网络系统安全与维护 Win2003 Server帐户和本地策略配置.doc

Win2003Server帐户和本地策略配置（上）在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面，而其中的“帐户策略”又包括：密码策略、帐户锁定策略和Kerberos策略三个方面；另外的“本地策略”也包括：审核策略、用户权限分配和安全选项三部分下面分别予以介绍 一、密码策略的设置 密码策略作用于域帐户或本地帐户，其中就包含以下几个方面： 强制密码历史 密码最长使用期限 密码最短使用期限 密码长度最小值 密码必须符合复杂性要求 用可还原的加密来存储密码 以上各项的配置方法均需根据当前用户帐户类型来选择默认情况下，成员计算机的配置与其域控制器的配置相同下面分别根据几种不同用户类型介绍相应的密码策略配置方法 1. 对于本地计算机 对于本地计算机的用户帐户，其密码策略设置是在“本地安全设置”管理工个中进行的下面是具体的配置方法 第1步，执行〖开始〗→〖管理工具〗→〖本地安全策略〗菜单操作，打开如图所示的“本地安全设置”界面对于本地计算机中用户“帐户和本地策略”都查在此管理工具中进行配置的第2步，因密码策略是属于用户策略范畴，所以先需在如上图所示界面中单击选择“用户策略”选项，然后再选择“密码策略”选项，在右边详细信息窗口中将显示可配置的密码策略选项的当前配置。

因为各策略选项的配置方法基本一样，所以在此仅以一个选项的配置进行介绍，其它只对各选项的具体作用进行简单介绍 如配置“密码必须符合复杂性要求”选项，可设置确定密码是否符合复杂性要求启用该策略，则密码必须符合以下最低要求： （1）不包含全部或部分的用户帐户名 （2）长度至少为六个字符 （3）包含来自以下四个类别中的三个的字符： 英文大写字母（从A到Z） 英文小写字母（从a到z） 10个基本数字（从0到9） 非字母字符（例如，!、$、#、%） 如果启用了此安全策略，而您所配置的用户密码不符合此配置要求时系统会提示错误有时您可能百思不得其解，认为自己所设的密码已经够长，而且也是属于随机的，不全都是数字或字母，可系统为什么还是老说错误呢？一般来说是由于您所设的密码所包括的字符类型不足以上四个中的三个通常只各个领域其中的两种，即数字和字母，而没有考虑到字母的大小写或者非字母字符，所以达不到复杂性要求更改或创建密码时，会强制执行复杂性要求 默认情况下，在域控制器上默认是已启用了这一策略的；而在独立服务器上则默认是禁用的 这个安全选项的配置方法是在如上图所示界面的右边信息窗口中双击“密码必须符合复杂性要求”选项，打开如图所示对话框。

在这个对话框中就可随意启用或者禁用这个安全策略选项，配置好后单击“确定”按钮使配置更改生效 其它选项的配置方法都一样，都是通过双击或者单击右键，然后选择“属性”选项，打开类似如图2所示对话框，在这些对话框中进行配置即可不过为了便于工作于大家理解和配置，下面简单介绍其它密码策略选项的含义 强制密码历史 重新使用旧密码之前，该安全设置确定某个用户帐户所使用的新密码必须不能与该帐户所使用的最近多少旧密码一样该值必须为0到24之间的一个数值该策略通过确保旧密码不能在某段时间内重复使用，使用户帐户更安全 在域控制器上的默认值为24；而在独立服务器上为0 【注意】要维持密码历史记录的有效性，则在通过启用密码最短使用期限安全策略设置更改密码之后，不允许立即更改密码 密码最长使用期限 该安全设置确定系统要求用户更改密码之前可以使用该密码的时间（单位为天）可将密码的过期天数设置在1至999天之间；如果将天数设置为0，则指定密码永不过期如果密码最长使用期限在1至999天之间，那么“密码最短使用期限”（下面将介绍）必须小于密码最长使用期限如果密码最长使用期限设置为0，则密码最短使用期限可以是1至998天之间的任何值。

默认值：42 【技巧】使密码每隔30至90天过期一次是一种安全最佳操作，取决于您的环境通过这种方式，攻击者只能够在有限的时间内破解用户密码并访问您的网络资源第三步，密码最短使用期限该安全策略设置确定用户可以更改密码之前必须使用该密码的时间（单位为天）可以设置1到998天之间的某个值，或者通过将天数设置为0，允许立即更改密码密码最短使用期限必须小于上面设置的“密码最长使用期限”，除非密码最长使用期限设置为0（表明密码永不过期）如果密码最长使用期限设置为0，那么密码最短使用期限可设置为0到998天之间的任意值 如果希望上面设置的“强制密码历史”安全策略选项设置有效，请将密码最短有效期限配置为大于0如果没有密码最短有效期限，则用户可以重复循环通过密码，直到获得喜欢的旧密码默认设置不遵从这种推荐方法，因此管理员可以为用户指定密码，然后要求当用户登录时更改管理员定义的密码如果将该密码的历史记录设置为0，则用户不必选择新密码因此，默认情况下将密码历史记录设置为1在域控制器上的默认值为1；而在独立服务器上为0 第四步，密码长度最小值该安全设置确定用户帐户的密码可以包含的最少字符个数可以设置为1到14个字符之间的某个值，或者通过将字符数设置为0，可设置不需要密码。

在域控制器上的默认值为7；而在独立服务器上为0 第五步，用可还原的加密来存储密码该安全设置确定操作系统是否使用可还原的加密来存储密码如果应用程序使用了要求知道用户密码才能进行身份验证的协议，则该策略可对它提供支持使用可还原的加密存储密码和存储明文版本密码本质上是相同的因此，除非应用程序有比保护密码信息更重要的要求，否则不必启用该策略 当使用质询握手身份验证协议（CHAP）通过远程访问或Internet身份验证服务（IAS）进行身份验证时，该策略是必需的在Internet信息服务（IIS）中使用摘要式验证时也要求该策略系统默认值为禁用 上面介绍的是在本地计算机上配置以上密码安全策略选项的方法，下面继续介绍在其它两种情形中这些密码策略选项的配置方法2. 在域环境中，并且您位于已加入到域中的成员服务器或工作站 对于这种情形，用户的本地密码策略配置方法如下： 第1步，执行〖开始〗→〖运行〗菜单操作，在对话框的“打开”文本框中输入“mmc”命令，打开Microsoft管理控制台（MMC），如图所示 第2步，执行〖文件〗→〖添加/删除管理单元〗菜单操作，打开如图所示对话框在这个对话框中可以添加在控制台管理的管理单元。

第3步，单击“添加”按钮，打开如下图所示对话框在这个对话框中找到“组策略对象编辑器”选项，然后双击，或单击选择它后按“添加”按钮，打开如图所示对话框在这个对话框中要求选择所添加的“组策略对象编辑器”所作用的对象 因此处介绍的是成员服务器或工作站（非本地计算机），所以需单击“浏览”按钮，在打开的对话框中选中“计算机”选项卡（对话框如下图所示）在对话框中选择“另一计算机”单选项，然后直接在下面的文本框中输入或再次通过单击“浏览”按钮，打开对话框查找 第4步，输入或者选择好计算机名后，单击“确定”按钮即可返回到如上图所示对话框单击“完成”按钮，如果所选择的成员服务器或工作站与当前服务器的网络连接正常的话，即可把它们指派到组策略对象编辑器中 第5步，单击对话框中的“关闭”按钮，返回到如图所示对话框单击“确定”按钮返回到控制台界面，不过此时已是添加了“组策略对象编辑器”管理单元的控制台，如图所示 第5步，依次单击展开〖计算机配置〗→〖Windows设置〗→〖安全设置〗→〖帐户策略〗→〖密码策略〗选项，然后在右边详细信息窗口中选择相应的密码策略选项配置即可配置方法也是在相应选项上单击右键，然后再选择“属性”选项，打开的对话框与前图一样，参照即可。

3. 您位于域控制器，或已安装 Windows Server 2003 管理工具包的工作站 对于这种情形，密码策略的配置方法如下：第1步，执行〖开始〗→〖管理工具〗→〖Active Directory用户和计算机〗菜单操作，打开如图所示的“Active Directory用户和计算机”管理工具界面 第2步，在控制台树中要设置组策略的域或组织单位上（本例以域为例）单击右键，然后选择“属性”选项，在打开的对话框中选择“组策略”选项卡，对话框如图所示 第3步，选择对话框“组策略对象链接”列表中的项目以选择现有的组策略对象（GPO），然后单击“编辑”按钮也可单击“新建”按钮创建新的GPO，然后再单击“编辑”按钮，都可打开如图所示“组策略编辑器”界面 第4步，在控制台树中依次单击展开以下选项〖计算机配置〗→〖Windows设置〗→〖安全设置〗→〖帐户策略〗→〖密码策略〗，展开后“密码策略”选项界面如图所示在其中也包括本文前面所介绍的各密码策略选项配置的方法也同上，不再赘述Win2003Server帐户和本地策略配置（下）帐户锁定策略用于域帐户或本地用户帐户，它们确定某个帐户被系统锁定的情况和时间长短。

这部分包含以下三个方面： 帐户锁定时间 帐户锁定阈值 复位帐户锁定计数器 1. 帐户锁定时间 该安全设置确定锁定的帐户在自动解锁前保持锁定状态的分钟数有效范围从0到99,999分钟如果将帐户锁定时间设置为0，那么在管理员明确将其解锁前，该帐户将被锁定如果定义了帐户锁定阈值，则帐户锁定时间必须大于或等于重置时间 默认值：无因为只有当指定了帐户锁定阈值时，该策略设置才有意义 2. 帐户锁定阈值 该安全设置确定造成用户帐户被锁定的登录失败尝试的次数无法使用锁定的帐户，除非管理员进行了重新设置或该帐户的锁定时间已过期登录尝试失败的范围可设置为0至999之间如果将此值设为0，则将无法锁定帐户 对于使用Ctrl+Alt+Delete组合键或带有密码保护的屏幕保护程序锁定的工作站或成员服务器计算机上，失败的密码尝试计入失败的登录尝试次数中默认值：0 3.复位帐户锁定计数器 该安全设置确定在登录尝试失败计数器被复位为0（即0次失败登录尝试）之前，尝试登录失败之后所需的分钟数有效范围为1到99,999分钟之间 如果定义了帐户锁定阈值，则该复位时间必须小于或等于帐户锁定时间 默认值：无，因为只有当指定了“帐户锁定阈值”时，该策略设置才有意义。

它们的配置也要因当前用户所在的网络环境而定对于本地计算机用户帐户，在如图1所示界面中配置；对于域中的成员服务器或工作站则在如图8所示对话框中配置；而对于域控制器用户则在如图11所示界面中配置 配置方法也是通过双击，或单击选择某帐户锁定策略选项，然后再单击右键，选择“属性”选项，都可打开类似如图所示对话框，在其中进行配置即可Kerberos V5身份验证协议是用于确认用户或主机身份的身份验证机制，也是Windows 2000和Windows Server 2003系统默认的身份验证服务Internet协议安全性（IPSec）可以使用Ker。