2. 程式人生 > >Windows安全指南之域級別策略

Windows安全指南之域級別策略

阿新 發佈:2019-01-19

簡介

可在域級別上應用所有的帳戶策略組策略設定。在帳戶策略、帳戶鎖定策略和 Kerberos 策略內建的預設域控制器中提供了預設值。請記住,在 Microsoft Active Directory 中設定這些策略時,Microsoft Windows 僅允許一個域帳戶策略:應用於域樹根域的帳戶策略。域帳戶策略將成為屬於該域的任何 Windows 系統的預設帳戶策略。此規則的唯一例外情況是,當為組織單位定義了另外一個帳戶策略時。組織單位 (OU) 的帳戶策略設定將影響到該 OU 中任何計算機上的本地策略。本模組將通篇討論其中每種型別的設定。

帳戶策略

帳戶策略是在域級別上實現的。Microsoft Windows Server 2003 域必須有一個針對該域的密碼策略、帳戶鎖定策略和 Kerberos V5 身份驗證協議。在 Active Directory 中任何其他級別上設定這些策略將只會影響到成員伺服器上的本地帳戶。如果有要求單獨密碼策略的組,應根據任何其他要求將這些組分段到另一個域或目錄林。

在 Windows 和許多其他作業系統中,驗證使用者身份最常用的方法是使用祕密通行碼或密碼。確保網路環境的安全要求所有使用者都使用強密碼。這有助於避免未經授權的使用者猜測弱密碼所帶來的威脅,他們通過手動的方法或工具來獲取已洩密使用者帳戶的憑據。這一點對於管理帳戶尤其有用。隨本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”(英文)為預設設定編制了文件。請單擊此處下載

定期更改的複雜密碼減少了密碼攻擊成功的可能性。密碼策略設定控制密碼的複雜性和壽命。本部分將討論每個特定的密碼策略帳戶設定。

注意:對於域帳戶,每個域只能有一個帳戶策略。必須在預設域策略或連結到域根的新策略中定義帳戶策略,並且帳戶策略要優先於由組成該域的域控制器強制實施的預設域策略。域控制器總是從域的根目錄中獲取帳戶策略,即使存在應用於包含域控制器的 OU 的其他帳戶策略。域的根目錄是該域的頂層容器,不要與目錄林中的根域相混淆;目錄林中的根域是該目錄林中的頂層域。

預設情況下,加入域的工作站和伺服器(即域成員計算機)還為其本地帳戶接收相同的帳戶策略。但是,通過為包含成員計算機的 OU 定義帳戶策略,可以使成員計算機的本地帳戶策略區別於域帳戶策略。

可以在組策略物件編輯器中的以下位置配置帳戶策略設定:

計算機配置/Windows 設定/安全設定/帳戶策略/密碼策略

強制密碼歷史

“強制密碼歷史”設定確定在重用舊密碼之前必須與使用者帳戶關聯的唯一新密碼的數量。

該組策略設定可能的值是:

使用者指定的值,在 0 至 24 之間

沒有定義

漏洞

密碼重用對於任何組織來說都是需要考慮的重要問題。許多使用者都希望在很長時間以後使用或重用相同的帳戶密碼。特定帳戶使用相同密碼的時間越長,攻擊者能夠通過暴力攻擊確定密碼的機會就越大。如果要求使用者更改其密碼,但卻無法阻止他們使用舊密碼,或允許他們持續重用少數幾個密碼,則會大大降低一個不錯的密碼策略的有效性。

為此設定指定一個較低的數值將使使用者能夠持續重用少數幾個相同的密碼。如果還沒有配置“密碼最短使用期限”設定,使用者可以根據需要連續多次更改其密碼,以便重用其原始密碼。

對策

將“強制密碼歷史”設定成最大值“24”。將此值配置為最大設定有助於確保將因密碼重用而導致的漏洞減至最少。

由於此設定在組織內有效,因此不允許在配置“密碼最短使用期限”後立即更改密碼。要確定將此值設定為何種級別,應綜合考慮合理的密碼最長使用期限和組織中所有使用者的合理密碼更改間隔要求。

潛在影響

此設定的主要影響在於,每當要求使用者更改舊密碼時,使用者都必須提供新密碼。由於要求使用者將其密碼更改為新的唯一值,使用者會為了避免遺忘而寫下自己的密碼,這就帶來了更大的風險。

密碼最長使用期限

“密碼最長使用期限”設定確定了系統要求使用者更改密碼之前可以使用密碼的天數。

此組策略設定可能的值是:

使用者指定的天數,在 0 至 999 之間

沒有定義

漏洞

任何密碼都可以被破解。憑藉當前的計算能力,甚至是破解最複雜的密碼也只是時間和處理能力的問題。下列某些設定可以增加在合理時間內破解密碼的難度。但是,經常在環境中更改密碼有助於降低有效密碼被破解的風險,並可以降低有人使用不正當手段獲取密碼的風險。可以配置密碼最長使用期限,以便從不要求使用者更改密碼,但這樣做將導致相當大的安全風險。

對策

將“密碼最長使用期限”的天數設定在“30”和“60”之間。通過將天數設定為“0”,可以將“密碼最長使用期限”設定配置為從不過期。

潛在影響

密碼最長使用期限的值設定得太低將要求使用者非常頻繁地更改其密碼。這實際上可能降低了組織的安全性,因為使用者更可能為了避免遺忘而寫下自己的密碼。將此值設定太高也會降低組織的安全性,因為這可以使潛在攻擊者有更充分的時間來破解使用者的密碼。

密碼最短使用期限

“密碼最短使用期限”設定確定了使用者可以更改密碼之前必須使用密碼的天數密碼最短使用期限的值必須小於密碼最長使用期限的值。

如果希望“強制密碼歷史”設定有效,應將“密碼最短使用期限”設定為大於 0 的值。如果將“強制密碼歷史”設定為“0”,使用者則不必選擇新的密碼。如果使用密碼歷史,使用者在更改密碼時必須輸入新的唯一密碼。

此組策略設定可能的值是:

使用者指定的天數,在 0 至 998 之間

沒有定義

漏洞

如果使用者可以迴圈使用一些密碼,直到找到他們所喜歡的舊密碼,則強制使用者定期更改密碼是無效的。將此設定與“強制密碼歷史”設定一起使用可以防止發生這種情況。例如,如果設定“強制密碼歷史”來確保使用者不能重用其最近用過的 12 個密碼,並將“密碼最短使用期限”設定為“0”,則使用者可以通過連續更改密碼 13 次,以返回到原來使用的密碼。因此,要使“強制密碼歷史”設定有效,必須將此設定配置為大於 0。

對策

將“密碼最短使用期限”的值設定為“2 天”。將天數設定為“0”將允許立即更改密碼,我們不建議這樣做。

潛在影響

將“密碼最短使用期限”設定為大於 0 的值時存在一個小問題。如果管理員為使用者設定了一個密碼,然後希望該使用者更改管理員定義的密碼,則管理員必須選擇“使用者下次登入時須更改密碼”複選框。否則,使用者直到第二天才能更改密碼。

最短密碼長度

“最短密碼長度”設定確定可以組成使用者帳戶密碼的最少字元數。確定組織的最佳密碼長度有許多不同的理論,但是,“通行碼”一詞可能比“密碼”更好。在 Microsoft Windows 2000 及更高版本中,通行碼可以相當長,並且可以包括空格。因此,諸如“I want to drink a $5 milkshake”之類的短語都是有效的通行碼,它比由 8 個或 10 個隨機數字和字母組成的字串要強大得多,而且更容易記住。

此組策略設定可能的值是:

使用者指定的數值,在 0 至 14 之間

沒有定義

漏洞

可以執行幾種型別的密碼攻擊,以獲取特定使用者帳戶的密碼。這些攻擊型別包括試圖使用常見字詞和短語的詞典攻擊,以及嘗試使用每一種可能的字元組合的暴力攻擊。另外,可通過獲取帳戶資料庫並使用破解帳戶和密碼的實用程式來執行攻擊。

對策

應該將“最短密碼長度”的值至少設定為“8”。如果字元數設定為“0”,則不要求使用密碼。

在大多數環境中都建議使用由 8 個字元組成的密碼,因為它足夠長,可提供充分的安全性,同時也足夠短,便於使用者記憶。此設定將對暴力攻擊提供足夠的防禦能力。提高複雜性要求將有助於降低詞典攻擊的可能性。下一部分將討論複雜性要求。

潛在影響

允許短密碼將會降低安全性,因為使用對密碼執行詞典攻擊或暴力攻擊的工具可以很容易地破解短密碼。要求很長的密碼可能會造成密碼輸入錯誤而導致帳戶鎖定,從而增加了幫助臺呼叫的次數。

要求極長的密碼實際上可能會降低組織的安全性,因為使用者更有可能寫下自己的密碼以免遺忘。但是,如果教會使用者使用上述通行碼,使用者應該更容易記住這些密碼。

密碼必須符合複雜性要求

“密碼必須符合複雜性要求”設定確定密碼是否必須符合對強密碼相當重要的一系列原則。

啟用此策略要求密碼符合下列要求:

密碼長度至少為 6 個字元。

密碼包含下列四類字元中的三類:

英語大寫字元 (A–Z)

英語小寫字元 (a–z)

10 個基數 (0–9)

非字母數字(例如:!、$、# 或 %)

密碼不得包含三個或三個以上來自使用者帳戶名中的字元。如果帳戶名長度低於三個字元,因為密碼被拒概率過高而不會執行此項檢查。檢查使用者全名時,有幾個字元被看作是將名稱分隔成單個令牌的分隔符,這些分隔符包括:逗號、句點、短劃線/連字元、下劃線、空格、磅字元和製表符。對於包含三個或更多字元的每個令牌,將在密碼中對其進行搜尋,如果發現了該令牌,就會拒絕密碼更改。例如,姓名“Erin M. Hagens”將被拆分為三個令牌:“Erin”、“M”和“Hagens”。因為第二個令牌僅包含一個字元,因而會將其忽略。因此,該使用者密碼中的任何位置都不能包含“erin”或“hagens”子字串。所有這些檢查都是區分大小寫的。

這些複雜性要求在密碼更改或新建密碼時強制執行。

不能直接修改 Windows Server 2003 策略中包括的這些規則。但是,可以建立一個新版本的 passfilt.dll,以應用不同的規則集。關於 passfilt.dll 的原始碼,請參閱 Microsoft 知識庫文章 151082“HOW TO: Password Change Filtering & Notification in Windows NT”,其網址為:http://support.microsoft.com/default.aspx?scid=151082(英文)。

此組策略設定可能的值是:

啟用

禁用

沒有定義

漏洞

只包含字母數字字元的密碼非常容易被市場上可以買到的實用程式所破解。要防止出現這種情況,密碼應該包含其他字元和要求。

對策

將“密碼必須符合複雜性要求”的值設定為“啟用”。

將此設定與“最短密碼長度”值為“8”的設定結合使用,可確保一個密碼至少有 218,340,105,584,896 種不同的可能性。這樣就很難使用暴力攻擊,但也並非不可能,如果某個攻擊者具有足夠的處理能力,能夠每秒測試 100 萬個密碼,則可以在七天半左右的時間內確定這樣一個密碼。

潛在影響

啟用預設的 passfilt.dll 可能會因帳戶鎖定而導致幫助臺的呼叫次數增加,因為使用者可能並沒有使用包含字母表以外的字元的密碼。但此設定非常靈活,所有使用者都應該能夠通過短時間的學習來滿足這些要求。

自定義的 passfilt.dll 中包括的其他設定是使用非上行符。上行符是指按住 Shift 鍵並鍵入任何數字(1 – 10)時鍵入的字元。

同時,使用 Alt 鍵字元組合可大大增加密碼的複雜性。但是,要求組織中的所有使用者都遵守如此嚴格的密碼要求可能會導致使用者不滿,並將導致幫助臺極度繁忙。考慮在組織內實現這樣一種要求,即使用 0128 – 0159 範圍內的 Alt 字元作為所有管理員密碼的一部分。此範圍之外的 Alt 字元可表示標準的字母數字字元,而不會另外增加密碼的複雜性。

用可還原的加密來儲存密碼(針對域中的所有使用者)

“用可還原的加密來儲存密碼(針對域中的所有使用者)”設定確定 Microsoft Windows Server 2003、Windows 2000 Server、Windows 2000 Professional 和 Windows XP Professional 是否使用可還原的加密來儲存密碼。

此策略支援使用需要了解使用者密碼以便進行身份驗證的協議的應用程式。根據定義,儲存以可還原方式加密的密碼意味著可以對加密的密碼進行解密。能夠破解這種加密的高水平攻擊者然後可以使用已被破壞的帳戶來登入到網路資源。出於此原因,請永遠不要啟用此設定,除非應用程式的要求比保護密碼資訊更為重要。

使用通過遠端訪問的 CHAP 身份驗證或 Internet 驗證服務 (IAS) 時要求啟用此設定。質詢握手身份驗證協議 (CHAP) 是 Microsoft 遠端訪問和網路連線使用的一種身份驗證協議。Microsoft Internet 資訊服務 (IIS) 的摘要式驗證也要求啟用此設定。

此組策略設定可能的值是:

啟用

禁用

沒有定義

漏洞

此設定確定 Windows Server 2003 是否以更容易遭到暴力攻擊的一種較弱格式來儲存密碼。

對策

將“用可還原的加密來儲存密碼(針對域中的所有使用者)”的值設定為“禁用”。

潛在影響

使用通過遠端訪問的 CHAP 身份驗證協議或 IAS 服務。IIS 中的摘要式身份驗證要求將此值設定為“禁用”。將使用組策略逐個應用到每位使用者是一種極其危險的設定,因為它要求在 Active Directory 使用者和計算機管理控制檯中開啟適當的使用者帳戶物件。

警告:請永遠不要啟用此設定,除非業務要求比保護密碼資訊更為重要。

帳戶鎖定策略

試圖登入到系統時多次不成功的密碼嘗試可能表示攻擊者正在以試錯法來確定帳戶密碼。Windows Server 2003 跟蹤登入嘗試,而且可以將作業系統配置為通過在預設時間段內禁用帳戶來響應這種潛在攻擊。隨本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”(英文)為預設設定編制了文件。

可以在組策略物件編輯器的以下位置配置帳戶鎖定策略設定:

計算機配置/Windows 設定/安全設定/帳戶策略/帳戶鎖定策略

帳戶鎖定時間

“帳戶鎖定時間”設定確定在自動解鎖之前鎖定帳戶保持鎖定狀態的時間。可用範圍為從 1 到 99,999 分鐘。通過將該值設定為“0”,可以指定在管理員明確解鎖之前鎖定帳戶。如果定義了帳戶鎖定閥值,帳戶鎖定時間必須大於或等於復位時間。

此組策略設定可能的值是:

使用者定義的值,在 0 至 99,999 分鐘之間

沒有定義

漏洞

如果攻擊者濫用“帳戶鎖定閥值”並反覆嘗試登入到帳戶,則可能產生拒絕服務 (DoS) 攻擊。如果配置“帳戶鎖定閥值”,在失敗嘗試達到指定次數之後將鎖定帳戶。如果“帳戶鎖定時間”設定為 0,則在管理員手動解鎖前帳戶將保持鎖定狀態。

對策

將“帳戶鎖定時間”設定為“30 分鐘”。要指定該帳戶永不鎖定,請將該值設定為“0”。

潛在影響

將此設定的值配置為永不自動解鎖可能看上去是一個好主意,但這樣做會增加組織支援專家收到的要求解鎖意外鎖定帳戶的請求的數目。

帳戶鎖定閾值

“帳戶鎖定閥值”確定導致使用者帳戶鎖定的登入嘗試失敗的次數。在管理員復位或帳戶鎖定時間到期之前,不能使用已鎖定的帳戶。可以將登入嘗試失敗的次數設定在 1 至 999 之間,或者通過將該值設定為“0”,使帳戶永不鎖定。如果定義了帳戶鎖定閥值,帳戶鎖定時間必須大於或等於復位時間。

在使用 Ctrl+Alt+Delete 或受密碼保護的螢幕保護程式進行鎖定的工作站或成員伺服器上的失敗密碼嘗試,將不作為失敗的登入嘗試來計數,除非啟用了組策略“互動式登入:要求域控制器身份驗證以解鎖工作站”。如果啟用了“互動式登入:要求域控制器身份驗證以解鎖工作站”,則因解鎖工作站而重複的失敗密碼嘗試次數將被計入“帳戶鎖定閥值”。

此組策略設定可能的值是:

使用者指定的值,在 0 至 999 之間

沒有定義

漏洞

密碼攻擊可能利用自動化的方法,對任何或所有使用者帳戶嘗試數千甚至數百萬種密碼組合。限制可以執行的失敗登入次數幾乎消除了這種攻擊的有效性。

但是,請務必注意,可能在配置了帳戶鎖定閥值的域上執行 DoS 攻擊。惡意攻擊者可編制程式來嘗試對組織中的所有使用者進行一系列密碼攻擊。如果嘗試次數大於帳戶鎖定閥值,則攻擊者有可能鎖定每一個帳戶。

對策

由於配置此值或不配置此值時都存在漏洞,因此要定義兩種不同的對策。任何組織都應該根據識別的威脅和正在嘗試降低的風險來在兩者之間進行權衡。有兩個選項可用於此設定。

將“帳戶鎖定閥值”設定為“0”。這可確保帳戶永不鎖定。此設定可防止故意鎖定全部或一些特定帳戶的 DoS 攻擊。另外,此設定還有助於減少幫助臺的呼叫次數,因為使用者不會將自己意外地鎖定在帳戶外。

由於它不能阻止暴力攻擊,因此只有在下列要求均得到明確滿足時才可以選擇此設定:

密碼策略強制所有使用者使用由 8 個或更多字元組成的複雜密碼。

強健的稽核機制已經就位,可以在組織環境中發生一系列失敗登入時提醒管理員。

如果不滿足上述要求,請將“帳戶鎖定閥值”設定為足夠高的值,以便使用者能夠在意外地錯誤輸入幾次密碼時不會鎖定自己的帳戶,但可確保暴力密碼攻擊仍然會鎖定帳戶。在這種情況下,將該值設定為 50 次無效登入嘗試是一個不錯的建議。如上所述,此設定可以避免意外的帳戶鎖定,從而降低了幫助臺的呼叫次數,但不能防止 DoS 攻擊。

潛在影響

啟用此設定可防止使用已鎖定的帳戶,直到管理員將該帳戶復位或帳戶鎖定時間到期。此設定很可能會生成許多其他的幫助臺呼叫。事實上,在許多組織中,鎖定帳戶都會為公司幫助臺帶來數目最多的呼叫。

如果將帳戶鎖定閥值設定為“0”,則可能檢測不到攻擊者嘗試使用暴力密碼攻擊來破解密碼。

復位帳戶鎖定計數器

“復位帳戶鎖定計數器”設定確定在登入嘗試失敗後,將失敗登入嘗試計數器復位到 0 次失敗登入嘗試之前所必須經過的時間(以分鐘為單位)。如果定義了“帳戶鎖定閾值”,則此復位時間必須小於或等於“帳戶鎖定時間”。

此組策略設定可能的值是:

使用者定義的數值,在 1 至 99,999 分鐘之間

沒有定義

漏洞

如果多次錯誤地輸入密碼,使用者可能會意外地將自己鎖定在帳戶之外。要減少這種可能性,“復位帳戶鎖定計數器”設定確定在登入嘗試失敗後,將無效登入嘗試計數器復位到 0 之前所必須經過的時間。

對策

將“復位帳戶鎖定計數器”的值設定為“30 分鐘”。

潛在影響

不設定此值,或者為此值設定的時間間隔太長都可能導致 DoS 攻擊。攻擊者對組織中的所有使用者惡意執行大量的失敗登入嘗試,以鎖定他們的帳戶,如上所述。如果沒有復位帳戶鎖定的策略,管理員必須手動解鎖所有帳戶。如果設定了合理的值,使用者將被鎖定一段時間,但在這段時間結束後,其帳戶將自動解鎖。

Kerberos 策略

在 Windows Server 2003 中,Kerberos V5 身份驗證協議提供預設的身份驗證服務機制,以及使用者訪問資源並在該資源上執行任務所必需的身份驗證資料。通過縮短 Kerberos 票證的壽命,可降低攻擊者竊取併成功使用合法使用者憑據的風險。但這會增加授權開銷。在大多數環境中都不需要更改這些設定。在域級別應用這些設定,在 Windows 2000 或 Windows Server 2003 Active Directory 域預設安裝的預設域策略 GPO 中配置這些預設值。隨本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”(英文)為預設設定編制了文件。

可以在組策略物件編輯器的以下位置配置 Kerberos 策略設定:

計算機配置/Windows 設定/安全設定/帳戶策略/Kerberos 策略

強制使用者登入限制

此安全設定確定 Kerberos V5 金鑰分佈中心 (KDC) 是否根據使用者帳戶的使用者許可權策略來驗證會話票證的每個請求。驗證會話票證的每個請求是可選功能,因為執行額外的步驟會消耗時間,並且可能會降低網路訪問服務的速度。

漏洞

如果禁用此設定,可能會為使用者授予他們無權使用的服務的會話票證。

對策

將“強制實施使用者登入限制”的值設定為“啟用”。

此組策略設定可能的值是:

啟用

禁用

沒有定義

潛在影響

這是預設設定,沒有潛在影響。

服務票證最長壽命

此安全設定確定可以使用所授予的權會話票證來訪問特定服務的最長時間(以分鐘為單位)。此設定必須大於或等於 10 分鐘,並小於或等於“使用者票證最長壽命”設定。

如果客戶端在請求連線到伺服器時顯示過期的會話票證,該伺服器將返回錯誤訊息。客戶端必須向 Kerberos V5 金鑰分佈中心 (KDC) 請求新的會話票證。但在連線通過驗證之後,它將不再關心會話票證是否有效。會話票證只用於驗證與伺服器之間的新連線。如果驗證連線的會話票證在連線期間到期,將不會中斷正在進行的操作。

漏洞

如果此設定的值太高,使用者可以在其登入時間範圍之外訪問網路資源,或者其帳戶已經被禁用的使用者可以使用帳戶禁用前發出的有效服務票證來繼續訪問網路服務。

對策

將“服務票證最長壽命”設定為“600 分鐘”。

此組策略設定可能的值是:

使用者定義的值(以分鐘為單位),在 10 至 99,999 之間,或者為 0,表明服務票證不會過期

沒有定義

潛在影響

這是預設設定,沒有潛在影響。

使用者票證最長壽命

此安全設定確定使用者的票證授權票證 (TGT) 的最長有效期(以小時為單位)。當用戶的 TGT 到期時,必須請求新 TGT,或者必須“續訂”現有 TGT。

漏洞

如果此設定的值太高,使用者可以在其登入時間範圍之外訪問網路資源,或者其帳戶已經被禁用的使用者可以使用帳戶禁用前發出的有效服務票證來繼續訪問網路服務。

對策

將“使用者票證的最長有效期”的值設定為“10 小時”。

此組策略設定可能的值是:

使用者定義的值,在 0 至 99,999 分鐘之間

沒有定義

潛在影響

這是預設設定,沒有潛在影響。

使用者票證續訂的最長壽命

此安全設定確定使用者票證授權票證 (TGT) 可以續訂的時間期限(以天為單位)。

漏洞

如果此設定的值太高,使用者可以續訂非常舊的使用者票證。

對策

將“使用者票證續訂的最長壽命”的值設定為“7 天”。

此組策略設定可能的值是:

使用者定義的值,在 0 至 99,999 分鐘之間

沒有定義

潛在影響

這是預設設定,沒有潛在影響。

計算機時鐘同步的最大容差

此安全設定確定 Kerberos V5 可以承受的客戶端時鐘時間和執行 Windows Server 2003(提供 Kerberos 身份驗證)的域控制器時間之間的最大時間差(以分鐘表示)。

漏洞

為了防止“重播攻擊”,Kerberos V5 使用時間戳作為其協議定義的一部分。為了使時間戳正常執行,客戶端和域控制器的時鐘需要儘可能同步。由於兩臺計算機的時鐘經常不同步,管理員可以使用此策略建立 Kerberos V5 可以接受的客戶端時鐘和域控制器時鐘之間的最大時間差。如果客戶端時鐘和域控制器時鐘之間的時間差小於此策略指定的最大時間差,則兩臺計算機之間的會話所使用的任何時間戳都被認為是可信的。

對策

將“計算機時鐘同步的最大容差”的值設定為“5 分鐘”。

此組策略設定可能的值是:

使用者定義的值,在 1 至 99,999 分鐘之間

沒有定義

潛在影響

這是預設設定,沒有潛在影響。

相關推薦

Windows安全指南級別策略

簡介可在域級別上應用所有的帳戶策略組策略設定。在帳戶策略、帳戶鎖定策略和 Kerberos 策略內建的預設域控制器中提供了預設值。請記住,在 Microsoft Active Directory 中設定這些策略時,Microsoft Windows 僅允許一個域帳戶策略:應用於域樹根域的帳戶策略。域帳戶策略將

Windows Server 2012R2策略無法打開,可能沒有相應權限,問題已解決。

windows server 2012r2域組策略無法打開Windows Server 2012R2域組策略無法打開,可能沒有相應權限,找不到網絡路徑查找了很多原因,以為是最近開啟Windows update 更新導致的?在虛機上做了測試,安裝了更新程序,測試虛擬機上的系統域組策略可以打開?對比了安裝的更新程

控場景下windows安全日誌的分析--審計認證行為和命令的歷史記錄

執行 展開 -- 圖片 -a 攻擊 find 賬戶 黑客攻擊 一、域控windows安全日誌基本操作 1、打開powershell或者cmd 1 #gpedit.msc 打開配置: 關於賬戶安全性的策略配置在賬戶配置哪裏 2、打開控制面板->系統與安全->

Windows 活動目錄(AD)服務器系統升級到2012控升級(二)

AD acticedirectory 升級 活動目錄 域控 4.域控升級4.1服務器加域1. 修改AD2008的IP地址為10.10.1.11,AD2012服務器的IP地址為:10.10.1.122. 打開計算機屬性窗口,點擊“更改設置”修改計算機名稱分別為AD20

24.內網安全部署dot1x部署 本地與整合的主流方式

拓撲 拓撲可以儲存到本地,然後擴大檢視,這樣才能看的更清楚。(拖動到新視窗開啟即可) dot1x部署【使用者名稱密碼認證,也可以解決私接無線AP等功能】 說明:如果一個網路需要通過使用者名稱認證才能訪問內網,而認證失敗只能訪問外網與伺服器,可以部署dot1x功能。它

《11招玩轉網路安全第三招:Web暴力破解-Low級別

Docker中啟動LocalDVWA容器,準備DVWA環境。在瀏覽器位址列輸入http://127.0.0.1,中開啟DVWA靶機。自動跳轉到了http://127.0.0.1/login.php登入頁面。輸入預設的使用者名稱密碼admin:password登入。單擊頁面左側

jmeter學習指南深入分析跨傳遞cookie

繼上篇文章中介紹了Jmeter cookie manager的兩種常用使用情況: 同一執行緒組和不同執行緒組間傳遞cookie;前些天在工作中又遇到了cookie的跨域使用問題,除錯了好久才調好,查了很多資料,從cookie的實現原理到SSO單點登入到SSO實現方式,再到session、token,到O

深度採坑指南vue-cli代理跨proxy解決跨限制

由於我是用vue-cli建立的專案,訪問介面純在跨域問題,本地伺服器的預設地址為http://localhost:8080/,伺服器端的域名不是這個,就會造成跨域訪問,axios不支援jsonp,所以我們可以利用http-proxy-middleware中介軟體做代理。 使用axios直

windows核心程式設計使用執行緒APC回撥安全退出多個等待執行緒

前言 程式開發中經常遇到需要這些情況:輔助執行緒正在等待核心物件的觸發,主執行緒需要強制終止輔助執行緒。我們常常做的就是使用:TerminateThread來強制終止執行緒。這樣做當然是不太好的,強制

PHP安全道學習筆記2:編碼安全指南

編碼安全指南 程式設計本身就應該是一門藝術,而安全程式設計更是一種在刀尖上舞蹈的藝術,不僅要小心腳下的鋒利寒刃,更要小心來自網路黑客或攻擊者的狂轟亂炸。 - by code artist 1.hash比較的缺陷 經過試驗發現,當Hash值以"0e"開頭且後面都為數字,當和數字進行比較的時候總會被判斷和0

java安全編碼指南:基礎篇

[toc] # 簡介 作為一個程式設計師,只是寫出好用的程式碼是不夠的,我們還需要考慮到程式的安全性。在這個不能跟陌生人說話世界,扶老奶奶過馬路都是一件很困難的事情。那麼對於程式設計師來說,尤其是對於開發那種對外可以公開訪問的網站的程式設計師,要承受的壓力會大很多。 任何人都可以訪問我們的系統,也就意味

java安全編碼指南:Mutability可變性

[toc] # 簡介 mutable(可變)和immutable(不可變)物件是我們在java程式編寫的過程中經常會使用到的。 可變型別物件就是說,物件在建立之後,其內部的資料可能會被修改。所以它的安全性沒有保證。 而不可變型別物件就是說,物件一旦建立之後,其內部的資料就不能夠被修改,我們可以完全相信

java安全編碼指南:宣告和初始化

[toc] # 簡介 在java物件和欄位的初始化過程中會遇到哪些安全性問題呢?一起來看看吧。 # 初始化順序 根據JLS(Java Language Specification)中的定義,class在初始化過程中,需要同時初始化class中定義的靜態初始化程式和在該類中宣告的靜態欄位(類變數)的初始

java安全編碼指南:字串和編碼

[toc] # 簡介 字串是我們日常編碼過程中使用到最多的java型別了。全球各個地區的語言不同,即使使用了Unicode也會因為編碼格式的不同採用不同的編碼方式,如UTF-8,UTF-16,UTF-32等。 我們在使用字元和字串編碼的過程中會遇到哪些問題呢?一起來看看吧。 # 使用變長編碼的不完全字

java安全編碼指南:堆汙染Heap pollution

[toc] # 簡介 什麼是堆汙染呢?堆汙染是指當引數化型別變數引用的物件不是該引數化型別的物件時而發生的。 我們知道在JDK5中,引入了泛型的概念,我們可以在建立集合類的時候,指定該集合類中應該儲存的物件型別。 如果在指定型別的集合中,引用了不同的型別,那麼這種情況就叫做堆汙染。 # 產生堆汙染的

java安全編碼指南:輸入校驗

[toc] # 簡介 為了保證java程式的安全,任何外部使用者的輸入我們都認為是可能有惡意攻擊意圖,我們需要對所有的使用者輸入都進行一定程度的校驗。 本文將帶領大家探討一下使用者輸入校驗的一些場景。一起來看看吧。 # 在字串標準化之後進行校驗 通常我們在進行字串校驗的時候需要對一些特殊字元進行過濾

java安全編碼指南:敏感類的拷貝

[toc] # 簡介 一般來說class中如果包含了私有的或者敏感的資料的時候是不允許被拷貝的。 如果一個class不想被拷貝,我們是不是不提供拷貝的方法就能保證class的安全了呢? 一起來看看吧。 # 一個簡單的SensitiveObject 假如我們有下面的一個SensitiveObject

java安全編碼指南:異常處理

[toc] # 簡介 異常是java程式設計師無法避免的一個話題,我們會有JVM自己的異常也有應用程式的異常,對於不同的異常,我們的處理原則是不是一樣的呢? 一起來看看吧。 # 異常簡介 先上個圖,看一下常見的幾個異常型別。 ![](https://img-blog.csdnimg.cn/2020

java安全編碼指南:死鎖dead lock

[toc] # 簡介 java中為了保證共享資料的安全性,我們引入了鎖的機制。有了鎖就有可能產生死鎖。 死鎖的原因就是多個執行緒鎖住了對方所需要的資源,然後現有的資源又沒有釋放,從而導致迴圈等待的情況。 通常來說如果不同的執行緒對加鎖和釋放鎖的順序不一致的話,就很有可能產生死鎖。 # 不同的加鎖順序

java安全編碼指南:方法編寫指南

[toc] # 簡介 java程式的邏輯是由一個個的方法組成的,而在編寫方法的過程中,我們也需要遵守一定的安全規則,比如方法的引數進行校驗,不要在assert中新增業務邏輯,不要使用廢棄或者過期的方法,做安全檢查的方法一定要設定為private等。 今天我們再來深入的探討一下,java方法的編寫過程中還