袁佳怡献b门全套吃精:第 3 章：域策略

第 3 章：域策略

更新日期： 2006年07月17日

本页内容

概述
域策略
帐户策略
密码策略
帐户锁定策略
Kerberos 策略
安全选项
总结

概述

本章使用域环境的构造来说明如何在 Microsoft® Windows Server™ 2003 SP1 基础结构中解决安全性。

本章重点介绍以下主题：

• 域级别的安全设置和对策。

• 如何保护第 1 章“《Windows Server 2003 安全指南》简介”中定义的旧客户端 (LC)、企业客户端 (EC) 和专用安全 – 限制功能 (SSLF) 环境的 Windows Server 2003 域。

此信息提供了有关域基础结构中如何从 LC 环境发展到 SSLF 环境的基础和设想。

Windows Server 2003 SP1 附带了设置为已知高度安全状态的默认值。为提高本材料的可用性，本章只介绍那些从默认值修改而来的设置。有关所有默认设置的信息，请参阅附加指南威胁和对策：Windows Server 2003 和 Windows XP 的安全设置，网址为 http://www.microsoft.com/china/technet/security/guidance/secmod48.mspx。

域策略

您可以在组织的几个不同级别应用组策略安全设置。第 2 章“Windows Server 2003 强化机制”中介绍的基准环境使用组策略来应用域基础结构中以下三个层次结构级别的设置：

• 域级别。此级别的设置解决了常见的安全要求，例如必须针对域中所有服务器实施的帐户和密码策略。

• 基准级别。此级别的设置解决了域基础结构中为所有服务器共有的特定服务器安全要求。

• 特定于角色的级别。此级别的设置解决了特定服务器角色的安全要求。例如，基础结构服务器的安全要求有别于那些运行 Microsoft Internet 信息服务 (IIS) 的服务器的要求。

本章的以下部分将只详细介绍域级别策略。解决的大多数域安全设置适用于用户帐户和密码。当您检查这些设置和建议时，记住所有设置均适用于域边界中的每个用户。

域策略概述

组策略非常强大，因为它允许管理员创建标准的网络计算机配置。组策略对象 (GPO) 为任何组织的配置管理解决方案提供了极其重要的部分，因为它们允许管理员同时对域中或域子集中的所有计算机进行安全更改。

以下部分提供了有关可用以增强 Windows Server 2003 SP1 安全的安全设置的详细信息。提供的表汇总了这些设置，并详细说明了如何实现每种设置的安全目标。根据各种设置在 Windows Server 2003 安全配置编辑器 (SCE) 用户界面中的表现形式，系统将设置划分为多种类别。

通过组策略，您可以同时应用以下类型的安全更改：

• 修改文件系统的权限。

• 修改注册表对象的权限。

• 更改注册表中的设置。

• 更改用户权限分配。

• 配置系统服务。

• 配置审核和事件日志。

• 设置帐户和密码策略。

本指南建议您在域根下创建一个新的组策略，以便应用本章中介绍的域范围策略。此方法使您能更容易地对新的组策略进行测试或故障排除，因为若要回滚更改，只需将策略禁用即可。不过，有些设计为与 Active Directory 一起工作的应用程序可以对内置的默认域策略进行更改。如果您遵循本指南中的建议，这些应用程序将不会注意到您所实施的新组策略。开始部署新的企业应用程序之前，确保对其进行全面测试。如果遇到问题，请检查以查看应用程序是否已修改帐户策略、创建新的用户帐户、修改用户权限或者对默认域策略或本地计算机策略做了其他更改。

帐户策略

帐户策略（包括密码策略、帐户锁定策略和 Kerberos 策略安全设置）仅与本指南中定义的所有三种环境中的域策略相关。密码策略提供了一种方法来设置高安全环境的复杂性和更改计划。帐户锁定策略允许跟踪失败的密码登录尝试以便在必要时启动帐户锁定。Kerberos 策略用于域用户帐户，并确定与 Kerberos 身份验证协议相关的设置（例如票证使用期限和强制）。

密码策略

定期更改的复杂密码可以降低成功密码攻击的可能性。密码策略设置控制密码的复杂性和使用期限。本部分介绍每种特定的密码策略设置以及它们与本指南中定义的三种环境中的每种环境是如何关联的：旧客户端、企业客户端和专用安全 – 限制功能。

对密码长度和复杂性要求严格并不一定意味着用户和管理员将使用强密码。虽然密码策略可能要求用户遵循技术复杂性要求，但还需要附加的强安全策略来确保用户创建难以遭破坏的密码。例如，Breakfast! 可能符合所有密码复杂性要求，但是要破解该密码并非难事。

若了解密码创建人的特定情况，而且密码是基于其喜爱的食物、汽车或影片的，就可以猜到该密码。制作一张介绍弱密码的海报，并将其贴在公共场所，如饮水机或复印机附近，是设法让用户接受强密码的组织安全计划的一种策略。您的组织应该设立强密码创建准则，包括：

• 不要使用任何语言词典中的单词，包括常见或巧妙拼错的单词。

• 创建新密码时，不能只是增加当前密码中的一个数字。

• 密码的开头或结尾不要使用数字，因为与将数字摆在中间的密码相比，前者更容易猜到。

• 其他人只需看看您的办公桌即可轻松猜到的密码不宜使用，例如宠物名称、运动队名称和家人姓名。

• 不要使用来自大众文化的单词。

• 强制使用需要在键盘上用两手输入的密码。

• 强制在所有密码中混合使用大小写字母、数字和符号。

• 强制使用空格字符和只有按 Alt 键才能生成的字符。

组织中所有服务帐户密码也应该遵循这些准则。

密码策略设置

下表包括适用于本指南中定义的所有三种环境的密码策略设置建议。您可以在组策略对象编辑器中对以下位置中的密码策略设置进行配置：

计算机配置\Windows 设置\安全设置\帐户策略\密码策略

表后的小节提供了有关每个设置的附加信息。

表 3.1 密码策略设置建议

设置

旧客户端

企业客户端

专用安全 – 限制功能

强制密码历史

24 个记住的密码

24 个记住的密码

24 个记住的密码

密码最长使用期限

42 天

42 天

42 天

密码最短使用期限

1 天

1 天

1 天

密码长度最小值

8 个字符

8 个字符

12 个字符

密码必须符合复杂性要求

已启用

已启用

已启用

用可还原的加密来储存密码

已禁用

已禁用

已禁用

强制密码历史

此策略设置确定在可以重新使用旧密码之前，必须与某个用户帐户关联的唯一新密码个数。此设置的值必须在 0 到 24 个密码之间。

Windows Server 2003 SP1 中“强制密码历史”设置的默认值最多为 24 个密码。Microsoft 建议在所有三种环境中使用该值，原因是它有助于确保旧密码不会连续重新使用、常见的漏洞与密码重新使用相关联以及低值设置将允许用户持续循环使用数目很小的密码。此外，对于包括旧客户端的环境，此建议没有已知问题。

要增强此策略设置的有效性，您也可以配置“密码最短使用期限”设置以便密码无法被立即更改。这种组合使得用户很难重新使用旧密码，无论是偶然还是有意。

密码最长使用期限

此策略设置定义了破解密码的攻击者在密码过期之前使用该密码访问网络计算机的期限。此策略设置的值范围为 1 到 999 天。您可以配置“密码最长使用期限”设置，以便密码在环境需要时过期。此设置的默认值为 42 天。

定期更改密码有助于防止密码遭破坏。若攻击者有足够的时间和计算功能，就能够破解大多数密码。密码更改越频繁，攻击者破解密码的时间就越少。但是，此值设置得越低，帮助台支持呼叫增多的可能性越大。

Microsoft 建议对于本指南中定义的所有三种环境将“密码最长使用期限”设置保留为默认值 42 天。此配置将确保密码会被定期更改，但不要求用户频繁更改其密码以致无法记住密码。要权衡安全性和可用性需求，您可以在旧客户端和企业客户端环境中增加此策略设置的值。

密码最短使用期限

此策略设置确定用户更改密码之前该密码可以使用的天数。“密码最短使用期限”设置的值范围介于 0 至 999 天；0 值允许立即更改密码。此策略设置的默认值为 1 天。

“密码最短使用期限”设置必须小于“密码最长使用期限”设置，除非“密码最长使用期限”设置配置为 0（这意味着密码永不过期）。如果希望“强制密码历史”设置生效，请将“密码最短使用期限”设置配置为大于 0 的值。如果没有密码最短使用期限，用户可以循环使用密码，直到重新使用旧的收藏密码。

Microsoft 建议对于本指南中定义的所有三种环境将“密码最短使用期限”默认值强制为 1 天。将此设置与“强制密码历史”设置中的类似低值相结合使用时，用户可以不断循环使用相同的密码。例如，如果“密码最短使用期限”配置为 1 天且“强制密码历史”配置为 2 个密码，用户将只需等待 2 天，就可以重新使用旧的收藏密码了。但是，如果“密码最短使用期限”配置为 1 天且“强制密码历史”配置为 24 个密码，那么用户至少在 24 天之内，需要每天更改其密码，然后才能重新使用密码，这似乎不太可能。

密码长度最小值

此策略设置确保密码至少具有指定个数的字符。长密码（八个或八个以上的字符）往往比短密码要强。使用“密码长度最小值”设置时，用户不能使用空白密码，必须使用特定个数的字符来创建密码。此设置的默认值是 7 个字符。

本指南建议对于旧客户端和企业客户端环境将“密码长度最小值”设置配置为 8 个字符。此配置的长度足以提供某种级别的安全性，但是对于记忆力好的用户而言仍太短。此外，此配置可针对常用词典和强力攻击提供相当强的防御功能能力。

（词典攻击使用单词列表通过试验和错误来获取密码。强力攻击尝试每个可能的密码或加密的文本值。强力攻击是否成功取决于密码的长度、潜在字符集的大小以及可供攻击者使用的计算功能。）

本指南建议对于专用安全 – 限制安全环境将“密码长度最小值”设置配置为 12 个字符。

密码中的每个额外字符都会使其复杂性以指数级增加。例如，七个字符的密码可能有 267 或 1 x 107 种可能的组合。区分大小写的七字符字母数字密码有 527 种组合。不带标点，且区分大小写的七字符字母数字密码有 627 种组合。在每秒进行 1,000,000 次尝试的速度下，只需要大约 40 天即可破解。八字符密码具有 268，或 2 x 1011 种可能的组合。虽然此数字大得有点令人生畏，但如果每秒尝试 1,000,000 次（许多密码破解工具均具备此功能），那么遍历所有可能的密码就只需 59 个小时。记住，如果密码使用 Alt 字符和其他特殊键盘字符（如 ! 或 @），则这些时间会大大增加。

通过单向（不可逆）哈希算法的处理后，密码将被存储在安全帐户管理器 (SAM) 数据库或 Active Directory 中。因此，判断您是否拥有正确密码的唯一已知方法是使用相同的单向哈希算法对密码进行计算，并比较结果。词典攻击通过在加密的整个过程中尝试整个词典来寻找匹配值。对于确定以“password”或“guest”这样的常用词作为帐户密码的使用者，这是一种非常简单，但却很有效方法。

旧版 Windows 使用的是特定类型的哈希算法，称为 LAN Manager Hash (LMHash)。此算法将密码分为包含 7 个或少于 7 个字符的块，然后针对每个字符块计算单独的哈希值。虽然 Windows 2000 Server、Windows XP 和 Windows Server 2003 都使用更新的哈希算法，但它们仍需计算和存储 LMHash 以保持向后兼容性。

LMHash 值存在时，表示密码破解程序的快捷方式。如果密码为七个字符或更少，则 LMHash 的第二个部分解析为一个特定值，此值会通知破译者，密码短于八个字符。少于 8 个字符的密码甚至可以加强较弱的 LMHash，因为较长的密码要求破解程序对每个密码的两个部分都进行解密，而不只是一个部分。并行攻击 LMHash 的两半是可能的，而且 LMHash 的另半部分只有 1 字符长；强力攻击只需几毫秒即可将其破解。因此，它实际上没有带来什么好处，除非它是 Alt 字符集的一部分。

为此，不推荐您用较短的密码代替较长的密码。不过，最短长度要求如果太长，就会导致输错密码的次数变多，帐户因此而被锁定的次数也变多，帮助台呼叫也会增加。此外，极端的长密码要求实际上会降低组织的安全性，因为用户很可能会记下密码，不致忘记。

密码必须符合复杂性要求

在创建新密码时，此策略设置将检查所有新密码以确保它们符合安全性要求。不能对 Windows Server 2003 策略规则直接进行修改。不过，您可以创建新版本的 Passfilt.dll 文件以应用不同的规则集。有关创建自定义 Passfilt.dll 文件的详细信息，请参阅 MSDN® 文章“Sample Password Filter”，网址为 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secmgmt/
security/sample_password_filter.asp。

实际上，可以设置包含 20 个或更多字符的密码，这样便于用户记忆，并且比八字符的密码更安全。假定以下 27 个字符的密码：I love cheap tacos for $.99。这种类型的密码（真正的通行短语）与 P@55w0rd 这样较短的密码相比，可能更便于用户记忆。

与“密码长度最小值” 8 组合使用时，此设置使进行强力攻击非常困难。如果在密钥空间中使用大小写字母和数字，那么可用的字符数将从 26 增加到 62。八字符密码就有 2.18 x 1014 中可能的组合。在每秒进行 1,000,000 次尝试的速度下，循环尝试所有可能的排列需要 6.9 年的时间。

因此，Microsoft 建议对于本指南中定义的所有三种环境将“密码必须符合复杂性要求”设置配置为“已启用”。

用可还原的加密来储存密码

此策略设置确定操作系统是否使用可逆加密来存储密码。它支持使用要求用户通过密码进行身份验证的协议的应用程序。

与使用非可逆加密存储的密码相比，使用可逆加密方法存储的密码更容易检索。如果启用此设置，就会增加漏洞。

因此，Microsoft 建议您将“用可还原的加密来储存密码”设置配置为“已禁用”，除非应用程序要求超过了保护密码信息的需要。此外，通过远程访问或 IAS 部署质询-握手身份验证协议 (CHAP) 的环境和在 Internet 信息服务 (IIS) 中使用摘要式身份验证的环境都需要启用此策略设置。

如何防止用户更改密码（除非在要求这么做时）

虽然上一部分中介绍的密码策略设置提供了选项范围，但某些组织仍要求对所有用户采取集中式控制。本部分介绍如何防止用户进行非必要的密码更改。

对用户密码的集中控制是设计完好的 Windows Server 2003 安全方案的基础。您可以使用组策略按上述方法来设置密码最短和最长使用期限，但是请记住，经常的密码更改要求将使用户能够回避您的环境的密码历史记录设置。要求密码太长还可能使用户忘记密码，从而导致帮助台收到忘记其密码的用户的呼叫增多。

用户可以在密码最短使用期限和最长使用期限设置的期限之间更改密码。不过，专用安全 – 限制功能环境设计仅在“密码最长使用期限”设置过了 42 天之后操作系统提示时，才要求用户更改其密码。要防止更改密码（需要更改的情况除外），您可以禁用按 Ctrl+Alt+Delete 时出现的“Windows 安全”对话框中的“更改密码”选项。注意，关注安全的用户可能希望更频繁地更改其密码，必须联系管理员执行该操作，这样会增加支持成本。

您可以通过组策略对整个域实施此配置，也可以通过编辑注册表对一个或多个特定用户实施此配置。有关此配置的详细说明，请参阅 Microsoft 知识库文章“HOW TO：在 Windows Server 2003 中防止用户在非必要情况下更改密码”，网址为 http://support.microsoft.com/?kbid=324744。

帐户锁定策略

帐户锁定策略是一项 Windows Server 2003 SP1 安全功能，它在指定时间段内多次登录尝试失败后锁定用户帐户。允许尝试的次数和时间段基于为策略配置的值。Windows Server 2003 SP1 可跟踪登录尝试，而且服务器软件可以配置为通过在预设的登录失败次数后禁用帐户来对潜在攻击作出响应。

这些策略设置有助于保护用户密码，防止攻击者猜出密码，因此降低了网络攻击的成功可能性。不过，如果您启用帐户锁定策略，就可能导致支持成本增加，因为忘记或重复输错密码的用户将需要帮助。启用下列设置之前，请确保您的组织已经为此附加开销作好准备。对于许多组织而言，改进的低成本解决方案是自动监视域控制器的安全事件日志，并当出现明显的用户帐户密码的猜测尝试时生成管理警报。有关这些设置及其交互方式的附加论述，请参阅附加指南威胁和对策：Windows Server 2003 和 Windows XP 中的安全设置的第 2 章“域级别策略”。

帐户锁定策略设置

下表汇总了推荐的帐户锁定策略设置。您可以使用组策略对象编辑器在下列位置对域组策略中的这些设置进行配置：

计算机配置\Windows 设置\安全设置\帐户策略\帐户锁定策略

表后的小节提供了有关每个设置的附加信息。

表 3.2 帐户锁定策略设置

设置

旧客户端

企业客户端

专用安全 – 限制功能

帐户锁定时间

30 分钟

30 分钟

15 分钟

帐户锁定阈值

50 次无效登录

50 次无效登录

10 次无效登录

复位帐户锁定计数器

30 分钟

30 分钟

15 分钟

帐户锁定时间

此策略设置确定在未锁定帐户且用户可以尝试再次登录之前的时间长度。它指定了锁定帐户保持不可用的分钟数。如果将“帐户锁定时间”值设置为 0，则帐户将保持锁定直到管理员将其解除锁定。此策略设置的 Windows Server 2003 SP1 默认值为“没有定义”。

将“帐户锁定时间”设置配置为永不自动解锁帐户似乎是一个好主意，但这样配置可能增加帮助台为了解锁不小心锁定的帐户而收到的呼叫的次数。

本指南建议对于旧客户端和企业客户端环境将“帐户锁定时间”设置配置为“30 分钟”，而对于专用安全 - 限制功能环境将此设置配置为“15 分钟”。在遭到拒绝服务 (DoS) 攻击时，此配置可降低运营开销。在 DoS 攻击中，攻击者对组织中的所有用户进行的恶意登录尝试多次失败后，导致这些用户的帐户被锁定。推荐的设置向锁定用户提供了在合理时间之内重新登录的机会，而无需向服务台寻求帮助。但是，有关此设置值的信息需要传达给用户。

帐户锁定阈值

此策略设置确定用户在帐户被锁定之前可以尝试登录帐户的次数。

授权用户可以采用不同的方式来锁定其帐户。他们可以输错密码或可以在登录一台计算机上后在另一台计算机上更改其密码。带有错误密码的计算机会不断尝试对用户进行身份验证，但由于它用来进行身份验证的密码不正确，最终导致用户帐户被锁定。要避免锁定授权用户，请将“帐户锁定阈值”设置配置为较高的数字。

由于无论是否配置“帐户锁定阈值”设置都会存在漏洞，因此为这些可能性中的每种可能性定义了独特措施。您的组织应该根据识别的威胁和正在尝试降低的风险来在两者之间做出平衡。

• 要防止帐户锁定，请将“帐户锁定阈值”设置的值设置为 0。此配置有助于减少帮助台呼叫次数，因为用户不会将自己意外地锁定在帐户外。同时，尝试故意锁定组织中的帐户的 DoS 攻击将不会达到目的。由于它不能阻止强力攻击，因此只有在下列条件均得到明确满足时才可以选择此设置：

  • 密码策略要求所有用户使用由 8 个或更多字符组成的复杂密码。

  • 强健的审核机制已经就位，可以在环境中发生一系列帐户登录失败时提醒管理员。例如，审核机制应该监视安全事件 539，此事件为“登录失败。当进行登录尝试时帐户被锁定”。此事件意味着在达到登录尝试阈值时，帐户将被锁定。但是，事件 539 只显示帐户锁定，不显示失败的登录尝试。因此，您的管理员还应该监视是否有一系列错误的密码尝试。

• 如果不能满足这些条件，则第二个选择是将“帐户锁定阈值”设置配置为足够高的值，以便用户可以意外地输错密码若干次而不将自己锁定在帐户外。但是，此值应该帮助确保强力攻击密码仍会锁定帐户。

本指南建议对于旧客户端和企业客户端环境将“帐户锁定阈值”设置值配置为 50，这应该可以提供足够的安全性和可接受的可用性。此值将避免意外的帐户锁定和减少帮助台呼叫次数，但不能如前所述避免 DoS 攻击。但是，本指南建议对于专用安全 - 限制功能环境将此策略设置值配置为 10。

复位帐户锁定计数器

此策略设置确定在“帐户锁定阈值”复位为 0 以及帐户被解锁之前所必须经过的时间长度。因此，如果定义了“帐户锁定阈值”，则此复位时间必须小于或等于“帐户锁定时间”的值。

“复位帐户锁定计数器”设置与其他设置配合使用。将此策略设置保留为其默认值，或者将该值配置为很长的间隔，都会使环境面临锁定帐户 DoS 攻击的威胁。如果没有复位帐户锁定的策略设置，管理员必须手动解锁所有帐户。相反，如果为此设置配置了合理的时间值，用户将会被锁定一段固定的时间，然后所有帐户都会自动解锁。

本指南建议对于旧客户端和企业客户端环境将“复位帐户锁定计数器”设置配置为 30 分钟。此配置所定义的时间段是用户在无需求助帮助台的情况下最有可能接受的。但是，本指南建议对于专用安全 – 限制功能环境将此策略设置配置为 15 分钟。

Kerberos 策略

Kerberos 策略用于域用户帐户。这些策略确定与 Kerberos v5 身份验证协议相关的设置（例如票证使用期限和强制）。Kerberos 策略在本地计算机策略中不存在。如果减少 Kerberos 票证的使用期限，那么攻击者尝试窃取密码以模拟合法用户帐户的风险将降低。但是，这些策略的维护需求将增加授权开销。

在大多数环境中，不应更改这些策略的默认值。Kerberos 设置被包括在默认域策略中并在该策略中强制实施，因此，本指南附带的安全模板中并不包含它们。

本指南建议不要对默认的 Kerberos 策略做任何更改。有关这些策略设置的详细信息，请参阅附加指南威胁和对策：Windows Server 2003 和 Windows XP 的安全设置，网址为 http://www.microsoft.com/china/technet/security/guidance/secmod48.mspx。

安全选项

本章前面介绍的三种不同类型的帐户策略在域级别定义，并由域中的所有域控制器强制实施。域控制器始终从默认域策略 GPO 获取帐户策略，即使存在对包含域控制器的 OU 应用的其他帐户策略。

有三种类似于帐户策略的安全选项设置。应该在整个域的级别而不是在个别 OU 中应用这些设置。可以使用组策略对象编辑器在以下位置对这些设置进行配置：

计算机配置\Windows 设置\安全设置\本地策略\安全选项

安全选项设置

下表汇总了推荐的安全选项设置。表后的小节提供了有关每个设置的附加信息。

表 3.3 安全选项设置

设置

旧客户端

企业客户端

专用安全 – 限制功能

Microsoft 网络服务器：当登录时间用完时自动注销用户

已启用

已启用

已启用

网络访问：允许匿名 SID/名称转换

已禁用

已禁用

已禁用

网络安全：在超过登录时间后强制注销

已启用

已启用

已启用

Microsoft 网络服务器：当登录时间用完时自动注销用户

此策略设置确定在超过用户帐户的有效登录时间后，是否断开连接到本地计算机的用户。此策略设置影响服务器消息块 (SMB) 组件。如果启用此设置，会在客户端的登录时间用完时强制断开与 SMB 服务的客户端会话。如果禁用此设置，则允许已建立的客户端会话在超过客户端登录时间后继续进行。如果启用此策略设置，您还应该启用“网络安全：在超过登录时间后强制注销”设置。

如果您的组织为用户配置了登录时间，则启用“Microsoft 网络服务器：当登录时间用完时自动注销用户”设置很有意义。否则，即使用户超出其登录时间，应无法访问网络资源，但实际上他们仍能继续在许可时间内建立的会话中使用那些资源。

本指南建议对于本指南中定义的三种环境将“Microsoft 网络服务器：当登录时间用完时自动注销用户”设置配置为“已启用”。如果未使用登录时间，则此策略设置不会产生任何影响。

网络访问：允许匿名 SID/名称转换

此策略设置确定匿名用户是否可以请求另一用户的 SID。

如果在域控制器上启用了“网络访问：允许匿名 SID/名称转换”设置，则知道管理员所共知的标准 SID 属性的用户可以与也启用了此策略的计算机联系，并使用该 SID 获取管理员的名称。然后，此人可以使用该帐户名称发动密码猜测攻击。

由于在成员计算机上“网络访问：允许匿名 SID/名称转换”设置的默认配置是“已禁用”，所有这些计算机将不受此策略设置的影响。但是，域控制器的默认设置为“已启用”。如果禁用此策略设置，运行旧操作系统的计算机可能无法与那些基于 Windows Server 2003 SP1 的域进行通信。此类计算机的示例包括：

• 基于 Windows NT® 4.0 的远程访问服务服务器。

• 在基于 Windows NT 3.x 或基于 Windows NT 4.0 的计算机上运行的 Microsoft SQL Servers™。

• 在基于 Windows 2000 并位于 Windows NT 3.x 域或 Windows NT 4.0 域的计算机上运行的远程访问服务服务器。

本指南建议对于本指南中定义的三种环境将“网络访问：允许匿名 SID/名称转换”设置配置为“已禁用”。

网络安全：在超过登录时间后强制注销

此策略设置确定在超过用户帐户的有效登录时间后，是否断开连接到本地计算机的用户。此设置影响 SMB 组件。

如果启用“网络安全：在超过登录时间后强制注销”设置，则当用户的登录时间用完之后，客户端与 SMB 服务器的会话将被强制断开。在下一次计划访问时间到来之前，用户将无法登录到计算机。如果禁用此策略设置，则用户在登录时间用完之后可以保持已建立的客户端会话。要影响域帐户，必须在默认域策略中定义此设置。

本指南建议对于本指南中定义的三种环境将“网络安全：在超过登录时间后强制注销”设置配置为“已启用”。

总结

本章介绍了复查组织中所有域范围设置的需求。只能为每个域配置一组密码、帐户锁定和 Kerberos v5 身份验证协议策略。其他密码和帐户锁定设置将只影响成员服务器上的本地帐户。规划配置将适用于域的所有成员服务器的设置，并确保这些设置能在您的组织中提供足够级别的安全性。

更多信息

下列链接提供了与运行 Windows Server 2003 SP1 的服务器的域策略相关的主题的附加信息。

• 有关匿名用户请求其他用户的安全标识符属性的功能的信息，请参阅网络访问：允许匿名 SID/名称转换页面，网址为 www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/
  299803be-0e85-4c60-b0b5-1b64486559b3.mspx。

• 有关网络安全和在登录时间用完时如何强制注销的信息，请参阅 Mole #32:Technical Answers from Inside Microsoft，网址为 www.microsoft.com/technet/archive/community/columns/inside/techan32.mspx。

  此外，请参阅 Microsoft 知识库文章 “Guest Account Cannot be Used When Anonymous Access Is Disabled”，网址为 http://support.microsoft.com/?kbid=251171。