Windows系统安全指南之域级别策略(4)

服务票证最长寿命

　　此安全设置确定可以使用所授予的权会话票证来访问特定服务的最长时间（以分钟为单位）。此设置必须大于或等于 10 分钟，并小于或等于“用户票证最长寿命”设置。

　　如果客户端在请求连接到服务器时显示过期的会话票证，该服务器将返回错误消息。客户端必须向 Kerberos V5 密钥分布中心 (KDC) 请求新的会话票证。但在连接通过验证之后，它将不再关心会话票证是否有效。会话票证只用于验证与服务器之间的新连接。如果验证连接的会话票证在连接期间到期，将不会中断正在进行的操作。

　　漏洞

　　如果此设置的值太高，用户可以在其登录时间范围之外访问网络资源，或者其帐户已经被禁用的用户可以使用帐户禁用前发出的有效服务票证来继续访问网络服务。

　　对策

　　将“服务票证最长寿命”设置为“600 分钟”。

　　此组策略设置可能的值是：

　　• 用户定义的值（以分钟为单位），在 10 至 99,999 之间，或者为 0，表明服务票证不会过期

　　• 没有定义

　　潜在影响

　　这是默认设置，没有潜在影响。

　　用户票证最长寿命

　　此安全设置确定用户的票证授权票证 (TGT) 的最长有效期（以小时为单位）。当用户的 TGT 到期时，必须请求新 TGT，或者必须“续订”现有 TGT。

　　漏洞

　　如果此设置的值太高，用户可以在其登录时间范围之外访问网络资源，或者其帐户已经被禁用的用户可以使用帐户禁用前发出的有效服务票证来继续访问网络服务。

　　对策

　　将“用户票证的最长有效期”的值设置为“10 小时”。

　　此组策略设置可能的值是：

　　• 用户定义的值，在 0 至 99,999 分钟之间

　　• 没有定义

　　潜在影响

　　这是默认设置，没有潜在影响。

　　用户票证续订的最长寿命

　　此安全设置确定用户票证授权票证 (TGT) 可以续订的时间期限（以天为单位）。

　　漏洞

　　如果此设置的值太高，用户可以续订非常旧的用户票证。

　　对策

　　将“用户票证续订的最长寿命”的值设置为“7 天”。

　　此组策略设置可能的值是：

　　• 用户定义的值，在 0 至 99,999 分钟之间

　　• 没有定义

　　潜在影响

　　这是默认设置，没有潜在影响。

　　计算机时钟同步的最大容差

　　此安全设置确定 Kerberos V5 可以承受的客户端时钟时间和运行 Windows Server 2003（提供 Kerberos 身份验证）的域控制器时间之间的最大时间差（以分钟表示）。

　　漏洞

　　为了防止“重播攻击”，Kerberos V5 使用时间戳作为其协议定义的一部分。为了使时间戳正常运行，客户端和域控制器的时钟需要尽可能同步。由于两台计算机的时钟经常不同步，管理员可以使用此策略建立 Kerberos V5 可以接受的客户端时钟和域控制器时钟之间的最大时间差。如果客户端时钟和域控制器时钟之间的时间差小于此策略指定的最大时间差，则两台计算机之间的会话所使用的任何时间戳都被认为是可信的。

　　对策

　　将“计算机时钟同步的最大容差”的值设置为“5 分钟”。

　　此组策略设置可能的值是：

　　• 用户定义的值，在 1 至 99,999 分钟之间

　　• 没有定义

　　潜在影响

　　这是默认设置，没有潜在影响。