Windows Server 2003 安全性指南

  • 發行項

第 3 章:網域原則

更新日期: 2006 年 7 月 17 日

本頁內容

概觀
網域原則
帳戶原則
密碼原則
帳戶鎖定原則
Kerberos 原則
安全性選項
總結

概觀

本章採用網域環境的結構,示範在 Microsoft® Windows Server™ 2003 SP1 基礎結構中解決安全性問題的方式。

本章著重說明下列主題:

  • 網域層級的安全性設定和因應對策。

  • 如何針對第 1 章<Windows Server 2003 安全性指南簡介>所定義的傳統用戶端 (LC)、企業用戶端 (EC) 以及專業安全性限制功能 (SSLF) 環境,保護 Windows Server 2003 網域的安全。

這一則訊息可以針對從網域基礎結構中的 LC 環境到 SSLF 環境發展,提供基礎和願景。

Windows Server 2003 SP1 預設為安全性高的已知狀態。 為提昇本資料的可用性,本章只討論其預設值已經變更的設定部份。 如需所有預設值的相關資訊,請參閱同系列指南 威脅與因應對策:Windows Server 2003 和
Windows XP 中的安全性設定,網址為 https://go.microsoft.com/fwlink/?LinkId=15159。

回到頁首

網域原則

您可將群組原則安全性設定套用至組織中數個不同的層級。 第 2 章<Windows Server 2003 強化機制>所討論的基準線環境,是利用群組原則,將下列三個階層層級套用到網域基礎結構:

  • 網域層級。 這個層級的設定所要求的是一般安全性需求,例如,網域中所有伺服器都必須強化的帳戶和密碼原則。

  • 基準線層級。 這個層級的設定所要求的,是網域基礎結構中所有伺服器通用的特定伺服器安全性需求。

  • 角色特有的層級。 這個層級的設定所要求的,是適用於特定伺服器角色的安全性需求。 例如,基礎結構伺服器的安全性需求,與執行 Microsoft 網際網路資訊服務 (IIS) 的伺服器不同。

本章的後續幾章,將只詳加探討網域層級原則。 網域安全性設定多半是針對使用者帳戶和密碼而設定。 請記住,在檢閱這些設定及建議項目時,所有的設定都必須套用到網路界線中的每一位使用者。

網域原則概觀

群組原則具有強大的功能,因為它可以讓系統管理員建立標準網路電腦設定。 群組原則物件 (GPO) 可以為任何公司提供設定管理解決方案的重要部分,因為它們容許系統管理員在網域或部分網域上的所有電腦,同步做出安全性變更。

下列章節將詳細說明可用來加強 Windows Server 2003 SP1 安全性的設定。 表格將總結設定,同時詳細說明如何達到每一個設定的安全性目標。 這些設定分成幾個類別,分別對應於它們在「Windows Server 2003 安全性設定編輯器 (SCE)」使用者介面中的展現方式。

您可以透過群組原則,同步套用下列幾種安全性變更:

  • 修改檔案系統的權限。

  • 修改登錄物件的權限。

  • 變更登錄中的設定。

  • 變更使用者權利指派。

  • 設定系統服務。

  • 設定稽核與事件紀錄。

  • 設定帳戶及密碼原則。

本指南建議您在網域根目錄下建立一個新的群組原則,套用本章所討論的全網域原則。 這個方法更方便您測試或排解新群組原則的疑難,因為如果您需要回復變更,只要停用它即可。 但是,有的專門搭配 Active Directory 使用的應用程式,卻會變更內建的預設網域原則。 如果您遵照本指南的建議進行,這些應用程式並不會察覺您所實作的新群組原則。 在部署新的企業應用程式以前,請務必徹底測試。 如果遇到問題,請檢查應用程式是否已經修改帳戶原則、建立新的使用者帳戶、修改使用者權利、或者在預設網域原則或本機電腦原則做了其他變更。

回到頁首

帳戶原則

帳戶原則 (含密碼原則、帳戶鎖定原則及 Kerberos 原則等安全性設定) 只與本指南所定義之三種環境的網域原則相關。 密碼原則可以針對高度安全環境,設定複雜性及變更排程。 帳戶鎖定原則可讓您追蹤失敗的密碼登入嘗試,在必要時鎖定帳戶。 Kerberos 原則是用於網域使用者帳戶,主要在決定與 Kerberos 驗證通訊協定有關的設定,例如,票證最長存留期以及強制執行。

回到頁首

密碼原則

定期變更複雜密碼,可以降低破解密碼的可能性。 密碼原則設定負責控制密碼的複雜度和存留期。 本節將討論每一個特定的密碼原則設定,以及他們分別與本指南所定義之三種環境 (傳統用戶端、企業用戶端以及專業安全性限制功能) 的關係。

對密碼長度和複雜性的要求嚴格,並不表示使用者和系統管理員所用的密碼強度夠大。 密碼原則可能會要求使用者遵守技術複雜性需求,但仍需借助其他強大的安全性原則,以確保使用者建立難以破解的密碼。 例如,Breakfast! 也許可以滿足所有的密碼複雜性要求,但卻不難破解。

如果您知道密碼建立者的一些事情,而密碼也剛好是根據他最愛的食物、車子或電影所建立,那就不難猜出密碼了。 公司安全性課程若要教育使用者如何建立高安全性密碼,其中一個策略是建立不當密碼的公佈欄,並展示在公開區域,例如,飲水機或影印機附近。 公司應該設定包括如下所示的高安全性密碼建立指導方針:

  • 避免使用任何語言字典上的文字,其中包括常見字彙或巧妙的拼字錯誤。

  • 不要建立一個只是在目前密碼中增加數字的新密碼。

  • 避免以數字開頭或結束的密碼,因為這類密碼往往比中間內含一個數字的密碼更容易猜中。

  • 避免使用其他人一看您桌上物品後便容易猜到的密碼 (例如:寵物、球隊以及家庭成員的名字)。

  • 避免使用流行文化中的用語。

  • 強迫自己使用需要兩手在鍵盤上輸入的密碼。

  • 強迫自己在所有的密碼中,使用大小寫字母、數字及符號。

  • 強迫自己使用空白字元,以及僅能按 Alt 鍵產生的字元。

貴公司所有的服務帳戶密碼,最好都能套用這些指導方針。

密碼原則設定

下表所列的是,針對本指南所定義之三種環境的密碼原則設定建議。 您可以在群組原則物件編輯器的下述位置,設定密碼原則設定:

電腦設定\Windows 設定\安全性設定\帳戶原則\密碼原則

此表下方的段落將提供各個設定的更多資訊。

表 3.1 密碼原則設定建議

設定 傳統用戶端 企業用戶端 專業安全性限制功能
強制執行密碼歷程記錄 24 記憶的密碼 24 記憶的密碼 24 記憶的密碼
密碼最長有效期 42 天 42 天 42 天
密碼最短有效期 1 天 1 天 1 天
最小密碼長度 8 個字元 8 個字元 12 個字元
密碼必須符合複雜性需求 已啟用 已啟用 已啟用
使用可還原的加密來存放密碼 已停用 已停用 已停用
##### 強制執行密碼歷程記錄 這個原則設定可決定獨特的新密碼數目,且必須在重新使用舊密碼之前,與使用者帳戶建立關聯。 此值可設為 0 到 24 個密碼。 Windows Server 2003 SP1 預設的 \[強制執行密碼歷程記錄\] 的最大設定值是 24 個密碼。 Microsoft 建議三種環境都採用這個值,因為它能確保舊密碼不重複使用;而一般安全性弱點都與重複使用密碼有關。如果將此設定值設得過低的話,使用者就可以重複使用少數幾個密碼。 此外,這項建議在包括傳統用戶端在內的環境下,尚無任何已知問題。 若要加強這個原則設定的效果,您也可以設定 \[密碼最短有效期\] 設定,讓密碼無法立即變更。 這個組合可以防止使用者不慎或故意重用舊密碼。 ##### 密碼最長有效期 這個原則設定定義了破解密碼的攻擊者在密碼過期之前,可能會利用該密碼存取網路電腦的期限。 這個原則設定值的範圍從 1 到 999 天不等。 您可以設定 \[密碼最長有效期\] 設定,視環境所需來決定密碼到期的天數。 此設定的預設值為 42 天。 普通的密碼變更可以防止密碼被破解。 只要攻擊者有足夠的時間和計算力,大部份的密碼都難逃破解的命運。 密碼越常變更,攻擊者用來破解密碼的時間就會更緊湊。 不過,此值設得越小,打給服務支援人員的電話量可能就越高。 Microsoft 建議您在本指南所定義的三種環境下所採用的 \[密碼最長有效期\],都沿用預設值 42 天。 這個設定雖然能夠確保密碼定期變更,但並不會太常要求使用者變更密碼以致於他們記不住密碼。 若要平衡安全性和可用性的需求,可以在傳統用戶端和企業用戶端環境中,增加這個原則設定的值。 ##### 密碼最短有效期 這個原則設定可決定使用者至少要使用密碼幾天之後才能變更。 \[密碼最短有效期\] 設定值的範圍,是介於 0 到 999 天;如果該值為 0,表示可以立即變更密碼。 這個原則設定的預設值為 1 天。 \[密碼最短有效期\] 設定必須短於 \[密碼最長有效期\] 設定,除非您將 \[密碼最長有效期\] 設定設為 **0** (也就是說,密碼永不過期)。 如果您希望 \[強制執行密碼歷程記錄\] 設定生效,請將 \[密碼最短有效期\] 設為大於 0。 如果沒有設定密碼最短有效期限,使用者可以透過循環輸入幾次新密碼,直到他們可以重複使用舊的慣用密碼為止。 Microsoft 建議您在本指南定義的三種環境中,強制執行 \[密碼最短有效期\] 預設值 1 天。 如果使用者在 \[強制執行密碼歷程記錄\] 設定中,同時使用這個設定和一個類似的低值,就可以一再使用同樣的密碼。 比方說,如果 \[密碼最短有效期\] 設為 1 天,而 \[強制執行密碼歷程記錄\] 設為兩個密碼,使用者只需要等 2 天,就可以循環使用舊的慣用密碼。 但是,如果 \[密碼最短有效期\] 設為 1 天,而 \[強制執行密碼歷程記錄\] 設為 24,使用者必須每天變更密碼長達 24 天,才能重複使用密碼,這恐怕是不太可能做到。 ##### 最小密碼長度 這個原則設定可確保密碼至少有指定的字元數目。 長密碼 (八個或超過八個字元) 通常比短密碼更強。 如果使用 \[最小密碼長度\] 設定時,使用者就不能使用空白密碼,一定要建立一個具有特定數目字元的密碼。 這個設定的預設值是七個字元。 本指南建議您將傳統用戶端和企業用戶端環境的 \[最小密碼長度\] 設為八個字元。 這個設定的長度足以提供某種程度的安全性,使用者也能輕鬆記住。 此外,這個設定也足以抵禦常用的字典和暴力攻擊。 (字典攻擊是利用文字清單,以嘗試錯誤的方式取得密碼。 暴力攻擊會嘗試每一個可能的密碼或加密的文字值。 暴力攻擊是否得逞,取決於密碼的長度、可能字元集的大小,以及攻擊者本身的電腦運算技能)。 本指南建議您針對專業安全性限制功能環境,將 \[最小密碼長度\] 設定設為 12 個字元。 密碼中每多增加一個字元,便會提高其複雜程度。 例如,七個字元的密碼會有 267,或 1 x 107 種可能的組合。 七個英文字元的密碼加上大小寫就有 527 種組合。 七個不加標點符號的英數字元密碼,加上大小寫,則有 627 種組合。 以每秒嘗試 1,000,000 次的速度,大約只需要 40 天就可以破解。 八個字元的密碼,會出現 268 或 2 x 1011 種可能的組合方式。 雖然看起來是相當大的數字,但是以許多破解密碼公用程式每秒嘗試 1,000,000 次的能力來說,只需花 59 個小時就可以試遍所有可能的密碼了。 記住,這個嘗試次數會隨著使用 ALT 字元和其他特殊鍵盤字元 (例如 ! 或 @) 的密碼而大幅增加。 密碼在通過單向式 (無法還原) 雜湊演算法的驗證之後,會儲存在「安全性帳戶管理員 (SAM)」資料庫或 Active Directory。 因此,確認密碼是否正確的唯一方式,便是以相同的單向式雜湊演算法加以執行,並比較結果是否相符。 字典攻擊會透過加密程序來執行整本字典的內容,並尋找相符的名詞。 這是找出使用諸如 "password" 或 "guest" 等常見帳戶密碼之最簡易卻最有效的方式。 舊版 Windows 是使用一種稱為 LAN Manager (LMHash) 雜湊的特別雜湊演算法。 這個演算法會把密碼斷成七個字元或不到七個字元的區塊,然後計算每個區塊的個別雜湊值。 雖然 Windows 2000 Server、Windows XP 和 Windows Server 2003 都使用較新的雜湊演算法,但針對回溯相容性時,他們還是會計算並儲存 LMHash。 如果有 LMHash 值,它們會為密碼破解者提供一個捷徑。 如果密碼只有七個或不到七個字元,LMHash 的後半部會解析成一個特定值,等於在通知破解者,密碼少於八個字元。 使用至少含八個字元的密碼,即使是不太強的 LMHash 也能被強化,因為面對較長的密碼,破解者必須破解兩個部份,而不是一個部份。 破解者也可能平行攻擊 LMHash 的兩個部份,而 LMHash 的第二個部份只有 1 個字元長,不出幾毫秒就屈服在暴力攻擊之下了。 因此除非它是 Alt 字元集的一部份,否則不見得有很大的幫助。 因此,我們不建議您以短密碼取代長密碼。 但是,如果長度下限的需求太長,可能會增加打錯的機率,因而增加帳戶鎖定及相關服務支援電話量的增加。 其實,密碼長度過長可能還會降低公司的安全性,因為使用者可能得寫下密碼,才不致忘記。 ##### 密碼必須符合複雜性需求 這個原則設定會檢查所有建立的新密碼,確保它們滿足複雜性需求。 Windows Server 2003 原則的規則無法直接修改。 但是可以建立新版的 Passfilt.dll 檔案以套用另一組不同的規則。 如需有關建立自訂 Passfilt.dll 檔的詳細資訊,請參閱 MSDN® 文章[範例密碼篩選器](https://msdn.microsoft.com/library/default.asp?url=/library/en-us/secmgmt/security/sample_password_filter.asp) (英文),網址是:https://msdn.microsoft.com/library/default.asp?url=/library/en-us/secmgmt/ security/sample\_password\_filter.asp。 您可以設定含 20 個 字元以上的密碼。這樣的密碼既便於使用者記憶,且較 8 個字元的密碼更為安全。 您不妨考慮像下面這個 27 個字元的密碼 — **I love cheap tacos for $.99**。 這種類型的密碼如同通關秘語,而且比 **P@55w0rd** 這樣的短密碼更方便使用者記憶。 當設定結合 \[最小密碼長度\] 八個字元的設定時,就很難發動暴力攻擊了。 如果您再加入鍵盤上的大小寫字母和數字,那麼可用的字元數目將從 26 個增加到 62 個。 八個字元的密碼便具有 2.18 x 1014 種可能的組合方式。 以每秒嘗試 1,000,000 次的速度,則必須花上 6.9 年才能跑完所有可能的排列。 因此,Microsoft 建議您將本指南所定義之三種環境的 \[密碼必須符合複雜性需求\] 設定,全部設為 \[已啟用\]。 ##### 使用可還原的加密來存放密碼 這個原則設定可決定作業系統是否使用可還原的加密來儲存密碼。 本原則支援的應用程式所使用的通訊協定,需要以使用者密碼進行驗證。 以可還原的加密方法所儲存的密碼,比起以不可還原的加密方法所儲存的密碼更容易擷取。 如果啟用了這個設定,就會加深其弱點。 因此 Microsoft 建議您,除非應用程式的需求比保護密碼資訊更加重要,否則最好將 \[使用可還原的加密來存放密碼\] 設定設為 \[已停用\]。 此外,透過遠端存取或 IAS 來部署 Challenge-Handshake 驗證通訊協定 (CHAP) 的環境,以及在網際網路資訊服務 (IIS) 使用摘要式驗證的環境,都必須啟用這個原則設定。 #### 如何防止使用者在非必要的情況下變更密碼 雖然前一節所說明的密碼原則設定可以提供許多選項,但有的公司仍要求集中控制所有的使用者。 本節將說明如何防止使用者在非必要的情況下變更密碼。 集中控制使用者密碼,是精心設計之Windows Server 2003 安全性配置的基石。 您可以根據我們在前面所討論的內容,以群組原則設定密碼最短使用期限和密碼最長有效期限,但是請記住,如果所要求的密碼變更頻率太高,可能會讓使用者規避環境的密碼歷程記錄設定。 如果要求使用的密碼過長,也可能會因使用者忘記密碼而使服務支援電話量增加。 使用者可以在密碼最短和最長有效期限設定的期間內,變更他們的密碼。 但是,專業安全性限制功能環境設計,要求使用者只能在過了 42 天的 \[密碼最長有效期\] 設定之後,並且接獲作業系統的提示時,才能變更他們的密碼。 若要防止在非必要的情況下變更密碼,可以在您按 CTRL+ALT+DELETE 時所出現的 \[Windows 安全性\] 對話方塊中,停用 \[變更密碼\] 選項。 請注意,有安全意識的使用者也許會希望提高變更密碼的頻率,但此舉必須聯絡系統管理員才能進行,這麼一來勢必會增加支援成本。 您可以透過群組原則,針對整個網域執行這項設定,或者針對一或多個特定的使用者,編輯登錄以執行這項設定。 如需這項設定的詳細指示,請參閱 Microsoft 知識庫文件[如何防止使用者於非必要的情況下在 Windows Server 2003 變更密碼](https://support.microsoft.com/?kbid=324744) (英文),網址為 https://support.microsoft.com/?kbid=324744。 [](#mainsection)[回到頁首](#mainsection) ### 帳戶鎖定原則 帳戶鎖定原則是 Windows Server 2003 SP1 的一項安全性功能,當使用者在指定時段內登入失敗幾次之後,就鎖定該使用者帳戶。 至於容許的嘗試次數和時段,則以針對該原則所設定的值為依據。 Windows Server 2003 SP1 會追蹤登入嘗試次數,同時您也可以設定伺服器軟體,在登入失敗達到預定的次數之後便停用帳戶,作為對潛在攻擊的回應。 這些安全性原則設定可以保護密碼,避免被攻擊者破解,同時也會降低攻擊者順利入侵網路的可能性。 但是如果啟用帳戶鎖定原則的話,可能會因為不斷忘記或打錯密碼的使用者向支援人員求助而增加支援成本。 請務必先確定貴公司已準備好應付額外的成本之後,再啟用下列設定。 許多公司認為一個良好且成本較低的解決方案,應該會自動監視網域控制站的安全性事件記錄,並且在明顯有人企圖猜測使用者帳戶的密碼時,產生管理警示。 如需這些設定的其他討論內容及其互動方式,請參閱同系列指南[*威脅與因應對策:Windows Server 2003 及 Windows XP 中的安全性設定*](https://go.microsoft.com/fwlink/?linkid=15159)的第 2 章<網域層級原則>。 #### 帳戶鎖定原則設定 下表將總結建議的帳戶鎖定原則設定。 您可以使用 \[群組原則物件編輯器\],來設定網域群組原則中的這些設定,其位置如下: **電腦設定\\Windows 設定\\安全性設定\\帳戶原則\\帳戶鎖定原則** 此表下方的段落將提供各個設定的更多資訊。 **表 3.2 帳戶鎖定原則設定**

設定 傳統用戶端 企業用戶端 專業安全性限制功能
帳戶鎖定時間 30 分鐘 30 分鐘 15 分鐘
帳戶鎖定閾值 50 次不正確的登入嘗試 50 次不正確的登入嘗試 10 次不正確的登入嘗試
重設帳戶鎖定計數器的時間間隔 30 分鐘 30 分鐘 15 分鐘
##### 帳戶鎖定時間 這個原則設定可決定要等待多久之後才能解除帳戶的鎖定,以及使用者才能再嘗試登入。 它可以指定被鎖定的帳戶長達幾分鐘無法使用。 如果您將 \[帳戶鎖定時間\] 值設定為 0,帳戶會保持在鎖定狀態,直到系統管理員解除鎖定為止。 這個原則設定的 Windows Server 2003 SP1 預設值是 \[尚未定義\]。 將 \[帳戶鎖定時間\] 設定設為絕不自動解除鎖定,看起來沒什麼不對,但是這樣的設定可能會增加打給支援人員的求助電話,請他們解除不慎鎖定的帳戶。 本指南建議您將傳統用戶端和企業用戶端環境的 \[帳戶鎖定時間\] 設定設為 **30** 分鐘,以及將專業安全性限制功能環境的帳戶鎖定時間設定設為 **15** 分鐘。 這個設定會降低拒絕服務 (DoS) 攻擊時的作業負荷量。 在 DoS 攻擊中,攻擊者會針對公司中所有的使用者,惡意執行數次登入失敗,進而鎖定其帳戶。 建議的設定可以提供機會,讓鎖定的使用者在合理的時間範圍內再次登入,而不需要向支援人員求助。 但是這個設定值的相關資訊,必須傳給使用者。 ##### 帳戶鎖定閾值 這個原則設定可以決定使用者在嘗試登入失敗幾次之後,就會遭到鎖定。 授權使用者可以用不同的方法鎖定自己的帳戶。 他們可以打錯自己的密碼,或者登入一部電腦,卻在另一部電腦上變更自己的密碼。 含不正確密碼的電腦會持續驗證使用者,而因為它用來驗證的密碼並不正確,因此使用者帳戶到最後就會被鎖定。 為了防止鎖定授權使用者,請將 \[帳戶鎖定閾值\] 設定設得高一些。 由於 \[帳戶鎖定閾值\] 設定的設定與否都會存在漏洞,因此已針對這些可能性定義了特殊的因應對策。 貴公司應該根據識別出的威脅,以及您嘗試降低的風險,來斟酌這兩者之間的抉擇。 - 若要避免帳戶遭到鎖定,請將 \[帳戶鎖定閾值\] 設定為 0。 由於使用者無法意外鎖定自己的帳戶,因此這個設定將減少服務支援電話量。 同時,故意鎖定貴公司帳戶的 DoS 攻擊也不會成功。 由於這項指定無法預防暴力攻擊,因此,只有在遇到下列兩種情況時才進行這種設定: - 密碼原則強迫所有使用者採用由 8 或更多字元組成的複雜密碼。 - 當環境內發生一系列帳戶登入失敗時,強大的稽核機制會警告系統管理員。 例如,稽核機制應該監視安全性事件 539:「登入失敗。 帳戶在進行嘗試登入時便遭到鎖定。」這個事件表示只要一達到登入嘗試閾值,帳戶就會被鎖定。 但是,事件 539 只顯示帳號被鎖定,而未顯示嘗試輸入密碼失敗。 因此,系統管理員也應該監視一系列失敗的密碼輸入嘗試。 - 如果未能滿足這些標準,第二個選項就是提高 \[帳戶鎖定閾值\] 設定,提供使用者幾次不慎打錯的機會,不會因此而鎖定自己的帳號。 但是,此值也應確保暴力密碼攻擊仍會鎖定帳戶。 本指南建議您將傳統用戶端和企業用戶端環境的 \[帳戶鎖定閾值\] 設定值設為**50**,以提供充分的安全性和接受範圍內的可用性。 此設定值將可避免意外的帳戶鎖定,並減少服務支援電話量,但無法防止上述的 Dos 攻擊。 但是,本指南建議您將專業安全性限制功能環境的這個原則設定值設為 **10**。 ##### 重設帳戶鎖定計數器的時間間隔 這個原則設定可決定要等待多久,才能將 \[帳戶鎖定閾值\] 重設為 0,以及將帳戶解除鎖定。 如果您已定義 \[帳戶鎖定閾值\],那麼這個重設時間必須小於或等於 \[帳戶鎖定時間\] 設定的值。 \[重設帳戶鎖定計數器的時間間隔\] 設定可以和其他設定協調。 如果您將這個原則設定保留其預設值,或者將它設為過長的間隔,可能會使環境易受帳戶鎖定 DoS 攻擊的傷害。 如果未使用原則設定重設帳戶鎖定,系統管理員就必須手動解除所有帳戶的鎖定。 反過來說,如果此設定具有合理的時間值,使用者就只會被鎖定一段時間,接著所有帳戶就會自動解除鎖定。 本指南建議您將傳統用戶端和企業用戶端環境的 \[重設帳戶鎖定計數器的時間間隔\] 設定設為 30 分鐘。 這個設定會定義一段使用者可能接受的合理時間,而不必向支援人員求助。 但是本指南建議您將專業安全性限制功能的這個原則設定設為 15 分鐘。 [](#mainsection)[回到頁首](#mainsection) ### Kerberos 原則 Kerberos 原則用於網域使用者帳戶。 這些原則可決定與 Kerberos 第 5 版驗證通訊協定有關的設定,例如,票證最長存留期和強制執行。 本機電腦原則中不存在 Kerberos 原則。 如果您降低 Kerberos 票證的最長存留期,就會減少攻擊者竊取密碼以冒充合法使用者帳戶的風險。 但是,維護這些原則也會增加授權管理成本。 在大部份的環境下,最好不要變更這些原則的預設值。 由於 Kerberos 設定已納入預設網域原則並強制執行,因此本指南不再將它納入隨附的安全性範本裡面。 本指南建議您不要變更預設的 Kerberos 原則。 如需這些原則設定的其他相關資訊,請參考同系列指南[*威脅及因應對策:Windows Server 2003 和 Windows XP 中的安全性設定*](https://go.microsoft.com/fwlink/?linkid=15159),網址是:https://go.microsoft.com/fwlink/?LinkId=15159。 [](#mainsection)[回到頁首](#mainsection) ### 安全性選項 本章前面討論過的三種帳戶類型是在網域層級定義,並且被該網域中所有的網域控制站強制執行。 網域控制站固定會從預設網域原則 GPO 取得帳戶原則,即使有不同的帳戶原則套用到包含網域控制站的 OU 也一樣。 與帳戶原則相似的有三種安全性選項設定。 您應該將這些設定套用到整個網域的層級上,而不是單獨的 OU。 您可以在群組原則物件編輯器中設定這些設定,其位置如下: **電腦設定\\Windows 設定\\安全性設定\\本機原則\\安全性選項** #### 安全性選項設定 下表彙總了建議的安全性選項設定。 此表下方的段落將提供各個設定的更多資訊。 **圖 3.3 安全性選項設定**

設定 傳統用戶端 企業用戶端 專業安全性限制功能
Microsoft 網路伺服器: 當登入時數過期時,中斷用戶端連線 已啟用 已啟用 已啟用
網路存取: 允許匿名 SID/名稱轉譯 已停用 已停用 已停用
網路安全性: 強制限制登入時數 已啟用 已啟用 已啟用
##### Microsoft 網路伺服器: 當登入時數過期時,中斷用戶端連線 此原則設定可決定是否要在連線到本機電腦的使用者超過其使用者帳戶的有效登入時數時,中斷其連線。 此原則設定會影響伺服器訊息區 (SMB) 元件。 如果啟用它,則具有 SMB 服務的用戶端工作階段,會在該用戶端的登入時數過期時被迫中斷。 如果停用此原則,則用戶端登入時數過期之後,仍可以繼續保留用戶端工作階段。 啟用這個原則設定時,也應該啟用 \[網路安全性: 強制限制登入時數\] 設定。 如果貴公司為使用者設定了登入時數,就可以啟用 \[Microsoft 網路伺服器: 當登入時數過期時,中斷用戶端連線\] 設定。 否則,在登入時數之外不應該有權存取網路資源的使用者,也許可以繼續在登入時所建立的工作階段使用那些資源。 本指南建議您將本指南所定義之三種環境的 \[Microsoft 網路伺服器: 當登入時數過期時,中斷用戶端連線\] 設定設為 \[已啟用\]。 如果沒有使用登入時數,這個原則設定並不會有任何影響。 ##### 網路存取: 允許匿名 SID/名稱轉譯 這個原則設定可決定匿名使用者是否可以要求另一個使用者的 SID。 如果在網域控制站上啟用 \[網路存取: 允許匿名 SID/名稱轉譯\] 設定,則知道系統管理員標準已知 SID 屬性的使用者,就能夠聯繫同樣啟用此原則的電腦,並使用該 SID 取得系統管理員的名稱。 接著再利用該帳戶名稱,起動密碼猜測攻擊。 由於在成員電腦上,\[網路存取: 允許匿名 SID/名稱轉譯\] 設定的預設設定是 \[已停用\],因此他們完全不會受到這個原則設定的影響。 不過,網域控制的預設設定是 \[已啟用\]。 如果停用這個原則設定,那麼執行舊版作業系統的電腦,就不一定能與以 Windows Server 2003 SP1 為基礎的網域通訊。 這類電腦包括: - Windows NT® 4.0 架構的遠端存取服務伺服器。 - 在 Windows NT 3.x 或 Windows NT 4.0 電腦上執行的 Microsoft SQL Servers™。 - 在位於 Windows NT 3.x 網域或 Windows NT 4.0 網域內的 Windows 2000 電腦上執行的遠端存取服務伺服器。 本指南建議您將指南所定義之三種環境的 \[網路存取: 允許匿名 SID/名稱轉譯\] 設定設為 \[已停用\]。 ##### 網路安全性: 強制限制登入時數 這個原則設定可決定是否要在連線到本機電腦的使用者超過其使用者帳戶有效登入時數時,中斷其連線。 此設定會影響 SMB 元件。 如果您啟用 \[網路安全性: 強制限制登入時數\] 設定,那麼當使用者登入時數過期時,具 SMB 伺服器的用戶端工作階段將被迫中斷。 使用者必須等到下一個排定的存取時間,才能再登入這部電腦。 如果停用這個原則設定,使用者即使過了登入時段,仍能維護所建立的用戶端工作階段。 若要影響網域帳戶,此設定必須在 \[預設網域原則\] 中定義。 本指南建議您將指南中所定義之三種環境的 \[網路安全性: 強制限制登入時數\] 設定設為 \[已啟用\]。 [](#mainsection)[回到頁首](#mainsection) ### 總結 本章所討論的是貴公司是否需要檢閱所有全網域設定。 每個網域只能設定一組密碼、帳戶鎖定以及 Kerberos 第 5 版 驗證通訊協定原則。 其他的密碼及帳戶鎖定設定只會影響成員伺服器上的本機帳戶。 請設定套用至網域上所有成員伺服器的設定,並確保這些設定可提供貴公司充份的安全層級。 #### 其他資訊 下列連結將提供與執行 Windows Server 2003 SP1 之伺服器的網域原則有關的主題資訊。 - 有關匿名使用者要求其他使用者安全性識別元屬性的功能,請參閱[網路存取: 允許匿名 SID/名稱轉譯](https://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/serverhelp/299803be-0e85-4c60-b0b5-1b64486559b3.mspx) (英文) 網頁,網址:www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/ 299803be-0e85-4c60-b0b5-1b64486559b3.mspx。 - 如需關於網路安全性的資訊以及如何在登入時數過期時強制登出,請參閱[Mole \#32:來自 Microsoft 內部的技術性解答](https://www.microsoft.com/technet/archive/community/columns/inside/techan32.mspx) (英文),網址為:www.microsoft.com/technet/archive/community/columns/inside/techan32.mspx。 此外,也請參閱 Microsoft 知識庫文件[停用匿名存取時,無法使用 Guest 帳戶](https://support.microsoft.com/?kbid=251171) (英文),網址為:https://support.microsoft.com/?kbid=251171。 **下載** [取得 Windows Serve 2003 安全性指南](https://go.microsoft.com/fwlink/?linkid=14846) **更新通知** [註冊以瞭解更新和新版本](https://go.microsoft.com/fwlink/?linkid=54982) **意見** [請將您的意見或建議傳送給我們](mailto:secwish@microsoft.com?subject=windows%20server%202003%20安全性指南) [](#mainsection)[回到頁首](#mainsection)