配置Active Directory域基础结构(3)

    帐户锁定策略

　　帐户锁定策略是一项 Active Directory 安全功能，它在一个指定时间段内多次登录尝试失败后锁定用户帐户。允许的尝试次数和时间段基于为安全策略锁定设置配置的值。用户不能登录到锁定的帐户。域控制器跟踪登录尝试，而且服务器软件可以配置为通过在预设时间段禁用帐户来响应此类潜在攻击。
　　
　　在 Active Directory 域中配置帐户锁定策略时，管理员可以为尝试和时间段变量设置任何值。但是，如果“复位帐户锁定计数器”设置的值大于“帐户锁定时间”设置的值，则域控制器自动将“帐户锁定时间”设置的值调整为与“复位帐户锁定计数器”设置相同的值。
　　
　　另外，如果“帐户锁定时间”设置的值比为“复位帐户锁定计数器”设置配置的值低，则域控制器自动将“复位帐户锁定计数器”的值调整为与“帐户锁定时间”设置相同的值。因此，如果定义了“帐户锁定时间”设置的值，则“复位帐户锁定计数器”设置的值必须小于或等于为“帐户锁定时间”设置所配置的值。
　　
　　域控制器执行此操作，以避免与安全策略中的设置值冲突。如果管理员将“复位帐户锁定计数器”设置的值配置为比“帐户锁定时间”设置的值大，则为“帐户锁定时间”设置配置的值的实施将首先过期，因此用户可以登录回网络上。但是，“复位帐户锁定计数器”设置将继续计数。因此“帐户锁定阈值”设置将保留最大值（ 3 次无效登录），用户将无法登录。
　　
　　为了避免此情况，域控制器将“复位帐户锁定计数器”设置的值自动重置为与“帐户锁定时间”设置的值相等。
　　
　　这些安全策略设置有助于防止攻击者猜测用户密码，并且会降低对网络环境的攻击成功的可能性。可以在组策略对象编辑器中以下位置的域组策略中配置下表中的值：
　　
　　计算机配置\Windows 设置\安全设置\帐户策略\帐户锁定策略
　　
　　下表包含对本指南中定义的两种安全环境的帐户锁定策略建议。
　　
　　帐户锁定时间
　　 表 2.8：设置 　
　　“帐户锁定时间”设置确定在未锁定帐户且用户可以尝试再次登录之前所必须经历的时间长度。此设置通过指定锁定帐户保持不可用的分钟数来执行此操作。如果 “帐户锁定时间”设置的值配置为 0，则锁定的帐户将保持锁定，直到管理员将它们解锁。此设置的 Windows XP 默认值为“没有定义”。
　　
　　为了减少帮助台支持呼叫的次数，同时提供安全的基础结构，对于本指南中定义的两种环境，将“帐户锁定时间”设置的值配置为“30 分钟”。
　　
　　将此设置的值配置为永不自动解锁似乎是一个好主意，但这样做会增加组织中的帮助台为了解锁不小心锁定的帐户而收到的呼叫的次数。对于每个锁定级别，将此设置的值配置为 30 分钟可以减少“拒绝服务 (DoS)”攻击的机会。此设置值还使用户在帐户锁定时有机会在 30 分钟内再次登录，这是在无需求助于帮助台的情况下他们最可能接受的时间段。
　　
　　帐户锁定阈值
　　 表 2.9：设置 　
　　“帐户锁定阈值”设置确定用户在帐户锁定之前可以尝试登录帐户的次数。
　　
　　授权用户将自己锁定在帐户外的原因可能有：输错密码或记错密码，或者在计算机上更改了密码而又登录到其他计算机。带有错误密码的计算机连续尝试对用户进行身份验证，由于它用于身份验证的密码不正确，导致用户帐户最终锁定。对于只使用运行 Windows Server 2003 或更早版本的域控制器的组织，不存在此问题。为了避免锁定授权用户，请将帐户锁定阈值设置为较高的数字。此设置的默认值为“0 次无效登录”。
　　
　　对于本指南中定义的两种环境，将“帐户锁定阈值”的值配置为“50 次无效登录”。
　　
　　由于无论是否配置此设置的值都会存在漏洞，所以，为这些可能性中的每种可能性定义了独特措施。您的组织应该根据识别的威胁和正在尝试降低的风险来在两者之间做出平衡。有两个选项可用于此设置。
　　
　　将“帐户锁定阈值”的值配置为“0”可以确保帐户不会锁定。此设置值将避免旨在锁定组织中的帐户的 DoS 攻击。它还可以减少帮助台呼叫次数，因为用户不会将自己意外地锁定在帐户外。由于此设置不能避免强力攻击，所以，只有当明确符合下列两个条件时才将它配置为比 0 大的值
　　
　　密码策略强制所有用户使用由 8 个或更多字符组成的复杂密码。
　　
　　强健的审核机制已经就位，以便当组织环境中发生一系列帐户锁定时提醒管理员。例如，审核解决方案应该监视安全事件 539（此事件为登录失败）。此事件意味着当尝试登录时锁定帐户。
　　
　　如果不符合上述条件，则第二个选项为：
　　
　　将“帐户锁定阈值”设置配置为足够高的值，以便让用户可以意外输错密码若干次而不会将自己锁定在帐户外，同时确保强力密码攻击仍会锁定帐户。在这种情况下，将此设置的值配置为一定次数（例如 3 到 5 次）的无效登录可以确保适当的安全性和可接受的可用性。此设置值将避免意外的帐户锁定和减少帮助台呼叫次数，但不能如上所述避免 DoS 攻击。