Windows系统环境的安全性经常在变化,不管你的电脑是新组装的还是已经运行了数年的,它很有可能不符合你所在机构要求的安全标准。你需要对电脑进行内部的或者外部的监听才能找到那些不正确的安全设置。如果时间紧迫的话,你可以主要监听对Windows Active Directory目录服务器来说最为关键的几个安全设置。我们将在下面的文章中详细介绍这5个比较重要的安全设置。
Windows Active Directory 目录服务的安全性
我可以说出选择这些安全设置的数个理由。第一,正确设置这些安全设置,它可以帮助windows抵抗一些对系统的常规攻击。第二,Windows系统核心中有些默认的安全设置历来都是不安全的。如果不是从一开始就设置好或者定期地检查他们,你可能一直在操作一个又一个带着这些不安全的默认设置的电脑。最后一点,根据我的经验,通常这些设置都被用户忽略,并没有配置正确。即使是那些所谓的安全的,老练的网络也是如此。
#1 密码策略
Active Directory域的初始密码策略是在默认域策略组策略对象(GPO)中配置的。该栏目下有多项设置,应该把这些设置至少设在标准安全级别。你需要对照你的服务器安全策略来决定该设哪些值。如果你们自己的安全策略中没有这些值,你可以参考下表中的推荐值:
----------------------------------------------------------------------密码策略|推荐值----------------------------------------------------------------------Enforce password history|12 到 24 位Maximum password age|30 到 90 天Minimum password age|1 到 3 天Minimum password length|7 到 14 个字母Password must meet complexity requirements|EnabledStore password using reversible encryption|Disabled----------------------------------------------------------------------ccidnet
缺省情况下,这些设置储存在默认域策略GPO中,但不应从那里监听,你应该分析诸如DUMPSEC或者域控制器的本地安全策略(在域控制器上运行GPEDIT.MSC)这样的工具。DUMPSEC将不收集密码的复杂要求,它通过其他途径来收集该信息。本地安全策略能够提供监听这些设置的所有信息。
#2 帐户拒绝登陆策略
该策略在用户忘记密码的时候起作用。当然,为了阻止入侵者猜密码或者强制攻击这些密码,最好确保该设置与你的其他安全策略一起使用。如果你的安全策略中没有定义这些设置,下表给出了对这些设置来说最实用的值。
---------------------------------------------------------------------帐户拒绝策略设置|推荐值---------------------------------------------------------------------Account lockout duration|9999 (也可设小一点的数字,比如5,但不能是0)Account lockout threshold|3 到 5Reset account lockout counter after|9999---------------------------------------------------------------------ccidnet
表 2
默认情况下,这些设置储存在默认域策略GPO中,但不是在那里监听,应该分析诸如DUMPSEC或者域控制器的本地安全策略(在域控制器上运行GPEDIT.MSC)这样的工具。
#3 服务器管理员组成员权限
服务器管理员组的成员是Active Directory目录服务器的一个重要的组。该组成员可以对“服务器”的功能类型进行整体变换,包括修改Active Directory站点,服务器DFS配置等等类似方面。他们还能够管理在整个域中的所有用户的帐户,组帐户,以及电脑帐户。
这个组只存在于根域中(Active Director forest中的第一个域)。因此,你只需检查Active Directory forest中的一个域就可以监听该组。该组成员数量应该控制在有限的几个以内。鉴于域管理组中的成员可以添加或者删除该组成员,所以我建议日常情况下该组没有任何成员比较好。
DUMPSEC非常适合用来监听该组。你也可以就用Active Directory Users and Computers项来浏览有该组成员权限的组和用户。
#4 计划管理组成员权限
该组的权限跟服务器管理组差不多大,但是针对Active Directory的另一不同的方面的。该组成员能够修改Active Directory的计划,该计划将影响到Forest中所有的域。对该计划的错误修改将使整个服务器瘫痪和崩溃。
该组也只存在于根域中。同样,鉴于计划很少需要变更并且很受限制,日常情况下该组可以没有任何成员。限制该组成员数量或者干脆删去他们,你才能够更好的管理和控制计划变更。
DUMPSEC非常适合用来监听该组。你也可以就用Active Directory Users and Computers来浏览有该组成员权限的组和用户。
#5 域管理组成员权限
该组可以全权管理单独域中的所有用户、组以及电脑。该组的权限很大,并且每天都会用到。该组成员数也要控制数量,但是不要让这个组是空的。如果需要某些域功能,你应该使用Active Directory 委任,而不是向这个组添加用户。该委任对所有的Active Directory进行粗略的管理,它不会像域管理组那样分发出太多的权限。该组在所有的Active Directory域中都存在,所以你需要监听所有这些域。
DUMPSEC非常适合用来监听该组。你也可以就用Active Directory Users and Computers来浏览有该组成员权限的组和用户。
总结
对Active Directory进行基本管理至关重要。如果用户的帐户密码太简单,能够轻易被破解,不经常更换或者根本没有设置密码,那么网络和服务器就很容易被攻击。务必正确设置这些密码值以及帐户拒绝登陆策略。那些最实用的值能够帮助你阻挡针对密码的种种攻击。同样的,以上Active Directory服务器三个组的用户权限应当妥善管理并经常监听。如果普通用户拥有服务器,计划或者域管理组的此类权限,那将很可能引发重大损失或严重问题。