---------------------------------------------------------------------- 密碼策略 推薦值 ---------------------------------------------------------------------- Enforce password history 12 到 24 位 Maximum password age 30 到 90 天 Minimum password age 1 到 3 天 Minimum password length 7 到 14 個字母 Password must meet complexity requirements Enabled Store password using reversible encryption Disabled 表 1
缺省情況下,這些設置儲存在默認域策略GPO中,但不應從那裡監聽,你應該分析諸如DUMPSEC或者域控制器的本地安全策略(在域控制器上運行GPEDIT.MSC)這樣的工具。DUMPSEC將不收集密碼的復雜要求,它通過其他途徑來收集該信息。本地安全策略能夠提供監聽這些設置的所有信息。
·在Excel中的打印設置的技巧(圖)·華為 SmartAX MT800設置路由方式教程·屏保密碼如何設置才安全·用Msconfig設置啟動項·修改系統設置 打造安全的個人電腦·教你一招:Excel表頭斜線設置秘技·在Excel中設置字符上、下標的方法·上網且慢!不容忽視的IE安全設置問題·巧妙設置 Excel表格標題行輕松顯現·ADSLModen路由設置之華為MT800A
#2 帳戶拒絕登陸策略
該策略在用戶忘記密碼的時候起作用。當然,為了阻止入侵者猜密碼或者強制攻擊這些密碼,最好確保該設置與你的其他安全策略一起使用。如果你的安全策略中沒有定義這些設置,下表給出了對這些設置來說最實用的值。
--------------------------------------------------------------------- 帳戶拒絕策略設置 推薦值 --------------------------------------------------------------------- Account lockout duration 9999 (也可設小一點的數字,比如5,但不能是0) Account lockout threshold 3 到 5 Reset account lockout counter after 9999 --------------------------------------------------------------------- 表 2 默認情況下,這些設置儲存在默認域策略GPO中,但不是在那裡監聽,應該分析諸如DUMPSEC或者域控制器的本地安全策略(在域控制器上運行GPEDIT.MSC)這樣的工具。 #3 服務器管理員組成員權限 服務器管理員組的成員是Active Directory目錄服務器的一個重要的組。該組成員可以對“服務器”的功能類型進行整體變換,包括修改Active Directory站點,服務器DFS配置等等類似方面。他們還能夠管理在整個域中的所有用戶的帳戶,組帳戶,以及電腦帳戶。 這個組只存在於根域中(Active Director forest中的第一個域)。因此,你只需檢查Active Directory forest中的一個域就可以監聽該組。該組成員數量應該控制在有限的幾個以內。鑒於域管理組中的成員可以添加或者刪除該組成員,所以我建議日常情況下該組沒有任何成員比較好。 DUMPSEC非常適合用來監聽該組。你也可以就用Active Directory Users and Computers項來浏覽有該組成員權限的組和用戶。 #4 計劃管理組成員權限 該組的權限跟服務器管理組差不多大,但是針對Active Directory的另一不同的方面的。該組成員能夠修改Active Directory的計劃,該計劃將影響到Forest中所有的域。對該計劃的錯誤修改將使整個服務器癱瘓和崩潰。 該組也只存在於根域中。同樣,鑒於計劃很少需要變更並且很受限制,日常情況下該組可以沒有任何成員。限制該組成員數量或者干脆刪去他們,你才能夠更好的管理和控制計劃變更。 DUMPSEC非常適合用來監聽該組。你也可以就用Active Directory Users and Computers來浏覽有該組成員權限的組和用戶。 #5 域管理組成員權限 該組可以全權管理單獨域中的所有用戶、組以及電腦。該組的權限很大,並且每天都會用到。該組成員數也要控制數量,但是不要讓這個組是空的。如果需要某些域功能,你應該使用Active Directory 委任,而不是向這個組添加用戶。該委任對所有的Active Directory進行粗略的管理,它不會像域管理組那樣分發出太多的權限。該組在所有的Active Directory域中都存在,所以你需要監聽所有這些域。 DUMPSEC非常適合用來監聽該組。你也可以就用Active Directory Users and Computers來浏覽有該組成員權限的組和用戶。 總結 對Active Directory進行基本管理至關重要。如果用戶的帳戶密碼太簡單,能夠輕易被破解,51自學網,不經常更換或者根本沒有設置密碼,那麼網絡和服務器就很容易被攻擊。務必正確設置這些密碼值以及帳戶拒絕登陸策略。那些最實用的值能夠幫助你阻擋針對密碼的種種攻擊。同樣的,以上Active Directory服務器三個組的用戶權限應當妥善管理並經常監聽。如果普通用戶擁有服務器,計劃或者域管理組的此類權限,那將很可能引發重大損失或嚴重問題。