win2003安全策略的制定

风格法广泛

本文就Windows 2003在企业网络应用中企业帐户和系统监控方面的安全策略制定作出一些说明，希望能

对大家起到抛砖引玉的效果，最终的目标是确保我们的网络服务器的正常运行。


　　一、企业账户保护安全策略

　　用户账户的保护一般 主要围绕着密码的保护来进行。为了避免用户身份由于密码被破解而被夺取或盗

用，通常可采取诸如提高密码的破解难度、启用账户锁定策略、限制用户登录、限制外部连接以及防范网络

嗅探等措施。

　　1、提高密码的破解难度

　　提高密码的破解难度主要是通过采用提高密码复杂性、增大密码长度、提高更换频率等措施来实现，但

这常常是用户很难做到的，对于企业网络中的一些安全敏感用户就必须采取一些相关的措施，以强制改变不

安全的密码使用习惯。

　　在Windows系统中可以通过一系列的安全设置，并同时制定相应的安全策略来实现。在Windows Server

2003系统中，可以通过在安全策略中设定“密码策略”来进行。Window Server 2003系统的安全策略可以根

据网络的情况，针对不同的场合和范围进行有针对性地设定。例如可以针对本地计算机、域及相应的组织单

元来进行设定，这将取决于该策略要影响的范围。

　　以域安全策略为例，其作用范围是企业网中所指定域的所有成员。在域管理工具中运行“域安全策略”

工具，然后就可以针对密码策略进行相应的设定。

　　密码策略也可以在指定的计算机上用“本地安全策略”来设定，同时也可在网络中特定的组织单元通过

组策略进行设定。


　2、启用账户锁定策略

　　账户锁定是指在某些情况下(例如账户受到采用密码词典或暴力猜解方式的在线自动登录攻击)，为保护

该账户的安全而将此账户进行锁定。使其在一定的时间内不能再次使用，从而挫败连续的猜解尝试。

　　Windows2003系统在默认情况下，为方便用户起见，这种锁定策略并没有进行设定，此时，对黑客的攻

击没有任何限制。只要有耐心，通过自动登录工具和密码猜解字典进行攻击，甚至可以进行暴力模式的攻击

，那么破解密码只是一个时间和运气上的问题。账户锁定策略设定的第一步就是指定账户锁定的阈值，即锁

定前该账户无效登录的次数。一般来说，由于操作失误造成的登录失败的次数是有限的。在这里设置锁定阈

值为3次，这样只允许3次登录尝试。如果3次登录全部失败，就会锁定该账户。

　　但是，一旦该账户被锁定后，即使是合法用户也就无法使用了。只有管理员才可以重新启用该账户，这

就造成了许多不便。为方便用户起见，可以同时设定锁定的时间和复位计数器的时间，这样以来在3次无效

登最后就开始锁定账户，以及锁定时间为30分钟。以上的账户锁定设定，可以有效地避免自动猜解工具的攻

击，同时对于手动尝试者的耐心和信心也可造成很大的打击。锁定用户账户常常会造成一些不便，但系统的

安全有时更为重要。

　　3、限制用户登录

　　对于企业网的用户还可以通过对其登录行为进行限制，来保障其户户账户的安全。这样以来，即使是密

码出现泄漏，系统也可以在一定程度上将黑客阻挡在外，对于Windows Server 2003网络来说，运行

“Active Directory用户和计算机”管理工具。 然后选择相应的用户，并设置其账户属性。

　　在账户属性对话框中，可以限制其登录的时间和地点。单击其中的“登录时间”按钮，在这里可以设置

允许该用户登录的时间，这样就可防止非工作时间的登录行为。单击其中的“登录到”按钮，在这里可以设

置允许该账户从哪些计算机乾地登录。另外，还可以通过“账户”选项来限制登录时的行为。例如使用“用

户必须用智能卡登录”，就可避免直接使用密码验证。除此之外，还可以引入指纹验证等更为严格的手段。

　　4、限制外部连接

　　对于企业网络来说，通常需要为一些远程拨号的用户（业务人员或客户等)提供拨号接入服务。远程拨

号访问技术实际上是通过低速的拨号连接来将远程计算机接入到企业内部的局域网中。由于这个连接无法隐

藏，因此常常成为黑客入侵内部网络的最佳入口。但是，采取一定的措施可以有效地降低风险。

　　对于基于Windows Server 2003的远程访问服务器来说，默认情况下将允许具有拨入权限的所有用户建

立连接。因此，安全防范的第一步就是合理地、严格地设置用户账户的拨入权限，严格限制拨入权限的分配

范围，只要不是必要的就不给予此权限。对于网络中的一些特殊用户和固定的分支机构的用户来说，可通过

回拨技术来提高网络安全性。这里所谓的回拨，是指在主叫方通过验证后立即挂断线路，然后再回拨到主叫

方的电话上。这样，即使帐户及其密码被破解，也不必有任何担心。需要注意的是，这里需要开通来电显示

业务。

　　在Windows Server 2003网络中，如果活动目录工作在Native-mode(本机模式)下，这时就可以通过存储

在访问服务器上或Internet验证服务器上的远程访问策略来管理。针对各种应用场景的不同，可以设置多种

不同的策略。具体的管理比较复杂，由于篇幅有限，大家可参考相关资料，这里就不再作详细介绍。

　　5、限制特权组成员

　　在Windows Server 2003网络中，还有一种非常有效的防范黑客入侵和管理疏忽的辅助手段，这就是利

用“受限制的组”安全策略。该策略可保证组成员的组成固定。在域安全策略的管理工具中添加要限制的组

，在“组”对话框中键入或查找要添加的组。一般要对管理员组等特权组的成员加以限制。下一步就是要配

置这个受限制的组的成员。在这里选择受限制的组的“安全性(S)”选项。然后，就可以管理这个组的成员

组成，可以添加或删除成员， 当安全策略生效后，可防止黑客将后门账户添加到该组中。

　　6、防范网络嗅探

　　由于局域网采用广播的方式进行通信，因而信息很容易被窃听。网络嗅探就是通过侦听所在网络中所传

输的数据来嗅探有价值的信息。对于普通的网络嗅探的防御并不困难，可通过以下手段来进行：

　　1)采用交换网络

　　一般情况下，交换网络对于普通的网络嗅探手段具有先天的免疫能力。这是由于在交换网络环境下，每

一个交换端口就是一个独立的广播域，同时端口之间通过交换机进行桥接，而非广播。网络嗅探主要针对的

是广播环境下的通信，因而在交换网络中就失去作用了。

　　随着交换网络技术的普及，网络嗅探所带来的威胁也越来越低，但仍不可忽视。通过ARP地址欺骗仍然

可以实现一定范围的网络嗅探，此外黑客通过入侵一些型号的交换机和路由器仍然可以获得嗅探的能力。

　　2)加密会话

　　在通信双方之间建立加密的会话连接也是非常有效的方法，特别是在企业网络中。这样，即使黑客成功

地进行了网络嗅探，但由于捕获的都是密文，因而毫无价值。网络中进行会话加密的手段有很多，可以通过

定制专门的通信加密程序来进行，但是通用性较差。 这时，完善IP通信的安全机制是最根本的解决办法。

　　由于历史原因，基于IP的网络通信技术没有内建的安全机制。随着互联网的发展，安全问题逐渐暴露出

来。现在经过各个方面的努力，标准的安全架构也已经基本形成。那就是IPSec机制，并且它将作为下一代

IP网络标准IPv6的重要组成。IPSec机制在新一代的操作系统中已经得到了很好的支持。在Windows Server

2003系统中，其服务器产品和客户端产品都提供了对IPSec的支持。从而增强了安全性、可伸缩性以及可用

性，同时使部署和管理更加方便。

　　在Windows Server 2003系统的安全策略相关的管理工具集(例如本地安全策略、域安全策略、组策略等

)中，都集成了相关的管理工具。为清楚起见，通过Microsoft管理控制台MMC定制的管理工具来了解一下。

　　具体方法如下：首先在“开始”菜单中单击“运行”选项，然后键入mmc，并同时单击“确定”按钮。

在“控制台”菜单中选择“添加删除管理单元(M)”命令，然后，单击其中的“添加”按钮。 在可用的独立

管理单元中，选择“IP安全策略管理”选项，双击或单击“添加”按钮，在这里选择被该管理单元所管理的

计算机，然后单击“完成”按钮。关闭添加管理单元的相关窗口，就得到了一个新的管理工具，在这里可以

为其命名并保存。

　　此时可以看到已有的安全策略，用户可以根据情况来添加、修改和删除相应的IP安全策略。其中

Windows Server 2003系统自带的有以下几个策略：

　　安全服务器(要求安全设置)；
　　客户端(只响应)；
　　服务器(请求安全设置)；

　　其中的“客户端(只响应)”策略是根据对方的要求来决定是否采用IPSec；“服务器(请求安全设置)”

策略要求支持IP安全机制的客户端使用IPSec，但允许不支持IP安全机制的客户端来建立不安全的连接；而

“安全服务器(要求安全设置)”策略则最为严格，它要求双方必须使用IPSec协议。

　　不过，“安全服务器(要求安全设置)”策略默认允许不加密的受信任的通信，因此仍然能够被窃听。直

接修改此策略或定制专门的策略，就可以实现有效的防范。选择其中的“所有IP通讯”选项，在这里可以编

辑其规则属性。

　　选择“筛选器操作”选项卡，选择其中的“要求安全设置”选项。在此筛选器操作的属性设置里可以编

辑安全措施，在这里将安全措施设置为“高”选项。

　　以上采用IPSec加密数据通信的方法适用于企业网应用，通过部署组策略可以强制网络中的所有计算机

使用IPSec加密通信。当然这种严格的限制会带来一些不便，不过对于系统安全来说是值得的。IPSec还可以

应用于VPN技术中，在这里可以对IP隧道中的数据流进行加密。

　　对于不方便大范围实施IPSec的环境，可以考虑采用VPN。这里的VPN是指虚拟私有网络。VPN技术是目前

实现端对端安全通信的最佳解决方案，它主要适用于客户端通过开放的网络与服务器的连接。例如，客户端

通过Internet/Intranet连接到企业或部门的专用网络。