网络安全策略管理和应用.docVIP

网络安全策略管理和应用 　　[摘要]结合Windows Server2003系统安全策略中的账户策略和审核策略对网络安全策略的管理与应用进行研究探讨。 　　[关键词]账户策略 密码策略 账户锁定策略 Kerberos策略 审核策略 　　中图分类号：TP3文献标识码：A文章编号：1671－7597（2009）0520061－01 　　 　　网络安全策略的管理是任何网络系统管理必不可少的一部分，而且在网络安全形式日趋严重的今天，更是显得尤为重要。网络安全策略配置不好，一方面可能使一些用户有了过高的权限，而使另一些需要高权限的用户却得不到相应的权限，造成权限配置不当；另一方面还可能给网络带来非常大的安全隐患，使一些别有用心的人通过安 　　全策略配置上的各种漏洞达到非法入侵的目的。 　　 　　一、安全策略概述 　　 　　安全策略是影响计算机上安全性的安全设置的组合。所有安全策略都是基于计算机的策略。安全设置和安全策略是配置在一台或多台计算机上的规则，用于保护计算机或网络上的资源。组织单位、域和站点是组策略对象相连接的。安全设置工具只允许更改组策略对象的安全配置，并因此影响多台计算机。借助安全设置，可以控制用户访问网络或者计算机的身份认、授权给用户或者用户组的可以使用的资源、用户或组的操作日志中和组成员。 　　 　　二、账户策略 　　 　　账户策略定义在计算机上，却可以影响用户账户与计算机或域交互作用的方式。账户策略包含：密码策略、锁定策略和Kerberos策略。 　　1．密码策略。密码策略（Password policy）是由一个操作系统关于密码或用户账户的属性强制执行的一个策略。密码策略主要采用提高密码复杂性、增大密码长度、提高更换频率等措施来实现密码的复杂性。通过定义这些密码策略强制改变不安全密码的使用习惯。密码策略用于域帐户或本地用户帐户。密码策略主要包括：（1）密码必须符合复杂性要求；（2）密码长度最小值；（3）密码最长使用期限；（4）密码最短使用期限；（5）强制密码历史；（6）用可还原的加密来存储密码。 　　2．账户锁定策略。账户锁定策略首先给指定账户设置一个账户锁定阀值，即该账户无效登陆的次数。如果在设定的次数内该用户登陆失败，系统就会锁定该账户。此时即使该用户合法也将无法登陆，只有管理员才可以重新启用该账户。这样就造成了诸多不便，为此，可以在用户锁定策略里面同时设定锁定的时间和复位计数器的时间。 　　账户锁定策略用于域账户或本地用户账户，用来确定某个账户被系统锁定的情况和时间长短。账户锁定策略包含以下3个策略：（1）账户锁定阈值；（2）账户锁定时间；（3）复位账户锁定计数器。 　　3．Kerberos策略。Kerberos协议主要用于计算机网络的身份鉴别（Authentication），其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据（ticket-granting ticket）访问多个服务，即SSO（Single Sign On）。Kerberos主要用于确认用户或主机身份。由于在每个用户和主机之间建立了共享密钥，使得Kerberos相当安全。 　　Kerberos是Windows活动目录使用的默认认证方式，自从活动目录使用Kerberos 作为必要的认证方式后，Kerberos策略仅对Windows 域GPO具有重要作用。Kerberos策略用于域用户账户，用于确定与Kerberos相关的设置，例如票证的有效期限和强制执行。但Kerberos策略只能应用于域中的计算机中。Kerberos策略主要包括：（1）强制用户登录限制；（2）服务票证最长寿命；（3）强制用户登录限制；（4）用户票证续订最长寿命；（5）用户票证最长寿命。 　　 　　三、审核策略 　　 　　审核策略可以将发生在用户和系统上的一些行为记录到系统日志中，通过系统日志我们可以分析发生在本地系统中或域中的一些事件。如果我们在网络上设置了访问许可，就有必要建立审核策略来追踪用户对这个资源的访问，审核策略是追踪安全方面用户事件的一个很好的工具。执行审核策略前，必须决定要审核的事件类别。 　　如果在组织内的计算机上没有配置审核，或者将审核设置的太低，将缺少足够的甚至根本没有可用的证据，可在发生安全事件后用于网络辩论分析。而另一方面，如果启用过多的审核，安全日志中将填满毫无意义的审核项。审核策略的作用主要包括：（1）审核帐户登录事件；（2）审核帐户管理；（3）审核目录服务访问；（4）审核登录事件；（5）审核对象访问；（6）审核策略更改；（7）审核特权使用；（8）审核过程跟踪；（9）审核系统事件。 　　 　　四、安全策略的应用 　　 　　1．密码策略的配置 　　（１）对于本地计算机。对于本地计