(guān)閉一起服務(wù),以自己周圍環(huán)境為基準(zhǔn)配置����,從而達到速度快和安全性高的雙重性標(biāo)準(zhǔn);而配置審核和事件日志��,能讓管理員清晰又全面去診斷用戶電腦的問題,也能更加及時地反映出問題�����,對于管理來說是必不可少的一項配置策略���;而安全的最基礎(chǔ)就是賬戶和密碼策略�,也是應(yīng)用最為平常的一個策略����,幾乎每個管理員都要配置這個策略以求達到更加安全的目的,而我則在
3��、下面的文章中詳細(xì)講這個策略中的各種功能和此策略中各個細(xì)節(jié)策略如何去配置���。在策略中最為重要的是帳戶策略���,而其中包括了密碼策略、帳戶鎖定策略和Kerberos策略安全設(shè)置�。密碼策略提供了一種方法來設(shè)置高安全環(huán)境的復(fù)雜性和更改計劃。帳戶鎖定策略允許跟蹤失敗的密碼登錄嘗試以便在必要時啟動帳戶鎖定�����。Kerberos策略用于域用戶帳戶,并確定與Kerberos身份驗證協(xié)議相關(guān)的設(shè)置�����。密碼策略是控制密碼的復(fù)雜性和使用期限�,對密碼長度和復(fù)雜性要求嚴(yán)格并不一定意味著用戶和管理員將使用強密碼。雖然密碼策略可能要求用戶遵循技術(shù)復(fù)雜性要求�����,但還需要附加的強安全策略來確保用戶創(chuàng)建難以遭破壞的密碼�����。例如����,Password
4����、!可能符合所有密碼復(fù)雜性要求,但是要破解該密碼并非難事���。若了解密碼創(chuàng)建人的特定情況���,而且密碼是基于其家庭地址�����、生日或名字的�����,就可以猜到該密碼����。制作一張介紹弱密碼的海報����,并將其貼在公共場所,如飲水機或復(fù)印機附近���,是設(shè)法讓用戶接受強密碼的組織安全計劃的一種策略�����。您的組織應(yīng)該設(shè)立強密碼創(chuàng)建準(zhǔn)則����,組織中所有服務(wù)帳戶密碼也應(yīng)該遵循這些準(zhǔn)則。而本人建議在設(shè)置密碼策略中應(yīng)該注意以下幾點:l不要使用任何語言詞典中的單詞����,包括常見或巧妙拼錯的單詞。l創(chuàng)建新密碼時��,不能只是增加當(dāng)前密碼中的一個數(shù)字���。l密碼的開頭或結(jié)尾不要使用數(shù)字��,因為與將數(shù)字?jǐn)[在中間的密碼相比�����,前者更容易猜到�。l其他人只需看看您的辦公桌即可輕松猜
5����、到的密碼不宜使用�����,例如寵物名稱�����、運動隊名稱和家人姓名。l不要使用來自大眾文化的單詞����。l強制使用需要在鍵盤上用兩手輸入的密碼。l強制在所有密碼中混合使用大小寫字母�����、數(shù)字和符號����。l強制使用空格字符和只有按Alt鍵才能生成的字符。強制密碼歷史此策略設(shè)置確定在可以重新使用舊密碼之前�����,必須與某個用戶帳戶關(guān)聯(lián)的唯一新密碼個數(shù)�����。此設(shè)置的值必須在0到24個密碼之間����。WindowsServer2003SP1中“強制密碼歷史”設(shè)置的默認(rèn)值最多為24個密碼����。本人建議使用該值���,原因是它有助于確保舊密碼不會連續(xù)重新使用�、常見的漏洞與密碼重新使用相關(guān)聯(lián)以及低值設(shè)置將允許用戶持續(xù)循環(huán)使用數(shù)目很小的密碼���。要增強此策略設(shè)置的有
6��、效性�����,您也可以配置“密碼最短使用期限”設(shè)置以便密碼無法被立即更改��。這種組合使得用戶很難重新使用舊密碼�,無論是偶然還是有意���。密碼最長使用期限此策略設(shè)置定義了破解密碼的攻擊者在密碼過期之前使用該密碼訪問網(wǎng)絡(luò)計算機的期限��。此策略設(shè)置的值范圍為1到999天。您可以配置“密碼最長使用期限”設(shè)置��,以便密碼在環(huán)境需要時過期。此設(shè)置的默認(rèn)值為42天��。定期更改密碼有助于防止密碼遭破壞����。若攻擊者有足夠的時間和計算功能,就能夠破解大多數(shù)密碼���。密碼更改越頻繁����,攻擊者破解密碼的時間就越少���。但是���,此值設(shè)置得越低,幫助臺支持呼叫增多的可能性越大���。本人建議將“密碼最長使用期限”設(shè)置保留為默認(rèn)值42天�,此配置將確保密碼會被定期
7�����、更改,但不要求用戶頻繁更改其密碼以致無法記住密碼����,要權(quán)衡安全性和可用性需求。密碼最短適用期限此策略設(shè)置確定用戶更改密碼之前該密碼可以使用的天數(shù)���。此策略設(shè)置的值范圍介于0至999天��,0值允許立即更改密碼�����。設(shè)置的默認(rèn)值為1天�����,設(shè)置必須小于“密碼最長使用期限”設(shè)置�,除非“密碼最長使用期限”設(shè)置配置為0(這意味著密碼永不過期)����。如果希望“強制密碼歷史”設(shè)置生效,請將此策略設(shè)置配置為大于0的值����。如果沒有密碼
