浅析WindowsServer2003安全策略

1、浅析Windows Server 2003安全策略高爱乃太原理工大学 山西 030600摘要：网络安全涉及各个方面，而网络操作系统的安全设置很关键，Windows Server 2003网络操作系统是一主流操作系统，用户众多。Windows Server 2003 网络操作系统，沿袭了Windows 的传统，在网络管理方面引入许多新的功能，提供 了更高的硬件支持和更加强大的安全功能，本文就Windows Server 2003的安全策略进行分析，为用户选择合理的设置，提 高网络安全配置提供参考。关键词：安全策略；操作系统；协议安全0 引言随着信息化进程的加快，网络迅速发展，网络安全也渐 渐突现

2、。网络安全涉及各个方面，而网络操作系统的安全设 置很关键，Windows Server 2003网络操作系统用户众多，是 各种网络建设的首选，Windows Server 2003网络操作系统 沿袭了 Windows 的传统，在网络管理方面引入许多新的功 能，提供了更高的硬件支持和更加强大的安全功能，如何用 好Windows Server 2003的安全策略，怎样选择合理的设置， 使网络安全配置的更好，对企业网、校园网、政务网等是 至关重要的，要设好Windows Server 2003网络操作系统 的安全配置，必需了解Windows Server 2003网络操作系 统的安全策略，分析Win

3、dows Server 2003网络操作系统 的安全策略。1 账户安全策略账户安全策略包括密码策略、账户锁定策略和Kerberos 策略三个方面，用户账户的保护主要是密码保护。通常采取 提高密码的破解难度、启用账户锁定策略、限制用户登录等 措施。密码策略用于域账户或本地用户账户。在Windows Server2003 系统中，可以通过账户策略设置中的“密码策略”来进 行设置。通过设置来提高密码的破解难度，提高密码的复杂 性、增大密码的长度、提高更换频率等。该策略通过确保旧 密码不能在某段时间内重复使用，使用户账户更安全。要维 持密码历史记录的有效性，则在通过启用密码最短使用期限 安全策略，设置

4、更改密码之后，不允许立即更改密码。可将 密码的过期天数设置在1至999天之间；如果将天数设置为0， 则指定密码永不过期。使密码每隔30至90天过期一次是一种 安全最佳选择。用这种方式，攻击者只能够在有限的时间内 破解用户密码并访问网络资源。账户锁定策略用于域账户或本地用户账户。包含账户锁定时间、账户锁定阈值、以及复位账户锁定计数器。账户锁定是指在某些情况下为保护该账户的安全而将此账户进行锁 定。使其在一定的时间内不能再次使用，从而挫败连续的猜 解尝试。账户锁定时间确定锁定的账户在自动解锁前保持锁定状态的分钟数。有效范围从0 到99,999 分钟。如果将账户锁定时间设置为0，那么在管理员明确将其

5、解锁前，该账户将被锁 定。如果定义了账户锁定阈值，则账户锁定时间必须大于或 等于重置时间。默认值：无。因为只有当指定了账户锁定阈 值时，该策略设置才有意义。账户锁定阈值，该安全设置确定造成用户账户被锁定的 登录失败尝试的次数。无法使用锁定的账户，除非管理员进 行了重新设置或该账户的锁定时间已过期。登录尝试失败的 范围可设置为0 至999 之间。如果将此值设为0，则将无法锁 定账户。复位账户锁定计数器，该安全设置确定在登录尝试失败 计数器被复位为0(即0次失败登录尝试)之前，尝试登录失败 之后所需的分钟数。有效范围为1 到99,999 分钟之间。如果 定义了账户锁定阈值，则该复位时间必须小于或等

6、于账户锁 定时间。Windows 2003系统在默认情况下，这种锁定策略并没有 进行设定，对黑客的攻击没有任何限制。账户锁定策略设定 的第一步就是指定账户锁定的阈值，即锁定前该账户无效登录的次数。一般设置锁定阈值为3次，如果3次登录全部失败，就会锁定该账户。Kerberos V5身份验证协议是用于确认用户或主机身份的 身份验证机制，也是Windows Server 2003系统默认的身份验 证服务。为防止“轮番攻击”，Kerberos V5 在其协议定义中 使用了时间戳。为使时间戳正常工作，客户端和域控制器的 时钟应尽可能的保持同步。如果客户端时钟和域控制器时钟 间的差值小于该策略中指定的最大

7、时间差，那么在这两台计作者简介：高爱乃(1953-),男,太原理工大学副教授,硕士,研究方向：计算机网络、系统集成、智能控制等。应 用 安 全的用户来说，可通过回拨技术来提高网络安全性。这样就需要开通来电显示业务。在Windows Server 2003网络中，如果活动目录工作在 Native-mode 下，这时就可以通过存储在访问服务器上或 Internet验证服务器上的远程访问策略来管理。针对各种应用 场景的不同，可以设置多种不同的策略。5 防火墙策略防火墙是网络安全的屏障。ISA Server 防火墙是建立在 Windows 操作系统上的一种可扩展的企业级防火墙，支持 两个层级的策略：阵

8、列级策略和企业级策略。阵列策略包括 站点和内容规则、协议规则、IP 数据包筛选器、Web 发布规 则和服务器发布规则。修改阵列配置时，该阵列内所有的 ISA Server计算机也都会被修改，包括所有的访问策略和缓 存策略。企业策略进一步体现了集中式管理，它允许设置一项或 多项应用于企业网阵列的企业策略。企业策略包括站点和内 容规则以及协议规则。企业策略可用于任何阵列，而且可通 过阵列自己的策略进行扩充。Windows Server2003 支持ISA Server2000，但要安装补丁为 ISA Server升级。6 组策略Win2003组策略和安全模板组策略用于从一个单独的点 对多个Micr

9、osoft Active Directory目录服务用户和计算机对 象进行配置。在默认情况下，策略不仅影响应用该策略的容 器中的对象，还影响子容器中的对象。 组策略包含了“计算 机配置、Windows 设置、安全设置”下的安全设置。应用组 策略可自动更新，但为了立即启动更新过程，可在命令提示 符下使用下面的 GPUpdate 命令：使用“安全配置和分析”。在Windows Server 2003网络中，还有一种非常有效的防 范黑客入侵和管理疏忽的辅助手段，这就是利用“受限制的 组”安全策略。该策略可保证组成员的组成固定。在域安全 策略的管理工具中添加要限制的组，在“组”对话框中键入 或查找要添

10、加的组。一般要对管理员组等特权组的成员加以 限制。下一步就是要配置这个受限制的组的成员。在这里选7本地策略本地策略包括：审核策略、用户权限分配和安全选项三 部分。审核策略确定是否将安全事件记录到计算机的安全日 志中。同时也确定是否记录登录成功或失败。用户权限分配 确定哪些用户或组具有登录计算机的权力或特权。安全选项 启用和禁用计算机的安全设置。审核策略包括九个策略选项，该策略的设置，可指定是 否审核成功、审核失败，或根本不对事件类型进行审核。用户权限分配在“本地安全设置”窗口进行。安全选项的选项，选中后在属性中设置。8 软件限制策略软件限制策略可以标识软件并控制它在本地计算机、组 织单位、域或

11、站点中的运行能力。可以帮助计算机防范电子 邮件病毒。使用软件限制策略，先要进行创建，为软件限制 策略创建单独的组策略对象。如果应用策略设置后遇到了问 题，以安全模式重启操作系统。9 小结以上分析了Windows Server 2003的安全策略，并对一些设置进行了提示说明，对于Windows Server 2003系统中，它还有许多安全策略选项配置，如文件系统、注册表和系统服务的本地计算机安全、用户权利、特权和登录权利、公钥 策略等。由于篇幅原因，本文没有分析，希望 Windows Server 2003的用户能用好这些策略，为网络有安全选择最佳 设置。参考文献1袁更华.Windows Ser

12、ver2003组网与安全配置手册M.北京：中国青年出版社.2004.2温艳春.网络内部信息安全技术及策略探讨J.计算机与网 络.2004.3刘晓辉.Windows Server2003服务器搭建、配置与管理M. 北京:中国水利水电出版社.2004.General Analysis of the Network Security of Windows Server 2003Gao AinaiCollege of Textile Engineering and Arts Taiyuan University of Technology,Shanxi,030600Abstrcat:Network S

13、ecurity involves series of aspects,in which the security setting of the network operating system is the key.Except for the advantages of the traditional Windows system,there are also series of new functions providing the high er-ranking hardware and the stro nger security fu nctions,sustain ing the network operating system of Win- dows Server 2003.In this the sis,the netwo