繼上篇文章Active Directory域基礎(chǔ)結(jié)構(gòu)配置二之后，本文的Active Directory域基礎(chǔ)結(jié)構(gòu)配置三由下文所述：

帳戶鎖定策略

帳戶鎖定策略是一項 Active Directory 安全功能，它在一個指定時間段內(nèi)多次登錄嘗試失敗后鎖定用戶帳戶。允許的嘗試次數(shù)和時間段基于為安全策略鎖定設(shè)置配置的值。用戶不能登錄到鎖定的帳戶。域控制器跟蹤登錄嘗試，而且服務(wù)器軟件可以配置為通過在預(yù)設(shè)時間段禁用帳戶來響應(yīng)此類潛在攻擊。

在 Active Directory 域中配置帳戶鎖定策略時，管理員可以為嘗試和時間段變量設(shè)置任何值。但是，如果“復(fù)位帳戶鎖定計數(shù)器”設(shè)置的值大于“帳戶鎖定時間”設(shè)置的值，則域控制器自動將“帳戶鎖定時間”設(shè)置的值調(diào)整為與“復(fù)位帳戶鎖定計數(shù)器”設(shè)置相同的值。

另外，如果“帳戶鎖定時間”設(shè)置的值比為“復(fù)位帳戶鎖定計數(shù)器”設(shè)置配置的值低，則域控制器自動將“復(fù)位帳戶鎖定計數(shù)器”的值調(diào)整為與“帳戶鎖定時間”設(shè)置相同的值。因此，如果定義了“帳戶鎖定時間”設(shè)置的值，則“復(fù)位帳戶鎖定計數(shù)器”設(shè)置的值必須小于或等于為“帳戶鎖定時間”設(shè)置所配置的值。

域控制器執(zhí)行此操作，以避免與安全策略中的設(shè)置值沖突。如果管理員將“復(fù)位帳戶鎖定計數(shù)器”設(shè)置的值配置為比“帳戶鎖定時間”設(shè)置的值大，則為“帳戶鎖定時間”設(shè)置配置的值的實施將首先過期，因此用戶可以登錄回網(wǎng)絡(luò)上。但是，“復(fù)位帳戶鎖定計數(shù)器”設(shè)置將繼續(xù)計數(shù)。因此“帳戶鎖定閾值”設(shè)置將保留最大值（ 3 次無效登錄），用戶將無法登錄。

為了避免此情況，域控制器將“復(fù)位帳戶鎖定計數(shù)器”設(shè)置的值自動重置為與“帳戶鎖定時間”設(shè)置的值相等。 這些安全策略設(shè)置有助于防止攻擊者猜測用戶密碼，并且會降低對網(wǎng)絡(luò)環(huán)境的攻擊成功的可能性?？梢栽?strong>組策略對象編輯器中以下位置的域組策略中配置下表中的值： 計算機配置\Windows 設(shè)置\安全設(shè)置\帳戶策略\帳戶鎖定策略 下表包含對本指南中定義的兩種安全環(huán)境的帳戶鎖定策略建議。

帳戶鎖定時間

　

“帳戶鎖定時間”設(shè)置確定在未鎖定帳戶且用戶可以嘗試再次登錄之前所必須經(jīng)歷的時間長度。此設(shè)置通過指定鎖定帳戶保持不可用的分鐘數(shù)來執(zhí)行此操作。如果“帳戶鎖定時間”設(shè)置的值配置為 0，則鎖定的帳戶將保持鎖定，直到管理員將它們解鎖。此設(shè)置的 Windows XP 默認值為“沒有定義”。

為了減少幫助臺支持呼叫的次數(shù)，同時提供安全的基礎(chǔ)結(jié)構(gòu)，對于本指南中定義的兩種環(huán)境，將“帳戶鎖定時間”設(shè)置的值配置為“30 分鐘”。

將此設(shè)置的值配置為永不自動解鎖似乎是一個好主意，但這樣做會增加組織中的幫助臺為了解鎖不小心鎖定的帳戶而收到的呼叫的次數(shù)。對于每個鎖定級別，將此設(shè)置的值配置為 30 分鐘可以減少“拒絕服務(wù) (DoS)”攻擊的機會。此設(shè)置值還使用戶在帳戶鎖定時有機會在 30 分鐘內(nèi)再次登錄，這是在無需求助于幫助臺的情況下他們最可能接受的時間段。

帳戶鎖定閾值

　

“帳戶鎖定閾值”設(shè)置確定用戶在帳戶鎖定之前可以嘗試登錄帳戶的次數(shù)。

授權(quán)用戶將自己鎖定在帳戶外的原因可能有：輸錯密碼或記錯密碼，或者在計算機上更改了密碼而又登錄到其他計算機。帶有錯誤密碼的計算機連續(xù)嘗試對用戶進行身份驗證，由于它用于身份驗證的密碼不正確，導(dǎo)致用戶帳戶最終鎖定。對于只使用運行 Windows Server 2003 或更早版本的域控制器的組織，不存在此問題。為了避免鎖定授權(quán)用戶，請將帳戶鎖定閾值設(shè)置為較高的數(shù)字。此設(shè)置的默認值為“0 次無效登錄”。

對于本指南中定義的兩種環(huán)境，將“帳戶鎖定閾值”的值配置為“50 次無效登錄”。 由于無論是否配置此設(shè)置的值都會存在漏洞，所以，為這些可能性中的每種可能性定義了獨特措施。您的組織應(yīng)該根據(jù)識別的威脅和正在嘗試降低的風險來在兩者之間做出平衡。

有兩個選項可用于此設(shè)置。 將“帳戶鎖定閾值”的值配置為“0”可以確保帳戶不會鎖定。此設(shè)置值將避免旨在鎖定組織中的帳戶的 DoS 攻擊。它還可以減少幫助臺呼叫次數(shù)，因為用戶不會將自己意外地鎖定在帳戶外。由于此設(shè)置不能避免強力攻擊，所以，只有當明確符合下列兩個條件時才將它配置為比 0 大的值 密碼策略強制所有用戶使用由 8 個或更多字符組成的復(fù)雜密碼。 強健的審核機制已經(jīng)就位，以便當組織環(huán)境中發(fā)生一系列帳戶鎖定時提醒管理員。例如，審核解決方案應(yīng)該監(jiān)視安全事件 539（此事件為登錄失敗）。此事件意味著當嘗試登錄時鎖定帳戶。

如果不符合上述條件，則第二個選項為： 將“帳戶鎖定閾值”設(shè)置配置為足夠高的值，以便讓用戶可以意外輸錯密碼若干次而不會將自己鎖定在帳戶外，同時確保強力密碼攻擊仍會鎖定帳戶。在這種情況下，將此設(shè)置的值配置為一定次數(shù)（例如 3 到 5 次）的無效登錄可以確保適當?shù)陌踩院涂山邮艿目捎眯浴４嗽O(shè)置值將避免意外的帳戶鎖定和減少幫助臺呼叫次數(shù)，但不能如上所述避免 DoS 攻擊。

復(fù)位帳戶鎖定計數(shù)器

　

“復(fù)位帳戶鎖定計數(shù)器”設(shè)置確定“帳戶鎖定閾值”重置為零之前的時間長度。此設(shè)置的默認值為“沒有定義”。如果定義了“帳戶鎖定閾值”，則此重置時間必須小于或等于“帳戶鎖定時間”設(shè)置的值。 對于本指南中定義的兩種環(huán)境，將“復(fù)位帳戶鎖定計數(shù)器”設(shè)置配置為“30 分鐘之后”。

將此設(shè)置保留為其默認值，或者以很長的間隔配置此值，都會使環(huán)境面臨 DoS 攻擊的威脅。攻擊者對組織中的所有用戶惡意地進行大量失敗登錄，如上所述鎖定他們的帳戶。如果沒有確定策略來重置帳戶鎖定，則管理員必須手動解鎖所有帳戶。

反過來，如果為此設(shè)置配置了合理的時間值，在所有帳戶自動解鎖之前用戶只鎖定一段已設(shè)置的時間。因此，建議的設(shè)置值 30 分鐘定義了用戶在無需求助于幫助臺的情況下最可能接受的時間段。

用戶權(quán)限分配

模塊 3“Windows XP 客戶端安全設(shè)置”中詳細介紹了用戶權(quán)限分配。但是，應(yīng)該對所有域控制器設(shè)置“域中添加工作站”用戶權(quán)限，本模塊中討論了其原因。“Windows 2003 Server Security Guide”（英文）的模塊 3 和 4 中介紹了有關(guān)成員服務(wù)器和域控制器設(shè)置的其他信息。

域中添加工作站

　

“域中添加工作站”用戶權(quán)限允許用戶向特定域中添加計算機。為了使此權(quán)限生效，必須將它作為域的默認域控制器策略的一部分分配給用戶。授予了此權(quán)限的用戶可以向域中最多添加 10 個工作站。授予了 Active Directory 中 OU 或計算機容器的“創(chuàng)建計算機對象”權(quán)限的用戶還可以將計算機加入域。授予了此權(quán)限的用戶可以向域中添加不限數(shù)量的計算機，無論他們是否已被分配“域中添加工作站”用戶權(quán)限。

默認情況下，“Authenticated Users”組中的所有用戶能夠向 Active Directory 域中最多添加 10 個計算機帳戶。這些新計算機帳戶是在計算機容器中創(chuàng)建的。 在 Active Directory 域中，每個計算機帳戶是一個完整的安全主體，它能夠?qū)τ蛸Y源進行身份驗證和訪問。某些組織想要限制 Active Directory 環(huán)境中的計算機數(shù)量，以便他們可以始終跟蹤、生成和管理它們。

允許用戶向域中添加工作站會妨礙此努力。它還為用戶提供了執(zhí)行更難跟蹤的活動的途徑，因為他們可以創(chuàng)建其他未授權(quán)的域計算機。 出于這些原因，在本指南中定義的兩種環(huán)境中，“域中添加工作站”用戶權(quán)限只授予給“Administrators”組。

安全設(shè)置

帳戶策略必須在默認域策略中定義，且必須由組成域的域控制器強制執(zhí)行。域控制器始終從默認域策略 GPO 獲取帳戶策略，即使存在對包含域控制器的 OU 應(yīng)用的其他帳戶策略。

在安全選項中有兩個策略，它們也像域級別要考慮的帳戶策略那樣發(fā)揮作用?？梢栽诮M策略對象編輯器中的以下位置配置下表中的域組策略值： 計算機配置\Windows 設(shè)置\安全設(shè)置\本地策略\安全選項 Microsoft 網(wǎng)絡(luò)服務(wù)器：當?shù)卿洉r間用完時自動注銷用戶

　

“Microsoft 網(wǎng)絡(luò)服務(wù)器：當?shù)卿洉r間用完時自動注銷用戶”設(shè)置確定在超過用戶帳戶的有效登錄時間后，是否斷開連接到本地計算機的用戶。此設(shè)置影響服務(wù)器消息塊 (SMB) 組件。啟用此策略后，它使客戶端與 SMB 服務(wù)的會話在超過客戶端登錄時間后強制斷開。如果禁用此策略，則允許已建立的客戶端會話在超過客戶端登錄時間后繼續(xù)進行。啟用此設(shè)置可以確保也啟用了“網(wǎng)絡(luò)安全：在超過登錄時間后強制注銷”設(shè)置。

如果組織已經(jīng)為用戶配置了登錄時間，則很有必要啟用此策略。否則，已假設(shè)無法在超出登錄時間后訪問網(wǎng)絡(luò)資源的用戶，實際上可以通過在允許的時間中建立的會話繼續(xù)使用這些資源。 如果在組織中未使用登錄時間，則啟用此設(shè)置將沒有影響。如果使用了登錄時間，則當超過現(xiàn)有用戶的登錄時間后將強制終止現(xiàn)有用戶會話。  

希望本系列Active Directory域基礎(chǔ)結(jié)構(gòu)配置內(nèi)容能夠?qū)ψx者有所幫助。

【編輯推薦】

1. Active Directory之目錄服務(wù)
2. 利用Active Directory標識和跟蹤虛擬機
3. 如何打開 Active Directory 用戶和計算機
4. Windows 2000 Server 如何設(shè)置Active Directory 域
5. 如何利用Active Directory Sizer規(guī)劃基礎(chǔ)構(gòu)架的需求