Windows系統安全指南:域級別策略

作者:佚名 來源:網絡 時間:2006-12-27 標簽: 策略
簡介

  可在域級別上應用所有的帳戶策略組策略設置。在帳戶策略、帳戶鎖定策略和 Kerberos 策略內置的默認域控制器中提供了默認值。請記住,在 Microsoft Active Directory 中設置這些策略時,Microsoft Windows 僅允許一個域帳戶策略:應用于域樹根域的帳戶策略。域帳戶策略將成為屬于該域的任何 Windows 系統的默認帳戶策略。此規則的唯一例外情況是,當為組織單位定義了另外一個帳戶策略時。組織單位 (OU) 的帳戶策略設置將影響到該 OU 中任何計算機上的本地策略。本模塊將通篇討論其中每種類型的設置。

  帳戶策略

  帳戶策略是在域級別上實現的。Microsoft Windows Server 2003 域必須有一個針對該域的密碼策略、帳戶鎖定策略和 Kerberos V5 身份驗證協議。在 Active Directory 中任何其他級別上設置這些策略將只會影響到成員服務器上的本地帳戶。如果有要求單獨密碼策略的組,應根據任何其他要求將這些組分段到另一個域或目錄林。

  在 Windows 和許多其他操作系統中,驗證用戶身份最常用的方法是使用秘密通行碼或密碼。確保網絡環境的安全要求所有用戶都使用強密碼。這有助于避免未經授權的用戶猜測弱密碼所帶來的威脅,他們通過手動的方法或工具來獲取已泄密用戶帳戶的憑據。這一點對于管理帳戶尤其有用。隨本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”(英文)為默認設置編制了文檔。請單擊此處下載。

  定期更改的復雜密碼減少了密碼攻擊成功的可能性。密碼策略設置控制密碼的復雜性和壽命。本部分將討論每個特定的密碼策略帳戶設置。

  注意:對于域帳戶,每個域只能有一個帳戶策略。必須在默認域策略或鏈接到域根的新策略中定義帳戶策略,并且帳戶策略要優先于由組成該域的域控制器強制實施的默認域策略。域控制器總是從域的根目錄中獲取帳戶策略,即使存在應用于包含域控制器的 OU 的其他帳戶策略。域的根目錄是該域的頂層容器,不要與目錄林中的根域相混淆;目錄林中的根域是該目錄林中的頂層域。

  默認情況下,加入域的工作站和服務器(即域成員計算機)還為其本地帳戶接收相同的帳戶策略。但是,通過為包含成員計算機的 OU 定義帳戶策略,可以使成員計算機的本地帳戶策略區別于域帳戶策略。

  可以在組策略對象編輯器中的以下位置配置帳戶策略設置:

  計算機配置\Windows 設置\安全設置\帳戶策略\密碼策略

  強制密碼歷史

  “強制密碼歷史”設置確定在重用舊密碼之前必須與用戶帳戶關聯的唯一新密碼的數量。

  該組策略設置可能的值是:

  用戶指定的值,在 0 至 24 之間

  沒有定義

  漏洞

  密碼重用對于任何組織來說都是需要考慮的重要問題。許多用戶都希望在很長時間以后使用或重用相同的帳戶密碼。特定帳戶使用相同密碼的時間越長,攻擊者能夠通過暴力攻擊確定密碼的機會就越大。如果要求用戶更改其密碼,但卻無法阻止他們使用舊密碼,或允許他們持續重用少數幾個密碼,則會大大降低一個不錯的密碼策略的有效性。

  為此設置指定一個較低的數值將使用戶能夠持續重用少數幾個相同的密碼。如果還沒有配置“密碼最短使用期限”設置,用戶可以根據需要連續多次更改其密碼,以便重用其原始密碼。

  對策

  將“強制密碼歷史”設置成最大值“24”。將此值配置為最大設置有助于確保將因密碼重用而導致的漏洞減至最少。

  由于此設置在組織內有效,因此不允許在配置“密碼最短使用期限”后立即更改密碼。要確定將此值設置為何種級別,應綜合考慮合理的密碼最長使用期限和組織中所有用戶的合理密碼更改間隔要求。

  潛在影響

  此設置的主要影響在于,每當要求用戶更改舊密碼時,用戶都必須提供新密碼。由于要求用戶將其密碼更改為新的唯一值,用戶會為了避免遺忘而寫下自己的密碼,這就帶來了更大的風險。

  密碼最長使用期限

  “密碼最長使用期限”設置確定了系統要求用戶更改密碼之前可以使用密碼的天數。

  此組策略設置可能的值是:

  •用戶指定的天數,在 0 至 999 之間

  漏洞

  任何密碼都可以被破解。憑借當前的計算能力,甚至是破解最復雜的密碼也只是時間和處理能力的問題。下列某些設置可以增加在合理時間內破解密碼的難度。但是,經常在環境中更改密碼有助于降低有效密碼被破解的風險,并可以降低有人使用不正當手段獲取密碼的風險。可以配置密碼最長使用期限,以便從不要求用戶更改密碼,但這樣做將導致相當大的安全風險。

  對策

  將“密碼最長使用期限”的天數設置在“30”和“60”之間。通過將天數設置為“0”,可以將“密碼最長使用期限”設置配置為從不過期。

  潛在影響

  密碼最長使用期限的值設置得太低將要求用戶非常頻繁地更改其密碼。這實際上可能降低了組織的安全性,因為用戶更可能為了避免遺忘而寫下自己的密碼。將此值設置太高也會降低組織的安全性,因為這可以使潛在攻擊者有更充分的時間來破解用戶的密碼。

  密碼最短使用期限

  “密碼最短使用期限”設置確定了用戶可以更改密碼之前必須使用密碼的天數密碼最短使用期限的值必須小于密碼最長使用期限的值。

  如果希望“強制密碼歷史”設置有效,應將“密碼最短使用期限”設置為大于 0 的值。如果將“強制密碼歷史”設置為“0”,用戶則不必選擇新的密碼。如果使用密碼歷史,用戶在更改密碼時必須輸入新的唯一密碼。

  此組策略設置可能的值是:

  用戶指定的天數,在 0 至 998 之間

  沒有定義

  漏洞

  如果用戶可以循環使用一些密碼,直到找到他們所喜歡的舊密碼,則強制用戶定期更改密碼是無效的。將此設置與“強制密碼歷史”設置一起使用可以防止發生這種情況。例如,如果設置“強制密碼歷史”來確保用戶不能重用其最近用過的 12 個密碼,并將“密碼最短使用期限”設置為“0”,則用戶可以通過連續更改密碼 13 次,以返回到原來使用的密碼。因此,要使“強制密碼歷史”設置有效,必須將此設置配置為大于 0。

  對策

  將“密碼最短使用期限”的值設置為“2 天”。將天數設置為“0”將允許立即更改密碼,我們不建議這樣做。

  潛在影響

  將“密碼最短使用期限”設置為大于 0 的值時存在一個小問題。如果管理員為用戶設置了一個密碼,然后希望該用戶更改管理員定義的密碼,則管理員必須選擇“用戶下次登錄時須更改密碼”復選框。否則,用戶直到第二天才能更改密碼。

  最短密碼長度

  “最短密碼長度”設置確定可以組成用戶帳戶密碼的最少字符數。確定組織的最佳密碼長度有許多不同的理論,但是,“通行碼”一詞可能比“密碼”更好。在 Microsoft Windows 2000 及更高版本中,通行碼可以相當長,并且可以包括空格。因此,諸如“I want to drink a $5 milkshake”之類的短語都是有效的通行碼,它比由 8 個或 10 個隨機數字和字母組成的字符串要強大得多,而且更容易記住。

  此組策略設置可能的值是:

  • 用戶指定的數值,在 0 至 14 之間

  • 沒有定義

  漏洞

  可以執行幾種類型的密碼攻擊,以獲取特定用戶帳戶的密碼。這些攻擊類型包括試圖使用常見字詞和短語的詞典攻擊,以及嘗試使用每一種可能的字符組合的暴力攻擊。另外,可通過獲取帳戶數據庫并使用破解帳戶和密碼的實用程序來執行攻擊。

  對策

  應該將“最短密碼長度”的值至少設置為“8”。如果字符數設置為“0”,則不要求使用密碼。

  在大多數環境中都建議使用由 8 個字符組成的密碼,因為它足夠長,可提供充分的安全性,同時也足夠短,便于用戶記憶。此設置將對暴力攻擊提供足夠的防御能力。提高復雜性要求將有助于降低詞典攻擊的可能性。下一部分將討論復雜性要求。

  潛在影響

  允許短密碼將會降低安全性,因為使用對密碼執行詞典攻擊或暴力攻擊的工具可以很容易地破解短密碼。要求很長的密碼可能會造成密碼輸入錯誤而導致帳戶鎖定,從而增加了幫助臺呼叫的次數。

   要求極長的密碼實際上可能會降低組織的安全性,因為用戶更有可能寫下自己的密碼以免遺忘。但是,如果教會用戶使用上述通行碼,用戶應該更容易記住這些密碼。

  密碼必須符合復雜性要求

  “密碼必須符合復雜性要求”設置確定密碼是否必須符合對強密碼相當重要的一系列原則。

  啟用此策略要求密碼符合下列要求:

  • 密碼長度至少為 6 個字符。

  • 密碼包含下列四類字符中的三類:

  • 英語大寫字符 (A?Z)

  • 英語小寫字符 (a?z)

  • 10 個基數 (0?9)

  • 非字母數字(例如:!、$、# 或 %)

  • 密碼不得包含三個或三個以上來自用戶帳戶名中的字符。如果帳戶名長度低于三個字符,因為密碼被拒概率過高而不會執行此項檢查。檢查用戶全名時,有幾個字符被看作是將名稱分隔成單個令牌的分隔符,這些分隔符包括:逗號、句點、短劃線/連字符、下劃線、空格、磅字符和制表符。對于包含三個或更多字符的每個令牌,將在密碼中對其進行搜索,如果發現了該令牌,就會拒絕密碼更改。例如,姓名“Erin M. Hagens”將被拆分為三個令牌:“Erin”、“M”和“Hagens”。因為第二個令牌僅包含一個字符,因而會將其忽略。因此,該用戶密碼中的任何位置都不能包含“erin”或“hagens”子字符串。所有這些檢查都是區分大小寫的。

  這些復雜性要求在密碼更改或新建密碼時強制執行。

  不能直接修改 Windows Server 2003 策略中包括的這些規則。但是,可以創建一個新版本的 passfilt.dll,以應用不同的規則集。關于 passfilt.dll 的源代碼,請參閱 Microsoft 知識庫文章 151082“HOW TO: Password Change Filtering & Notification in Windows NT”,其網址為:http://support.microsoft.com/default.aspx?scid=151082(英文)。

  此組策略設置可能的值是:

  • 啟用

  • 禁用

  • 沒有定義

  漏洞

  只包含字母數字字符的密碼非常容易被市場上可以買到的實用程序所破解。要防止出現這種情況,密碼應該包含其他字符和要求。

  對策

  將“密碼必須符合復雜性要求”的值設置為“啟用”。

  將此設置與“最短密碼長度”值為“8”的設置結合使用,可確保一個密碼至少有 218,340,105,584,896 種不同的可能性。這樣就很難使用暴力攻擊,但也并非不可能,如果某個攻擊者具有足夠的處理能力,能夠每秒測試 100 萬個密碼,則可以在七天半左右的時間內確定這樣一個密碼。

  潛在影響

  啟用默認的 passfilt.dll 可能會因帳戶鎖定而導致幫助臺的呼叫次數增加,因為用戶可能并沒有使用包含字母表以外的字符的密碼。但此設置非常靈活,所有用戶都應該能夠通過短時間的學習來滿足這些要求。

  自定義的 passfilt.dll 中包括的其他設置是使用非上行符。上行符是指按住 Shift 鍵并鍵入任何數字(1 ? 10)時鍵入的字符。

  同時,使用 Alt 鍵字符組合可大大增加密碼的復雜性。但是,要求組織中的所有用戶都遵守如此嚴格的密碼要求可能會導致用戶不滿,并將導致幫助臺極度繁忙。考慮在組織內實現這樣一種要求,即使用 0128 ? 0159 范圍內的 Alt 字符作為所有管理員密碼的一部分。此范圍之外的 Alt 字符可表示標準的字母數字字符,而不會另外增加密碼的復雜性。

  用可還原的加密來存儲密碼(針對域中的所有用戶)

  “用可還原的加密來存儲密碼(針對域中的所有用戶)”設置確定 Microsoft Windows Server 2003、Windows 2000 Server、Windows 2000 Professional 和 Windows XP Professional 是否使用可還原的加密來存儲密碼。

  此策略支持使用需要了解用戶密碼以便進行身份驗證的協議的應用程序。根據定義,存儲以可還原方式加密的密碼意味著可以對加密的密碼進行解密。能夠破解這種加密的高水平攻擊者然后可以使用已被破壞的帳戶來登錄到網絡資源。出于此原因,請永遠不要啟用此設置,除非應用程序的要求比保護密碼信息更為重要。

  使用通過遠程訪問的 CHAP 身份驗證或 Internet 驗證服務 (IAS) 時要求啟用此設置。質詢握手身份驗證協議 (CHAP) 是 Microsoft 遠程訪問和網絡連接使用的一種身份驗證協議。Microsoft Internet 信息服務 (IIS) 的摘要式驗證也要求啟用此設置。

  此組策略設置可能的值是:

  • 啟用

  • 禁用

  • 沒有定義

  漏洞

  此設置確定 Windows Server 2003 是否以更容易遭到暴力攻擊的一種較弱格式來存儲密碼。

  對策

  將“用可還原的加密來存儲密碼(針對域中的所有用戶)”的值設置為“禁用”。

  潛在影響

  使用通過遠程訪問的 CHAP 身份驗證協議或 IAS 服務。IIS 中的摘要式身份驗證要求將此值設置為“禁用”。將使用組策略逐個應用到每位用戶是一種極其危險的設置,因為它要求在 Active Directory 用戶和計算機管理控制臺中打開適當的用戶帳戶對象。

  警告:請永遠不要啟用此設置,除非業務要求比保護密碼信息更為重要。

  帳戶鎖定策略

  試圖登錄到系統時多次不成功的密碼嘗試可能表示攻擊者正在以試錯法來確定帳戶密碼。Windows Server 2003 跟蹤登錄嘗試,而且可以將操作系統配置為通過在預設時間段內禁用帳戶來響應這種潛在攻擊。隨本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”(英文)為默認設置編制了文檔。

  可以在組策略對象編輯器的以下位置配置帳戶鎖定策略設置:

  計算機配置\Windows 設置\安全設置\帳戶策略\帳戶鎖定策略

  帳戶鎖定時間

  “帳戶鎖定時間”設置確定在自動解鎖之前鎖定帳戶保持鎖定狀態的時間。可用范圍為從 1 到 99,999 分鐘。通過將該值設定為“0”,可以指定在管理員明確解鎖之前鎖定帳戶。如果定義了帳戶鎖定閥值,帳戶鎖定時間必須大于或等于復位時間。

  此組策略設置可能的值是:

  • 用戶定義的值,在 0 至 99,999 分鐘之間

  • 沒有定義

  漏洞

  如果攻擊者濫用“帳戶鎖定閥值”并反復嘗試登錄到帳戶,則可能產生拒絕服務 (DoS) 攻擊。如果配置“帳戶鎖定閥值”,在失敗嘗試達到指定次數之后將鎖定帳戶。如果“帳戶鎖定時間”設置為 0,則在管理員手動解鎖前帳戶將保持鎖定狀態。

  對策

  將“帳戶鎖定時間”設置為“30 分鐘”。要指定該帳戶永不鎖定,請將該值設置為“0”。

  潛在影響

  將此設置的值配置為永不自動解鎖可能看上去是一個好主意,但這樣做會增加組織支持專家收到的要求解鎖意外鎖定帳戶的請求的數目。

  帳戶鎖定閾值

  “帳戶鎖定閥值”確定導致用戶帳戶鎖定的登錄嘗試失敗的次數。在管理員復位或帳戶鎖定時間到期之前,不能使用已鎖定的帳戶。可以將登錄嘗試失敗的次數設置在 1 至 999 之間,或者通過將該值設置為“0”,使帳戶永不鎖定。如果定義了帳戶鎖定閥值,帳戶鎖定時間必須大于或等于復位時間。

  在使用 Ctrl+Alt+Delete 或受密碼保護的屏幕保護程序進行鎖定的工作站或成員服務器上的失敗密碼嘗試,將不作為失敗的登錄嘗試來計數,除非啟用了組策略“交互式登錄:要求域控制器身份驗證以解鎖工作站”。如果啟用了“交互式登錄:要求域控制器身份驗證以解鎖工作站”,則因解鎖工作站而重復的失敗密碼嘗試次數將被計入“帳戶鎖定閥值”。

  此組策略設置可能的值是:

  • 用戶指定的值,在 0 至 999 之間

  • 沒有定義

  漏洞

  密碼攻擊可能利用自動化的方法,對任何或所有用戶帳戶嘗試數千甚至數百萬種密碼組合。限制可以執行的失敗登錄次數幾乎消除了這種攻擊的有效性。

  但是,請務必注意,可能在配置了帳戶鎖定閥值的域上執行 DoS 攻擊。惡意攻擊者可編制程序來嘗試對組織中的所有用戶進行一系列密碼攻擊。如果嘗試次數大于帳戶鎖定閥值,則攻擊者有可能鎖定每一個帳戶。

  對策

  由于配置此值或不配置此值時都存在漏洞,因此要定義兩種不同的對策。任何組織都應該根據識別的威脅和正在嘗試降低的風險來在兩者之間進行權衡。有兩個選項可用于此設置。

  • 將“帳戶鎖定閥值”設置為“0”。這可確保帳戶永不鎖定。此設置可防止故意鎖定全部或一些特定帳戶的 DoS 攻擊。另外,此設置還有助于減少幫助臺的呼叫次數,因為用戶不會將自己意外地鎖定在帳戶外。

  由于它不能阻止暴力攻擊,因此只有在下列要求均得到明確滿足時才可以選擇此設置:

  • 密碼策略強制所有用戶使用由 8 個或更多字符組成的復雜密碼。

  • 強健的審核機制已經就位,可以在組織環境中發生一系列失敗登錄時提醒管理員。

  • 如果不滿足上述要求,請將“帳戶鎖定閥值”設置為足夠高的值,以便用戶能夠在意外地錯誤輸入幾次密碼時不會鎖定自己的帳戶,但可確保暴力密碼攻擊仍然會鎖定帳戶。在這種情況下,將該值設置為 50 次無效登錄嘗試是一個不錯的建議。如上所述,此設置可以避免意外的帳戶鎖定,從而降低了幫助臺的呼叫次數,但不能防止 DoS 攻擊。

  潛在影響

  啟用此設置可防止使用已鎖定的帳戶,直到管理員將該帳戶復位或帳戶鎖定時間到期。此設置很可能會生成許多其他的幫助臺呼叫。事實上,在許多組織中,鎖定帳戶都會為公司幫助臺帶來數目最多的呼叫。

  如果將帳戶鎖定閥值設置為“0”,則可能檢測不到攻擊者嘗試使用暴力密碼攻擊來破解密碼。

  復位帳戶鎖定計數器

  “復位帳戶鎖定計數器”設置確定在登錄嘗試失敗后,將失敗登錄嘗試計數器復位到 0 次失敗登錄嘗試之前所必須經過的時間(以分鐘為單位)。如果定義了“帳戶鎖定閾值”,則此復位時間必須小于或等于“帳戶鎖定時間”。

  此組策略設置可能的值是:

  • 用戶定義的數值,在 1 至 99,999 分鐘之間

  • 沒有定義

  漏洞

  如果多次錯誤地輸入密碼,用戶可能會意外地將自己鎖定在帳戶之外。要減少這種可能性,“復位帳戶鎖定計數器”設置確定在登錄嘗試失敗后,將無效登錄嘗試計數器復位到 0 之前所必須經過的時間。

  對策

  將“復位帳戶鎖定計數器”的值設置為“30 分鐘”。

  潛在影響

  不設置此值,或者為此值設置的時間間隔太長都可能導致 DoS 攻擊。攻擊者對組織中的所有用戶惡意執行大量的失敗登錄嘗試,以鎖定他們的帳戶,如上所述。如果沒有復位帳戶鎖定的策略,管理員必須手動解鎖所有帳戶。如果設置了合理的值,用戶將被鎖定一段時間,但在這段時間結束后,其帳戶將自動解鎖。

  Kerberos 策略

  在 Windows Server 2003 中,Kerberos V5 身份驗證協議提供默認的身份驗證服務機制,以及用戶訪問資源并在該資源上執行任務所必需的身份驗證數據。通過縮短 Kerberos 票證的壽命,可降低攻擊者竊取并成功使用合法用戶憑據的風險。但這會增加授權開銷。在大多數環境中都不需要更改這些設置。在域級別應用這些設置,在 Windows 2000 或 Windows Server 2003 Active Directory 域默認安裝的默認域策略 GPO 中配置這些默認值。隨本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”(英文)為默認設置編制了文檔。

  可以在組策略對象編輯器的以下位置配置 Kerberos 策略設置:

  計算機配置\Windows 設置\安全設置\帳戶策略\Kerberos 策略

  強制用戶登錄限制

  此安全設置確定 Kerberos V5 密鑰分布中心 (KDC) 是否根據用戶帳戶的用戶權限策略來驗證會話票證的每個請求。驗證會話票證的每個請求是可選功能,因為執行額外的步驟會消耗時間,并且可能會降低網絡訪問服務的速度。

  漏洞

  如果禁用此設置,可能會為用戶授予他們無權使用的服務的會話票證。

  對策

  將“強制實施用戶登錄限制”的值設置為“啟用”。

  此組策略設置可能的值是:

  • 啟用

  • 禁用

  • 沒有定義

  潛在影響

  這是默認設置,沒有潛在影響。


      畢業生如何找到工作? 7合1 GPS掌上電腦
     惠普2410調查頒獎咯! wow專用聊天工具
  服務票證最長壽命

  此安全設置確定可以使用所授予的權會話票證來訪問特定服務的最長時間(以分鐘為單位)。此設置必須大于或等于 10 分鐘,并小于或等于“用戶票證最長壽命”設置。

  如果客戶端在請求連接到服務器時顯示過期的會話票證,該服務器將返回錯誤消息。客戶端必須向 Kerberos V5 密鑰分布中心 (KDC) 請求新的會話票證。但在連接通過驗證之后,它將不再關心會話票證是否有效。會話票證只用于驗證與服務器之間的新連接。如果驗證連接的會話票證在連接期間到期,將不會中斷正在進行的操作。

  漏洞

  如果此設置的值太高,用戶可以在其登錄時間范圍之外訪問網絡資源,或者其帳戶已經被禁用的用戶可以使用帳戶禁用前發出的有效服務票證來繼續訪問網絡服務。

  對策

  將“服務票證最長壽命”設置為“600 分鐘”。

  此組策略設置可能的值是:

  • 用戶定義的值(以分鐘為單位),在 10 至 99,999 之間,或者為 0,表明服務票證不會過期

  • 沒有定義

  潛在影響

  這是默認設置,沒有潛在影響。

  用戶票證最長壽命

  此安全設置確定用戶的票證授權票證 (TGT) 的最長有效期(以小時為單位)。當用戶的 TGT 到期時,必須請求新 TGT,或者必須“續訂”現有 TGT。

  漏洞

  如果此設置的值太高,用戶可以在其登錄時間范圍之外訪問網絡資源,或者其帳戶已經被禁用的用戶可以使用帳戶禁用前發出的有效服務票證來繼續訪問網絡服務。

  對策

  將“用戶票證的最長有效期”的值設置為“10 小時”。

  此組策略設置可能的值是:

  • 用戶定義的值,在 0 至 99,999 分鐘之間

  • 沒有定義

  潛在影響

  這是默認設置,沒有潛在影響。

  用戶票證續訂的最長壽命

  此安全設置確定用戶票證授權票證 (TGT) 可以續訂的時間期限(以天為單位)。

  漏洞

  如果此設置的值太高,用戶可以續訂非常舊的用戶票證。

  對策

  將“用戶票證續訂的最長壽命”的值設置為“7 天”。

  此組策略設置可能的值是:

  • 用戶定義的值,在 0 至 99,999 分鐘之間

  • 沒有定義

  潛在影響

  這是默認設置,沒有潛在影響。

  計算機時鐘同步的最大容差

  此安全設置確定 Kerberos V5 可以承受的客戶端時鐘時間和運行 Windows Server 2003(提供 Kerberos 身份驗證)的域控制器時間之間的最大時間差(以分鐘表示)。

  漏洞

  為了防止“重播攻擊”,Kerberos V5 使用時間戳作為其協議定義的一部分。為了使時間戳正常運行,客戶端和域控制器的時鐘需要盡可能同步。由于兩臺計算機的時鐘經常不同步,管理員可以使用此策略建立 Kerberos V5 可以接受的客戶端時鐘和域控制器時鐘之間的最大時間差。如果客戶端時鐘和域控制器時鐘之間的時間差小于此策略指定的最大時間差,則兩臺計算機之間的會話所使用的任何時間戳都被認為是可信的。

  對策

  將“計算機時鐘同步的最大容差”的值設置為“5 分鐘”。

  此組策略設置可能的值是:

  • 用戶定義的值,在 1 至 99,999 分鐘之間

  • 沒有定義

  潛在影響

  這是默認設置,沒有潛在影響。

相關文章:

推薦設計

最新文章