2023年11月27日发(作者:)

(组策略)

(组策略):

使⽤系统管理员的帐号登陆进⼊系统,打开开始”-“运⾏,在运⾏输⼊框中输⼊“”,进⼊组策略”.

说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应⽤软件配置的数据库,随着Windows功能的越来

越丰富,注册表⾥的配置项⽬也越来越多。很多配置都是可以⾃定义设置的,但这些配置发布在注册表的各个⾓落,如果是⼿

⼯配置,可想是多么困难和烦杂。⽽组策略则将系统重要的配置功能汇集成各种配置模块,供管理⼈员直接使⽤,从⽽达到⽅

便管理计算机的⽬的。

简单点说,组策略就是修改注册表中的配置。当然,组策略使⽤⾃⼰更完善的管理组织⽅法,可以对各种对象中的设置进

⾏管理和配置,远⽐⼿⼯修改注册表⽅便、灵活,功能也更加强⼤。各功能现如⼀介绍:

计算机配置-windows设置-安全设置

中包括帐户策略本地策略两个⽅⾯,⽽其中的帐户策略⼜包括:密码策略、帐户锁定策略和Kerberos策略三个⽅⾯;另

外的本地策略也包括:审核策略、⽤户权限分配和安全选项三部分。下⾯分别予以介绍。

⼀、密码策略的设置⼀、密码策略的设置

密码策略作⽤于域帐户或本地帐户,其中就包含以下⼏个⽅⾯:

强制密码历史

密码最长使⽤期限

密码最短使⽤期限

密码长度最⼩值

密码必须符合复杂性要求

⽤可还原的加密来存储密码

以上各项的配置⽅法均需根据当前⽤户帐户类型来选择。默认情况下,成员计算机的配置与其域控制器的配置相同。下⾯

分别根据⼏种不同⽤户类型介绍相应的密码策略配置⽅法。

1. 对于本地计算机

对于本地计算机的⽤户帐户,其密码策略设置是在本地安全设置管理⼯个中进⾏的。下⾯是具体的配置⽅法。

1步,执⾏〖开始〗〖管理⼯具〗〖本地安全策略〗菜单操作,打开如图所⽰的本地安全设置界⾯。对于本地计算

机中⽤户帐户和本地策略都查在此管理⼯具中进⾏配置的。

2步,因密码策略是属于⽤户策略范畴,所以先需在如上图所⽰界⾯中单击选择⽤户策略选项,然后再选择密码策略

项,在右边详细信息窗⼝中将显⽰可配置的密码策略选项的当前配置。

因为各策略选项的配置⽅法基本⼀样,所以在此仅以⼀个选项的配置进⾏介绍,其它只对各选项的具体作⽤进⾏简单介

绍。

如配置密码必须符合复杂性要求选项,可设置确定密码是否符合复杂性要求。启⽤该策略,则密码必须符合以下最低要

求:

1)不包含全部或部分的⽤户帐户名

2)长度⾄少为六个字符

3)包含来⾃以下四个类别中的三个的字符:

英⽂⼤写字母(从AZ

英⽂⼩写字母(从az

10个基本数字(从09

⾮字母字符(例如,!$#%

如果启⽤了此安全策略,⽽您所配置的⽤户密码不符合此配置要求时系统会提⽰错误。有时您可能百思不得其解,认为⾃

⼰所设的密码已经够长,⽽且也是属于随机的,不全都是数字或字母,可系统为什么还是⽼说错误呢?⼀般来说是由于您所设

的密码所包括的字符类型不⾜以上四个中的三个。通常只各个领域其中的两种,即数字和字母,⽽没有考虑到字母的⼤⼩写或

者⾮字母字符,所以达不到复杂性要求。更改或创建密码时,会强制执⾏复杂性要求。

默认情况下,在域控制器上默认是已启⽤了这⼀策略的;⽽在独⽴服务器上则默认是禁⽤的。

这个安全选项的配置⽅法是在如上图所⽰界⾯的右边信息窗⼝中双击密码必须符合复杂性要求选项,打开如图所⽰对话

框。在这个对话框中就可随意启⽤或者禁⽤这个安全策略选项,配置好后单击确定按钮使配置更改⽣效。

其它选项的配置⽅法都⼀样,都是通过双击或者单击右键,然后选择属性选项,打开类似如图2所⽰对话框,在这些对话框

中进⾏配置即可。不过为了便于⼯作于⼤家理解和配置,下⾯简单介绍其它密码策略选项的含义。

强制密码历史

重新使⽤旧密码之前,该安全设置确定某个⽤户帐户所使⽤的新密码必须不能与该帐户所使⽤的最近多少旧密码⼀样。该

值必须为024之间的⼀个数值。该策略通过确保旧密码不能在某段时间内重复使⽤,使⽤户帐户更安全。

在域控制器上的默认值为24;⽽在独⽴服务器上为0

【注意】要维持密码历史记录的有效性,则在通过启⽤密码最短使⽤期限安全策略设置更改密码之后,不允许⽴即更改密

码。

密码最长使⽤期限

该安全设置确定系统要求⽤户更改密码之前可以使⽤该密码的时间(单位为天)。可将密码的过期天数设置在1999

之间;如果将天数设置为0,则指定密码永不过期。如果密码最长使⽤期限在1999天之间,那么密码最短使⽤期限(下⾯

将介绍)必须⼩于密码最长使⽤期限。如果密码最长使⽤期限设置为0,则密码最短使⽤期限可以是1998天之间的任何值。

默认值:42

【技巧】使密码每隔3090天过期⼀次是⼀种安全最佳操作,取决于您的环境。通过这种⽅式,攻击者只能够在有限的

时间内破解⽤户密码并访问您的⽹络资源。

第三步,密码最短使⽤期限。该安全策略设置确定⽤户可以更改密码之前必须使⽤该密码的时间(单位为天)。可以设置

1998天之间的某个值,或者通过将天数设置为0,允许⽴即更改密码。密码最短使⽤期限必须⼩于上⾯设置的密码最长使

⽤期限,除⾮密码最长使⽤期限设置为0(表明密码永不过期)。如果密码最长使⽤期限设置为0,那么密码最短使⽤期限可

设置为0998天之间的任意值。

如果希望上⾯设置的强制密码历史安全策略选项设置有效,请将密码最短有效期限配置为⼤于0。如果没有密码最短有

效期限,则⽤户可以重复循环通过密码,直到获得喜欢的旧密码。默认设置不遵从这种推荐⽅法,因此管理员可以为⽤户指定

密码,然后要求当⽤户登录时更改管理员定义的密码。如果将该密码的历史记录设置为0,则⽤户不必选择新密码。因此,默

认情况下将密码历史记录设置为1。在域控制器上的默认值为1;⽽在独⽴服务器上为0

第四步,密码长度最⼩值。该安全设置确定⽤户帐户的密码可以包含的最少字符个数。可以设置为114个字符之间的某

个值,或者通过将字符数设置为0,可设置不需要密码。在域控制器上的默认值为7;⽽在独⽴服务器上为0

第五步,⽤可还原的加密来存储密码。该安全设置确定操作系统是否使⽤可还原的加密来存储密码。如果应⽤程序使⽤了

要求知道⽤户密码才能进⾏⾝份验证的协议,则该策略可对它提供⽀持。使⽤可还原的加密存储密码和存储明⽂版本密码本质

上是相同的。因此,除⾮应⽤程序有⽐保护密码信息更重要的要求,否则不必启⽤该策略。

当使⽤质询握⼿⾝份验证协议(CHAP)通过远程访问或Internet⾝份验证服务(IAS)进⾏⾝份验证时,该策略是必需

的。在Internet信息服务(IIS)中使⽤摘要式验证时也要求该策略。系统默认值为禁⽤。

上⾯介绍的是在本地计算机上配置以上密码安全策略选项的⽅法,下⾯继续介绍在其它两种情形中这些密码策略选项的配

置⽅法。

2. 在域环境中,并且您位于已加⼊到域中的成员服务器或⼯作站

对于这种情形,⽤户的本地密码策略配置⽅法如下:

1步,执⾏〖开始〗〖运⾏〗菜单操作,在对话框的打开⽂本框中输⼊“mmc”命令,打开Microsoft管理控制台

MMC.

2步,执⾏〖⽂件〗〖添加/删除管理单元〗菜单操作,打开如图所⽰对话框。在这个对话框中可以添加在控制台管理的

管理单元。

3步,单击添加按钮,打开如下图所⽰对话框。在这个对话框中找到组策略对象编辑器选项,然后双击,或单击选择它

后按添加按钮,打开如图所⽰对话框。在这个对话框中要求选择所添加的组策略对象编辑器所作⽤的对象。

因此处介绍的是成员服务器或⼯作站(⾮本地计算机),所以需单击浏览按钮,在打开的对话框中选中计算机选项卡

(对话框如下图所⽰)。在对话框中选择另⼀计算机单选项,然后直接在下⾯的⽂本框中输⼊或再次通过单击浏览按钮,

打开对话框查找。

4步,输⼊或者选择好计算机名后,单击确定按钮即可返回到如上图所⽰对话框。单击完成按钮,如果所选择的成员

服务器或⼯作站与当前服务器的⽹络连接正常的话,即可把它们指派到组策略对象编辑器中。

5步,单击对话框中的关闭按钮,返回到如图所⽰对话框。单击确定按钮返回到控制台界⾯,不过此时已是添加

组策略对象编辑器管理单元的控制台,

6步,依次单击展开〖计算机配置〗Windows设置〗〖安全设置〗〖帐户策略〗〖密码策略〗选项,然后在右边

详细信息窗⼝中选择相应的密码策略选项配置即可。配置⽅法也是在相应选项上单击右键,然后再选择属性选项,打开的对

话框与前图⼀样,参照即可。

3. 您位于域控制器,或已安装 Windows Server 2003 管理⼯具包的⼯作站

对于这种情形,密码策略的配置⽅法如下:

1步,执⾏〖开始〗〖管理⼯具〗Active Directory⽤户和计算机〗菜单操作,打开如图所⽰的“Active Directory

户和计算机管理⼯具界⾯。

2步,在控制台树中要设置组策略的域或组织单位上(本例以域为例)单击右键,然后选择属性选项,在打

开的对话框中选择组策略选项卡,对话框如图所⽰。

3步,选择对话框组策略对象链接列表中的项⽬以选择现

帐户锁定策略⽤于域帐户或本地⽤户帐户,它们确定某个帐户被系统锁定的情况和时间长短。这部分包含以下三个⽅⾯:

帐户锁定时间

帐户锁定阈值

复位帐户锁定计数器

1. 帐户锁定时间

该安全设置确定锁定的帐户在⾃动解锁前保持锁定状态的分钟数。有效范围从099,999分钟。如果将帐户锁定时间设置

0,那么在管理员明确将其解锁前,该帐户将被锁定。如果定义了帐户锁定阈值,则帐户锁定时间必须⼤于或等于重置时

间。

默认值:⽆。因为只有当指定了帐户锁定阈值时,该策略设置才有意义。

2. 帐户锁定阈值

该安全设置确定造成⽤户帐户被锁定的登录失败尝试的次数。⽆法使⽤锁定的帐户,除⾮管理员进⾏了重新设置或该帐户

的锁定时间已过期。登录尝试失败的范围可设置为0999之间。如果将此值设为0,则将⽆法锁定帐户。

对于使⽤Ctrl+Alt+Delete组合键或带有密码保护的屏幕保护程序锁定的⼯作站或成员服务器计算机上,失败的密码尝试计

⼊失败的登录尝试次数中。默认值:0

3.复位帐户锁定计数器

该安全设置确定在登录尝试失败计数器被复位为0(即0次失败登录尝试)之前,尝试登录失败之后所需的分钟数。有效

范围为199,999分钟之间。

如果定义了帐户锁定阈值,则该复位时间必须⼩于或等于帐户锁定时间。

默认值:⽆,因为只有当指定了帐户锁定阈值时,该策略设置才有意义。

它们的配置也要因当前⽤户所在的⽹络环境⽽定。对于本地计算机⽤户帐户,在如图1所⽰界⾯中配置;对于域中的成员

服务器或⼯作站则在如图8所⽰对话框中配置;⽽对于域控制器⽤户则在如图11所⽰界⾯中配置。

配置⽅法也是通过双击,或单击选择某帐户锁定策略选项,然后再单击右键,选择属性选项,都可打开类似如图所⽰对

话框,在其中进⾏配置即可。

Kerberos V5⾝份验证协议是⽤于确认⽤户或主机⾝份的⾝份验证机制,也是Windows 2000Windows Server 2003系统默

认的⾝份验证服务。Internet协议安全性(IPSec)可以使⽤Kerberos协议进⾏⾝份验证。

对于在安装过程中所有加⼊到Windows Server 2003Windows 2000域的计算机都默认启⽤Kerberos V5⾝份验证协议。

Kerberos可对域内的资源和驻留在受信任的域中的资源提供单⼀登录。

可通过那些作为帐户策略⼀部分的Kerberos安全设置来控制Kerberos配置的某些⽅⾯。例如,可设置⽤户的Kerberos 5

证⽣存周期。作为管理员,可以使⽤默认的kerberos策略,也可以更改它以适应环境的需要。使⽤Kerberos V5进⾏成功的⾝

份验证需要两个客户端系统都必须运⾏Windows 2000Windows Server 2003家族或Windows XP Professional操作系统。

如果客户端系统尝试向运⾏其他操作系统的服务器进⾏⾝份验证,则使⽤NTLM协议作为⾝份验证机制。NTLM⾝份验证

协议是⽤来处理两台计算机(其中⾄少有⼀台计算机运⾏Windows NT 4.0或更早版本)之间事务的协议。

使⽤Kerberos进⾏⾝份验证的计算机必须使其时间设置在5分钟内与常规时间服务同步,否则⾝份验证将失败。运⾏

Windows Server 2003家族成员、Windows XP ProfessionalWindows 2000的计算机将⾃动更新当前时间,并将域控制器⽤

作⽹络时间服务。

Kerberos策略⽤于域⽤户帐户,确定与Kerberos相关的设置,例如票证的有效期限和强制执⾏。

Kerberos策略不存在于本地计算机策略中。这部分包含以下⼏个⽅⾯:

强制⽤户登录限制

服务票证最长寿命

⽤户票证最长寿命

⽤户票证续订最长寿命

计算机时钟同步的最⼤容差

1. 强制⽤户登录限制

本安全设置确定Kerberos V5密钥分发中⼼(KDC)是否要根据⽤户帐户的⽤户权限来验证每⼀个会话票证请求。验证每

⼀个会话票证请求是可选的,因为额外的步骤需要花费时间,并可能降低服务的⽹络访问速度。默认值:已启⽤。

2. 服务票证最长寿命

该安全设置确定使⽤所授予的会话票证可访问特定服务的最长时间(以分钟为单位)。该设置必须⼤于10分钟并且⼩于

或等于下⾯将要介绍的⽤户票证最长寿命选项中的设置。

【说明】票证是⽤于安全原则的标识数据集,是为了进⾏⽤户⾝份验证⽽由域控制器发⾏的。

Windows中的两种票证形式是票证授予式票证(TGT)和服务票证。

票证授予式票证(TGT)是⽤户登录时,Kerberos密钥分发中⼼(KDC)颁发给⽤户的凭据。当服务要求会话票证时,

⽤户必须向KDC递交TGT。因为TGT对于⽤户的登录会话活动通常是有效的,它有时称为⽤户票证

服务票证是由允许⽤户验证域中指定服务的KerberosV5票证授予服务(TGS)颁发的票证。如果客户端请求服务器连接

时出⽰的会话票证已过期,服务器将返回错误消息。客户端必须从Kerberos V5密钥分发中⼼(KDC)请求新的会话票证。然

⽽⼀旦连接通过了⾝份验证,该会话票证是否仍然有效就⽆关紧要了。会话票证仅⽤于验证和服务器的新建连接。如果⽤于验

证连接的会话票证在连接时过期,则当前的操作不会中断。默认值:600分钟(10⼩时)。

3. ⽤户票证最长寿命

该安全设置确定⽤户票证授予票证(TGT)的最长使⽤时间(单位为⼩时)。⽤户TGT期满后,必须请求新的或续订

有的⽤户票证。默认值:10⼩时。

4. ⽤户票证续订最长寿命

该安全设置确定可以续订⽤户票证授予票证(TGT)的期限(以天为单位)。默认值:7天。

5. 计算机时钟同步的最⼤容差

本安全设置确定Kerberos V5所允许的客户端时钟和提供Kerberos⾝份验证的Windows Server 2003域控制器上的时间的

最⼤差值(以分钟为单位)。

为防⽌轮番攻击Kerberos V5在其协议定义中使⽤了时间戳。为使时间戳正常⼯作,客户端和域控制器的时钟应尽可

能的保持同步。换⾔之,应该将这两台计算机设置成相同的时间和⽇期。因为两台计算机的时钟常常不同步,所以管理员可使

⽤该策略来设置Kerberos V5所能接受的客户端时钟和域控制器时钟间的最⼤差值。如果客户端时钟和域控制器时钟间的差值

⼩于该策略中指定的最⼤时间差,那么在这两台计算机的会话中使⽤的任何时间戳都将被认为是可信的。默认值:5分钟。

【注意】该设置并不是永久性的。如果配置该设置后重新启动计算机,那么该设置将被还原为默认值。

以上各Kerberos策略安全选项的配置⽅法如下:

1步,在组策略界⾯中,依次单击展开下列选项〖计算机设置〗Windows设置〗〖安全设置〗〖⽤户策

略〗Kerberos策略〗,在右边详细信息窗⼝中将列出当前所有的Kerberos策略选项,如图所⽰。

2步,在详细信息窗⼝中显⽰了各Kerberos策略安全选项的当前配置,如果要重新配置某选项,可直接双击,也可在相应

选项上单击右键,然后选择属性选项,都可打开类似如图所⽰的配置对话框。在这个对话框中可以选择是否启⽤或者重新配

置该安全选项的参数值。

选择好后单击确定按钮即可⽣效。对 Kerberos 策略的任何修改都将影响域中的所有计算机。

Windows Server 2003系统审核策略的配置⽅法也要根据以下四种具体的情形⽽选择不同的配置⽅法。

1. 对于本地计算机

在这个情况下,审核策略的配置也是在本地安全设置界⾯中进⾏的,只是此时要选择本地策略下的审核策略选项,

如图所⽰。

双击详细信息窗格中要更改审核策略设置的事件类别,或在相应审核策略事件上单击右键,然后选择属性选项,都可打开

如图所⽰对话框(本例选择的是审核登录事件选项)。执⾏以下⼀个或两个操作,然后单击确定按钮使配置⽣效。

要审核成功的尝试,请选中成功复选项。

要审核未成功的尝试,请选中失败复选项。

2. 您在⼀台域控制器上或已安装了Windows Server 2003管理⼯具包的⼯作站上

这种情形下审核策略的配置⽅法如下:

1步,执⾏〖开始〗〖管理⼯具〗〖域控制器安全策略〗菜单操作,打开如图所⽰的域控制器安全策略管理⼯具界

⾯。

2步,在控制台树中,按〖Windows设置〗〖安全设置〗〖本地策略〗〖审核策略〗顺序依次单击,展开各选项,

直到审核策略选项。

3步,双击详细信息窗格中要更改审核策略设置的事件类别,或者在相应事件上单击右键,然后选择属性选项,同样

会打开如图5所⽰的对话框。配置⽅法与前⼀种情形本地计算机中介绍的⽅法⼀样,参照即可。

3. 您是在⼀台域控制器上或已安装了管理⼯具包的⼯作站上

在这种应⽤情形中,审核配置的配置⽅法是在“Active Directory⽤户和计算机管理⼯具中打开组策略进⾏的。不同的此时

选择的是本地策略下的审核策略选项,如图所⽰。

审核策略的配置⽅法与前两种情形中介绍的⼀样,不再赘述。

4. 对于域或组织单位,您是在⼀台成员服务器上或已加⼊

安全设置Windows组策略 有效阻⽌⿊客

在本篇技术指南中,将概要介绍你如何修改最重要的组策略安全设置。

你可以在采⽤Windows XP2000Server 2003操作系统的本地计算机上使⽤这些⽅法,或者在Server 20032000

OU域名级上使⽤这些⽅法。为了简明扼要和提供最新的信息,我准备介绍⼀下如何设置基于Windows Server 2003的域

名。请记住,这些只是你在你的域名中能够设置的组策略对象中最有可能出现问题的。按照我的观点,这些设置可以保持或者

破坏Windows的安全。⽽且由于设置的不同,你的进展也不同。因此,我⿎励你在使⽤每⼀个设置之前都进⾏深⼊的研究,

以确保这些设置能够兼容你的⽹络。如果有可能的话,对这些设置进⾏试验(如果你很幸运有⼀个测试环境的话)

如果你没有进⾏测试,我建议你下载和安装微软的组策略管理控制台(GPMC)来做这些改变。这个程序能够把组策略管理

任务集中到⼀个单⼀的界⾯让你更全⾯地查看你的域名。要开始这个编辑流程,你就上载GPMC,扩展你的域名,⽤⿏标右键

点击缺省域名策略,然后选择编辑。这样就装载了组策略对象编辑器。如果你要以更快的速度或者次企业级的⽅式编辑你

的域名组策略对象,你可以在开始菜单中运⾏“”

1.确定⼀个缺省的⼝令策略,使你的机构设置位于计算机配置/Windows设置/安全设置/账号策略/⼝令策略之下。

2.为了防⽌⾃动⼝令破解,在计算机配置/Windows设置/安全设置/账号策略/账号关闭策略中进⾏如下设置:

·账号关闭持续时间(确定⾄少5-10分钟)

·账号关闭极限(确定最多允许510次⾮法登录)

·随后重新启动关闭的账号(确定⾄少10-15分钟以后)

3.计算机配置/Windows设置/安全设置/本地策略/检查策略中启⽤如下功能:

·检查账号管理

·检查登录事件

·检查策略改变

·检查权限使⽤

·检查系统事件

理想的情况是,你要启⽤记录成功和失败的登录。但是,这取决于你要保留什么类型的记录以及你是否能够管理这些记

录。Roberta Bragg在这⾥介绍了⼀些普通的检查记录设置。要记住,启⽤每⼀种类型的记录都需要你的系统处理器和硬盘提

供更多的资源。

4.作为增强Windows安全的最佳做法和为攻击者设置更多的障碍以减少对Windows的攻击,你可以在计算机配

/Windows设置/安全设置/本地策略/安全选项中进⾏如下设置:

·账号:重新命名管理员账号--不是要求更有效⽽是增加⼀个安全层(确定⼀个新名字)

·账号:重新命名客户账号(确定⼀个新名字)

·交互式登录:不要显⽰最后⼀个⽤户的名字(设置为启⽤)

·交互式登录:不需要最后⼀个⽤户的名字(设置为关闭)

·交互式登录: 为企图登录的⽤户提供⼀个消息⽂本(确定为让⽤户阅读banner text(旗帜⽂本),内容⼤致为这是专⽤和受控

的系统。

如果你滥⽤本系统,你将受到制裁。--⾸先让你的律师运⾏这个程序)

·交互式登录: 为企图登录的⽤户提供的消息题⽬--在警告后⾯写的东西

·⽹络接⼊:不允许SAM账号和共享⽬录(设置为启⽤”)

·⽹络接⼊:允许每⼀个⼈申请匿名⽤户设置为关闭

·⽹络安全:“不得存储局域⽹管理员关于下⼀个⼝令变化的散列值设置为启⽤

·关机:“允许系统在没有登录的情况下关闭设置为关闭

·关机:“清除虚拟内存的页⾯⽂件设置为启⽤

如果你没有Windows Server 2003域名控制器,你在这⾥可以找到有哪些Windows XP本地安全设置的细节,以及这⾥有

哪些详细的Windows 2000 Server组策略的设置。要了解更多的有关Windows Server 2003组策略的信息,请查看微软的专门

⽹页。