葛娟娟

[摘要]結(jié)合Windows Server2003系統(tǒng)安全策略中的賬戶策略和審核策略對網(wǎng)絡安全策略的管理與應用進行研究探討。

[關鍵詞]賬戶策略 密碼策略 賬戶鎖定策略 Kerberos策略 審核策略

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597（2009）0520061－01

網(wǎng)絡安全策略的管理是任何網(wǎng)絡系統(tǒng)管理必不可少的一部分，而且在網(wǎng)絡安全形式日趨嚴重的今天，更是顯得尤為重要。網(wǎng)絡安全策略配置不好，一方面可能使一些用戶有了過高的權(quán)限，而使另一些需要高權(quán)限的用戶卻得不到相應的權(quán)限，造成權(quán)限配置不當；另一方面還可能給網(wǎng)絡帶來非常大的安全隱患，使一些別有用心的人通過安

全策略配置上的各種漏洞達到非法入侵的目的。

一、安全策略概述

安全策略是影響計算機上安全性的安全設置的組合。所有安全策略都是基于計算機的策略。安全設置和安全策略是配置在一臺或多臺計算機上的規(guī)則，用于保護計算機或網(wǎng)絡上的資源。組織單位、域和站點是組策略對象相連接的。安全設置工具只允許更改組策略對象的安全配置，并因此影響多臺計算機。借助安全設置，可以控制用戶訪問網(wǎng)絡或者計算機的身份認、授權(quán)給用戶或者用戶組的可以使用的資源、用戶或組的操作日志中和組成員。

二、賬戶策略

賬戶策略定義在計算機上，卻可以影響用戶賬戶與計算機或域交互作用的方式。賬戶策略包含：密碼策略、鎖定策略和Kerberos策略。

1．密碼策略。密碼策略（Password policy）是由一個操作系統(tǒng)關于密碼或用戶賬戶的屬性強制執(zhí)行的一個策略。密碼策略主要采用提高密碼復雜性、增大密碼長度、提高更換頻率等措施來實現(xiàn)密碼的復雜性。通過定義這些密碼策略強制改變不安全密碼的使用習慣。密碼策略用于域帳戶或本地用戶帳戶。密碼策略主要包括：（1）密碼必須符合復雜性要求；（2）密碼長度最小值；（3）密碼最長使用期限；（4）密碼最短使用期限；（5）強制密碼歷史；（6）用可還原的加密來存儲密碼。

2．賬戶鎖定策略。賬戶鎖定策略首先給指定賬戶設置一個賬戶鎖定閥值，即該賬戶無效登陸的次數(shù)。如果在設定的次數(shù)內(nèi)該用戶登陸失敗，系統(tǒng)就會鎖定該賬戶。此時即使該用戶合法也將無法登陸，只有管理員才可以重新啟用該賬戶。這樣就造成了諸多不便，為此，可以在用戶鎖定策略里面同時設定鎖定的時間和復位計數(shù)器的時間。

賬戶鎖定策略用于域賬戶或本地用戶賬戶，用來確定某個賬戶被系統(tǒng)鎖定的情況和時間長短。賬戶鎖定策略包含以下3個策略：（1）賬戶鎖定閾值；（2）賬戶鎖定時間；（3）復位賬戶鎖定計數(shù)器。

3．Kerberos策略。Kerberos協(xié)議主要用于計算機網(wǎng)絡的身份鑒別（Authentication），其特點是用戶只需輸入一次身份驗證信息就可以憑借此驗證獲得的票據(jù)（ticket-granting ticket）訪問多個服務，即SSO（Single Sign On）。Kerberos主要用于確認用戶或主機身份。由于在每個用戶和主機之間建立了共享密鑰，使得Kerberos相當安全。

Kerberos是Windows活動目錄使用的默認認證方式，自從活動目錄使用Kerberos 作為必要的認證方式后，Kerberos策略僅對Windows 域GPO具有重要作用。Kerberos策略用于域用戶賬戶，用于確定與Kerberos相關的設置，例如票證的有效期限和強制執(zhí)行。但Kerberos策略只能應用于域中的計算機中。Kerberos策略主要包括：（1）強制用戶登錄限制；（2）服務票證最長壽命；（3）強制用戶登錄限制；（4）用戶票證續(xù)訂最長壽命；（5）用戶票證最長壽命。

三、審核策略

審核策略可以將發(fā)生在用戶和系統(tǒng)上的一些行為記錄到系統(tǒng)日志中，通過系統(tǒng)日志我們可以分析發(fā)生在本地系統(tǒng)中或域中的一些事件。如果我們在網(wǎng)絡上設置了訪問許可，就有必要建立審核策略來追蹤用戶對這個資源的訪問，審核策略是追蹤安全方面用戶事件的一個很好的工具。執(zhí)行審核策略前，必須決定要審核的事件類別。

如果在組織內(nèi)的計算機上沒有配置審核，或者將審核設置的太低，將缺少足夠的甚至根本沒有可用的證據(jù)，可在發(fā)生安全事件后用于網(wǎng)絡辯論分析。而另一方面，如果啟用過多的審核，安全日志中將填滿毫無意義的審核項。審核策略的作用主要包括：（1）審核帳戶登錄事件；（2）審核帳戶管理；（3）審核目錄服務訪問；（4）審核登錄事件；（5）審核對象訪問；（6）審核策略更改；（7）審核特權(quán)使用；（8）審核過程跟蹤；（9）審核系統(tǒng)事件。

四、安全策略的應用

1．密碼策略的配置

（１）對于本地計算機。對于本地計算機的用戶賬戶，其密碼策略設置是在“本地安全設置”管理工具中進行的。執(zhí)行【開始】→【管理工具】→【本地安全策略】菜單操作，打開“本地安全設置”界面。然后按照密碼策略進行配置。

（２）對于域且管理員位于已加入到域中的成員服務器或工作站。執(zhí)行【開始】→【運行】菜單操作，在對話框中輸入mmc命令，打開Microsoft管理控制臺（MMC）進行配置。

（３）對于管理員位于域控制器或已安裝了Windows Server 2003管理工具包的工作站。在這種情況下，審核策略的配置方法是在“Active Directory用戶和計算機”管理工具中打開組策略進行的。

2．賬戶鎖定策略的配置

打開組策略編輯器，依次展開【計算機配置】→【W(wǎng)indows設置】→【安全設置】→【賬戶策略】→【賬戶鎖定策略】進行配置

3．Kerberos策略的配置

打開組策略編輯器，依次展開【計算機配置】→【W(wǎng)indows設置】→【安全設置】→【賬戶策略】→【Kerberos策略】進行配置

4．審核策略的配置

（１）對于本地計算機。打開組策略編輯器，依次展開【計算機配置】→【W(wǎng)indows設置】→【安全設置】→【本地策略】→【審核策略】進行配置

（２）在一臺域控制器或已安裝了Windows Server 2003管理工具包的工作站。①執(zhí)行【開始】→【管理工具】→【域控制器安全策略】菜單操作。②在控制臺樹中，按【W(wǎng)indows設置】→【安全設置】→【本地策略】→【審核策略】順序依次展開各選項。③選擇【屬性】菜單選項進行設置。

（３）在一臺域控制器或已安裝了“管理工具包”的工作站。在這種情況下，審核策略的配置方法是在“Active Directory用戶和計算機”管理工具中打開組策略進行的。

（４）對于域或組織單位在一臺成員服務器或已加入域的工作站。在這種情況下，審核策略的配置方法是在控制臺中通過添加“組策略對象編輯器”管理單元進行的。

參考文獻：

[1]王淑江等，《Windows Server 2003系統(tǒng)安全管理》，電子工業(yè)出版社，2009.3.

[2]劉小輝等，《Windows Server 2003系統(tǒng)安全》，人民郵電出版社，2007.7.