频道栏目
读书频道 > 安全 > 超级网管员——网络安全
5.1.2 账户锁定策略
2012-07-06 17:07:21     我来说两句
收藏   我要投稿

本文所属图书 > 超级网管员——网络安全

本书全面深入地介绍网络安全的配置与实现技术,包括系统管理、用户账户、病毒防御、灾难恢复、文件备份、安全策略、注册表等服务器安全,用户认证、登录限制、访问列表、用户权限、性能监控等网络设备安全,防火...  立即去当当网订购
账户锁定是指在某些情况下(账户受到采用密码词典或暴力破解方式的在线自动登录攻击等),为保护该账户的安全而将此账户进行锁定,使其在一定时间内不能再次使用此账户,从而挫败连续的猜解尝试。
Windows Server 2003系统在默认情况下,为方便用户起见,这种锁定策略并没有进行设置。因此对黑客的攻击没有任何限制。只要有耐心,通过自动登录工具和密码猜解字典进行攻击,甚至可以进行暴力模式攻击,破解密码只是一个时间问题。
账户锁定策略设置的第一步就是指定账户锁定的阈值,即锁定前该账户无效登录的次数。一般来说,由于操作失误造成的登录失败的次数是有限的。在这里设置锁定阈值为3次,这样只允许3次登录尝试。如果3次登录全部失败,就会锁定该账户。
但是,一旦该账户被锁定后,即使是合法用户也就无法使用了。只有管理员才可以重新启用该账户,这就造成了许多不便。为方便用户起见,可以同时设置锁定的时间和复位计数器的时间,这样以来在3次无效登录后就开始锁定账户,以及锁定时间为30分钟为限。以上的账户锁定设置,可以有效地避免自动猜解工具的攻击,同时对于手动尝试者的耐心和信心也可造成很大的打击。锁定用户账户常常会造成一些不便,但系统的安全有时更为重要。
账户锁定策略用于域账户或本地用户账户,用来确定某个账户被系统锁定的情况和时间长短。账户锁定策略包含以下3个策略。
 复位账户锁定计数器。
 账户锁定时间。
 账户锁定阈值。
1.账户锁定阈值
以“账户锁定阈值”为例说明如何设置账户锁定策略。该安全设置确定造成用户账户被锁定的登录失败尝试的次数。在锁定时间内,无法使用锁定的账户,除非管理员进行了重新设置或该账户的锁定时间已过期。登录尝试失败的范围可设置为0~999之间,建议值为3~5,既允许用户输或记忆错误,又避免恶意用户反复尝试用不同密码登录系统。
【说明】 如果将锁定阈值设为0,将无法锁定账户。
对于使用Ctrl+Alt+Delete组合键或带有密码保护的屏幕保护程序锁定的计算机上,失败的密码尝试计入失败的登录尝试次数中。
打开组策略控制台,依次展开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“账户锁定策略”,显示如图5-9所示的窗口。
在右侧的策略窗口中,双击“账户锁定阈值”选项,显示“账户锁定阈值 属性”对话框,如图5-10所示。
\
\
选择“定义这个策略设置”复选框,在“账户不锁定”文本框中输入无效登录的次数,例如3,则表示3次无效登录后,锁定登录所使用的账户。
单击“确定”按钮,保存对该策略的修改。
【说明】 “账户锁定阈值”策略默认状态下被禁用,从网络安全的角度考虑,为了防止黑客的恶意破解,建议启用该策略,并设置合理的数值,建议“账户锁定阈值”为3。
2.账户锁定时间
该安全设置确定锁定的账户在自动解锁前保持锁定状态的分钟数。有效范围从0~99,999分钟。如果将账户锁定时间设置为0,那么在管理员明确将其解锁前,该账户将一直被锁定。
如果定义了账户锁定阈值,则账户锁定时间必须大于或等于重置时间。
\
在图5-9所示的窗口中,双击右侧栏中的“账户锁定时间”选项,显示“账户锁定时间 属性”对话框,如图5-11所示。
选择“定义这个策略设置”复选框,在“账户锁定时间”文本框中输入账户锁定时间,如30,则表示账户被锁定的时间为30分钟,30分钟后方可使用被锁定的账户。
【说明】 当用户登录错误登录的次数到达指定的账户锁定阈值后,将自动锁定当前用户。用户锁定后,如果没有网络管理员解锁此用户,将一直处于锁定状态。为了维护方便,网络管理员可以设置“账户锁定时间”,账户被锁定的时间被设置后,超过指定时间后,可自动解锁被锁定的账户。
3.复位账户锁定计数器
安全设置确定在登录尝试失败计数器被复位为0(即0次失败登录尝试)之前,尝试登录失败之后所需的分钟数。有效范围为1~99,999分钟之间。
如果定义了账户锁定阈值,则该复位时间必须小于或等于账户锁定时间。
\
在图5-9所法的窗口中,双击右侧栏中的“复位账户锁定计数器”选项,显示“复位账户锁定计数器 属性”对话框,如图5-12所示。
选择“定义这个策略设置”复选框。在“在此后复位账户锁定计数器”下方的文本框中输入账户锁定复位的时间,如30,30分钟后复位被锁定的账户。
【说明】 “复位账户锁定计数器”和“账户锁定时间”的作用相同
您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力  
上一篇:5.1.1 密码策略
下一篇:5.1.3 推荐的账户策略设置
相关文章
图文推荐
排行
热门
最新书评
特别推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站