用可还原的加密来存储密码(针对域中的所有用户)
“用可还原的加密来存储密码(针对域中的所有用户)”设置确定 Microsoft Windows Server 2003、Windows 2000 Server、Windows 2000 Professional 和 Windows XP Professional 是否使用可还原的加密来存储密码。
此策略支持使用需要了解用户密码以便进行身份验证的协议的应用程序。根据定义,存储以可还原方式加密的密码意味着可以对加密的密码进行解密。能够破解这种加密的高水平攻击者然后可以使用已被破坏的帐户来登录到网络资源。出于此原因,请永远不要启用此设置,除非应用程序的要求比保护密码信息更为重要。
使用通过远程访问的 CHAP 身份验证或 Internet 验证服务 (IAS) 时要求启用此设置。质询握手身份验证协议 (CHAP) 是 Microsoft 远程访问和网络连接使用的一种身份验证协议。Microsoft Internet 信息服务 (IIS) 的摘要式验证也要求启用此设置。
此组策略设置可能的值是:
·启用
·禁用
·没有定义
漏洞
此设置确定 Windows Server 2003 是否以更容易遭到暴力攻击的一种较弱格式来存储密码。
对策
将“用可还原的加密来存储密码(针对域中的所有用户)”的值设置为“禁用”。
潜在影响
使用通过远程访问的 CHAP 身份验证协议或 IAS 服务。IIS 中的摘要式身份验证要求将此值设置为“禁用”。将使用组策略逐个应用到每位用户是一种极其危险的设置,因为它要求在 Active Directory 用户和计算机管理控制台中打开适当的用户帐户对象。
警告:请永远不要启用此设置,除非业务要求比保护密码信息更为重要。
帐户锁定策略
试图登录到系统时多次不成功的密码尝试可能表示攻击者正在以试错法来确定帐户密码。Windows Server 2003 跟踪登录尝试,而且可以将操作系统配置为通过在预设时间段内禁用帐户来响应这种潜在攻击。随本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”(英文)为默认设置编制了文档。
可以在组策略对象编辑器的以下位置配置帐户锁定策略设置:
计算机配置\Windows 设置\安全设置\帐户策略\帐户锁定策略
帐户锁定时间
“帐户锁定时间”设置确定在自动解锁之前锁定帐户保持锁定状态的时间。可用范围为从 1 到 99,999 分钟。通过将该值设定为“0”,可以指定在管理员明确解锁之前锁定帐户。如果定义了帐户锁定阀值,帐户锁定时间必须大于或等于复位时间。
此组策略设置可能的值是:
·用户定义的值,在 0 至 99,999 分钟之间
·没有定义
漏洞
如果攻击者滥用“帐户锁定阀值”并反复尝试登录到帐户,则可能产生拒绝服务 (DoS) 攻击。如果配置“帐户锁定阀值”,在失败尝试达到指定次数之后将锁定帐户。如果“帐户锁定时间”设置为 0,则在管理员手动解锁前帐户将保持锁定状态。
对策
将“帐户锁定时间”设置为“30 分钟”。要指定该帐户永不锁定,请将该值设置为“0”。
潜在影响
将此设置的值配置为永不自动解锁可能看上去是一个好主意,但这样做会增加组织支持专家收到的要求解锁意外锁定帐户的请求的数目。
