浅析WindowsServer2003安全策略.docVIP

浅析Windows Server 2003安全策略高爱乃 浅析Windows Server 2003安全策略 高爱乃 太原理工大学 山西 030600 摘要：网络安全涉及各个方面，而网络操作系统的安全设置很关键，Windows Server 2003网络操作系统是一主流操作 系统，用户众多。Windows Server 2003 网络操作系统，沿袭了Windows 的传统，在网络管理方面引入许多新的功能，提供 了更高的硬件支持和更加强大的安全功能，本文就Windows Server 2003的安全策略进行分析，为用户选择合理的设置，提 高网络安全配置提供参考。 关键词：安全策略；操作系统；协议安全 0 引言 随着信息化进程的加快，网络迅速发展，网络安全也渐 渐突现。网络安全涉及各个方面，而网络操作系统的安全设 置很关键，Windows Server 2003网络操作系统用户众多，是 各种网络建设的首选，Windows Server 2003网络操作系统 沿袭了 Windows 的传统，在网络管理方面引入许多新的功 能，提供了更高的硬件支持和更加强大的安全功能，如何用 好Windows Server 2003的安全策略，怎样选择合理的设置， 使网络安全配置的更好，对企业网、校园网、政务网等是 至关重要的，要设好Windows Server 2003网络操作系统 的安全配置，必需了解Windows Server 2003网络操作系 统的安全策略，分析Windows Server 2003网络操作系统 的安全策略。 1 账户安全策略 账户安全策略包括密码策略、账户锁定策略和Kerberos 策略三个方面，用户账户的保护主要是密码保护。通常采取 提高密码的破解难度、启用账户锁定策略、限制用户登录等 措施。 密码策略用于域账户或本地用户账户。在Windows Server 2003 系统中，可以通过账户策略设置中的“密码策略”来进 行设置。通过设置来提高密码的破解难度，提高密码的复杂 性、增大密码的长度、提高更换频率等。该策略通过确保旧 密码不能在某段时间内重复使用，使用户账户更安全。要维 持密码历史记录的有效性，则在通过启用密码最短使用期限 安全策略，设置更改密码之后，不允许立即更改密码。可将 密码的过期天数设置在1至999天之间；如果将天数设置为0， 则指定密码永不过期。使密码每隔30至90天过期一次是一种 安全最佳选择。用这种方式，攻击者只能够在有限的时间内 破解用户密码并访问网络资源。 账户锁定策略用于域账户或本地用户账户。包含账户锁 定时间、账户锁定阈值、以及复位账户锁定计数器。账户锁 定是指在某些情况下为保护该账户的安全而将此账户进行锁 定。使其在一定的时间内不能再次使用，从而挫败连续的猜 解尝试。 账户锁定时间确定锁定的账户在自动解锁前保持锁定状 态的分钟数。有效范围从0 到99,999 分钟。如果将账户锁定 时间设置为0，那么在管理员明确将其解锁前，该账户将被锁 定。如果定义了账户锁定阈值，则账户锁定时间必须大于或 等于重置时间。默认值：无。因为只有当指定了账户锁定阈 值时，该策略设置才有意义。 账户锁定阈值，该安全设置确定造成用户账户被锁定的 登录失败尝试的次数。无法使用锁定的账户，除非管理员进 行了重新设置或该账户的锁定时间已过期。登录尝试失败的 范围可设置为0 至999 之间。如果将此值设为0，则将无法锁 定账户。 复位账户锁定计数器，该安全设置确定在登录尝试失败 计数器被复位为0(即0次失败登录尝试)之前，尝试登录失败 之后所需的分钟数。有效范围为1 到99,999 分钟之间。如果 定义了账户锁定阈值，则该复位时间必须小于或等于账户锁 定时间。 Windows 2003系统在默认情况下，这种锁定策略并没有 进行设定，对黑客的攻击没有任何限制。账户锁定策略设定 的第一步就是指定账户锁定的阈值，即锁定前该账户无效登 录的次数。一般设置锁定阈值为3次，如果3次登录全部失败， 就会锁定该账户。 Kerberos V5身份验证协议是用于确认用户或主机身份的 身份验证机制，也是Windows Server 2003系统默认的身份验 证服务。为防止“轮番攻击”，Kerberos V5 在其协议定义中 使用了时间戳。为使时间戳正常工作，客户端和域控制器的 时钟应尽可能的保持同步。如果客户端时钟和域控制器时钟 间的差值小于该策略中指定的最大时间差，那么在这两台计 作者简介：高爱乃(1953-),男,太原理工大学副教授,硕士,研究方向：计算机网络、系统集成、智能控制等。 应 用 应 用 安 全 的用户来说，可通过回拨技术来提高网络安全性。这样就需要开通来电显示业务。在Windows 的用户来说，可通过回拨技术来提高网络安全性。这样