Windows系统安全指南之域级别策略(3)

帐户锁定阈值

　　“帐户锁定阀值”确定导致用户帐户锁定的登录尝试失败的次数。在管理员复位或帐户锁定时间到期之前，不能使用已锁定的帐户。可以将登录尝试失败的次数设置在 1 至 999 之间，或者通过将该值设置为“0”，使帐户永不锁定。如果定义了帐户锁定阀值，帐户锁定时间必须大于或等于复位时间。

　　在使用 Ctrl+Alt+Delete 或受密码保护的屏幕保护程序进行锁定的工作站或成员服务器上的失败密码尝试，将不作为失败的登录尝试来计数，除非启用了组策略“交互式登录：要求域控制器身份验证以解锁工作站”。如果启用了“交互式登录：要求域控制器身份验证以解锁工作站”，则因解锁工作站而重复的失败密码尝试次数将被计入“帐户锁定阀值”。

　　此组策略设置可能的值是：

　　• 用户指定的值，在 0 至 999 之间

　　• 没有定义

　　漏洞

　　密码攻击可能利用自动化的方法，对任何或所有用户帐户尝试数千甚至数百万种密码组合。限制可以执行的失败登录次数几乎消除了这种攻击的有效性。

　　但是，请务必注意，可能在配置了帐户锁定阀值的域上执行 Dos 攻击。恶意攻击者可编制程序来尝试对组织中的所有用户进行一系列密码攻击。如果尝试次数大于帐户锁定阀值，则攻击者有可能锁定每一个帐户。

　　对策

　　由于配置此值或不配置此值时都存在漏洞，因此要定义两种不同的对策。任何组织都应该根据识别的威胁和正在尝试降低的风险来在两者之间进行权衡。有两个选项可用于此设置。

　　• 将“帐户锁定阀值”设置为“0”。这可确保帐户永不锁定。此设置可防止故意锁定全部或一些特定帐户的 DoS 攻击。另外，此设置还有助于减少帮助台的呼叫次数，因为用户不会将自己意外地锁定在帐户外。

　　由于它不能阻止暴力攻击，因此只有在下列要求均得到明确满足时才可以选择此设置：

　　• 密码策略强制所有用户使用由 8 个或更多字符组成的复杂密码。

　　• 强健的审核机制已经就位，可以在组织环境中发生一系列失败登录时提醒管理员。

　　• 如果不满足上述要求，请将“帐户锁定阀值”设置为足够高的值，以便用户能够在意外地错误输入几次密码时不会锁定自己的帐户，但可确保暴力密码攻击仍然会锁定帐户。在这种情况下，将该值设置为 50 次无效登录尝试是一个不错的建议。如上所述，此设置可以避免意外的帐户锁定，从而降低了帮助台的呼叫次数，但不能防止 DoS 攻击。

　　潜在影响

　　启用此设置可防止使用已锁定的帐户，直到管理员将该帐户复位或帐户锁定时间到期。此设置很可能会生成许多其他的帮助台呼叫。事实上，在许多组织中，锁定帐户都会为公司帮助台带来数目最多的呼叫。

　　如果将帐户锁定阀值设置为“0”，则可能检测不到攻击者尝试使用暴力密码攻击来破解密码。

　　复位帐户锁定计数器

　　“复位帐户锁定计数器”设置确定在登录尝试失败后，将失败登录尝试计数器复位到 0 次失败登录尝试之前所必须经过的时间（以分钟为单位）。如果定义了“帐户锁定阈值”，则此复位时间必须小于或等于“帐户锁定时间”。

　　此组策略设置可能的值是：

　　• 用户定义的数值，在 1 至 99,999 分钟之间

　　• 没有定义

　　漏洞

　　如果多次错误地输入密码，用户可能会意外地将自己锁定在帐户之外。要减少这种可能性，“复位帐户锁定计数器”设置确定在登录尝试失败后，将无效登录尝试计数器复位到 0 之前所必须经过的时间。

　　对策

　　将“复位帐户锁定计数器”的值设置为“30 分钟”。

　　潜在影响

　　不设置此值，或者为此值设置的时间间隔太长都可能导致 DoS 攻击。攻击者对组织中的所有用户恶意执行大量的失败登录尝试，以锁定他们的帐户，如上所述。如果没有复位帐户锁定的策略，管理员必须手动解锁所有帐户。如果设置了合理的值，用户将被锁定一段时间，但在这段时间结束后，其帐户将自动解锁。

　　Kerberos 策略

　　在 Windows Server 2003 中，Kerberos V5 身份验证协议提供默认的身份验证服务机制，以及用户访问资源并在该资源上执行任务所必需的身份验证数据。通过缩短 Kerberos 票证的寿命，可降低攻击者窃取并成功使用合法用户凭据的风险。但这会增加授权开销。在大多数环境中都不需要更改这些设置。在域级别应用这些设置，在 Windows 2000 或 Windows Server 2003 Active Directory 域默认安装的默认域策略 GPO 中配置这些默认值。随本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”（英文）为默认设置编制了文档。

　　可以在组策略对象编辑器的以下位置配置 Kerberos 策略设置：

　　计算机配置\Windows 设置\安全设置\帐户策略\Kerberos 策略

　　强制用户登录限制

　　此安全设置确定 Kerberos V5 密钥分布中心 (KDC) 是否根据用户帐户的用户权限策略来验证会话票证的每个请求。验证会话票证的每个请求是可选功能，因为执行额外的步骤会消耗时间，并且可能会降低网络访问服务的速度。

　　漏洞

　　如果禁用此设置，可能会为用户授予他们无权使用的服务的会话票证。

　　对策

　　将“强制实施用户登录限制”的值设置为“启用”。

　　此组策略设置可能的值是：

　　• 启用

　　• 禁用

　　• 没有定义

　　潜在影响

　　这是默认设置，没有潜在影响。