配置Active Directory域基础结构(2)

    管理模板
　　在称为管理模板的基于 Unicode 的文件中，可以获得其他安全设置。管理模板是包含影响 Windows XP 及其组件以及其他应用程序（如 Microsoft Office XP）的注册表设置的文件。管理模板可以包括计算机设置和用户设置。计算机设置存储在 HKEY_LOCAL_MACHINE 注册表配置单元中。用户设置存储在 HKEY_CURRENT_USER 注册表配置单元中。
　　
　　管理模板的管理
　　像上面的用于存储安全模板的最佳操作一样，将生产环境中使用的管理模板存储在基础结构中的安全位置是非常重要的。只有负责实现组策略的管理员才能有此位置的访问权限。Windows XP 和 Windows 2003 Server 附带的管理模板存储在 %systemroot%\inf 目录中。“Office XP Resource Kit”附带了用于 Office XP 的其他模板。这些模板在发布 Service Pack 时会进行更改，所以不能编辑。
　　
　　向策略添加管理模板
　　除了 Windows XP 附带的管理模板外，还要将 Office XP 模板应用于要在其中配置 Office XP 设置的 GPO。使用下列过程向 GPO 添加其他模板。
　　
　　向 GPO 添加管理模板：
　　1.导航到组策略对象编辑器中的“管理模板”文件夹。
　　2.右键单击“管理模板”文件夹，然后单击“添加/删除模板”。
　　3.在“添加/删除模板”对话框中，单击“添加”。
　　4.导航到包含管理模板文件的文件夹。
　　5.选择要添加的模板，单击“打开”，然后单击“关闭”。
　　
　　域级别组策略
　　域级别组策略包括对域中所有计算机和用户应用的设置。位于http://go.microsoft.com/fwlink/?LinkId=14845 的“Windows Server 2003 Security Guide”的模块 2“Configuring the Domain Infrastructure”（英文）中详细介绍了域级别安全。
　　
　　经常更改的复杂密码减少了密码攻击成功的可能性。密码策略设置控制密码的复杂性和使用期限。本节讨论用于企业客户端环境和高安全级环境的每个密码策略设置。
　　
　　在组策略对象编辑器中的以下位置的域组策略中配置下列值：
　　
　　计算机配置\Windows 设置\安全设置\帐户策略\密码策略
　　
　　下表包含对本指南中定义的两种安全环境的密码策略建议。
　　
　　强制密码历史
　　 表 2.2：设置 　
　　“强制密码历史”设置确定在重用旧密码之前必须与用户帐户相关的唯一新密码的数量。此设置的值必须在 0 到 24 个记住的密码之间。Windows XP 的默认值是 0 个密码，但是域中的默认设置是 24 个记住的密码。要维护密码历史的有效性，请使用“密码最短使用期限”设置，以阻止用户不断更改密码来避开“强制密码历史”设置。
　　
　　对于本指南中定义的两个安全环境，将“强制密码历史”设置配置为“24 个记住的密码”。通过确保用户无法轻易重用密码（无论意外或故意），最大设置值增强了密码的安全性。它还可以帮助确保攻击者窃得的密码在可以用于解开用户帐户之前失效。将此值设置为最大数量不会产生已知问题。
　　
　　密码最长使用期限
　　 表 2.3：设置 　
　　此设置的值的范围为 1 到 999 天。为了指定从不过期的密码，还可以将此值设置为 0。此设置定义了解开密码的攻击者在密码过期之前使用密码访问网络上的计算机的期限。此设置的默认值为 42 天。
　　
　　对于本指南中定义的两个安全环境，将“密码最长使用期限”设置配置为值“42 天”。大多数密码都可以解开，因此，密码改动越频繁，攻击者使用解开的密码的机会越少。但是，此值设置越低，帮助台支持的呼叫增多的可能性越大。将“密码最长使用期限”设置为值 42 可以确保密码周期性循环，从而增加了密码安全性。
　　
　　密码最短使用期限
　　 表 2.4：设置 　
　　“密码最短使用期限”设置确定了用户可以更改密码之前必须使用密码的天数。此设置的值的范围是 1 到 998 天，也可以将此设置的值设置为 0 以允许立即更改密码。此设置的默认值为 0 天。
　　
　　“密码最短使用期限”设置的值必须小于为“密码最长使用期限”设置指定的值，除非“密码最长使用期限”设置的值配置为 0（导致密码永不过期）。如果“密码最长使用期限”设置的值配置为 0，“密码最短使用期限”设置的值可以配置为从 0 到 999 之间的任何值。