09-ADDS中改进的安全域认证.pptxVIP

6425课程：Windows Server 2008活动目录配置和排错第九讲：ADDS中改进的安全域认证课程概览配置密码和锁定策略认证审核管理配置RODC配置密码和锁定策略了解密码策略了解账户锁定策略配置域密码和账户锁定策略颗粒级的密码策略和账户锁定策略了解密码配置对象（PSO）PSO优先和结果集了解密码策略默认的密码策略由如下构成强制密码历史：24个密码密码的最大寿命：42天密码的最小寿命：1天最小的密码长度：7个字符复杂的密码：启用使用可还原的加密来存储密码：禁用了解账户锁定策略账户锁定策略包括：锁定持续时间：未定义锁定阀值：0次无效的登录尝试复位账户锁定的时间：未定义 有助于减轻用户账户的暴力密码破解攻击的威胁解锁被锁定的用户可以由管理员来进行解锁复位账户锁定策略可以指定一个“超时”的时间，在超时后账户会自动解锁配置域密码和账户锁定策略域的密码策略是由先期定义的GPO绑定在域控制器上的密码策略默认情况下使用默认域策略的GPO最佳实践: 修改默认的域策略的GPO的密码设定，账户锁定和Kerberos策略的设定不要使用默认域的GPO部署其他任何策略设置不要在其他任何域中的GPO中定义密码设定、账户锁定和Kerberos策略的设定策略设置覆盖了用户账户的相关选项密码永不过期使用可逆加密存储密码颗粒级的密码策略和密码锁定策略颗粒级的密码和密码锁定策略允许多个密码和密码锁定策略同时同在在一个域中Domain Policy:Length: 10Max age: 90Lockout: 5 in 30 minReset: 30 minLength: 15Max age: 45Lockout: 5 in 60 minReset: 1 dayAdministrative accountsService AccountsFinance usersLength: 15Max age: 60Lockout: 5 in 30 minReset: 30 minPassword Never ExpiresLength: 64Lockout: None了解密码设置对象（PSO）一个PSO提供了如下的可用配置密码策略账户锁定策略PSO链接优先在实施PSO更改时需要注意的事项： 密码设置容器（PSC）和密码设置对象（PSO）都是有架构定义的新的类ü Win 2008域功能级别是必须的ü PSO可以通过ADSI和LDIFDE创建ü PSO仅仅能够在用户或全局组中应用üPSO的优先和结果PSO可以链接到一个或多个用户或组一个组或用户可以有多个链接到它的PSO其中只有一个PSO会优先获胜-PSO的结果计算优先级：低（靠近1）的有更高的优先级全局组的PSO靠前的具有最高的优先级链接到用户的PSO覆盖了全局的PSO，用户连接的PSO有最高优先级的获胜用户的属性编辑器中的PSO相关属性：msDS-ResultantPSO 单击筛选按钮确保架构已经被选定如果没有PSO，则域账户策略是应用的 最佳实践：最好使用链接到组的PSO，不要使用链接到用户的.避免在同样的优先级的情况下链接两个PSOPSOs不能挂接到OU 在OU下建立一个阴影组，包含OU下的所有用户认证审核管理账户登录和登录事件配置认证相关的审核策略划定审计策略的范围查看登录事件账户登录和登录事件账户登录事件记录了系统认证的账户的身份验证过程对于域账户：DC对本地账户：本机登录事件由用户登录的那台计算机记录登录事件交互式登录：用户的系统网络登录：服务器Account Logon EventLogon EventLogon Event配置身份验证相关的审计策略Computer Configuration Windows Settings Security Settings Local Policies Audit PolicyWin 2008默认记录账户登录和登录事件的成功值划定审计策略的范围默认的域控制器功能账户登录事件自定义GPO登录事件远程桌面服务器域控制器HR 客户端查看登录事件系统中生成的安全日志的事件DC验证用户的身份验证请求：账户登录注：不会复制到其他DC登录或连接到这个系统的用户：登录配置RODC分支办公室的身份验证和DC放置只读域控器（RODC）部署一个RODC管理角色分离分支办公室的身份验证和DC放置?只读域控器（RODC）部署RODC确定森林级别是Win 2003或以上所有的DC都应该是Win 2003或以上的操作系统所有的域的功能级别都需要是在Win 2003的域功能级别或更高林功能级别需要配置为Win 2003或更高如果林中的任何DC运行了Win 2003，则需要运行adprep /rodcprepWin2008 CD:\sources\adprep 文件夹需要确保至少有一台Win