帐户锁定原则.ppt

第 13 章 群組原則－進階篇 本章重點 13 - 1 安全性設定 13 - 2 資料夾重新導向 13 - 3 系統管理範本 13 - 4 更新作業與回送處理 群組原則－進階篇 在瞭解了群組原則的原理與運作方式之後, 本章將介紹部分群組原則的用途及設定方式。 包括了密碼原則、帳戶鎖定原則、資料夾重新導向、系統管理範本, 和群組原則的更新間隔與回送處理等等, 這些大多是系統管理員比較可能應用到的群組原則。 13 - 1 安全性設定 與系統安全相關的原則主要位於電腦設定 / 原則 / Windows 設定 / 安全性設定節點下, 例如：最小密碼長度、帳戶鎖定閾值、本機登入等等。 由於篇幅有限, 我們無法逐項介紹。因此將以帳戶原則為主角, 說明其中各項原則的細節。 帳戶原則節點包含了密碼原則、帳戶鎖定原則與 Kerberos 原則等 3 種與安全性相關的節點。 安全性設定 請注意, 這 3 種節點所包含的原則必須套用在網域才會生效, 並且不受禁止繼承的阻擋！ 後文將以 Default Domain Policy 的密碼原則與帳戶鎖定原則節點為例, 介紹它們所包含的各項原則, 但是並不修改其預設值。 讀者若要嘗試不同的設定值, 最好另外對網域套用自訂的原則（假設為『My Domain GPO』）, 並將它的連結順序調整到第 1 位, 如下圖。 安全性設定 密碼原則 請執行『開始 / 系統管理工具 / 群組原則管理』命令, 開啟群組原則管理主控台。 然後在群組原則物件 / Default Domain Policy 按右鈕、執行『編輯』命令, 開啟群組原則管理編輯器主控台, 選取電腦設定 / 原則 / Windows 設定 / 安全性設定 / 帳戶原則 / 密碼原則節點。 密碼原則 使用可還原的加密來存放密碼 儲存在 Windows Server 2008 中的密碼, 預設是透過雜湊 (Hash) 函數運算過的結果, 無法將它們還原成原始密碼。 若啟用此原則, 則改用可還原的加密方式 (Reversible Encryption) 來儲存密碼, 基本上這種作法與直接儲存原始密碼有同樣的風險, 因此預設為停用狀態, 請雙按此原則。 使用可還原的加密來存放密碼 使用可還原的加密來存放密碼 對於某些必須知道原始密碼的應用程式或身分驗證方式, 就必須啟用此原則, 例如：IIS 伺服器的摘要式 Windows 網域伺服器驗證。 密碼必須符合複雜性需求 為了避免有人使用諸如『123』、『aaa』這種傻瓜密碼, 可啟用此原則以強迫取一個『夠複雜』的密碼。 所謂的『夠複雜』必須符合下列條件： 1. 不包含使用者帳戶的全名中, 超過兩個以上的連續字元。 例如：全名為 Jack Lee, 則密碼中不得包含『Jac』、『Lee』或『ack』等等字串。 密碼必須符合複雜性需求 2. 必須至少包含『大寫英文字母』、『小寫英文字母』、『數字』和『符號』四者之中的三者。 所謂的『符號』是指鍵盤上除了『英文與數字以外』的字元, 例如：!、$、#、% 等等。 在網域控制站, 此原則預設為啟用；在獨立伺服器上則為停用。 密碼最長有效期 設定密碼的有效期限, 一旦達到此期限, 系統會強迫使用者變更密碼。允許設定的範圍為 0 ? 999 天, 0 代表『不會到期, 永久有效』, 系統建議每 30 ~ 90 天就變更密碼。 請雙按此原則： 密碼最短有效期 設定至少必須經過多久時間後, 使用者才能變更密碼。 允許設定的範圍為 0 ? 998, 0 代表『可立即變更』。 通常此設定值必須小於密碼最長有效期, 但是密碼最長有效期若為 0, 則密碼最短有效期可為 0 ? 998 的任意整數。 密碼最短有效期 強制執行密碼歷程紀錄 有的使用者為了偷懶, 當系統要求更換密碼時, 固定以兩、三個密碼輪流使用。 為了避免這種情形, 系統會根據此原則的設定值來記錄曾經用過的密碼。 假如設為 5, 代表會記錄最近 5 次的密碼, 所以在變更密碼時不能用這 5 個『登記有案』的密碼。 允許設定的範圍為 0 ? 24, 0 代表『不記錄, 隨時可用以前曾用過密碼』。 強制執行密碼歷程紀錄 最小密碼長度 設定密碼最少必須佔用幾個字元, 允許設定的範圍為 0 ? 14, 0 代表『可以不設定密碼』。 根據實測結果, 一旦啟用密碼必須符合複雜性需求原則, 即使最小密碼長度設為 0, 則密碼的最小長度還是 3、而非 0。 因為『複雜性需求』規定密碼必須包含『大寫英文字母』、『小寫英文字母』、『數字』和『符號』四者之中的三者。 最小密碼長度 帳戶鎖定原則 接下來請選取帳戶鎖定原則節點, 檢視其所包含的 3 個原則： 帳戶鎖定原則 首先要知道, 以上 3 個原則的關係密切, 所以修改其中一個的設定值時,