Windows安全指南之域級別策略

1、windows安全指南之域級別策略簡介可在域級別上應(yīng)用所有的帳戶策略組策略設(shè)置。在帳戶策略、帳戶鎖定策略和kerberos 策略內(nèi)置的默認(rèn)丄或控制器屮捉供了默認(rèn)值。請記住，在microsoft active directory屮 設(shè)置這些策略時，microsoftwindows僅允許一個域帳戶策略：應(yīng)用于域樹根域的帳戶策 略。域帳戶策略將成為屬于該域的任何windows系統(tǒng)的默認(rèn)帳戶策略。此規(guī)則的唯一例 外情況是，當(dāng)為組織單位定義了另外一個帳戶策略吋。組織單位（0u）的帳戶策略設(shè)置將 影響到該0u屮任何計算機(jī)上的本地策略。本模塊將通篇討論其屮每種類型的設(shè)置。帳戶策略帳戶策略是在域級別上實(shí)現(xiàn)的。

2、microsoft windows server 2003域必須有一個針對該域 的密碼策略、帳戶鎖定策略和kerberos v5身份驗(yàn)證協(xié)議。在active directory中任 何其他級別上設(shè)置這些策略將只會影響到成員服務(wù)器上的本地帳戶。如果有要求單獨(dú)密碼 策略的組，應(yīng)根據(jù)任何英他要求將這些組分段到另一個威或目錄林。在windows和許多其他操作系統(tǒng)中，驗(yàn)證用戶身份最常用的方法是使用秘密通行碼或密 碼。確保網(wǎng)絡(luò)環(huán)境的安全要求所有用戶都使用強(qiáng)密碼。這有助于避免未經(jīng)授權(quán)的用戶猜測 弱密碼所帶來的威脅，他們通過手動的方法或工具來獲取已泄密用戶帳戶的憑據(jù)。這一點(diǎn) 對于管理帳戶尤其有用。隨本指南提供

3、的microsoft excel工作簿"windows default security and services configurationv （英文）為默認(rèn)設(shè)置編制了文檔。請單擊此處卜 載。定期更改的復(fù)雜密碼減少了密碼攻擊成功的可能性。密碼策略設(shè)置控制密碼的復(fù)雜性和壽 命。本部分將討論每個特定的密碼策略帳戶設(shè)置。注意：對于域帳戶，每個域只能有一個帳戶策略。必須在默認(rèn)域策略或鏈接到域根的新策 略小定義帳戶策略，并且?guī)舨呗砸獌?yōu)先于由組成該域的域控制器強(qiáng)制實(shí)施的默認(rèn)域策 略。域控制器總是從域的根目錄屮獲取帳戶策略，即使存在應(yīng)用于包含域控制器的0u的 其他帳戶策略。域的根目錄是該域的頂

4、層容器，不要與目錄林中的根域相混淆；目錄林中 的根域是該§錄林中的頂層域。默認(rèn)情況卞，加入域的工作站和服務(wù)器（即域成員計算機(jī)）還為其木地帳戶接收相同的帳 戶策略。但是，通過為包含成員計算機(jī)的0u定義帳戶策略，可以使成員計算機(jī)的本地帳 戶策略區(qū)別于域帳戶策略?？梢栽诮M策略對象編輯器中的以下位置配置帳戶策略設(shè)置： 計算機(jī)配置windows設(shè)置安全設(shè)置帳戶策略密碼策略強(qiáng)制密碼歷史“強(qiáng)制密碼歷史”設(shè)置確定在mm密碼之前必須與用戶帳戶關(guān)聯(lián)的唯一新密碼的數(shù)量。 該組策略設(shè)置可能的值是：用戶指定的值，在0至24之間沒有定義漏洞密碼重用對于任何組織來說都是需要考慮的重要問題。許多用戶都希瑕在很長吋間

5、以后使 用或重用相同的帳戶密碼。特定帳戶使用相同密碼的時間越長，攻擊者能夠通過暴力攻擊 確定密碼的機(jī)會就越大。如果要求用戶更改英密碼，但卻無法阻止他們使用舊密碼，或允 許他們持續(xù)重用少數(shù)兒個密碼，則會大大降低一個不錯的密碼策略的有效性。為此設(shè)置指定一個較低的數(shù)值將使用戶能夠持續(xù)重用少數(shù)幾個相同的密碼。如果還沒有配 置“密碼最短使用期限”設(shè)置，用戶可以根據(jù)需要連續(xù)多次更改其密碼，以便重用其原始 密碼。對策將“強(qiáng)制密碼歷史”設(shè)置成最大值“24”。將此值配置為最大設(shè)置有助于確保將因密碼重 用而導(dǎo)致的漏洞減至最少。由于此設(shè)置在組織內(nèi)有效，因此不允許在配置“密碼最短使用期限”后立即更改密碼。要 確定將此

6、值設(shè)置為何種級別，應(yīng)綜合考慮合理的密碼最長使用期限和組織屮所冇用戶的合 理密碼更改間隔要求。潛在影響此設(shè)置的主要影響在于，每當(dāng)要求用戶更改iii密碼時，用戶都必須提供新密碼。由于要求 用戶將英密碼更改為新的唯一值，用戶會為了避免遺忘而寫下自己的帑碼，這就帶來了更 大的風(fēng)險。密碼最長使用期限“密碼最長使用期限”設(shè)置確定了系統(tǒng)要求用戶更改密碼z前可以使用密碼的天數(shù)。此組策略設(shè)置可能的值是:用戶指定的天數(shù)，在0至999之間沒有定義漏洞任何密碼都可以被破解。憑借當(dāng)前的計算能力，甚至是破解最復(fù)朵的密碼也只是時間和處 理能力的問題。下列某些設(shè)置可以增加在合理時間內(nèi)破解密碼的難度。但是，經(jīng)常在環(huán)境 中更改密

7、碼有助于降低有效密碼被破解的風(fēng)險，并可以降低有人使用不正當(dāng)手段獲取密碼 的風(fēng)險?？梢耘渲妹艽a最長使用期限，以便從不要求用戶更改密碼，但這樣做將導(dǎo)致相當(dāng) 大的安全風(fēng)險。對策將“密碼最長使用期限”的天數(shù)設(shè)置在“30”和“60”之間。通過將天數(shù)設(shè)置為“0” , 可以將“密碼最長使用期限”設(shè)置配置為從不過期。潛在影響密碼最長使用期限的值設(shè)置得太低將要求用戶非常頻繁地更改其密碼。這實(shí)際上可能降低 了組織的安全性，因?yàn)橛脩舾赡転榱吮苊膺z忘而寫下自己的帑碼。將此值設(shè)置太高也會 降低組織的安全性，因?yàn)檫@可以使?jié)撛诠粽哂懈浞值臅r間來破解用戶的密碼。密碼最短使用期限“密碼最短使用期限”設(shè)置確定了用戶可以更改

8、密碼z前必須使用密碼的天數(shù)密碼最短 使用期限的值必須小于密碼最長使用期限的值。如果希望“強(qiáng)制密碼歷史”設(shè)置有效，應(yīng)將“密碼最短使用期限”設(shè)置為大于o的值。 如果將“強(qiáng)制密碼歷史”設(shè)置為“o”，用戶則不必選擇新的密碼。如果使用密碼歷史, 用戶在更改密碼時必須輸入新的唯一密碼。此組策略設(shè)置可能的值是：用戶指定的天數(shù)，在0至998之間沒有定義漏洞如果用戶可以循環(huán)使用一些密碼，直到找到他們所喜歡的舊密碼，則強(qiáng)制用戶定期更改密 碼是無效的。將此設(shè)置與“強(qiáng)制密碼歷史”設(shè)置一起使用可以防止發(fā)生這種情況。例如， 如果設(shè)置“強(qiáng)制密碼歷史”來確保用戶不能重用其最近用過的12個密碼，并將“密碼最 短使用期限”設(shè)置為

9、“0”，則用戶可以通過連續(xù)更改密碼13次，以返回到原來使用的密碼。因此，要使“強(qiáng)制密碼丿力史”設(shè)置有效，必須將此設(shè)置配置為大于oo對策將“密碼最短使用期限”的值設(shè)置為“2天”。將天數(shù)設(shè)置為“0”將允許立即更改密碼, 我們不建議這樣做。潛在影響將“密碼最短使用期限”設(shè)置為大于0的值時存在一個小問題。如果管理員為用戶設(shè)置 了一個密碼，然后希望該用戶更改管理員定義的密碼，則管理員必須選擇“用戶下次登錄 時須更改密碼”復(fù)選框。否則，用戶直到第二天才能更改密碼。最短密碼長度“最短密碼長度”設(shè)置確定可以組成用戶帳戶密碼的最少字符數(shù)。確定組織的最佳密碼長 度冇許多不同的理論，但是，“通行碼” 一詞可能比“密

10、碼”更好。在microsoftwindows 2000及更高版木中，通行碼可以相當(dāng)長，并且可以包括空格。因此，諸如“i want to drink a $5 milkshake"之類的短語都是冇效的通行碼，它比由8個或10個隨機(jī)數(shù)字和字母 組成的字符串要強(qiáng)大得多，而且更容易記住。此組策略設(shè)置可能的值是：用戶指定的數(shù)值，在0至14之間沒有定義漏洞可以執(zhí)行兒種類型的密碼攻擊，以獲取特定用戶帳戶的密碼。這些攻擊類型包括試圖使用 常見字詞和短語的詞典攻擊，以及嘗試使用每一種可能的字符組合的暴力攻擊。另外，可 通過獲取帳戶數(shù)據(jù)庫并使用破解帳戶和密碼的實(shí)用程序來執(zhí)行攻擊。對策應(yīng)該將“最短密碼長度

11、”的值至少設(shè)置為“8”。如果字符數(shù)設(shè)置為“0”，則不要求使用 密碼。在大多數(shù)環(huán)境中都建議使用由8個字符組成的密碼，i大i為它足夠長，可提供充分的安全 性，同時也足夠短，便于用戶記憶。此設(shè)置將對暴力攻擊提供足夠的防御能力。提高復(fù)雜 性要求將有助于降低詞典攻擊的可能性。下一部分將討論復(fù)雜性要求。潛在影響允許短密碼將會降低安全性，因?yàn)槭褂脤γ艽a執(zhí)行詞典攻擊或暴力攻擊的工具可以很容易 地破解短密碼。耍求很長的密碼可能會造成密碼輸入錯誤而導(dǎo)致帳戶鎖定，從而增加了幫 助臺呼叫的次數(shù)。要求極長的密碼實(shí)際上可能會降低組織的安全性，因?yàn)橛脩舾鼉涌赡軐懴伦约旱拿艽a以免 遺忘。但是，如果教會用戶使用上述通行碼，用戶

12、應(yīng)該更容易記住這些密碼。密碼必須符合復(fù)雜性要求“密碼必須符合復(fù)雜性要求”設(shè)置確定密碼是否必須符合對強(qiáng)密碼相當(dāng)重要的一系列原 則。啟用此策略要求密碼符合下列要求：密碼長度至少為6個字符。密碼包含下列四類字符中的三類：英語大寫字符(a-z)英語小寫字符(a - z)10個基數(shù)(0-9)非字母數(shù)字(例如:!、$、#或)密碼不得包含三個或三個以上來自用戶帳戶名中的字符。如果帳戶名長度低于三個字符, i大i為密碼被拒概率過高而不會執(zhí)行此項(xiàng)檢查。檢查用戶全名時，有幾個字符被看作是將 名稱分隔成單個令牌的分隔符，這些分隔符包括：逗號、句點(diǎn)、短劃線/連字符、下劃線、 空格、磅字符和制表符。對于包含三個或更多字

13、符的每個令牌，將在密碼屮對其進(jìn)行搜 索，如果發(fā)現(xiàn)了該令牌，就會拒絕密碼更改。例如，姓名"erin m. hagens"將被拆分 為三個令牌："erin"、和“hagens”。因?yàn)榈诙€令牌僅包含一個字符，因而會 將其忽略。因此，該用戶密碼中的任何位置都不能包含“erin”或“hagens”子字符串。 所有這些檢查都是區(qū)分大小寫的。這些復(fù)雜性要求在密碼更改或新建密碼時強(qiáng)制執(zhí)行。不能直接修改windows server 2003策略屮包括的這些規(guī)則。但是，可以創(chuàng)建一個新版 本的passfilt. dll,以應(yīng)用不同的規(guī)則集。關(guān)于passfilt. dll的源

14、代碼，請參閱 microsoft 知識庫文章 151082 "howto: password change f iltering & notification in windows nt" , 網(wǎng)址為：http:/support, microsoft. com/default. aspx?scid 151082 (英文)。此組策略設(shè)置可能的值是：啟用禁用沒有定義漏洞只包含字母數(shù)字字符的密碼非常容易被市場上可以買到的實(shí)用程序所破解。要防止出現(xiàn)這 種情況，密碼應(yīng)該包含其他字符和要求。對策將“密碼必須符合復(fù)雜性要求”的值設(shè)置為“啟用”。將此設(shè)置與“最短密碼長度”值為“8”

15、的設(shè)置結(jié)合使用，可確保一個密碼至少冇218, 340, 105, 584, 896種不同的可能性。這樣就很難使用暴力攻擊，但也并非不可能，如 果某個攻擊者具冇足夠的處理能力，能夠每秒測試100萬個密碼，則可以在七天半左右 的時間內(nèi)確定這樣一個密碼。潛在影響啟用默認(rèn)的passf訂t.dll叮能會因帳戶鎖定而導(dǎo)致幫助臺的呼叫次數(shù)增加，因?yàn)橛脩纛?能并沒有使用包含字母表以外的字符的密碼。但此設(shè)置非常靈活，所有用戶都應(yīng)該能夠通 過短時間的學(xué)習(xí)來滿足這些要求。自定義的passfilt.dll中包括的其他設(shè)置是使用非上行符。上行符是指按住shift鍵 并鍵入任何數(shù)字（1 - 10）時鍵入的字符。同時，使用

16、alt鍵字符組合可大大增加密碼的復(fù)雜性。但是，要求組織中的所有用戶都 遵守如此嚴(yán)格的密碼要求可能會導(dǎo)致用戶不滿，并將導(dǎo)致幫助臺極度繁忙?？紤]在組織內(nèi) 實(shí)現(xiàn)這樣一種要求，即使用0128 - 0159范圍內(nèi)的alt字符作為所有管理員密碼的一 部分。此范圍之外的alt字符可表示標(biāo)準(zhǔn)的字母數(shù)字字符，而不會另外增加密碼的復(fù)雜 性。用可還原的加密來存儲密碼（針對域中的所有用戶）“用可還原的加密來存儲密碼（針對域中的所有用戶）”設(shè)置確定microsoft windows server 2003> windows 2000 server> windows 2000 professional 和 w

17、indows xp professional是否使用町還原的加密來存儲密碼。此策略支持使用需要了解用戶密碼以便進(jìn)行身份驗(yàn)證的協(xié)議的應(yīng)用程序。根據(jù)定義，存儲 以可述原方式加密的密碼意味著可以對加密的密碼進(jìn)行解密。能夠破解這種加密的高水平 攻擊者然后可以使用已被破壞的帳戶來登錄到網(wǎng)絡(luò)資源。出于此原因，請永遠(yuǎn)不要啟用此 設(shè)置，除非應(yīng)用程序的要求比保護(hù)密碼信息更為重要。使用通過遠(yuǎn)程訪問的chap身份驗(yàn)證或internet驗(yàn)證服務(wù)（ias）時要求啟用此設(shè)置。 質(zhì)詢握手身份驗(yàn)證協(xié)議（chap）是microsoft遠(yuǎn)程訪問和網(wǎng)絡(luò)連接使用的一種身份驗(yàn)證 協(xié)議。microsoft internet信息服務(wù)（ii

18、s）的摘要式驗(yàn)證也要求啟用此設(shè)置。此組策略設(shè)置可能的值是：啟用禁用沒有定義漏洞此設(shè)置確定windows server 2003是否以更容易遭到暴力攻擊的一種較弱格式來存儲密 碼。對策將“用叮還原的加密來存儲密碼（針對域中的所有用戶）”的值設(shè)置為“禁用”。潛在影響使用通過遠(yuǎn)程訪問的chap身份驗(yàn)證協(xié)議或ias服務(wù)。iis中的摘要式身份驗(yàn)證要求將 此值設(shè)置為“禁用”。將使用組策略逐個應(yīng)用到每位用戶是一種極其危險的設(shè)置，因?yàn)樗?要求在active directory用戶和計算機(jī)管理控制臺中打開適當(dāng)?shù)挠脩魩魧ο?。警告：請永遠(yuǎn)不耍啟用此設(shè)置，除卄業(yè)務(wù)耍求比保護(hù)密碼信息更為重要。帳戶鎖定策略試圖登錄到系

19、統(tǒng)吋多次不成功的密碼嘗試可能表示攻擊者正在以試錯法來確定帳戶密碼。 windows server 2003跟蹤登錄嘗試，而且可以將操作系統(tǒng)配置為通過在預(yù)設(shè)吋間段內(nèi)禁 用帳戶來響應(yīng)這種潛在攻擊。隨木指南提供的microsoft excel工作簿“windows default security and services configuration （英文）為默認(rèn)設(shè)置編制了文檔。可以在組策略對象編輯器的以下位置配置帳戶鎖定策略設(shè)置：計算機(jī)配置windows設(shè)置安全設(shè)置帳戶策略帳戶鎖定策略帳戶鎖定時間“帳戶鎖定時間”設(shè)置確定在自動解鎖z前鎖定帳戶保持鎖定狀態(tài)的時間?？捎梅秶鸀閺?到99, 999分鐘

20、。通過將該值設(shè)定為“0",可以指定在管理員明確解鎖之前鎖定帳戶。 如果定義了帳戶鎖定閥值，帳戶鎖定吋間必須大于或等于復(fù)位吋間。此組策略設(shè)置口 j能的值是：用戶定義的值，在0至99, 999分鐘之間沒有定義漏洞如果攻擊者濫用“帳戶鎖定閥值”并反復(fù)嘗試登錄到帳戶，則可能產(chǎn)生拒絕服務(wù)（dos） 攻擊。如果配置“帳戶鎖定閥值”，在失敗嘗試達(dá)到指定次數(shù)之后將鎖定帳戶。如果“帳 戶鎖定時間”設(shè)置為0,則在管理員手動解鎖前帳戶將保持鎖定狀態(tài)。對策將“帳戶鎖定吋間”設(shè)置為"30分鐘”。要指定該帳戶永不鎖定，請將該值設(shè)置為“0”。潛在影響將此設(shè)置的值配置為永不自動解鎖可能看上去是一個好主意，

21、但這樣做會增加組織支持專 家收到的要求解鎖意外鎖定帳戶的請求的數(shù)目。帳戶鎖定閾值“帳戶鎖定閥值”確定導(dǎo)致用戶帳戶鎖定的登錄嘗試失敗的次數(shù)。在管理員復(fù)位或帳戶鎖 定時間到期z前，不能使用已鎖定的帳戶。可以將登錄嘗試失敗的次數(shù)設(shè)置在1至999 之間，或者通過將該值設(shè)置為“0”，使帳戶永不鎖定。如果定義了帳戶鎖定閥值，帳戶 鎖定吋間必須大于或等于復(fù)位吋間。在使用ctrhalt+delete或受密碼保護(hù)的屏幕保護(hù)程序進(jìn)行鎖定的工作站或成員服務(wù)器 上的失敗密碼嘗試，將不作為失敗的登錄嘗試來計數(shù)，除非啟用了組策略“交互式登錄： 要求威控制器身份驗(yàn)證以解鎖工作站”。如果啟用了 “交互式登錄：要求威控制器身份

22、驗(yàn) 證以解鎖工作站”，則因解鎖工作站而重復(fù)的失敗密碼嘗試次數(shù)將被計入“帳戶鎖定閥 值”。此組策略設(shè)置可能的值是：用戶指定的值，在0至999之間沒有定義漏洞密碼攻擊可能利用自動化的方法，對任何或所有用戶帳戶嘗試數(shù)千甚至數(shù)百萬種密碼組 合。限制叮以執(zhí)行的失敗登錄次數(shù)幾乎消除了這種攻擊的有效性。但是，請務(wù)必注意，可能在配置了帳戶鎖定閥值的域上執(zhí)行dos攻擊。惡意攻擊者可編 制程序來嘗試對組織屮的所冇用戶進(jìn)行一系列密碼攻擊。如果嘗試次數(shù)大于帳戶鎖定閥 值，則攻擊者有可能鎖定每一個帳戶。對策由于配置此值或不配置此值時都存在漏洞，因此要定義兩種不同的對策。任何組織都應(yīng)該 根據(jù)識別的威脅和正在嘗試降低的風(fēng)險

23、來在兩者z間進(jìn)行權(quán)衡。冇兩個選項(xiàng)可用于此設(shè) 置。將“帳戶鎖定閥值”設(shè)置為“o”。這可確保帳戶永不鎖定。此設(shè)置可防止故意鎖定全部 或一些特定帳戶的dos攻擊。另外，此設(shè)置還冇助于減少幫助臺的呼叫次數(shù)，因?yàn)橛脩?不會將自己意外地鎖定在帳戶外。由于它不能阻止暴力攻擊，因此只冇在下列要求均得到明確滿足時才可以選擇此設(shè)置：密碼策略強(qiáng)制所有用戶使用由8個或更多字符組成的復(fù)雜密碼。強(qiáng)健的審核機(jī)制已經(jīng)就位，可以在組織環(huán)境屮發(fā)生一系列失敗登錄吋提醒管理員。如果不滿足上述要求，請將“帳戶鎖定閥值”設(shè)置為足夠高的值，以便用戶能夠在意外 地錯誤輸入幾次密碼時不會鎖定0己的帳戶，但可確保暴力密碼攻擊仍然會鎖定帳戶。在這

24、種情況下，將該值設(shè)置為50次無效登錄嘗試是一個不錯的建議。如上所述，此設(shè) 置可以避免意外的帳戶鎖定，從而降低了幫助臺的呼叫次數(shù)，但不能防止dos攻擊。潛在影響啟用此設(shè)置可防止使用己鎖定的帳戶，直到管理員將該帳戶復(fù)位或帳戶鎖定時間到期。此 設(shè)置很可能會生成許多其他的幫助臺呼叫。事實(shí)上，在許多組織屮，鎖定帳戶都會為公司 幫助臺帶來數(shù)目最多的呼叫。如果將帳戶鎖定閥值設(shè)置為“0”，則可能檢測不到攻擊者嘗試使用暴力密碼攻擊來破解 密碼。復(fù)位帳戶鎖定計數(shù)器“復(fù)位帳戶鎖定計數(shù)器”設(shè)置確定在登錄嘗試失敗后，將失敗登錄嘗試計數(shù)器復(fù)位到0 次失敗登錄嘗試z前所必須經(jīng)過的時間（以分鐘為單位）。如果定義了 “帳戶鎖定

25、閾值”，則此復(fù)位時間必須小于或等于“帳戶鎖定時間”。此組策略設(shè)置可能的值是：用戶定義的數(shù)值，在1至99, 999分鐘之間沒有定義漏洞如果多次錯誤地輸入密碼，用戶可能會意外地將自c鎖定在帳戶之外。要減少這種可能性, “復(fù)位帳戶鎖定計數(shù)器”設(shè)置確定在登錄嘗試失敗后，將無效登錄嘗試計數(shù)器復(fù)位到0 之前所必須經(jīng)過的吋間。對策將“復(fù)位帳戶鎖定計數(shù)器”的值設(shè)置為“30分釗* o潛在影響不設(shè)置此值，或者為此值設(shè)置的時間間隔太長都可能導(dǎo)致dos攻擊。攻擊者對組織中的 所冇用戶惡意執(zhí)行大量的失敗登錄嘗試，以鎖定他們的帳戶，如上所述。如果沒冇復(fù)位帳 戶鎖定的策略，管理員必須手動解鎖所有帳戶。如果設(shè)置了合理的值，用

26、戶將被鎖定一段 吋間，但在這段吋間結(jié)束后，其帳戶將自動解鎖。kerberos 策略在windows server 2003屮，kerberos v5身份驗(yàn)證協(xié)議提供默認(rèn)的身份驗(yàn)證服務(wù)機(jī)制, 以及用戶訪問資源并在該資源上執(zhí)行任務(wù)所必需的身份驗(yàn)證數(shù)據(jù)。通過縮短kerberos票 證的壽命，可降低攻擊者竊取并成功使用合法用戶憑據(jù)的風(fēng)險。但這會增加授權(quán)開銷。在 大多數(shù)環(huán)境中都不需耍更改這些設(shè)置。在域級別應(yīng)用這些設(shè)置，在windows 2000或 windows server 2003 active directory域默認(rèn)安裝的默認(rèn)域策略gp0中配置這些默認(rèn) 值。隨本指南提供的 microsoft e

27、xcel 工作簿"windows default security and services configuration"(英文)為默認(rèn)設(shè)置編制了文檔?？梢栽诮M策略對象編輯器的以下位置配置kerberos策略設(shè)置：計算機(jī)配置windows設(shè)置安全設(shè)置帳戶策略kerberos策略強(qiáng)制用戶登錄限制此安全設(shè)置確定kerberos v5密鑰分布中心(kdc)是否根拯用戶帳戶的用戶權(quán)限策略來 驗(yàn)證會話票證的每個請求。驗(yàn)證會話票證的每個請求是可選功能，因?yàn)閳?zhí)行額外的步驟會 消耗吋間，并且可能會降低網(wǎng)絡(luò)訪問服務(wù)的速度。漏洞如果禁用此設(shè)置，可能會為用戶授予他們無權(quán)使用的服務(wù)的會話票證。對策

28、將“強(qiáng)制實(shí)施用戶登錄限制”的值設(shè)置為“啟用”。 此組策略設(shè)置可能的值是：啟用禁用沒有定義潛在影響這是默認(rèn)設(shè)置，沒有潛在影響。服務(wù)票證最長壽命此安全設(shè)置確定可以使用所授子的權(quán)會話票證來訪問特定服務(wù)的最長時間(以分鐘為單 位)。此設(shè)置必須大于或等于10分鐘，并小于或等于“用戶票證最長壽命”設(shè)置。如杲客戶端在請求連接到服務(wù)器時顯示過期的會話票證，該服務(wù)器將返回錯謀消息。客戶 端必須向kerberos v5密鑰分布屮心(kdc)請求新的會話票證。但在連接通過驗(yàn)證z后, 它將不再關(guān)心會話票證是否有效。會話票證只用于驗(yàn)證與服務(wù)器之間的新連接。如果驗(yàn)證 連接的會話票證在連接期間到期，將不會中斷正在進(jìn)行的操作。漏洞如果此設(shè)置的值太高，用戶可以在其登錄時間范圍z外訪