繼上篇文章Active Directory域基礎(chǔ)結(jié)構(gòu)配置二之后，本文的Active Directory域基礎(chǔ)結(jié)構(gòu)配置三由下文所述：

帳戶(hù)鎖定策略

帳戶(hù)鎖定策略是一項(xiàng) Active Directory 安全功能，它在一個(gè)指定時(shí)間段內(nèi)多次登錄嘗試失敗后鎖定用戶(hù)帳戶(hù)。允許的嘗試次數(shù)和時(shí)間段基于為安全策略鎖定設(shè)置配置的值。用戶(hù)不能登錄到鎖定的帳戶(hù)。域控制器跟蹤登錄嘗試，而且服務(wù)器軟件可以配置為通過(guò)在預(yù)設(shè)時(shí)間段禁用帳戶(hù)來(lái)響應(yīng)此類(lèi)潛在攻擊。

在 Active Directory 域中配置帳戶(hù)鎖定策略時(shí)，管理員可以為嘗試和時(shí)間段變量設(shè)置任何值。但是，如果“復(fù)位帳戶(hù)鎖定計(jì)數(shù)器”設(shè)置的值大于“帳戶(hù)鎖定時(shí)間”設(shè)置的值，則域控制器自動(dòng)將“帳戶(hù)鎖定時(shí)間”設(shè)置的值調(diào)整為與“復(fù)位帳戶(hù)鎖定計(jì)數(shù)器”設(shè)置相同的值。

另外，如果“帳戶(hù)鎖定時(shí)間”設(shè)置的值比為“復(fù)位帳戶(hù)鎖定計(jì)數(shù)器”設(shè)置配置的值低，則域控制器自動(dòng)將“復(fù)位帳戶(hù)鎖定計(jì)數(shù)器”的值調(diào)整為與“帳戶(hù)鎖定時(shí)間”設(shè)置相同的值。因此，如果定義了“帳戶(hù)鎖定時(shí)間”設(shè)置的值，則“復(fù)位帳戶(hù)鎖定計(jì)數(shù)器”設(shè)置的值必須小于或等于為“帳戶(hù)鎖定時(shí)間”設(shè)置所配置的值。

域控制器執(zhí)行此操作，以避免與安全策略中的設(shè)置值沖突。如果管理員將“復(fù)位帳戶(hù)鎖定計(jì)數(shù)器”設(shè)置的值配置為比“帳戶(hù)鎖定時(shí)間”設(shè)置的值大，則為“帳戶(hù)鎖定時(shí)間”設(shè)置配置的值的實(shí)施將首先過(guò)期，因此用戶(hù)可以登錄回網(wǎng)絡(luò)上。但是，“復(fù)位帳戶(hù)鎖定計(jì)數(shù)器”設(shè)置將繼續(xù)計(jì)數(shù)。因此“帳戶(hù)鎖定閾值”設(shè)置將保留最大值（ 3 次無(wú)效登錄），用戶(hù)將無(wú)法登錄。

為了避免此情況，域控制器將“復(fù)位帳戶(hù)鎖定計(jì)數(shù)器”設(shè)置的值自動(dòng)重置為與“帳戶(hù)鎖定時(shí)間”設(shè)置的值相等。 這些安全策略設(shè)置有助于防止攻擊者猜測(cè)用戶(hù)密碼，并且會(huì)降低對(duì)網(wǎng)絡(luò)環(huán)境的攻擊成功的可能性?？梢栽?strong>組策略對(duì)象編輯器中以下位置的域組策略中配置下表中的值： 計(jì)算機(jī)配置\Windows 設(shè)置\安全設(shè)置\帳戶(hù)策略\帳戶(hù)鎖定策略 下表包含對(duì)本指南中定義的兩種安全環(huán)境的帳戶(hù)鎖定策略建議。

帳戶(hù)鎖定時(shí)間

　

“帳戶(hù)鎖定時(shí)間”設(shè)置確定在未鎖定帳戶(hù)且用戶(hù)可以嘗試再次登錄之前所必須經(jīng)歷的時(shí)間長(zhǎng)度。此設(shè)置通過(guò)指定鎖定帳戶(hù)保持不可用的分鐘數(shù)來(lái)執(zhí)行此操作。如果“帳戶(hù)鎖定時(shí)間”設(shè)置的值配置為 0，則鎖定的帳戶(hù)將保持鎖定，直到管理員將它們解鎖。此設(shè)置的 Windows XP 默認(rèn)值為“沒(méi)有定義”。

為了減少幫助臺(tái)支持呼叫的次數(shù)，同時(shí)提供安全的基礎(chǔ)結(jié)構(gòu)，對(duì)于本指南中定義的兩種環(huán)境，將“帳戶(hù)鎖定時(shí)間”設(shè)置的值配置為“30 分鐘”。

將此設(shè)置的值配置為永不自動(dòng)解鎖似乎是一個(gè)好主意，但這樣做會(huì)增加組織中的幫助臺(tái)為了解鎖不小心鎖定的帳戶(hù)而收到的呼叫的次數(shù)。對(duì)于每個(gè)鎖定級(jí)別，將此設(shè)置的值配置為 30 分鐘可以減少“拒絕服務(wù) (DoS)”攻擊的機(jī)會(huì)。此設(shè)置值還使用戶(hù)在帳戶(hù)鎖定時(shí)有機(jī)會(huì)在 30 分鐘內(nèi)再次登錄，這是在無(wú)需求助于幫助臺(tái)的情況下他們最可能接受的時(shí)間段。

帳戶(hù)鎖定閾值

　

“帳戶(hù)鎖定閾值”設(shè)置確定用戶(hù)在帳戶(hù)鎖定之前可以嘗試登錄帳戶(hù)的次數(shù)。

授權(quán)用戶(hù)將自己鎖定在帳戶(hù)外的原因可能有：輸錯(cuò)密碼或記錯(cuò)密碼，或者在計(jì)算機(jī)上更改了密碼而又登錄到其他計(jì)算機(jī)。帶有錯(cuò)誤密碼的計(jì)算機(jī)連續(xù)嘗試對(duì)用戶(hù)進(jìn)行身份驗(yàn)證，由于它用于身份驗(yàn)證的密碼不正確，導(dǎo)致用戶(hù)帳戶(hù)最終鎖定。對(duì)于只使用運(yùn)行 Windows Server 2003 或更早版本的域控制器的組織，不存在此問(wèn)題。為了避免鎖定授權(quán)用戶(hù)，請(qǐng)將帳戶(hù)鎖定閾值設(shè)置為較高的數(shù)字。此設(shè)置的默認(rèn)值為“0 次無(wú)效登錄”。

對(duì)于本指南中定義的兩種環(huán)境，將“帳戶(hù)鎖定閾值”的值配置為“50 次無(wú)效登錄”。 由于無(wú)論是否配置此設(shè)置的值都會(huì)存在漏洞，所以，為這些可能性中的每種可能性定義了獨(dú)特措施。您的組織應(yīng)該根據(jù)識(shí)別的威脅和正在嘗試降低的風(fēng)險(xiǎn)來(lái)在兩者之間做出平衡。

有兩個(gè)選項(xiàng)可用于此設(shè)置。 將“帳戶(hù)鎖定閾值”的值配置為“0”可以確保帳戶(hù)不會(huì)鎖定。此設(shè)置值將避免旨在鎖定組織中的帳戶(hù)的 DoS 攻擊。它還可以減少幫助臺(tái)呼叫次數(shù)，因?yàn)橛脩?hù)不會(huì)將自己意外地鎖定在帳戶(hù)外。由于此設(shè)置不能避免強(qiáng)力攻擊，所以，只有當(dāng)明確符合下列兩個(gè)條件時(shí)才將它配置為比 0 大的值 密碼策略強(qiáng)制所有用戶(hù)使用由 8 個(gè)或更多字符組成的復(fù)雜密碼。 強(qiáng)健的審核機(jī)制已經(jīng)就位，以便當(dāng)組織環(huán)境中發(fā)生一系列帳戶(hù)鎖定時(shí)提醒管理員。例如，審核解決方案應(yīng)該監(jiān)視安全事件 539（此事件為登錄失?。?。此事件意味著當(dāng)嘗試登錄時(shí)鎖定帳戶(hù)。

如果不符合上述條件，則第二個(gè)選項(xiàng)為： 將“帳戶(hù)鎖定閾值”設(shè)置配置為足夠高的值，以便讓用戶(hù)可以意外輸錯(cuò)密碼若干次而不會(huì)將自己鎖定在帳戶(hù)外，同時(shí)確保強(qiáng)力密碼攻擊仍會(huì)鎖定帳戶(hù)。在這種情況下，將此設(shè)置的值配置為一定次數(shù)（例如 3 到 5 次）的無(wú)效登錄可以確保適當(dāng)?shù)陌踩院涂山邮艿目捎眯?。此設(shè)置值將避免意外的帳戶(hù)鎖定和減少幫助臺(tái)呼叫次數(shù)，但不能如上所述避免 DoS 攻擊。

復(fù)位帳戶(hù)鎖定計(jì)數(shù)器

　

“復(fù)位帳戶(hù)鎖定計(jì)數(shù)器”設(shè)置確定“帳戶(hù)鎖定閾值”重置為零之前的時(shí)間長(zhǎng)度。此設(shè)置的默認(rèn)值為“沒(méi)有定義”。如果定義了“帳戶(hù)鎖定閾值”，則此重置時(shí)間必須小于或等于“帳戶(hù)鎖定時(shí)間”設(shè)置的值。 對(duì)于本指南中定義的兩種環(huán)境，將“復(fù)位帳戶(hù)鎖定計(jì)數(shù)器”設(shè)置配置為“30 分鐘之后”。

將此設(shè)置保留為其默認(rèn)值，或者以很長(zhǎng)的間隔配置此值，都會(huì)使環(huán)境面臨 DoS 攻擊的威脅。攻擊者對(duì)組織中的所有用戶(hù)惡意地進(jìn)行大量失敗登錄，如上所述鎖定他們的帳戶(hù)。如果沒(méi)有確定策略來(lái)重置帳戶(hù)鎖定，則管理員必須手動(dòng)解鎖所有帳戶(hù)。

反過(guò)來(lái)，如果為此設(shè)置配置了合理的時(shí)間值，在所有帳戶(hù)自動(dòng)解鎖之前用戶(hù)只鎖定一段已設(shè)置的時(shí)間。因此，建議的設(shè)置值 30 分鐘定義了用戶(hù)在無(wú)需求助于幫助臺(tái)的情況下最可能接受的時(shí)間段。

用戶(hù)權(quán)限分配

模塊 3“Windows XP 客戶(hù)端安全設(shè)置”中詳細(xì)介紹了用戶(hù)權(quán)限分配。但是，應(yīng)該對(duì)所有域控制器設(shè)置“域中添加工作站”用戶(hù)權(quán)限，本模塊中討論了其原因。“Windows 2003 Server Security Guide”（英文）的模塊 3 和 4 中介紹了有關(guān)成員服務(wù)器和域控制器設(shè)置的其他信息。

域中添加工作站

　

“域中添加工作站”用戶(hù)權(quán)限允許用戶(hù)向特定域中添加計(jì)算機(jī)。為了使此權(quán)限生效，必須將它作為域的默認(rèn)域控制器策略的一部分分配給用戶(hù)。授予了此權(quán)限的用戶(hù)可以向域中最多添加 10 個(gè)工作站。授予了 Active Directory 中 OU 或計(jì)算機(jī)容器的“創(chuàng)建計(jì)算機(jī)對(duì)象”權(quán)限的用戶(hù)還可以將計(jì)算機(jī)加入域。授予了此權(quán)限的用戶(hù)可以向域中添加不限數(shù)量的計(jì)算機(jī)，無(wú)論他們是否已被分配“域中添加工作站”用戶(hù)權(quán)限。

默認(rèn)情況下，“Authenticated Users”組中的所有用戶(hù)能夠向 Active Directory 域中最多添加 10 個(gè)計(jì)算機(jī)帳戶(hù)。這些新計(jì)算機(jī)帳戶(hù)是在計(jì)算機(jī)容器中創(chuàng)建的。 在 Active Directory 域中，每個(gè)計(jì)算機(jī)帳戶(hù)是一個(gè)完整的安全主體，它能夠?qū)τ蛸Y源進(jìn)行身份驗(yàn)證和訪問(wèn)。某些組織想要限制 Active Directory 環(huán)境中的計(jì)算機(jī)數(shù)量，以便他們可以始終跟蹤、生成和管理它們。

允許用戶(hù)向域中添加工作站會(huì)妨礙此努力。它還為用戶(hù)提供了執(zhí)行更難跟蹤的活動(dòng)的途徑，因?yàn)樗麄兛梢詣?chuàng)建其他未授權(quán)的域計(jì)算機(jī)。 出于這些原因，在本指南中定義的兩種環(huán)境中，“域中添加工作站”用戶(hù)權(quán)限只授予給“Administrators”組。

安全設(shè)置

帳戶(hù)策略必須在默認(rèn)域策略中定義，且必須由組成域的域控制器強(qiáng)制執(zhí)行。域控制器始終從默認(rèn)域策略 GPO 獲取帳戶(hù)策略，即使存在對(duì)包含域控制器的 OU 應(yīng)用的其他帳戶(hù)策略。

在安全選項(xiàng)中有兩個(gè)策略，它們也像域級(jí)別要考慮的帳戶(hù)策略那樣發(fā)揮作用?？梢栽诮M策略對(duì)象編輯器中的以下位置配置下表中的域組策略值： 計(jì)算機(jī)配置\Windows 設(shè)置\安全設(shè)置\本地策略\安全選項(xiàng) Microsoft 網(wǎng)絡(luò)服務(wù)器：當(dāng)?shù)卿洉r(shí)間用完時(shí)自動(dòng)注銷(xiāo)用戶(hù)

　

“Microsoft 網(wǎng)絡(luò)服務(wù)器：當(dāng)?shù)卿洉r(shí)間用完時(shí)自動(dòng)注銷(xiāo)用戶(hù)”設(shè)置確定在超過(guò)用戶(hù)帳戶(hù)的有效登錄時(shí)間后，是否斷開(kāi)連接到本地計(jì)算機(jī)的用戶(hù)。此設(shè)置影響服務(wù)器消息塊 (SMB) 組件。啟用此策略后，它使客戶(hù)端與 SMB 服務(wù)的會(huì)話在超過(guò)客戶(hù)端登錄時(shí)間后強(qiáng)制斷開(kāi)。如果禁用此策略，則允許已建立的客戶(hù)端會(huì)話在超過(guò)客戶(hù)端登錄時(shí)間后繼續(xù)進(jìn)行。啟用此設(shè)置可以確保也啟用了“網(wǎng)絡(luò)安全：在超過(guò)登錄時(shí)間后強(qiáng)制注銷(xiāo)”設(shè)置。

如果組織已經(jīng)為用戶(hù)配置了登錄時(shí)間，則很有必要啟用此策略。否則，已假設(shè)無(wú)法在超出登錄時(shí)間后訪問(wèn)網(wǎng)絡(luò)資源的用戶(hù)，實(shí)際上可以通過(guò)在允許的時(shí)間中建立的會(huì)話繼續(xù)使用這些資源。 如果在組織中未使用登錄時(shí)間，則啟用此設(shè)置將沒(méi)有影響。如果使用了登錄時(shí)間，則當(dāng)超過(guò)現(xiàn)有用戶(hù)的登錄時(shí)間后將強(qiáng)制終止現(xiàn)有用戶(hù)會(huì)話。  

希望本系列Active Directory域基礎(chǔ)結(jié)構(gòu)配置內(nèi)容能夠?qū)ψx者有所幫助。

【編輯推薦】

1. Active Directory之目錄服務(wù)
2. 利用Active Directory標(biāo)識(shí)和跟蹤虛擬機(jī)
3. 如何打開(kāi) Active Directory 用戶(hù)和計(jì)算機(jī)
4. Windows 2000 Server 如何設(shè)置Active Directory 域
5. 如何利用Active Directory Sizer規(guī)劃基礎(chǔ)構(gòu)架的需求