配置Windows 2003环境中的域基础结构

　　本模块内容

　　本模块主要关注如何实现安全的域环境。文中描述了若干域组件以及各组件在设计和创建管理完善的域基础结构中的使用方法。模块通过一系列方案深入研究了各种安全事项和解决方案，这些方案涉及通过组织单位层次结构应用组策略、将管理任务委派给管理组成员、通过安全模板配置安全设置等。模块从整体角度演示了组织单位的层次结构，但侧重点是域策略，同时明确了在域级应用相应的安全设置并详细论述了相应功能。模块使用 3 种不同的安全方案，分别是原客户端、企业客户端和高安全客户端。

　　目标

　　使用本模块可以：

　　•考虑 Microsoft® Active Directory® 目录服务设计的相关安全问题。

　　•研究在组策略应用中使用组织单位层次结构设计的方法

　　•研究在委派管理任务中使用组织单位层次结构设计的方法

　　•了解安全模板的使用方法。

　　•了解安全模板与组策略的集成方式。

　　•学习域策略示例。

　　•了解域策略所应用的设置和相应功能。

　　适用范围

　　本模块适用于下列产品和技术：

　　•Microsoft® Windows Server™ 2003 操作系统

　　如何使用本模块

　　本模块提供了一种设计和实施安全域基础结构的方法。本模块描述了设计和实施的过程和操作步骤指南。模块中的指南主要用于设计或创建 Active Directory 域环境。但其内容还与现有结构有关，您可以使用本指南确认现有内容的有效性，或强调可能需要重新建立结构的区域。本模块包含了大量在安全模板配置的设置信息，安全模板是域策略的一部分。

　　为了更好地理解本模块的内容，请：

　　•阅读模块 Windows 2003 安全性简介。其中说明了“Windows 2003 安全性简介”的目的和内容。

　　•使用附带的“如何”文章。使用本模块引用的下列指导性文章：

　　•如何在 Windows Server 2003 中创建组织单位和委派控制

　　•如何在 Windows Server 2003 中应用组策略和安全模板

　　概述

　　本模块通过建立域环境展示了保护 Windows Server 2003 结构安全的方法。

　　模块首先关注的是域级的安全设置和对策。其中包括 Active Directory 设计、组织单位 (OU) 设计、组策略设计和管理组设计的高级说明。

　　模块还介绍了在原有环境、企业环境和高安全环境中保护 Windows Server 2003 域环境安全的方法。Windows 2003 安全性简介简要描述了上面三种环境。上述信息比较基础，但提供了在域基础结构中从原有环境演变到高安全级环境的情景。

　　Windows Server 2003 附带了安全状态的默认设置值。为了提高本材料的可用性，本模块仅讨论已更改了默认值的设置。有关所有默认设置的信息，请参考附带的“Threats and Countermeasures:Security Settings in Windows Server 2003 and Windows XP”(英文)指南。

　　Active Directory 设计

　　如果要详细介绍 Active Directory 结构的设计方法，可能需要足足一本书。Active Directory 允许应用程序查找、使用和管理分布式计算环境中的目录资源。本节简要讨论了上述概念，并建立起本模块后续内容的参考框架。

　　在创建 Active Directory 体系结构时，必须仔细考虑环境的安全边界。如果组织的安全委派和实施日程都计划充分，组织的 Active Directory 将更加安全。之后，只有环境发生了重大变化(例如，并购或重组)才需要重建结构。

　　如果您的组织已有 Active Directory 设计，本模块则从安全角度深入讲述了其中的优点和潜在问题。

　　建立 Windows Server 2003 目录边界

　　Active Directory 中有几种不同的边界类型。它们定义了目录林、域、站点拓扑结构和权限委派。

　　这些边界在安装 Active Directory 时自动建立，但必须确保在权限边界中融入组织的要求和策略。根据组织的不同要求，管理权限委派可能非常灵活。例如，要保持安全性与管理功能间的适当平衡，可以使权限委派边界细分至安全边界和管理边界。

　　安全边界

　　安全边界可帮助定义组织内部不同组的独立性或隔离。如果既要基于公司业务边界确保适当的安全性，又要继续提供稳固的基本功能，平衡二者将是非常困难的。

　　为了成功平衡，您必须考虑委派相应管理权限后组织可能面临的危险，以及其他有关环境网络体系结构的选择，然后在各种因素间认真权衡。

　　目录林和域安全边界

　　目录林是真正的“安全”边界。本指南建议您创建单独的目录林来保护自己的环境不受恶意管理员的攻击;创建单独的域将环境与恶意管理员和其他潜在危险相隔离。

　　域是 Active Directory 的“管理”边界。如果组织成员都很善意，域边界将独立管理各组织域中的服务和数据。

　　但不幸的是，安全并非那么容易实现。例如，域不能完全隔离恶意域管理员的攻击。这种隔离只能在目录林级实现。

　　因此，组织必须考虑将当前 Active Directory 设计中服务和数据的管理控制权加以划分。要完成 Active Directory 设计，必须完全了解组织在服务和数据两方面的独立和隔离要求。

　　管理边界

　　由于潜在的服务和数据分割要求，必须定义必要的不同管理级别。除了唯一执行组织服务的管理员，建议设立下列管理员类型。

　　服务管理员

　　Active Directory 服务管理员负责配置和提供目录服务。例如，维护域控制器服务器、控制目录范围的各种配置设置、负责确保服务可用性。应将组织中的 Active Directory 管理员看作您的服务管理员。

　　在很多情况下，Active Directory 服务配置都由属性值确定。属性值与目录中存储的属性值对象的设置对应。因此，Active Directory 中的服务管理员也是数据管理员。根据组织的不同要求，下面是一些可能纳入 Active Directory 服务设计的其他服务管理员组：

　　•域管理组，负责目录服务。

　　目录林管理员，负责选择组来管理每个域。由于授予各域管理员的访问权限很高，因此这些管理员必须高度可信。执行域管理的组通过“域管理员”组和其他内置组来控制各域。

　　•负责管理域名系统 (DNS) 的管理员组。

　　DNS 管理员组负责完成 DNS 设计并管理 DNS 结构。DNS 管理员通过“DNS 管理员”组来管理 DNS 结构。

　　•负责管理 OU 的管理员组。

　　OU 管理员负责指定各 OU 的管理者(组或个人)。OU 管理员负责管理保存在已指定 Active Directory OU 中的数据。这些组可控制如何委派管理，如何将策略应用于 OU 中的对象。此外，OU 管理员还可创建新的子树并委派所负责 OU 的管理权限。

　　•负责管理结构服务器的管理员组。

　　管理结构服务器的组主要负责管理 Windows Internet 命名服务 (WINS) 和动态主机配置协议 (DHCP)，但还可能管理 DNS 结构。有时，管理域的组要管理 DNS 结构，原因是 Active Directory 已与 DNS 集成并保存在域控制器中，其管理也在域控制器中完成。

　　数据管理员

　　Active Directory 数据管理员负责管理保存在 Active Directory 中的数据，或加入 Active Directory 的计算机中的数据。这些管理员不能控制目录服务的配置和交付。数据管理员是由组织设立的安全小组的成员。有时，Windows 的默认安全组并不清楚组织的所有情况。此时，组织可开发自己的安全组命名标准和意义，最大程度地满足环境的需要。数据管理员的部分日常工作包括：

　　•控制目录中对象子集。通过可继承的属性级访问控制权限，授予数据管理员特定目录内容的控制权限，但不包括服务本身的配置权限。

　　•管理目录中的成员计算机和其上数据。

　　注意：在很多情况下，在目录中保存的对象的属性值确定了目录的服务配置。

　　总之，若允许 Active Directory 服务和目录结构的所有者加入目录林或域基础结构，组织必须信任目录林和所有域中的所有服务管理员。此外，企业安全计划必须研究标准的策略和操作步骤，给管理员提供合适的后台屏蔽。在安全指南中，信任服务管理员是指：

　　•合理信任服务管理员将关注组织的最佳利益。如果目录林或域的所有者可能有合理原因来恶意攻击组织，组织不应选择将这些所有者加入目录林或域。

　　•合理信任服务管理员将遵循最佳做法并限制域控制器的物理访问。

　　•了解并接受组织可能遇到的风险，具体包括：

　　•恶意管理员 — 受信管理员可能变成恶意管理员，并且滥用赋予他们的系统管理权。如果目录林中有恶意管理员，他(她)可以轻松找到其他域管理员的安全标识符 (SID)，然后使用应用程序编程接口 (API)、磁盘编辑器或调试程序将窃取的 SID 添加到自己域中某帐户的 SID 历史列表中。一旦将窃取的 SID 添加到用户 SID 历史列表，恶意管理员便可以在自己的域中实施被窃取 SID 所在域的管理权限。

　　•胁迫管理员 — 受信管理员有可能受到一定的胁迫来执行破坏系统安全的操作。为了得到访问系统的用户名和密码，用户或管理员可能运用一些社会工程技法骗取系统合法管理员的信任。

　　有些组织可能接受来自组织的其他部门的恶意或胁迫服务管理员造成的安全破坏风险。这些组织可能认为，相比于上述风险的危害而言，共享结构带来的协作能力和成本效益更显著。但是，另一些组织可能并不接受这种风险，因为可能的安全危害非常严重。

　　推动组策略管理和委派的 OU 结构

　　尽管本指南不是 Active Directory 的设计指南，但还是有必要提供一些必需的设计信息，从而深入了解使用组策略安全管理组织的域、域控制器和特定服务器角色的方法。

　　OU 不仅提供了一种简单分组用户和其他安全原则的方法，而且还提供了一种有效分割管理边界的机制。

　　此外，基于服务器角色使用 OU 提供不同的组策略对象 (GPO) 是组织整体安全结构必不可少的一部分。

　　委派管理和应用组策略

　　OU 只是域中的容器。您可以设置特定的访问控制列表 (ACL) 将 OU 控制权委派给组或个人。

　　通常，您可以使用 OU 提供类似 Microsoft Windows NT® 操作系统版本 4.0 资源域中的管理功能。您还可以创建 OU，使之包含一组其他用户管理的资源服务器。这将赋予其他用户组独立控制特定 OU 的权限，您无需将这些用户与域剩余部分隔离。

　　委派特定 OU 的控制权限的管理员可能是服务管理员。在级别较低的授权中，控制 OU 的用户通常是数据管理员。

　　管理组

　　通过创建管理组，管理员可以将用户群集、安全组或服务器分割到不同的容器，进而独立管理。

　　例如，考虑域中的结构服务器，结构服务器包括了正在运行基本网络服务的所有非域控制器，其中有运行 WINS 和 DHCP 服务的服务器。所有 DNS 服务器都在域控制器上运行，位于域控制器 OU 中。本例的 DNS 服务器不能看作是结构服务器。

　　通常，由操作组或结构管理组负责维护这些服务器。如果将各种服务器都移至 OU(本例是结构 OU)，则可轻松通过 OU 提供这些服务器的管理功能，然后再将 OU 的控制权委派给相关的管理组。

　　下图是这种 OU 的高级视图。

　　

　　图 1 OU 管理委派

　　有关创建 OU、创建管理组、将用户移动到组和“委派控制”的操作步骤信息，请参考如何在 Windows Server 2003 中创建组织单位和委派控制。

　　这只是使用 OU 来提供管理性分割机制的若干方法中的一种。如果组织情况更复杂，请参考本模块结尾的“更多信息”部分。

　　完成了上述操作步骤后，“结构管理”组应能完全控制结构 OU，以及 OU 中的所有服务器和对象。这样，下一阶段(使用组策略保护服务器角色)的准备工作便完成。

　　组策略应用

　　使用组策略并委派管理权限，将特定设置、权限和行为应用到 OU 中的所有服务器。请尽量使用组策略而不要手动设置。如果将来有任何其他变化，更新一组服务器来得更简单。

　　组策略按下图所示的顺序累积和应用。

　　

　　图 2 GPO 应用层次结构

　　如上图所示，策略首先应用于本地计算机策略级。应用本地策略后，依次在站点级和域级应用任何 GPO。如果服务器嵌套于若干 OU，则位于最高级 OU 中的 GPO 首先应用。然后，GPO 的应用过程继续沿 OU 层次结构进行。最后应用 GPO 的位置是包含服务器对象的子 OU 级。处理组策略的优先顺序首先是最高级 OU(离用户或计算机帐户最远)，最后是最低级 OU(实际包含用户或计算机帐户)。

　　当应用组策略时请记住下列几点：

　　•如果组策略级有多个 GPO，必须设置 GPO 应用顺序。如果多策略指定同一选项，最后应用的选项有效。

　　•使用“禁止替代”选项配置组策略可防止其他 GPO 覆盖它。

　　安全模板

　　安全模板是基于文本的文件。您可以使用 Microsoft 管理控制台 (MMC) 的安全模板管理单元来更改这些文件，也可以通过使用文本编辑器(如记事本)更改这些文件。模板文件的部分内容包含了使用安全描述符定义语言 (SDDL) 编写的特定 ACL。您可以在 Microsoft MSDN® 中找到更多编辑安全模板和 SDDL 的相关信息。

　　模板管理

　　在默认情况下，授权用户有读取组策略对象中所有设置的权限。因此，将生产环境的安全模板保存在安全位置非常重要，只有负责实施组策略的管理员才能访问这些安全模板。这样做的目的不是禁止查看 *.inf 文件，而是防止源安全模板受到未授权的更改。为此，所有运行 Windows Server 2003 的计算机都将安全模板保存在 %SystemRoot%/security/templates 文件夹。

　　此文件夹不是跨多个域控制器复制的。因此，您需要选择一个域控制器来保存安全模板的主副本，以避免遇到与模板有关的版本控制问题。此最佳操作确保您始终修改模板的同一副本。

　　管理组策略并导入安全模板

　　如何在 Windows Server 2003 中应用组策略和安全模板提供了必要操作步骤，指导您将安全模板(位于：http://go.microsoft.com/fwlink/?LinkId=14846)导入到本模块所建议的 OU 结构中。在域控制器上实施操作步骤之前，特定策略 (.inf) 文件必须位于环境中的 Windows Server 2003 系统。

　　警告：本指南的安全模板旨在提高环境的安全性。一旦安装了这些安全模板，环境中的一些功能很有可能失效。有些关键任务应用也有可能失效。

　　将这些模板部署在生产环境之前，一定要彻底测试。应用新的安全设置前，请首先备份环境中的所有域控制器和服务器。确保备份包括了系统状态，以便恢复注册表设置或 Active Directory 对象。

　　应创建新的域策略并导入相关 Domain.inf 安全模板。域策略应配置“禁止替代”选项来防止被覆盖。

　　有关创建和应用组策略、导入安全模板的操作步骤指南，请参考如何在 Windows Server 2003 中应用组策略和安全模板。

　　注意：验证“事件日志”，确保组策略成功下载，服务器能与域中的其他域控制器通信。

　　警告：创建“企业客户端 - 域策略”时，请确保启用“禁止替代”选项，以便在整个域中应用此策略。这是本指南中唯一必须启用“禁止替代”选项的组策略。本指南的其他组策略都不要启用此选项。如果需要恢复默认设置，请不要修改 Windows Server 2003 默认域策略。

　　要确保新策略的优先级高于默认策略，请将新策略置于 GPO 链接中的最高优先级位置。

　　您可以直接修改默认策略来创建新安全配置，但创建新的组策略有一优点：如果策略出现问题，新策略可轻松禁用，然后由现有的默认域策略继续控制。

　　Gpupdate.exe 是一种命令行工具。如果在批处理文件或自动任务调度器中调用，它可自动应用模板并分析系统安全性。此外，它还可以从命令行动态运行。

　　重要：本策略应导入组织中的所有其他域。但是，在环境中查找根域密码策略更严格于其他域根域密码策略的情形非常多。应仔细确保使用同一策略的其他域都有相同的业务需求。由于密码策略只能在域级设置，可能有一些业务或法律方面的需求要求将部分用户分离在单独的域中，从而在其中使用更严格的密码策略。

　　本指南定义了三种环境，它们的根域和子域都使用相同的策略，各域都有相关联的安全模板。例如，原客户端、企业客户端和高安全客户端分别使用 Leacy Client – Domain.inf、Enterprise Client – Domain.inf 和 High Security – Domain.inf 文件。类似上面的操作步骤应该应用到基准策略和增量策略的后续模板。

　　成功的 GPO 应用事件

　　除了手动检查全部设置来确保它们正确应用于组织中的服务器之外，“事件日志”中还应出现一个事件，通知管理员域策略已成功下载到每个服务器。“应用程序日志”中应出现下列事件信息，各自有唯一事件 ID 号：

　　类型：信息

　　源 ID：SceCli

　　事件 ID： 1704

　　说明：已成功应用组策略对象中的安全策略。

　　有关详细信息，请参考“帮助和支持中心”，位于：http://go.microsoft.com/fwlink/events.asp。

　　如果应用域策略几分钟后未出现此消息，请重新运行 Gpupdate.exe 命令行工具来应用该域策略，然后重新启动服务器强制下载该域策略。

　　在默认情况下，工作站或服务器上的安全设置每 90 分钟刷新一次，域控制器每 5 分钟刷新一次。如果在间隔时间发生更改，您就可以看到此事件。此外，无论是否有新的更改，这些设置也将每 16 小时刷新一次。

　　时间配置

　　您应确保系统时间精确，且组织中的所有服务器都使用相同的时间源。Windows Server 2003 W32Time 服务向运行于 Active Directory 域中的基于 Windows Server 2003 和 Microsoft Windows XP 的计算机提供了时间同步功能。

　　W32Time 服务可根据域中的域控制器来同步基于 Windows Server 2003 的计算机的客户端时钟。这是 Kerberos 版本 5 的身份验证协议和 NTLMv2 正常运行的必要条件。要正确运行，很多 Windows 服务器系列组件必须基于精确且同步的时间。如果客户端的时钟不同步，Kerberos v5 身份验证协议可能将登录请求错误理解为入侵尝试，并拒绝用户的访问。

　　时间同步的另一优点是，企业所有客户的事件能相互关联起来。环境中经同步的客户端时钟可确保您正确分析整个企业中在客户端按同一顺序发生的成功或失败事件。

　　Kerberos 是麻省理工学院 (MIT) 开发的网络身份验证协议。该协议可验证试图登录网络的用户的身份，并使用机密的密钥加密方法加密用户通信。

　　W32Time 服务使用 Network 时间协议 (NTP) 同步时钟。在 Windows Server 2003 目录林中，时间按如下方式同步：

　　•目录林根域中的主域控制器 (PDC) 模拟器操作主机是组织的权威时间源。

　　•目录林其他域中的所有 PDC 操作主机在选择 PDC 模拟器同步时间时，都遵循域的层次结构。

　　•域的所有域控制器都根据域的 PDC 模拟器操作主机(作为它的传入时间伙伴)同步时间。

　　•所有成员服务器和客户端桌面计算机都使用验证身份的域控制器作为传入时间伙伴。

　　要确保时间精确，目录林根域中的 PDC 模拟器可与外部 NTP 时间服务器同步。但这要求打开防火墙端口。NTP 使用 UDP 端口 123。在此之前，请首先权衡配置变化带来的优点和潜在风险。

　　•根据外部时间源同步内部时间源

　　1.打开“命令提示符”。

　　2.键入下列内容(其中 PeerList 是所需时间源的 DNS 名称或 Internet 协议 (IP) 地址的逗号分隔列表)：

　　w32tm /config /syncfromflags:manual /manualpeerlist:PeerList

　　3.要更新类型，请键入：

　　w32tm /config /update。

　　4.选中“事件日志”。如果计算机不能访问服务器，操作将失败，并且会在“事件日志”中写入一条记录。

　　本操作最常见的用途是根据非常精确的外部时间源同步内部网络的权威时间源。然而，本操作可在任何运行 Windows XP 的计算机或 Windows Server 2003 系列的计算机上运行。

　　在很多情况下，根据外部源同步所有服务器没有必要，只要这些服务器都使用同一内部源同步时间即可。

　　如果网络中的计算机正在运行 Windows 98 或 Windows NT 4.0 操作系统，请在登录脚本中使用下列命令来同步这些计算机上的时钟，其中 代表网络的域控制器：

　　net time // /set /yes

　　运行此命令后，将根据整个域中其他计算机上的时钟来同步这些计算机上的时钟。

　　注意：为了正确分析日志，运行非 Windows 操作系统的网络计算机也应将其时钟与 Windows Server 2003 PDC 模拟器同步。

　　基准服务器角色组织单位

　　前面管理组织结构服务器的示例可进一步用在企业基础结构的其他服务器和服务中。目标是创建一种覆盖所有服务器的无缝组策略，同时确保 Active Directory 中驻留的服务器符合环境的安全标准。

　　这种覆盖环境中所有服务器的组策略形成了企业中所有服务器标准设置的一致基准。此外，OU 结构和组策略应用必须提供精确的设计，从而为组织中特定类型的服务器提供安全设置。例如，Internet 信息服务器 (IIS)、文件、打印、Internet 验证服务器 (IAS) 和证书服务都说明了组织中一些可能需要单独组策略的服务器角色。

　　成员服务器基准策略

　　建立服务器角色 OU 的第一步是创建基准策略。为此，请创建一个基准安全模板，然后将其导入组策略。Enterprise Client – Member Server Baseline.inf 文件位于 http://go.microsoft.com/fwlink/?LinkId=14846，它可提供此功能和指南。企业客户端是按组织不同兼容要求设置的不同中间级安全性的参考，请参阅 Windows 2003 安全性简介。

　　将 GPO 安全模板与成员服务器 OU 相关联。Enterprise Client – Member Server Baseline.inf 安全模板将向成员服务器 OU 中的所有服务器，以及子 OU 中的所有服务器应用该基准组策略的设置。为了简单起见，本模块的其他示例都使用这个企业客户端安全级别。在模块创建 Windows Server 2003 服务器的成员服务器基准中，讨论了成员服务器基准策略。

　　基准组策略应为组织中的所有服务器定义所需的设置。请使基准组策略尽量有一定限制性，然后将本策略不涉及的所有服务器划分到单独的服务器特定 OU。

　　服务器角色类型和组织单位

　　继续上面的示例，创建单独的策略用于对结构服务器策略进行增量更改。将必需的设置放入名为“Enterprise Client – Infrastructure Server.inf”的安全模板，确保基础服务功能可运行，并能通过网络进行访问。

　　将 GPO 结构模板与结构 OU 相关联。最后，使用“受限制的组”设置将下面三个组添加到“企业客户端：结构服务器策略”的“本地管理员”组中：域管理员、企业管理员和结构管理员。

　　具体过程如下图。

　　

　　图 3 配置增量组策略

　　如上所述，这只是为部署 GPO 创建的 OU 结构的若干方法之一。有关创建 OU 实施组策略的详细信息，请参考 Microsoft TechNet 文章“How to Deploy Active Directory”(英文)，位于： http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/AD/windows2000/deploy/depovg/add.asp。

　　本安全指南定义了几种服务器角色。下表包含了可增强角色安全的各种模板(遵循上述步骤)：

　　表 1：Windows Server 2003 角色

　　服务器角色说明安全模板

　　Windows Server 2003 域控制器包含 Active Directory 域控制器的组。Enterprise Client – Domain Controller.inf

　　Windows Server 2003 成员服务器域的所有成员服务器，位于成员服务器 OU 中或之下。Enterprise Client – Member Server Baseline.inf

　　Windows Server 2003 文件服务器包含锁定文件服务器的组。Enterprise Client – File Server.inf

　　Windows Server 2003 打印服务器包含锁定打印服务器的组。Enterprise Client – Print Server.inf

　　Windows Server 2003 结构服务器包含锁定 DNS、WINS 和 DHCP 服务器的组。Enterprise Client – Infrastructure Server.inf

　　Windows Server 2003 IAS 服务器包含锁定 IAS 服务器的组。Enterprise Client – IAS Server.inf

　　Windows Server 2003 证书服务服务器包含锁定证书颁发机构 (CA) 服务器的组。Enterprise Client – CA Server.inf

　　Windows Server 2003 Bastion Host包含 Internet 服务器的组。High Security – Bastion Host.inf

　　Windows Server 2003 IIS 服务器包含锁定 IIS 服务器的组。Enterprise Client – IIS Server.inf

　　所有增量模板文件都必须应用于成员服务器 OU 下的 OU。因此，每个这样的低级 OU 都需要您在其中应用 Enterprise Client – Member Server Baseline.inf 文件和特定的增量文件，从而定义每个 OU 在组织中承担的角色。

　　所有这些服务器角色的安全要求各不相同。各种角色的相应安全设置将在模块后续内容中详细介绍。

　　重要：本指南假设运行 Windows Server 2003 的计算机都执行专门定义的角色。如果组织中的服务器与这些角色不符，或者您有多用途服务器，请使用此处定义的设置创建自己的安全模板。但请记住，服务器执行的功能越多，受到攻击的可能性就越大。

　　支持这些定义的服务器的最终 OU 设计如下图所示。

　　

　　图 4 OU 设计示例

　　OU、GPO 和管理组设计

 

　　上面建议的 OU 和组策略将为重建公司 Windows Server 2003 计算机的现有 OU 结构建立一种基准或新环境。此外，管理员将使用预定义的管理边界来创建各自的管理组。这些组与管理员管理的 OU 之间有如下的关系：

　　表 2：OU 和管理组

　　OU 名称管理组

　　域控制器域设计

　　成员服务器域设计

　　结构操作

　　文件操作

　　打印操作

　　IAS域设计

　　CA企业管理员

　　WebWeb 服务

　　环境中的每个管理组都作为子域中的“全局组”创建。

　　“域工程管理”已使用相应的 GPO 将各管理组添加到相应的受限组。上面创建的管理组只是一些计算机的本地管理员组的成员，这些计算机所在的 OU 仅包含与管理组作业功能相关的计算机。

　　最后，域工程师要在每个 GPO 上设置权限，以便只有域工程组中的管理员才能编辑这些 GPO。

　　在默认情况下，新的 OU 结构将继承父容器中的很多安全设置。对于每个 OU，您可以阻止权限继承。

　　有关阻止权限继承的操作步骤指南，请参考如何在 Windows Server 2003 中创建组织单位和委派控制。

　　删除管理员以前添加的所有不必要的组，然后添加各服务器角色 OU 的效应域组。保留“域管理员”组的“完全控制”设置。

　　您不一定要按照特定的顺序建立这些 OU，但它们之间确实存在明显的相关性。例如，将不同 OU 的控制权委派给组时，必须首先存在域组。下表定义了实施这些任务的建议顺序：

　　1.创建 OU 结构。

　　2.将计算机移至适当的 OU。

　　3.创建管理组。

　　4.向管理组添加相应的域帐户。

　　5.将每个 OU 的管理权限委派给相应的域组。

　　6.在 OU 中需要应用策略的地方创建组策略。

　　7.根据需要将每个组策略与其他 OU 相关联。

　　8.将适当的安全模板导入每个 GPO。

　　9.设置各 GPO 的权限，以便只有适当的域组才能控制它们。

　　10.将正确的域组添加到“受限制的组”。

　　11.测试并调整组策略。

　　域策略

　　您可以在组织的几个不同级别应用组策略安全设置。上面讨论的基准环境通过组策略在以下域基础结构的三种层次应用了设置：

　　•域级别 - 满足一般的安全要求，如要求域中所有服务器都使用的帐户和密码策略。

　　•基准级别 - 满足域基础结构中所有服务器通用的特定服务器安全要求。

　　•角色特定级别 — 满足特定服务器角色的安全要求。例如，基础结构服务器的安全要求不同于正在运行 Microsoft Internet 信息服务 (IIS) 的服务器的安全要求。

　　本模块的下面几部分都仅详述域级别策略。大多数的域安全设置都是用户帐户和密码。在复查域边界中每个帐户应用的设置和设置建议时，请记住这一点。

　　域策略概述

　　组策略的功能非常强大，它使管理员能配置标准的网络计算机。由于允许管理员同时更改域中、域子集中的所有计算机的安全性，GPO 可为任何企业提供配置管理解决方案的重要环节。

　　本节详细介绍了一些安全设置，您可以使用这些设置增强 Windows Server 2003 的安全性。本节还提供了一些表，这些表对每种设置的安全目标和达到每个目标所必需的配置进行了说明。根据各种设置在 Windows Server 2003 安全配置编辑器 (SCE) 用户界面中的表现形式，系统将设置划分为多种类别。

　　可通过组策略同时应用的安全更改类型包括：

　　•修改文件系统的权限。

　　•修改注册表对象的权限。

　　•更改注册表中的设置。

　　•更改用户权限分配。

　　•配置系统服务。

　　•配置审核和事件日志。

　　•设置帐户和密码策略。

　　帐户策略

　　帐户策略(包括密码策略、帐户锁定策略和 Kerberos 策略安全设置)仅与本指南介绍的所有三种环境中的域策略相关。密码策略提供了一种满足复杂性要求又能经常更改的方法，适用于安全性高度重要的环境。帐户锁定策略允许跟踪不成功的密码登录，并根据需要启动帐户锁定。Kerberos 策略用于域用户帐户。这些策略确定了与 Kerberos 相关的设置，例如票证寿命和强制。

　　密码策略

　　定期更改复杂密码可以减少密码攻击成功的可能性。密码策略设置控制密码的复杂性和使用期限。本节将讨论每个特定的密码策略设置，以及这些设置与三种环境中每个环境的关系：旧客户端、企业客户端和高安全级。

　　对密码长度和复杂性创建严格的要求并不一定表示用户和管理员要使用强密码。启用密码策略后，系统用户可能符合系统定义的密码技术复杂性要求，但是要更改错误的密码使用习惯，还需要其他强企业安全策略。例如，Breakfast! 可能符合所有密码复杂性要求。但破解这个密码并不难。

　　如果了解创建密码的人，就可以根据他们喜欢的食物、汽车或者电影猜测出他(或她)的密码。用于培训用户选择强密码的企业安全计划的一个策略是，设计一个海报，其中列出较差的密码，并将其张贴在公共区域，如饮水机或复印机旁边。您的组织应设置一些用于创建强密码的安全指南，其中应包括下列内容：

　　•避免使用来自字典的词、常见的或智能拼错的词以及外来词。

　　•避免使用数字递增密码。

　　•避免在密码前面或后面添加数字。

　　•避免使用其他人通过查看您的书桌就能轻易猜出的密码(如宠物名字、运动队名称和家人的姓名)。

　　•避免使用来自流行文化的词语。

　　•避免考虑使用本身被认为是机密代码的词语。

　　•强制使用需要使用双手在键盘上键入的密码。

　　•强制在所有密码中都使用大写字母、小写字母、数字和符号。

　　•强制使用空格字符和只有按 Alt 键才能生成的字符。

　　上述指南也适用于您组织内的所有服务帐户密码。下面几节讲述了用于本指南中定义的三种安全环境的密码策略建议。这些值在以下位置设置：

　　计算机配置/Windows 设置/安全设置/帐户策略/密码策略

　　强制密码历史

　　表 3：设置

　　域成员默认设置 旧客户端 企业客户端 高安全级

　　24 个记住的密码 24 个记住的密码 24 个记住的密码 24 个记住的密码

　　“强制密码历史”设置确定在重用旧密码之前必须与用户帐户相关的唯一新密码的数量。此设置的值必须在 0 到 24 个密码之间。Windows Server 2003 的默认值为最大设置，24 个密码。此策略设置使得管理员能够通过确保不持续重用旧密码来增强安全性。要维护密码历史的有效性，还需要配置“密码最短使用期限”来防止密码被立即更改。这种组合使得用户很难重新使用旧密码，无论是偶然还是有意。

　　重用密码经常会引发易攻击隐患，如果将此设置设为较低的数字，用户就可以持续循环使用很少的一些密码，所以此设置建议适用于本指南定义的所有环境。此外，对于包含旧客户端的环境，将此值设置为最大值还没有出现相关的已知问题。

　　密码最长使用期限

　　表 4：设置

　　域成员默认设置 旧客户端 企业客户端 高安全级

　　42 天 42 天 42 天 42 天

　　您可以配置“密码最长使用期限”设置，以便密码在环境需要时过期。此设置的默认值范围为 1 到 999 天。此策略设置定义了破解密码的攻击者在密码过期之前使用该密码访问网络计算机的期限。定期更改密码可以防止密码泄漏。此设置的默认值为 42 天。

　　如果有足够的时间和计算能力，大多数密码都可以被破解;密码更改越频繁，创建的新密码将攻击者用来破解旧密码的努力付诸东流之前，攻击者用来破解密码的时间就越少。然而，此值设置得越低，呼叫帮助台支持增多的可能性就越大。为了平衡企业环境中对安全性和可用性的要求，可以增大此设置在旧客户端和企业客户端中的值。通过确保密码定期更换，这些推荐值可以增强密码的安全性。此外，这些推荐值还可以避免用户不得不经常更换密码，以至于记不住密码的情况发生。

　　密码最短使用期限

　　表 5：设置

　　域成员默认设置 旧客户端 企业客户端 高安全级

　　1 天 2 天 2 天 2 天

　　“密码最短使用期限”设置确定了用户更改密码之前必须使用密码的天数。此设置的值范围为 1 到 999 天。如果将此值设置为 0，可以立即更改密码。此设置的默认值为 1 天。

　　“密码最短使用期限”设置必须小于“密码最长使用期限”设置，除非“密码最长使用期限”设置为 0，表示密码永不过期。这种情况下，可以将“密码最短使用期限”设置为 0 到 999 之间的任何值。

　　如果希望“强制密码历史”有效，应将“密码最短使用期限”设置为大于 0 的值。如果没有密码最短使用期限，用户就可以循环使用一些密码，直到返回到一个喜欢的旧密码。

　　请将此设置从默认值更改为 2 天，因为如果该设置与“强制密码历史”设置中类似的较低值一起使用时，这种限制就会防止用户不断循环使用相同的密码。如果“密码最短使用期限”保持为 1 天，“强制密码历史”设置为 2 个密码，用户就必须等待 2 天才能使用喜欢的旧密码。此设置值确保用户必须等待整整两天才能更改密码。

　　默认设置没有遵循这个建议，因此管理员可以为用户指定密码，然后要求用户在登录时更改管理员定义的密码。如果密码历史设置为 0，则用户不必选择新密码。因此，“强制密码历史”的默认设置为 1。它还可以阻止用户通过快速设置 24 个新密码来废止“密码历史设置”限制。

　　最短密码长度

　　表 6：设置

　　域成员默认设置 旧客户端 企业客户端 高安全级

　　7 个字符 8 个字符 8 个字符 12 个字符

　　“最短密码长度”设置确保密码至少包含指定数量的字符。包含八个或更多字符的长密码通常比短密码更强。使用此策略设置后，用户将不能使用空密码，并且其创建的密码必须是特定多个字符长。

　　此设置的默认值为“7”个字符，但我们推荐您使用 8 个字符的密码，因为它的长度可以提供一定级别的安全性，同时仍便于记忆。此设置能够对常用的词典攻击和强力攻击产生很强的防御作用。

　　词典攻击是一种攻击者使用词汇列表中的所有条目进行反复试验，以获取密码的方法。强力攻击是一种通过试验所有可能的值来获取密码或其他加密文本的方法。强力密码攻击的可行性取决于密码的长度、可能字符集的大小以及攻击者所具有的计算能力。

　　在高安全级环境下，本指南建议将密码长度取值设置为 12 个字符。 

　　通过单向哈希算法的处理后，密码将被存储在安全帐户管理器 (SAM) 数据库或 Active Directory 中。这种算法是不可逆的。因此，判断您是否拥有正确密码的唯一方法是使用相同的单向哈希算法对密码进行计算，并比较结果。词典攻击通过在加密的整个过程中尝试整个词典来寻找匹配值。对于找出以“password”或“guest”这样的常用词作为帐户密码的使用者，这是一种非常简单，但却很有效方法。

　　如果密码为七个字符或更少，LM 哈希的第二部分将解析为一个特定值，破译者可以根据此值判断密码短于八个字符。要求密码至少为八个字符可以使较脆弱的 LM 哈希变得更为强大，因为较长的密码使攻击者不得不解密每个密码的两个部分(而不是一个部分)。由于可以并行攻击 LM 哈希的两个部分，LM 哈希的第二部分长度仅为 1 个字符，因此在百万分之一秒时就会被强力攻击破解，因此，这样做实际上并不能真的显著改善环境的安全性，除非密码使用的是 ALT 字符集。

　　另外，密码中的每个额外字符都会使其复杂性以指数级增加。例如：一个七位密码可能具有 267,或 1 x 107 种可能的组合。区分大小写的七字符字母密码有 527 种组合。不带标点，且区分大小写的七字符字母数字密码有 6277 种组合。在每秒进行 1,000,000 次尝试的速度下，只需要 48 分钟即可破解。八字符密码具有 268，或 2 x 1011 种可能的组合。从表面上看，这似乎是大得不得了的数字。但是，在每秒进行 1,000,000 次尝试(许多密码破译工具都具有这样能力)的速度下，只需 59 个小时即可尝试完毕所有可能的密码。请记住，如果密码使用 ALT 字符和其他特殊键盘字符(如 ! 或 @)，则这种时间会大大增加。

　　为此，不推荐您用较短的密码代替较长的密码。不过，要求太长的密码可能会造成很多错误输入的密码，导致帐户发生锁定的情况增加，以及技术支持工作量的增加。此外，要求过长的密码可能会在实际上降低组织的安全性，因为用户很可能写下密码以免忘记。

　　密码必须符合复杂性要求

　　表 7：设置

　　域成员默认设置 旧客户端 企业客户端 高安全级

　　启用 启用 启用 启用

　　“密码必须符合复杂性要求策略”选项检查所有新密码以确保它们符合强密码的基本要求。

　　在创建密码时，将强制复杂性要求。不能对 Windows Server 2003 策略规则直接进行修改。但是，可以创建一个新版本的 passfilt.dll，以应用不同的规则集。有关 passfilt.dll 的源代码，请参阅 Microsoft 知识库文章 151082(英文)：“HOW TO:Password Change Filtering & Notification in Windows NT.”(英文)

　　实际上，可以设置包含 20 个或更多字符的密码，这样便于用户记忆，并且比八字符的密码更安全。以下是一个 27 字符的密码：I love cheap tacos for $.99。这种类型的密码，才是真正意义上的通行码，与 P@55w0rd 这样较短的密码相比，可能更便于用户记忆。

　　这个推荐的值，在最短密码长度设置为 8 时，包括密钥空间中的大写和小写字母和数字，从 26 个字符增加为 62 个字符。因此一个八字符密码就具有 2.18 x 1014 种可能的组合。在每秒进行 1,000,000 次尝试的速度下，循环尝试所有可能的排列需要 6.9 年的时间。结合使用这些设置会使强力攻击的变得非常困难。出于此原因，在本指南所定义的三种环境中，推荐使用这种设置。

　　使用可逆的加密存储密码

　　表 8：设置

　　域成员默认设置 旧客户端 企业客户端 高安全级

　　禁用 禁用 禁用 禁用

　　“使用可逆的加密存储密码”的安全设置决定了操作系统是否使用可逆加密存储密码。

　　该策略支持所使用的协议要求用户输入密码以进行身份验证的应用程序。与不使用此选项而存储的密码相比，使用可逆加密存储的密码更容易获得，这就增加了安全漏洞。出于此原因，请永远不应启用此策略，除非应用程序的要求比保护密码信息更为重要。

　　通过远程访问或 IAS 的质询握手身份验证协议 (CHAP) 以及 IIS 中的摘要式身份验证都要求使用此策略。

　　如何防止用户更改密码(除非在要求这么做时)

　　除以上密码策略外，某些组织要求对所有用户进行集中式控制。本节描述如何防止用户更改密码(除非要求他们这样做)。

　　对用户密码的集中控制是设计优良的 Windows Server 2003 安全方案的基础。如前所述，可以使用组策略设置密码的最短和最长期限。但是请记住，要求经常更改密码可能会让用户规避环境的密码历史设置。要求太长的密码还会让用户忘记密码，从而导致技术支持工作量增多。

　　用户可以在密码的最短和最长期限设置之间的时间段内更改密码。然而，高安全级环境要求用户只有在 42 天以后操作系统提醒他们时才能更改密码，这是在“密码最长期限”设置中进行的配置。要防止用户更改密码(除非要求更改)，可以在当您按 Ctrl+Alt+Delete 时显示的“Windows 安全”对话框中禁用“更改密码”选项。

　　可以使用组策略对整个域实现此配置，也可以通过编辑注册表对一个或多个特定用户实现此配置。关此配置的详细说明，请参阅 Microsoft 知识库文章 324744，“How To：在 Windows Server 2003 中防止用户在非必要情况下更改密码”，网址是：http://support.microsoft.com/default.aspx?scid=324744。

　　帐户锁定策略

　　帐户锁定策略是一项 Windows Server 2003 安全功能，它在指定时间段内多次登录尝试失败后锁定用户帐户。允许的尝试次数和时间段是由为安全策略锁定设置配置的值决定的。用户不能登录到锁定的帐户。Windows Server 2003 跟踪登录尝试，而且服务器软件可以配置为通过在预设的登录失败次数后禁用帐户来对此类潜在攻击作出响应。

　　在 Windows Server 2003 中配置帐户锁定策略时，管理员可以为尝试次数和时间段变量设置任何值。但是，如果“复位帐户锁定计数器”设置的值大于“帐户锁定时间”设置的值，则 Windows Server 2003 自动将“帐户锁定时间”设置的值调整为与“复位帐户锁定计数器”设置相同的值。另外，如果“帐户锁定时间”设置的值比为“复位帐户锁定计数器”设置配置的值低，则域控制器自动将“复位帐户锁定计数器”的值调整为与“帐户锁定时间”设置相同的值。因此，如果您定义了“帐户锁定时间”，那么“复位帐户锁定计数器”的值必须小于或等于“帐户锁定时间”。

　　Windows Server 2003 执行此操作是为了避免安全策略中出现冲突的设置值。如果管理员将“复位帐户锁定计数器”设置的值配置为比“帐户锁定时间”设置的值大，则为“帐户锁定时间”设置配置的值的强制将首先过期，让用户能够重新登录回网络上。但是，“复位帐户锁定计数器”设置将继续计数。因此帐户锁定阈值仍维持为最多 3 次无效登录，用户将无法登录。

　　为了避免这种情况，Windows Server 2003 将“复位帐户锁定计数器”设置的值自动重置为与“帐户锁定时间”设置的值相等。

　　这些安全策略设置有助于防止攻击者猜测用户密码，并且可以降低对网络环境的攻击成功的可能性。可以在域组策略中的以下位置对下列各部分中的值进行配置：

　　计算机配置/Windows 设置/安全设置/帐户策略/帐户锁定策略

　　帐户锁定时间

　　表 9：设置

　　域成员默认设置旧客户端企业客户端高安全级

　　未定义30 分钟30 分钟15 分钟

　　“帐户锁定时间”设置确定在未锁定帐户且用户可以尝试再次登录之前所必须经历的时间长度。此设置通过指定锁定帐户保持不可用的分钟数来实现此功能。如果“帐户锁定时间”设置的值配置为 0，则锁定的帐户将保持锁定，直到管理员将它们解锁。此设置的 Windows Server 2003 默认值为“未定义”。

　　将此设置的值配置为永不自动解锁可能看上去是一个好主意，但这样做会因意外锁定帐户而增加组织中解锁的技术支持工作量。对旧客户端环境和企业客户端环境将此设置的值设为 30 分钟，而对高安全级别将此设置的值设为 15 分钟，这样可以减少发生拒绝服务 (DoS) 攻击时操作所消耗的资源量。在 DoS 攻击中，攻击者对组织中的所有用户进行的恶意登录尝试多次失败后，导致这些用户的帐户被锁定。此设置值还让用户在帐户被锁定时有机会在 30 分钟后再次登录，这是在无需求助于帮助台的情况下他们最可能接受的时间段。

　　在高安全级环境下，本指南建议您将该值设置为 15 分钟。

　　帐户锁定阈值

　　表 10：设置

　　域成员默认设置旧客户端企业客户端高安全级

　　0 次无效登录50 次无效登录50 次无效登录10 次无效登录

　　“帐户锁定阈值”设置确定用户在帐户锁定之前可以尝试登录帐户的次数。

　　授权用户被锁定在自己的帐户外的原因可能有：输错密码或记错密码，或者在登录一台计算机时更改了在另一台计算机上的密码。带有错误密码的计算机会不断尝试对用户进行身份验证，但由于它用来进行身份验证的密码不正确，最终导致用户帐户被锁定。为了避免锁定授权用户，请将帐户锁定阈值设置为较高的数字。

　　由于无论是否配置此设置的值都会存在漏洞，所以，为所有这些可能性分别定义了不同的应对措施。您的组织应当根据确定的威胁和正在尝试降低的风险在两者之间做出权衡。

　　•为了避免锁定，请将“帐户锁定阈值”的值设置为 0。将“帐户锁定阈值”的值设置为 0 有助于减少技术支持工作量，这是因为用户不会意外将自己锁在帐户外，而且，还可以阻止故意锁定您的组织中的帐户的 DoS 攻击。由于它不能阻止强力攻击，因此只有在下列要求均得到明确满足时才可以选择此设置：

　　•密码策略强制所有用户使用由 8 个或更多字符组成的复杂密码。

　　•已建立强大的审核机制，能够在组织环境中发生一系列帐户锁定时提醒管理员。例如，审核解决方案应监视安全事件 539，该事件为“登录失败。当进行登录尝试时帐户被锁定”。此事件意味着当尝试进行登录阈值所规定的登录时帐户被锁定。然而，事件 539 仅表示帐户锁定，而不是一次失败的密码尝试。因此，您的管理员也应对一系列错误密码尝试进行监视。

　　•如果不能满足这些条件，您的第二种选择是将“帐户锁定阈值”设置配置为足够高的值，以便让用户可以意外输错密码若干次而不将自己锁定在帐户外，同时确保强力密码攻击仍会锁定帐户。这种情况下，将无效登录尝试设置为一个较高的值就能够确保足够的安全性和可接受的可用性。如上所述，此设置值可以避免意外的帐户锁定并降低技术支持工作量，但不能防止 DoS 攻击。

　　在高安全级环境下，本指南建议您将该值设置为 10 次无效登录尝试。

　　复位帐户锁定计数器

　　表 11：设置

　　域成员默认设置 旧客户端 企业客户端 高安全级

　　未定义 30 分钟 30 分钟 15 分钟

　　“复位帐户锁定计数器”设置决定了“帐户锁定阈值”复位为 0 以及帐户被解锁之前所必须经过的时间长度。因此，如果定义了“帐户锁定阈值”，则此复位时间必须小于或等于“帐户锁定时间”的值。

　　与按本指南其他部分配置的其他值相结合，保留此设置的默认值，或者将值配置为一个太长的时间间隔，都会使您的环境易于遭受帐户锁定 DoS 攻击。如果没有复位帐户锁定的策略，管理员必须手动解锁所有帐户。相反，如果为此设置配置了合理的时间值，用户将会被锁定一段固定的时间，然后所有帐户都会自动解锁。因此，建议的设置值 30 分钟所定义的时间段是用户在无需求助帮助台的情况下最有可能接受的。如果保留此设置的默认值，但同时按照建议的方式更改了其他设置，则保留此设置的默认值只会使帐户锁定 DoS 更易得逞。降低此级别会减少拒绝服务 (DoS) 攻击过程中操作所消耗的资源量。在 DoS 攻击中，攻击者对组织中的所有用户进行的恶意登录尝试多次失败后，导致这些用户的帐户被锁定。

　　在高安全级环境下，本指南建议您将该值设置为 15 分钟。

　　Kerberos 策略

　　Kerberos 策略用于域用户帐户。这些策略确定与 Kerberos 版本 5 协议相关的设置，例如票证寿命和强制。本地计算机策略中不存在 Kerberos 策略。减少 Kerberos 票证的寿命会降低攻击者盗取密码并冒充合法用户帐户的风险。但是，保持这些策略也会增加授权的开销。在大多数环境中，不应更改这些策略的默认值。Kerberos 设置被包括在默认域策略中并在该策略中强制，因此，本指南所附带的安全模板中并不包含它们。

　　本指南不提供对默认 Kerberos 策略的任何更改。有关这些设置的详细信息，请参阅附加指南“Threats and Countermeasures:Security Settings in Windows Server 2003 and Windows XP(英文)。”

　　安全选项

　　必须在默认域策略中定义帐户策略，它们是由组成域的域控制器强制的。域控制器始终从默认域策略 GPO 获取帐户策略，即使对包含域控制器的 OU 应用了其他帐户策略。

　　在安全选项中有两个策略，它们的行为类似于帐户策略，应当考虑在域级别应用它们。可以在下表中配置域组策略值，其位置为：

　　计算机配置/Windows 设置/安全设置/本地策略/安全选项

　　Microsoft 网络服务器:当登录时间用完时自动注销用户

　　表 12：设置

　　域成员默认设置 旧客户端 企业客户端 高安全级

　　未定义 启用 启用 启用

　　“Microsoft 网络服务器：当登录时间用完时自动注销用户”安全设置确定在超过用户帐户的有效登录时间后，是否断开连接到本地计算机的用户。此设置影响服务器消息块 (SMB) 组件。启用此策略后，将使客户端与 SMB 服务的会话在超过客户端登录时间后被强行断开。如果禁用此策略，则允许已建立的客户端会话在超过客户端登录时间后继续进行。启用此设置后，应确保也启用了“网络安全：在超过登录时间后强制注销在超过登录时间后强制注销”。

　　如果您的组织已经为用户配置了登录时间，那么启用此策略很有意义，否则，应当在超过登录时间后就不能访问网络资源的用户实际上将能够利用在允许的时间内建立的会话来继续使用那些资源。

　　如果未在组织中使用登录时间，则启用此设置没有任何影响。如果使用了登录时间，则现有用户会话将在超过登录时间后被强行终止。

　　网络访问：允许匿名 SID/名称转换

　　表 13：设置

　　域成员默认设置 旧客户端 企业客户端 高安全级

　　未定义 禁用 禁用 禁用

　　“网络访问：允许匿名 SID/名称转换”设置确定匿名用户是否可以请求另一用户的 SID。

　　如果对域控制器启用此设置，则知道管理员的 SID 属性的用户将可以与也启用了此策略的计算机进行通讯，并使用该 SID 获取管理员的名称。然后，此人可以使用帐户名启动密码猜测攻击。成员计算机的默认设置为“禁用”，因此这对它们没有影响。但是，域控制器的默认设置为“启用”。禁用此设置会导致旧系统无法与基于 Windows Server 2003 域进行通讯，这样的域如：

　　•基于 Microsoft Windows NT 4.0 的远程访问服务服务器。

　　•当 IIS 上的 Web 应用程序配置为允许基本身份验证并同时禁用匿名访问时，内置的来宾用户帐户将不能访问该 Web 应用程序。另外，如果将内置的来宾用户帐户重命名为另一名称，将无法使用新名称访问 Web 应用程序。

　　•在位于 Windows NT 3.x 域或 Windows NT 4.0 域中的基于 Windows 2000 的计算机上运行的远程访问服务服务器。

　　网络安全：在超过登录时间后强制注销

　　表 14：设置

　　域成员默认设置 旧客户端 企业客户端 高安全级

　　禁用 启用 启用 启用

　　“网络安全：在超过登录时间后强制注销”设置确定在超过用户帐户的有效登录时间后是否断开连接到本地计算机的用户。此设置影响 SMB 组件。

　　启用此策略可以在超过客户端登录时间后强制断开客户端与 SMB 服务器的会话，用户在他或她计划中的下一次访问时间之前将无法登录到系统。禁用此策略会在超过客户端的登录时间后保留已建立的客户端会话。要影响域帐户，必须在默认域策略中定义此设置。

　　小结

　　在重新审视目录林、域以及组织单元 (OU) 的设计，以确保环境的安全时，有些设计方面的注意事项需要考虑到。

　　研究和记录组织的所有特定的自主和独立要求很重要。行政自主、运营独立以及法律或管理独立都是考虑复杂目录林设计的有效理由。

　　了解控制服务管理员的方法也很重要。恶意的服务管理员会给组织带来巨大的风险。在较低的级别上，恶意的域管理员可以访问目录林中所有域的数据。

　　虽然更改组织中的目录林或域的设计可能不容易，但对企业的一些安全风险进行补救是必要的。同时，根据服务管理员和数据管理员的需要对组织中的 OU 部署进行规划也很重要。本模块详细介绍了创建一种 OU 模型的过程，该 OU 模型支持使用 GPO 进行对企业中不同服务器角色的当前管理。

　　最后，本模块指出了重新审视组织中所有的域级设置的重要性。只能为每个域配置一组密码、帐户锁定以及 Kerberos 版本 5 身份验证协议策略。其他密码和帐户锁定只会对成员服务器上的本地帐户产生影响。应当认真考虑对将应用于域中的所有成员服务器的设置的配置，并确保这些设置能为整个组织提供足够的安全级别。

　　其他信息

　　以下是在发布本指南时可以得到的最新信息源，其主题与创建域基础结构和 Windows Server 2003 密切相关。

　　有关 Windows 2000、Windows XP 以及 Windows Server 2003 的帐户和本地策略的更多信息，请参阅： http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsnetserver/proddocs/server/sag_sceacctpols.asp(英文)。

　　有关 Microsoft 上安全和隐私的更多信息，请参阅： http://www.microsoft.com/security。

　　有关十条永恒安全法则的信息，请参阅： http://www.microsoft.com/technet/treeview/default.asp?url=/technet/columns/security/essays/10imlaws.asp(英文)。

　　有关委派 Active Directory 中的管理权限的设计事项的信息，请参阅： http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ad/windows2000/plan/addeladm.asp(英文)。

　　有关配置时间服务器的信息，请参阅Microsoft 知识库文章“How to Configure an Authoritative Time Server in Windows 2000”，位于：

　　有关网络访问和允许匿名 SID/名称 转换的信息，请参阅：

　　http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/server/623.asp(英文)。

　　有关网络安全和在超过登录时间后强制注销的信息，请参阅：

　　http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/server/566.asp(英文).

　　当匿名访问被禁用时来宾用户帐户不可用

　　http://support.microsoft.com/default.aspx?scid=kb;en-us;251171(英文)。