葛娟娟

[摘要]結(jié)合Windows Server2003系統(tǒng)安全策略中的賬戶策略和審核策略對(duì)網(wǎng)絡(luò)安全策略的管理與應(yīng)用進(jìn)行研究探討。

[關(guān)鍵詞]賬戶策略 密碼策略 賬戶鎖定策略 Kerberos策略 審核策略

中圖分類號(hào)：TP3文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671－7597（2009）0520061－01

網(wǎng)絡(luò)安全策略的管理是任何網(wǎng)絡(luò)系統(tǒng)管理必不可少的一部分，而且在網(wǎng)絡(luò)安全形式日趨嚴(yán)重的今天，更是顯得尤為重要。網(wǎng)絡(luò)安全策略配置不好，一方面可能使一些用戶有了過高的權(quán)限，而使另一些需要高權(quán)限的用戶卻得不到相應(yīng)的權(quán)限，造成權(quán)限配置不當(dāng)；另一方面還可能給網(wǎng)絡(luò)帶來非常大的安全隱患，使一些別有用心的人通過安

全策略配置上的各種漏洞達(dá)到非法入侵的目的。

一、安全策略概述

安全策略是影響計(jì)算機(jī)上安全性的安全設(shè)置的組合。所有安全策略都是基于計(jì)算機(jī)的策略。安全設(shè)置和安全策略是配置在一臺(tái)或多臺(tái)計(jì)算機(jī)上的規(guī)則，用于保護(hù)計(jì)算機(jī)或網(wǎng)絡(luò)上的資源。組織單位、域和站點(diǎn)是組策略對(duì)象相連接的。安全設(shè)置工具只允許更改組策略對(duì)象的安全配置，并因此影響多臺(tái)計(jì)算機(jī)。借助安全設(shè)置，可以控制用戶訪問網(wǎng)絡(luò)或者計(jì)算機(jī)的身份認(rèn)、授權(quán)給用戶或者用戶組的可以使用的資源、用戶或組的操作日志中和組成員。

二、賬戶策略

賬戶策略定義在計(jì)算機(jī)上，卻可以影響用戶賬戶與計(jì)算機(jī)或域交互作用的方式。賬戶策略包含：密碼策略、鎖定策略和Kerberos策略。

1．密碼策略。密碼策略（Password policy）是由一個(gè)操作系統(tǒng)關(guān)于密碼或用戶賬戶的屬性強(qiáng)制執(zhí)行的一個(gè)策略。密碼策略主要采用提高密碼復(fù)雜性、增大密碼長度、提高更換頻率等措施來實(shí)現(xiàn)密碼的復(fù)雜性。通過定義這些密碼策略強(qiáng)制改變不安全密碼的使用習(xí)慣。密碼策略用于域帳戶或本地用戶帳戶。密碼策略主要包括：（1）密碼必須符合復(fù)雜性要求；（2）密碼長度最小值；（3）密碼最長使用期限；（4）密碼最短使用期限；（5）強(qiáng)制密碼歷史；（6）用可還原的加密來存儲(chǔ)密碼。

2．賬戶鎖定策略。賬戶鎖定策略首先給指定賬戶設(shè)置一個(gè)賬戶鎖定閥值，即該賬戶無效登陸的次數(shù)。如果在設(shè)定的次數(shù)內(nèi)該用戶登陸失敗，系統(tǒng)就會(huì)鎖定該賬戶。此時(shí)即使該用戶合法也將無法登陸，只有管理員才可以重新啟用該賬戶。這樣就造成了諸多不便，為此，可以在用戶鎖定策略里面同時(shí)設(shè)定鎖定的時(shí)間和復(fù)位計(jì)數(shù)器的時(shí)間。

賬戶鎖定策略用于域賬戶或本地用戶賬戶，用來確定某個(gè)賬戶被系統(tǒng)鎖定的情況和時(shí)間長短。賬戶鎖定策略包含以下3個(gè)策略：（1）賬戶鎖定閾值；（2）賬戶鎖定時(shí)間；（3）復(fù)位賬戶鎖定計(jì)數(shù)器。

3．Kerberos策略。Kerberos協(xié)議主要用于計(jì)算機(jī)網(wǎng)絡(luò)的身份鑒別（Authentication），其特點(diǎn)是用戶只需輸入一次身份驗(yàn)證信息就可以憑借此驗(yàn)證獲得的票據(jù)（ticket-granting ticket）訪問多個(gè)服務(wù)，即SSO（Single Sign On）。Kerberos主要用于確認(rèn)用戶或主機(jī)身份。由于在每個(gè)用戶和主機(jī)之間建立了共享密鑰，使得Kerberos相當(dāng)安全。

Kerberos是Windows活動(dòng)目錄使用的默認(rèn)認(rèn)證方式，自從活動(dòng)目錄使用Kerberos 作為必要的認(rèn)證方式后，Kerberos策略僅對(duì)Windows 域GPO具有重要作用。Kerberos策略用于域用戶賬戶，用于確定與Kerberos相關(guān)的設(shè)置，例如票證的有效期限和強(qiáng)制執(zhí)行。但Kerberos策略只能應(yīng)用于域中的計(jì)算機(jī)中。Kerberos策略主要包括：（1）強(qiáng)制用戶登錄限制；（2）服務(wù)票證最長壽命；（3）強(qiáng)制用戶登錄限制；（4）用戶票證續(xù)訂最長壽命；（5）用戶票證最長壽命。

三、審核策略

審核策略可以將發(fā)生在用戶和系統(tǒng)上的一些行為記錄到系統(tǒng)日志中，通過系統(tǒng)日志我們可以分析發(fā)生在本地系統(tǒng)中或域中的一些事件。如果我們?cè)诰W(wǎng)絡(luò)上設(shè)置了訪問許可，就有必要建立審核策略來追蹤用戶對(duì)這個(gè)資源的訪問，審核策略是追蹤安全方面用戶事件的一個(gè)很好的工具。執(zhí)行審核策略前，必須決定要審核的事件類別。

如果在組織內(nèi)的計(jì)算機(jī)上沒有配置審核，或者將審核設(shè)置的太低，將缺少足夠的甚至根本沒有可用的證據(jù)，可在發(fā)生安全事件后用于網(wǎng)絡(luò)辯論分析。而另一方面，如果啟用過多的審核，安全日志中將填滿毫無意義的審核項(xiàng)。審核策略的作用主要包括：（1）審核帳戶登錄事件；（2）審核帳戶管理；（3）審核目錄服務(wù)訪問；（4）審核登錄事件；（5）審核對(duì)象訪問；（6）審核策略更改；（7）審核特權(quán)使用；（8）審核過程跟蹤；（9）審核系統(tǒng)事件。

四、安全策略的應(yīng)用

1．密碼策略的配置

（１）對(duì)于本地計(jì)算機(jī)。對(duì)于本地計(jì)算機(jī)的用戶賬戶，其密碼策略設(shè)置是在“本地安全設(shè)置”管理工具中進(jìn)行的。執(zhí)行【開始】→【管理工具】→【本地安全策略】菜單操作，打開“本地安全設(shè)置”界面。然后按照密碼策略進(jìn)行配置。

（２）對(duì)于域且管理員位于已加入到域中的成員服務(wù)器或工作站。執(zhí)行【開始】→【運(yùn)行】菜單操作，在對(duì)話框中輸入mmc命令，打開Microsoft管理控制臺(tái)（MMC）進(jìn)行配置。

（３）對(duì)于管理員位于域控制器或已安裝了Windows Server 2003管理工具包的工作站。在這種情況下，審核策略的配置方法是在“Active Directory用戶和計(jì)算機(jī)”管理工具中打開組策略進(jìn)行的。

2．賬戶鎖定策略的配置

打開組策略編輯器，依次展開【計(jì)算機(jī)配置】→【W(wǎng)indows設(shè)置】→【安全設(shè)置】→【賬戶策略】→【賬戶鎖定策略】進(jìn)行配置

3．Kerberos策略的配置

打開組策略編輯器，依次展開【計(jì)算機(jī)配置】→【W(wǎng)indows設(shè)置】→【安全設(shè)置】→【賬戶策略】→【Kerberos策略】進(jìn)行配置

4．審核策略的配置

（１）對(duì)于本地計(jì)算機(jī)。打開組策略編輯器，依次展開【計(jì)算機(jī)配置】→【W(wǎng)indows設(shè)置】→【安全設(shè)置】→【本地策略】→【審核策略】進(jìn)行配置

（２）在一臺(tái)域控制器或已安裝了Windows Server 2003管理工具包的工作站。①執(zhí)行【開始】→【管理工具】→【域控制器安全策略】菜單操作。②在控制臺(tái)樹中，按【W(wǎng)indows設(shè)置】→【安全設(shè)置】→【本地策略】→【審核策略】順序依次展開各選項(xiàng)。③選擇【屬性】菜單選項(xiàng)進(jìn)行設(shè)置。

（３）在一臺(tái)域控制器或已安裝了“管理工具包”的工作站。在這種情況下，審核策略的配置方法是在“Active Directory用戶和計(jì)算機(jī)”管理工具中打開組策略進(jìn)行的。

（４）對(duì)于域或組織單位在一臺(tái)成員服務(wù)器或已加入域的工作站。在這種情況下，審核策略的配置方法是在控制臺(tái)中通過添加“組策略對(duì)象編輯器”管理單元進(jìn)行的。

參考文獻(xiàn)：

[1]王淑江等，《Windows Server 2003系統(tǒng)安全管理》，電子工業(yè)出版社，2009.3.

[2]劉小輝等，《Windows Server 2003系統(tǒng)安全》，人民郵電出版社，2007.7.