Windows安全指南之域級別策略(轉)
Windows安全指南之域級別策略(轉)[@more@]帳戶策略
帳戶策略是在域級別上實現的。Microsoft Windows Server 2003 域必須有一個針對該域的密碼策略、帳戶鎖定策略和 Kerberos V5 身份驗證協議。在 Active Directory 中任何其他級別上設定這些策略將只會影響到成員伺服器上的本地帳戶。如果有要求單獨密碼策略的組,應根據任何其他要求將這些組分段到另一個域或目錄林。
在 Windows 和許多其他作業系統中,驗證使用者身份最常用的方法是使用秘密通行碼或密碼。確保網路環境的安全要求所有使用者都使用強密碼。這有助於避免未經授權的使用者猜測弱密碼所帶來的威脅,他們透過手動的方法或工具來獲取已洩密使用者帳戶的憑據。這一點對於管理帳戶尤其有用。隨本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”(英文)為預設設定編制了文件。請單擊此處下載。
定期更改的複雜密碼減少了密碼攻擊成功的可能性。密碼策略設定控制密碼的複雜性和壽命。本部分將討論每個特定的密碼策略帳戶設定。
注意:對於域帳戶,每個域只能有一個帳戶策略。必須在預設域策略或連結到域根的新策略中定義帳戶策略,並且帳戶策略要優先於由組成該域的域控制器強制實施的預設域策略。域控制器總是從域的根目錄中獲取帳戶策略,即使存在應用於包含域控制器的 OU 的其他帳戶策略。域的根目錄是該域的頂層容器,不要與目錄林中的根域相混淆;目錄林中的根域是該目錄林中的頂層域。
預設情況下,加入域的工作站和伺服器(即域成員計算機)還為其本地帳戶接收相同的帳戶策略。但是,透過為包含成員計算機的 OU 定義帳戶策略,可以使成員計算機的本地帳戶策略區別於域帳戶策略。
可以在組策略物件編輯器中的以下位置配置帳戶策略設定:
計算機配置Windows 設定安全設定帳戶策略密碼策略
強制密碼歷史
“強制密碼歷史”設定確定在重用舊密碼之前必須與使用者帳戶關聯的唯一新密碼的數量。
該組策略設定可能的值是:
使用者指定的值,在 0 至 24 之間
沒有定義
漏洞
密碼重用對於任何組織來說都是需要考慮的重要問題。許多使用者都希望在很長時間以後使用或重用相同的帳戶密碼。特定帳戶使用相同密碼的時間越長,攻擊者能夠透過暴力攻擊確定密碼的機會就越大。如果要求使用者更改其密碼,但卻無法阻止他們使用舊密碼,或允許他們持續重用少數幾個密碼,則會大大降低一個不錯的密碼策略的有效性。
為此設定指定一個較低的數值將使使用者能夠持續重用少數幾個相同的密碼。如果還沒有配置“密碼最短使用期限”設定,使用者可以根據需要連續多次更改其密碼,以便重用其原始密碼。
對策
將“強制密碼歷史”設定成最大值“24”。將此值配置為最大設定有助於確保將因密碼重用而導致的漏洞減至最少。
由於此設定在組織內有效,因此不允許在配置“密碼最短使用期限”後立即更改密碼。要確定將此值設定為何種級別,應綜合考慮合理的密碼最長使用期限和組織中所有使用者的合理密碼更改間隔要求。
潛在影響
此設定的主要影響在於,每當要求使用者更改舊密碼時,使用者都必須提供新密碼。由於要求使用者將其密碼更改為新的唯一值,使用者會為了避免遺忘而寫下自己的密碼,這就帶來了更大的風險。
密碼最長使用期限
“密碼最長使用期限”設定確定了系統要求使用者更改密碼之前可以使用密碼的天數。
此組策略設定可能的值是:
•
使用者指定的天數,在 0 至 999 之間
漏洞
任何密碼都可以被破解。憑藉當前的計算能力,甚至是破解最複雜的密碼也只是時間和處理能力的問題。下列某些設定可以增加在合理時間內破解密碼的難度。但是,經常在環境中更改密碼有助於降低有效密碼被破解的風險,並可以降低有人使用不正當手段獲取密碼的風險。可以配置密碼最長使用期限,以便從不要求使用者更改密碼,但這樣做將導致相當大的安全風險。
對策
將“密碼最長使用期限”的天數設定在“30”和“60”之間。透過將天數設定為“0”,可以將“密碼最長使用期限”設定配置為從不過期。
潛在影響
密碼最長使用期限的值設定得太低將要求使用者非常頻繁地更改其密碼。這實際上可能降低了組織的安全性,因為使用者更可能為了避免遺忘而寫下自己的密碼。將此值設定太高也會降低組織的安全性,因為這可以使潛在攻擊者有更充分的時間來破解使用者的密碼。
密碼最短使用期限
“密碼最短使用期限”設定確定了使用者可以更改密碼之前必須使用密碼的天數密碼最短使用期限的值必須小於密碼最長使用期限的值。
如果希望“強制密碼歷史”設定有效,應將“密碼最短使用期限”設定為大於 0 的值。如果將“強制密碼歷史”設定為“0”,使用者則不必選擇新的密碼。如果使用密碼歷史,使用者在更改密碼時必須輸入新的唯一密碼。
此組策略設定可能的值是:
使用者指定的天數,在 0 至 998 之間
沒有定義
漏洞
如果使用者可以迴圈使用一些密碼,直到找到他們所喜歡的舊密碼,則強制使用者定期更改密碼是無效的。將此設定與“強制密碼歷史”設定一起使用可以防止發生這種情況。例如,如果設定“強制密碼歷史”來確保使用者不能重用其最近用過的 12 個密碼,並將“密碼最短使用期限”設定為“0”,則使用者可以透過連續更改密碼 13 次,以返回到原來使用的密碼。因此,要使“強制密碼歷史”設定有效,必須將此設定配置為大於 0。
對策
將“密碼最短使用期限”的值設定為“2 天”。將天數設定為“0”將允許立即更改密碼,我們不建議這樣做。
潛在影響
將“密碼最短使用期限”設定為大於 0 的值時存在一個小問題。如果管理員為使用者設定了一個密碼,然後希望該使用者更改管理員定義的密碼,則管理員必須選擇“使用者下次登入時須更改密碼”核取方塊。否則,使用者直到第二天才能更改密碼。
最短密碼長度
“最短密碼長度”設定確定可以組成使用者帳戶密碼的最少字元數。確定組織的最佳密碼長度有許多不同的理論,但是,“通行碼”一詞可能比“密碼”更好。在 Microsoft Windows 2000 及更高版本中,通行碼可以相當長,並且可以包括空格。因此,諸如“I want to drink a $5 milkshake”之類的短語都是有效的通行碼,它比由 8 個或 10 個隨機數字和字母組成的字串要強大得多,而且更容易記住。
此組策略設定可能的值是:
• 使用者指定的數值,在 0 至 14 之間
• 沒有定義
漏洞
可以執行幾種型別的密碼攻擊,以獲取特定使用者帳戶的密碼。這些攻擊型別包括試圖使用常見字詞和短語的詞典攻擊,以及嘗試使用每一種可能的字元組合的暴力攻擊。另外,可透過獲取帳戶資料庫並使用破解帳戶和密碼的實用程式來執行攻擊。
對策
應該將“最短密碼長度”的值至少設定為“8”。如果字元數設定為“0”,則不要求使用密碼。
在大多數環境中都建議使用由 8 個字元組成的密碼,因為它足夠長,可提供充分的安全性,同時也足夠短,便於使用者記憶。此設定將對暴力攻擊提供足夠的防禦能力。提高複雜性要求將有助於降低詞典攻擊的可能性。下一部分將討論複雜性要求。
潛在影響
允許短密碼將會降低安全性,因為使用對密碼執行詞典攻擊或暴力攻擊的工具可以很容易地破解短密碼。要求很長的密碼可能會造成密碼輸入錯誤而導致帳戶鎖定,從而增加了幫助臺呼叫的次數。
要求極長的密碼實際上可能會降低組織的安全性,因為使用者更有可能寫下自己的密碼以免遺忘。但是,如果教會使用者使用上述通行碼,使用者應該更容易記住這些密碼。
密碼必須符合複雜性要求
“密碼必須符合複雜性要求”設定確定密碼是否必須符合對強密碼相當重要的一系列原則。
啟用此策略要求密碼符合下列要求:
• 密碼長度至少為 6 個字元。
• 密碼包含下列四類字元中的三類:
• 英語大寫字元 (A–Z)
• 英語小寫字元 (a–z)
• 10 個基數 (0–9)
• 非字母數字(例如:!、$、# 或 %)
• 密碼不得包含三個或三個以上來自使用者帳戶名中的字元。如果帳戶名長度低於三個字元,因為密碼被拒機率過高而不會執行此項檢查。檢查使用者全名時,有幾個字元被看作是將名稱分隔成單個令牌的分隔符,這些分隔符包括:逗號、句點、短劃線/連字元、下劃線、空格、磅字元和製表符。對於包含三個或更多字元的每個令牌,將在密碼中對其進行搜尋,如果發現了該令牌,就會拒絕密碼更改。例如,姓名“Erin M. Hagens”將被拆分為三個令牌:“Erin”、“M”和“Hagens”。因為第二個令牌僅包含一個字元,因而會將其忽略。因此,該使用者密碼中的任何位置都不能包含“erin”或“hagens”子字串。所有這些檢查都是區分大小寫的。
這些複雜性要求在密碼更改或新建密碼時強制執行。
不能直接修改 Windows Server 2003 策略中包括的這些規則。但是,可以建立一個新版本的 passfilt.dll,以應用不同的規則集。關於 passfilt.dll 的原始碼,請參閱 Microsoft 知識庫文章 151082“HOW TO: Password Change Filtering & Notification in Windows NT”,其網址為:(英文)。
此組策略設定可能的值是:
• 啟用
• 禁用
• 沒有定義
漏洞
只包含字母數字字元的密碼非常容易被市場上可以買到的實用程式所破解。要防止出現這種情況,密碼應該包含其他字元和要求。
對策
將“密碼必須符合複雜性要求”的值設定為“啟用”。
將此設定與“最短密碼長度”值為“8”的設定結合使用,可確保一個密碼至少有 218,340,105,584,896 種不同的可能性。這樣就很難使用暴力攻擊,但也並非不可能,如果某個攻擊者具有足夠的處理能力,能夠每秒測試 100 萬個密碼,則可以在七天半左右的時間內確定這樣一個密碼。
潛在影響
啟用預設的 passfilt.dll 可能會因帳戶鎖定而導致幫助臺的呼叫次數增加,因為使用者可能並沒有使用包含字母表以外的字元的密碼。但此設定非常靈活,所有使用者都應該能夠透過短時間的學習來滿足這些要求。
自定義的 passfilt.dll 中包括的其他設定是使用非上行符。上行符是指按住 Shift 鍵並鍵入任何數字(1 – 10)時鍵入的字元。
同時,使用 Alt 鍵字元組合可大大增加密碼的複雜性。但是,要求組織中的所有使用者都遵守如此嚴格的密碼要求可能會導致使用者不滿,並將導致幫助臺極度繁忙。考慮在組織內實現這樣一種要求,即使用 0128 – 0159 範圍內的 Alt 字元作為所有管理員密碼的一部分。此範圍之外的 Alt 字元可表示標準的字母數字字元,而不會另外增加密碼的複雜性。
用可還原的加密來儲存密碼(針對域中的所有使用者)
“用可還原的加密來儲存密碼(針對域中的所有使用者)”設定確定 Microsoft Windows Server 2003、Windows 2000 Server、Windows 2000 Professional 和 Windows XP Professional 是否使用可還原的加密來儲存密碼。
此策略支援使用需要了解使用者密碼以便進行身份驗證的協議的應用程式。根據定義,儲存以可還原方式加密的密碼意味著可以對加密的密碼進行解密。能夠破解這種加密的高水平攻擊者然後可以使用已被破壞的帳戶來登入到網路資源。出於此原因,請永遠不要啟用此設定,除非應用程式的要求比保護密碼資訊更為重要。
使用透過遠端訪問的 CHAP 身份驗證或 Internet 驗證服務 (IAS) 時要求啟用此設定。質詢握手身份驗證協議 (CHAP) 是 Microsoft 遠端訪問和網路連線使用的一種身份驗證協議。Microsoft Internet 資訊服務 (IIS) 的摘要式驗證也要求啟用此設定。
此組策略設定可能的值是:
• 啟用
• 禁用
• 沒有定義
漏洞
此設定確定 Windows Server 2003 是否以更容易遭到暴力攻擊的一種較弱格式來儲存密碼。
對策
將“用可還原的加密來儲存密碼(針對域中的所有使用者)”的值設定為“禁用”。
潛在影響
使用透過遠端訪問的 CHAP 身份驗證協議或 IAS 服務。IIS 中的摘要式身份驗證要求將此值設定為“禁用”。將使用組策略逐個應用到每位使用者是一種極其危險的設定,因為它要求在 Active Directory 使用者和計算機管理控制檯中開啟適當的使用者帳戶物件。
警告:請永遠不要啟用此設定,除非業務要求比保護密碼資訊更為重要。
帳戶鎖定策略
試圖登入到系統時多次不成功的密碼嘗試可能表示攻擊者正在以試錯法來確定帳戶密碼。Windows Server 2003 跟蹤登入嘗試,而且可以將作業系統配置為透過在預設時間段內禁用帳戶來響應這種潛在攻擊。隨本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”(英文)為預設設定編制了文件。
可以在組策略物件編輯器的以下位置配置帳戶鎖定策略設定:
計算機配置Windows 設定安全設定帳戶策略帳戶鎖定策略
帳戶鎖定時間
“帳戶鎖定時間”設定確定在自動解鎖之前鎖定帳戶保持鎖定狀態的時間。可用範圍為從 1 到 99,999 分鐘。透過將該值設定為“0”,可以指定在管理員明確解鎖之前鎖定帳戶。如果定義了帳戶鎖定閥值,帳戶鎖定時間必須大於或等於復位時間。
此組策略設定可能的值是:
• 使用者定義的值,在 0 至 99,999 分鐘之間
• 沒有定義
漏洞
如果攻擊者濫用“帳戶鎖定閥值”並反覆嘗試登入到帳戶,則可能產生拒絕服務 (DoS) 攻擊。如果配置“帳戶鎖定閥值”,在失敗嘗試達到指定次數之後將鎖定帳戶。如果“帳戶鎖定時間”設定為 0,則在管理員手動解鎖前帳戶將保持鎖定狀態。
對策
將“帳戶鎖定時間”設定為“30 分鐘”。要指定該帳戶永不鎖定,請將該值設定為“0”。
潛在影響
將此設定的值配置為永不自動解鎖可能看上去是一個好主意,但這樣做會增加組織支援專家收到的要求解鎖意外鎖定帳戶的請求的數目。
帳戶鎖定閾值
“帳戶鎖定閥值”確定導致使用者帳戶鎖定的登入嘗試失敗的次數。在管理員復位或帳戶鎖定時間到期之前,不能使用已鎖定的帳戶。可以將登入嘗試失敗的次數設定在 1 至 999 之間,或者透過將該值設定為“0”,使帳戶永不鎖定。如果定義了帳戶鎖定閥值,帳戶鎖定時間必須大於或等於復位時間。
在使用 Ctrl+Alt+Delete 或受密碼保護的螢幕保護程式進行鎖定的工作站或成員伺服器上的失敗密碼嘗試,將不作為失敗的登入嘗試來計數,除非啟用了組策略“互動式登入:要求域控制器身份驗證以解鎖工作站”。如果啟用了“互動式登入:要求域控制器身份驗證以解鎖工作站”,則因解鎖工作站而重複的失敗密碼嘗試次數將被計入“帳戶鎖定閥值”。
此組策略設定可能的值是:
• 使用者指定的值,在 0 至 999 之間
• 沒有定義
漏洞
密碼攻擊可能利用自動化的方法,對任何或所有使用者帳戶嘗試數千甚至數百萬種密碼組合。限制可以執行的失敗登入次數幾乎消除了這種攻擊的有效性。
但是,請務必注意,可能在配置了帳戶鎖定閥值的域上執行 DoS 攻擊。惡意攻擊者可編制程式來嘗試對組織中的所有使用者進行一系列密碼攻擊。如果嘗試次數大於帳戶鎖定閥值,則攻擊者有可能鎖定每一個帳戶。
對策
由於配置此值或不配置此值時都存在漏洞,因此要定義兩種不同的對策。任何組織都應該根據識別的威脅和正在嘗試降低的風險來在兩者之間進行權衡。有兩個選項可用於此設定。
• 將“帳戶鎖定閥值”設定為“0”。這可確保帳戶永不鎖定。此設定可防止故意鎖定全部或一些特定帳戶的 DoS 攻擊。另外,此設定還有助於減少幫助臺的呼叫次數,因為使用者不會將自己意外地鎖定在帳戶外。
由於它不能阻止暴力攻擊,因此只有在下列要求均得到明確滿足時才可以選擇此設定:
• 密碼策略強制所有使用者使用由 8 個或更多字元組成的複雜密碼。
• 強健的稽核機制已經就位,可以在組織環境中發生一系列失敗登入時提醒管理員。
• 如果不滿足上述要求,請將“帳戶鎖定閥值”設定為足夠高的值,以便使用者能夠在意外地錯誤輸入幾次密碼時不會鎖定自己的帳戶,但可確保暴力密碼攻擊仍然會鎖定帳戶。在這種情況下,將該值設定為 50 次無效登入嘗試是一個不錯的建議。如上所述,此設定可以避免意外的帳戶鎖定,從而降低了幫助臺的呼叫次數,但不能防止 DoS 攻擊。
潛在影響
啟用此設定可防止使用已鎖定的帳戶,直到管理員將該帳戶復位或帳戶鎖定時間到期。此設定很可能會生成許多其他的幫助臺呼叫。事實上,在許多組織中,鎖定帳戶都會為公司幫助臺帶來數目最多的呼叫。
如果將帳戶鎖定閥值設定為“0”,則可能檢測不到攻擊者嘗試使用暴力密碼攻擊來破解密碼。
復位帳戶鎖定計數器
“復位帳戶鎖定計數器”設定確定在登入嘗試失敗後,將失敗登入嘗試計數器復位到 0 次失敗登入嘗試之前所必須經過的時間(以分鐘為單位)。如果定義了“帳戶鎖定閾值”,則此復位時間必須小於或等於“帳戶鎖定時間”。
此組策略設定可能的值是:
• 使用者定義的數值,在 1 至 99,999 分鐘之間
• 沒有定義
漏洞
如果多次錯誤地輸入密碼,使用者可能會意外地將自己鎖定在帳戶之外。要減少這種可能性,“復位帳戶鎖定計數器”設定確定在登入嘗試失敗後,將無效登入嘗試計數器復位到 0 之前所必須經過的時間。
對策
將“復位帳戶鎖定計數器”的值設定為“30 分鐘”。
潛在影響
不設定此值,或者為此值設定的時間間隔太長都可能導致 DoS 攻擊。攻擊者對組織中的所有使用者惡意執行大量的失敗登入嘗試,以鎖定他們的帳戶,如上所述。如果沒有復位帳戶鎖定的策略,管理員必須手動解鎖所有帳戶。如果設定了合理的值,使用者將被鎖定一段時間,但在這段時間結束後,其帳戶將自動解鎖。
Kerberos 策略
在 Windows Server 2003 中,Kerberos V5 身份驗證協議提供預設的身份驗證服務機制,以及使用者訪問資源並在該資源上執行任務所必需的身份驗證資料。透過縮短 Kerberos 票證的壽命,可降低攻擊者竊取併成功使用合法使用者憑據的風險。但這會增加授權開銷。在大多數環境中都不需要更改這些設定。在域級別應用這些設定,在 Windows 2000 或 Windows Server 2003 Active Directory 域預設安裝的預設域策略 GPO 中配置這些預設值。隨本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”(英文)為預設設定編制了文件。
可以在組策略物件編輯器的以下位置配置 Kerberos 策略設定:
計算機配置Windows 設定安全設定帳戶策略Kerberos 策略
強制使用者登入限制
此安全設定確定 Kerberos V5 金鑰分佈中心 (KDC) 是否根據使用者帳戶的使用者許可權策略來驗證會話票證的每個請求。驗證會話票證的每個請求是可選功能,因為執行額外的步驟會消耗時間,並且可能會降低網路訪問服務的速度。
漏洞
如果禁用此設定,可能會為使用者授予他們無權使用的服務的會話票證。
對策
將“強制實施使用者登入限制”的值設定為“啟用”。
此組策略設定可能的值是:
• 啟用
• 禁用
• 沒有定義
潛在影響
這是預設設定,沒有潛在影響。
服務票證最長壽命
此安全設定確定可以使用所授予的權會話票證來訪問特定服務的最長時間(以分鐘為單位)。此設定必須大於或等於 10 分鐘,並小於或等於“使用者票證最長壽命”設定。
如果客戶端在請求連線到伺服器時顯示過期的會話票證,該伺服器將返回錯誤訊息。客戶端必須向 Kerberos V5 金鑰分佈中心 (KDC) 請求新的會話票證。但在連線透過驗證之後,它將不再關心會話票證是否有效。會話票證只用於驗證與伺服器之間的新連線。如果驗證連線的會話票證在連線期間到期,將不會中斷正在進行的操作。
漏洞
如果此設定的值太高,使用者可以在其登入時間範圍之外訪問網路資源,或者其帳戶已經被禁用的使用者可以使用帳戶禁用前發出的有效服務票證來繼續訪問網路服務。
對策
將“服務票證最長壽命”設定為“600 分鐘”。
此組策略設定可能的值是:
• 使用者定義的值(以分鐘為單位),在 10 至 99,999 之間,或者為 0,表明服務票證不會過期
• 沒有定義
潛在影響
這是預設設定,沒有潛在影響。
使用者票證最長壽命
此安全設定確定使用者的票證授權票證 (TGT) 的最長有效期(以小時為單位)。當使用者的 TGT 到期時,必須請求新 TGT,或者必須“續訂”現有 TGT。
漏洞
如果此設定的值太高,使用者可以在其登入時間範圍之外訪問網路資源,或者其帳戶已經被禁用的使用者可以使用帳戶禁用前發出的有效服務票證來繼續訪問網路服務。
對策
將“使用者票證的最長有效期”的值設定為“10 小時”。
此組策略設定可能的值是:
• 使用者定義的值,在 0 至 99,999 分鐘之間
• 沒有定義
潛在影響
這是預設設定,沒有潛在影響。
使用者票證續訂的最長壽命
此安全設定確定使用者票證授權票證 (TGT) 可以續訂的時間期限(以天為單位)。
漏洞
如果此設定的值太高,使用者可以續訂非常舊的使用者票證。
對策
將“使用者票證續訂的最長壽命”的值設定為“7 天”。
此組策略設定可能的值是:
• 使用者定義的值,在 0 至 99,999 分鐘之間
• 沒有定義
潛在影響
這是預設設定,沒有潛在影響。
計算機時鐘同步的最大容差
此安全設定確定 Kerberos V5 可以承受的客戶端時鐘時間和執行 Windows Server 2003(提供 Kerberos 身份驗證)的域控制器時間之間的最大時間差(以分鐘表示)。
漏洞
為了防止“重播攻擊”,Kerberos V5 使用時間戳作為其協議定義的一部分。為了使時間戳正常執行,客戶端和域控制器的時鐘需要儘可能同步。由於兩臺計算機的時鐘經常不同步,管理員可以使用此策略建立 Kerberos V5 可以接受的客戶端時鐘和域控制器時鐘之間的最大時間差。如果客戶端時鐘和域控制器時鐘之間的時間差小於此策略指定的最大時間差,則兩臺計算機之間的會話所使用的任何時間戳都被認為是可信的。
對策
將“計算機時鐘同步的最大容差”的值設定為“5 分鐘”。
此組策略設定可能的值是:
• 使用者定義的值,在 1 至 99,999 分鐘之間
• 沒有定義
潛在影響
這是預設設定,沒有潛在影響。
帳戶策略是在域級別上實現的。Microsoft Windows Server 2003 域必須有一個針對該域的密碼策略、帳戶鎖定策略和 Kerberos V5 身份驗證協議。在 Active Directory 中任何其他級別上設定這些策略將只會影響到成員伺服器上的本地帳戶。如果有要求單獨密碼策略的組,應根據任何其他要求將這些組分段到另一個域或目錄林。
在 Windows 和許多其他作業系統中,驗證使用者身份最常用的方法是使用秘密通行碼或密碼。確保網路環境的安全要求所有使用者都使用強密碼。這有助於避免未經授權的使用者猜測弱密碼所帶來的威脅,他們透過手動的方法或工具來獲取已洩密使用者帳戶的憑據。這一點對於管理帳戶尤其有用。隨本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”(英文)為預設設定編制了文件。請單擊此處下載。
定期更改的複雜密碼減少了密碼攻擊成功的可能性。密碼策略設定控制密碼的複雜性和壽命。本部分將討論每個特定的密碼策略帳戶設定。
注意:對於域帳戶,每個域只能有一個帳戶策略。必須在預設域策略或連結到域根的新策略中定義帳戶策略,並且帳戶策略要優先於由組成該域的域控制器強制實施的預設域策略。域控制器總是從域的根目錄中獲取帳戶策略,即使存在應用於包含域控制器的 OU 的其他帳戶策略。域的根目錄是該域的頂層容器,不要與目錄林中的根域相混淆;目錄林中的根域是該目錄林中的頂層域。
預設情況下,加入域的工作站和伺服器(即域成員計算機)還為其本地帳戶接收相同的帳戶策略。但是,透過為包含成員計算機的 OU 定義帳戶策略,可以使成員計算機的本地帳戶策略區別於域帳戶策略。
可以在組策略物件編輯器中的以下位置配置帳戶策略設定:
計算機配置Windows 設定安全設定帳戶策略密碼策略
強制密碼歷史
“強制密碼歷史”設定確定在重用舊密碼之前必須與使用者帳戶關聯的唯一新密碼的數量。
該組策略設定可能的值是:
使用者指定的值,在 0 至 24 之間
沒有定義
漏洞
密碼重用對於任何組織來說都是需要考慮的重要問題。許多使用者都希望在很長時間以後使用或重用相同的帳戶密碼。特定帳戶使用相同密碼的時間越長,攻擊者能夠透過暴力攻擊確定密碼的機會就越大。如果要求使用者更改其密碼,但卻無法阻止他們使用舊密碼,或允許他們持續重用少數幾個密碼,則會大大降低一個不錯的密碼策略的有效性。
為此設定指定一個較低的數值將使使用者能夠持續重用少數幾個相同的密碼。如果還沒有配置“密碼最短使用期限”設定,使用者可以根據需要連續多次更改其密碼,以便重用其原始密碼。
對策
將“強制密碼歷史”設定成最大值“24”。將此值配置為最大設定有助於確保將因密碼重用而導致的漏洞減至最少。
由於此設定在組織內有效,因此不允許在配置“密碼最短使用期限”後立即更改密碼。要確定將此值設定為何種級別,應綜合考慮合理的密碼最長使用期限和組織中所有使用者的合理密碼更改間隔要求。
潛在影響
此設定的主要影響在於,每當要求使用者更改舊密碼時,使用者都必須提供新密碼。由於要求使用者將其密碼更改為新的唯一值,使用者會為了避免遺忘而寫下自己的密碼,這就帶來了更大的風險。
密碼最長使用期限
“密碼最長使用期限”設定確定了系統要求使用者更改密碼之前可以使用密碼的天數。
此組策略設定可能的值是:
•
使用者指定的天數,在 0 至 999 之間
漏洞
任何密碼都可以被破解。憑藉當前的計算能力,甚至是破解最複雜的密碼也只是時間和處理能力的問題。下列某些設定可以增加在合理時間內破解密碼的難度。但是,經常在環境中更改密碼有助於降低有效密碼被破解的風險,並可以降低有人使用不正當手段獲取密碼的風險。可以配置密碼最長使用期限,以便從不要求使用者更改密碼,但這樣做將導致相當大的安全風險。
對策
將“密碼最長使用期限”的天數設定在“30”和“60”之間。透過將天數設定為“0”,可以將“密碼最長使用期限”設定配置為從不過期。
潛在影響
密碼最長使用期限的值設定得太低將要求使用者非常頻繁地更改其密碼。這實際上可能降低了組織的安全性,因為使用者更可能為了避免遺忘而寫下自己的密碼。將此值設定太高也會降低組織的安全性,因為這可以使潛在攻擊者有更充分的時間來破解使用者的密碼。
密碼最短使用期限
“密碼最短使用期限”設定確定了使用者可以更改密碼之前必須使用密碼的天數密碼最短使用期限的值必須小於密碼最長使用期限的值。
如果希望“強制密碼歷史”設定有效,應將“密碼最短使用期限”設定為大於 0 的值。如果將“強制密碼歷史”設定為“0”,使用者則不必選擇新的密碼。如果使用密碼歷史,使用者在更改密碼時必須輸入新的唯一密碼。
此組策略設定可能的值是:
使用者指定的天數,在 0 至 998 之間
沒有定義
漏洞
如果使用者可以迴圈使用一些密碼,直到找到他們所喜歡的舊密碼,則強制使用者定期更改密碼是無效的。將此設定與“強制密碼歷史”設定一起使用可以防止發生這種情況。例如,如果設定“強制密碼歷史”來確保使用者不能重用其最近用過的 12 個密碼,並將“密碼最短使用期限”設定為“0”,則使用者可以透過連續更改密碼 13 次,以返回到原來使用的密碼。因此,要使“強制密碼歷史”設定有效,必須將此設定配置為大於 0。
對策
將“密碼最短使用期限”的值設定為“2 天”。將天數設定為“0”將允許立即更改密碼,我們不建議這樣做。
潛在影響
將“密碼最短使用期限”設定為大於 0 的值時存在一個小問題。如果管理員為使用者設定了一個密碼,然後希望該使用者更改管理員定義的密碼,則管理員必須選擇“使用者下次登入時須更改密碼”核取方塊。否則,使用者直到第二天才能更改密碼。
最短密碼長度
“最短密碼長度”設定確定可以組成使用者帳戶密碼的最少字元數。確定組織的最佳密碼長度有許多不同的理論,但是,“通行碼”一詞可能比“密碼”更好。在 Microsoft Windows 2000 及更高版本中,通行碼可以相當長,並且可以包括空格。因此,諸如“I want to drink a $5 milkshake”之類的短語都是有效的通行碼,它比由 8 個或 10 個隨機數字和字母組成的字串要強大得多,而且更容易記住。
此組策略設定可能的值是:
• 使用者指定的數值,在 0 至 14 之間
• 沒有定義
漏洞
可以執行幾種型別的密碼攻擊,以獲取特定使用者帳戶的密碼。這些攻擊型別包括試圖使用常見字詞和短語的詞典攻擊,以及嘗試使用每一種可能的字元組合的暴力攻擊。另外,可透過獲取帳戶資料庫並使用破解帳戶和密碼的實用程式來執行攻擊。
對策
應該將“最短密碼長度”的值至少設定為“8”。如果字元數設定為“0”,則不要求使用密碼。
在大多數環境中都建議使用由 8 個字元組成的密碼,因為它足夠長,可提供充分的安全性,同時也足夠短,便於使用者記憶。此設定將對暴力攻擊提供足夠的防禦能力。提高複雜性要求將有助於降低詞典攻擊的可能性。下一部分將討論複雜性要求。
潛在影響
允許短密碼將會降低安全性,因為使用對密碼執行詞典攻擊或暴力攻擊的工具可以很容易地破解短密碼。要求很長的密碼可能會造成密碼輸入錯誤而導致帳戶鎖定,從而增加了幫助臺呼叫的次數。
要求極長的密碼實際上可能會降低組織的安全性,因為使用者更有可能寫下自己的密碼以免遺忘。但是,如果教會使用者使用上述通行碼,使用者應該更容易記住這些密碼。
密碼必須符合複雜性要求
“密碼必須符合複雜性要求”設定確定密碼是否必須符合對強密碼相當重要的一系列原則。
啟用此策略要求密碼符合下列要求:
• 密碼長度至少為 6 個字元。
• 密碼包含下列四類字元中的三類:
• 英語大寫字元 (A–Z)
• 英語小寫字元 (a–z)
• 10 個基數 (0–9)
• 非字母數字(例如:!、$、# 或 %)
• 密碼不得包含三個或三個以上來自使用者帳戶名中的字元。如果帳戶名長度低於三個字元,因為密碼被拒機率過高而不會執行此項檢查。檢查使用者全名時,有幾個字元被看作是將名稱分隔成單個令牌的分隔符,這些分隔符包括:逗號、句點、短劃線/連字元、下劃線、空格、磅字元和製表符。對於包含三個或更多字元的每個令牌,將在密碼中對其進行搜尋,如果發現了該令牌,就會拒絕密碼更改。例如,姓名“Erin M. Hagens”將被拆分為三個令牌:“Erin”、“M”和“Hagens”。因為第二個令牌僅包含一個字元,因而會將其忽略。因此,該使用者密碼中的任何位置都不能包含“erin”或“hagens”子字串。所有這些檢查都是區分大小寫的。
這些複雜性要求在密碼更改或新建密碼時強制執行。
不能直接修改 Windows Server 2003 策略中包括的這些規則。但是,可以建立一個新版本的 passfilt.dll,以應用不同的規則集。關於 passfilt.dll 的原始碼,請參閱 Microsoft 知識庫文章 151082“HOW TO: Password Change Filtering & Notification in Windows NT”,其網址為:(英文)。
此組策略設定可能的值是:
• 啟用
• 禁用
• 沒有定義
漏洞
只包含字母數字字元的密碼非常容易被市場上可以買到的實用程式所破解。要防止出現這種情況,密碼應該包含其他字元和要求。
對策
將“密碼必須符合複雜性要求”的值設定為“啟用”。
將此設定與“最短密碼長度”值為“8”的設定結合使用,可確保一個密碼至少有 218,340,105,584,896 種不同的可能性。這樣就很難使用暴力攻擊,但也並非不可能,如果某個攻擊者具有足夠的處理能力,能夠每秒測試 100 萬個密碼,則可以在七天半左右的時間內確定這樣一個密碼。
潛在影響
啟用預設的 passfilt.dll 可能會因帳戶鎖定而導致幫助臺的呼叫次數增加,因為使用者可能並沒有使用包含字母表以外的字元的密碼。但此設定非常靈活,所有使用者都應該能夠透過短時間的學習來滿足這些要求。
自定義的 passfilt.dll 中包括的其他設定是使用非上行符。上行符是指按住 Shift 鍵並鍵入任何數字(1 – 10)時鍵入的字元。
同時,使用 Alt 鍵字元組合可大大增加密碼的複雜性。但是,要求組織中的所有使用者都遵守如此嚴格的密碼要求可能會導致使用者不滿,並將導致幫助臺極度繁忙。考慮在組織內實現這樣一種要求,即使用 0128 – 0159 範圍內的 Alt 字元作為所有管理員密碼的一部分。此範圍之外的 Alt 字元可表示標準的字母數字字元,而不會另外增加密碼的複雜性。
用可還原的加密來儲存密碼(針對域中的所有使用者)
“用可還原的加密來儲存密碼(針對域中的所有使用者)”設定確定 Microsoft Windows Server 2003、Windows 2000 Server、Windows 2000 Professional 和 Windows XP Professional 是否使用可還原的加密來儲存密碼。
此策略支援使用需要了解使用者密碼以便進行身份驗證的協議的應用程式。根據定義,儲存以可還原方式加密的密碼意味著可以對加密的密碼進行解密。能夠破解這種加密的高水平攻擊者然後可以使用已被破壞的帳戶來登入到網路資源。出於此原因,請永遠不要啟用此設定,除非應用程式的要求比保護密碼資訊更為重要。
使用透過遠端訪問的 CHAP 身份驗證或 Internet 驗證服務 (IAS) 時要求啟用此設定。質詢握手身份驗證協議 (CHAP) 是 Microsoft 遠端訪問和網路連線使用的一種身份驗證協議。Microsoft Internet 資訊服務 (IIS) 的摘要式驗證也要求啟用此設定。
此組策略設定可能的值是:
• 啟用
• 禁用
• 沒有定義
漏洞
此設定確定 Windows Server 2003 是否以更容易遭到暴力攻擊的一種較弱格式來儲存密碼。
對策
將“用可還原的加密來儲存密碼(針對域中的所有使用者)”的值設定為“禁用”。
潛在影響
使用透過遠端訪問的 CHAP 身份驗證協議或 IAS 服務。IIS 中的摘要式身份驗證要求將此值設定為“禁用”。將使用組策略逐個應用到每位使用者是一種極其危險的設定,因為它要求在 Active Directory 使用者和計算機管理控制檯中開啟適當的使用者帳戶物件。
警告:請永遠不要啟用此設定,除非業務要求比保護密碼資訊更為重要。
帳戶鎖定策略
試圖登入到系統時多次不成功的密碼嘗試可能表示攻擊者正在以試錯法來確定帳戶密碼。Windows Server 2003 跟蹤登入嘗試,而且可以將作業系統配置為透過在預設時間段內禁用帳戶來響應這種潛在攻擊。隨本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”(英文)為預設設定編制了文件。
可以在組策略物件編輯器的以下位置配置帳戶鎖定策略設定:
計算機配置Windows 設定安全設定帳戶策略帳戶鎖定策略
帳戶鎖定時間
“帳戶鎖定時間”設定確定在自動解鎖之前鎖定帳戶保持鎖定狀態的時間。可用範圍為從 1 到 99,999 分鐘。透過將該值設定為“0”,可以指定在管理員明確解鎖之前鎖定帳戶。如果定義了帳戶鎖定閥值,帳戶鎖定時間必須大於或等於復位時間。
此組策略設定可能的值是:
• 使用者定義的值,在 0 至 99,999 分鐘之間
• 沒有定義
漏洞
如果攻擊者濫用“帳戶鎖定閥值”並反覆嘗試登入到帳戶,則可能產生拒絕服務 (DoS) 攻擊。如果配置“帳戶鎖定閥值”,在失敗嘗試達到指定次數之後將鎖定帳戶。如果“帳戶鎖定時間”設定為 0,則在管理員手動解鎖前帳戶將保持鎖定狀態。
對策
將“帳戶鎖定時間”設定為“30 分鐘”。要指定該帳戶永不鎖定,請將該值設定為“0”。
潛在影響
將此設定的值配置為永不自動解鎖可能看上去是一個好主意,但這樣做會增加組織支援專家收到的要求解鎖意外鎖定帳戶的請求的數目。
帳戶鎖定閾值
“帳戶鎖定閥值”確定導致使用者帳戶鎖定的登入嘗試失敗的次數。在管理員復位或帳戶鎖定時間到期之前,不能使用已鎖定的帳戶。可以將登入嘗試失敗的次數設定在 1 至 999 之間,或者透過將該值設定為“0”,使帳戶永不鎖定。如果定義了帳戶鎖定閥值,帳戶鎖定時間必須大於或等於復位時間。
在使用 Ctrl+Alt+Delete 或受密碼保護的螢幕保護程式進行鎖定的工作站或成員伺服器上的失敗密碼嘗試,將不作為失敗的登入嘗試來計數,除非啟用了組策略“互動式登入:要求域控制器身份驗證以解鎖工作站”。如果啟用了“互動式登入:要求域控制器身份驗證以解鎖工作站”,則因解鎖工作站而重複的失敗密碼嘗試次數將被計入“帳戶鎖定閥值”。
此組策略設定可能的值是:
• 使用者指定的值,在 0 至 999 之間
• 沒有定義
漏洞
密碼攻擊可能利用自動化的方法,對任何或所有使用者帳戶嘗試數千甚至數百萬種密碼組合。限制可以執行的失敗登入次數幾乎消除了這種攻擊的有效性。
但是,請務必注意,可能在配置了帳戶鎖定閥值的域上執行 DoS 攻擊。惡意攻擊者可編制程式來嘗試對組織中的所有使用者進行一系列密碼攻擊。如果嘗試次數大於帳戶鎖定閥值,則攻擊者有可能鎖定每一個帳戶。
對策
由於配置此值或不配置此值時都存在漏洞,因此要定義兩種不同的對策。任何組織都應該根據識別的威脅和正在嘗試降低的風險來在兩者之間進行權衡。有兩個選項可用於此設定。
• 將“帳戶鎖定閥值”設定為“0”。這可確保帳戶永不鎖定。此設定可防止故意鎖定全部或一些特定帳戶的 DoS 攻擊。另外,此設定還有助於減少幫助臺的呼叫次數,因為使用者不會將自己意外地鎖定在帳戶外。
由於它不能阻止暴力攻擊,因此只有在下列要求均得到明確滿足時才可以選擇此設定:
• 密碼策略強制所有使用者使用由 8 個或更多字元組成的複雜密碼。
• 強健的稽核機制已經就位,可以在組織環境中發生一系列失敗登入時提醒管理員。
• 如果不滿足上述要求,請將“帳戶鎖定閥值”設定為足夠高的值,以便使用者能夠在意外地錯誤輸入幾次密碼時不會鎖定自己的帳戶,但可確保暴力密碼攻擊仍然會鎖定帳戶。在這種情況下,將該值設定為 50 次無效登入嘗試是一個不錯的建議。如上所述,此設定可以避免意外的帳戶鎖定,從而降低了幫助臺的呼叫次數,但不能防止 DoS 攻擊。
潛在影響
啟用此設定可防止使用已鎖定的帳戶,直到管理員將該帳戶復位或帳戶鎖定時間到期。此設定很可能會生成許多其他的幫助臺呼叫。事實上,在許多組織中,鎖定帳戶都會為公司幫助臺帶來數目最多的呼叫。
如果將帳戶鎖定閥值設定為“0”,則可能檢測不到攻擊者嘗試使用暴力密碼攻擊來破解密碼。
復位帳戶鎖定計數器
“復位帳戶鎖定計數器”設定確定在登入嘗試失敗後,將失敗登入嘗試計數器復位到 0 次失敗登入嘗試之前所必須經過的時間(以分鐘為單位)。如果定義了“帳戶鎖定閾值”,則此復位時間必須小於或等於“帳戶鎖定時間”。
此組策略設定可能的值是:
• 使用者定義的數值,在 1 至 99,999 分鐘之間
• 沒有定義
漏洞
如果多次錯誤地輸入密碼,使用者可能會意外地將自己鎖定在帳戶之外。要減少這種可能性,“復位帳戶鎖定計數器”設定確定在登入嘗試失敗後,將無效登入嘗試計數器復位到 0 之前所必須經過的時間。
對策
將“復位帳戶鎖定計數器”的值設定為“30 分鐘”。
潛在影響
不設定此值,或者為此值設定的時間間隔太長都可能導致 DoS 攻擊。攻擊者對組織中的所有使用者惡意執行大量的失敗登入嘗試,以鎖定他們的帳戶,如上所述。如果沒有復位帳戶鎖定的策略,管理員必須手動解鎖所有帳戶。如果設定了合理的值,使用者將被鎖定一段時間,但在這段時間結束後,其帳戶將自動解鎖。
Kerberos 策略
在 Windows Server 2003 中,Kerberos V5 身份驗證協議提供預設的身份驗證服務機制,以及使用者訪問資源並在該資源上執行任務所必需的身份驗證資料。透過縮短 Kerberos 票證的壽命,可降低攻擊者竊取併成功使用合法使用者憑據的風險。但這會增加授權開銷。在大多數環境中都不需要更改這些設定。在域級別應用這些設定,在 Windows 2000 或 Windows Server 2003 Active Directory 域預設安裝的預設域策略 GPO 中配置這些預設值。隨本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”(英文)為預設設定編制了文件。
可以在組策略物件編輯器的以下位置配置 Kerberos 策略設定:
計算機配置Windows 設定安全設定帳戶策略Kerberos 策略
強制使用者登入限制
此安全設定確定 Kerberos V5 金鑰分佈中心 (KDC) 是否根據使用者帳戶的使用者許可權策略來驗證會話票證的每個請求。驗證會話票證的每個請求是可選功能,因為執行額外的步驟會消耗時間,並且可能會降低網路訪問服務的速度。
漏洞
如果禁用此設定,可能會為使用者授予他們無權使用的服務的會話票證。
對策
將“強制實施使用者登入限制”的值設定為“啟用”。
此組策略設定可能的值是:
• 啟用
• 禁用
• 沒有定義
潛在影響
這是預設設定,沒有潛在影響。
服務票證最長壽命
此安全設定確定可以使用所授予的權會話票證來訪問特定服務的最長時間(以分鐘為單位)。此設定必須大於或等於 10 分鐘,並小於或等於“使用者票證最長壽命”設定。
如果客戶端在請求連線到伺服器時顯示過期的會話票證,該伺服器將返回錯誤訊息。客戶端必須向 Kerberos V5 金鑰分佈中心 (KDC) 請求新的會話票證。但在連線透過驗證之後,它將不再關心會話票證是否有效。會話票證只用於驗證與伺服器之間的新連線。如果驗證連線的會話票證在連線期間到期,將不會中斷正在進行的操作。
漏洞
如果此設定的值太高,使用者可以在其登入時間範圍之外訪問網路資源,或者其帳戶已經被禁用的使用者可以使用帳戶禁用前發出的有效服務票證來繼續訪問網路服務。
對策
將“服務票證最長壽命”設定為“600 分鐘”。
此組策略設定可能的值是:
• 使用者定義的值(以分鐘為單位),在 10 至 99,999 之間,或者為 0,表明服務票證不會過期
• 沒有定義
潛在影響
這是預設設定,沒有潛在影響。
使用者票證最長壽命
此安全設定確定使用者的票證授權票證 (TGT) 的最長有效期(以小時為單位)。當使用者的 TGT 到期時,必須請求新 TGT,或者必須“續訂”現有 TGT。
漏洞
如果此設定的值太高,使用者可以在其登入時間範圍之外訪問網路資源,或者其帳戶已經被禁用的使用者可以使用帳戶禁用前發出的有效服務票證來繼續訪問網路服務。
對策
將“使用者票證的最長有效期”的值設定為“10 小時”。
此組策略設定可能的值是:
• 使用者定義的值,在 0 至 99,999 分鐘之間
• 沒有定義
潛在影響
這是預設設定,沒有潛在影響。
使用者票證續訂的最長壽命
此安全設定確定使用者票證授權票證 (TGT) 可以續訂的時間期限(以天為單位)。
漏洞
如果此設定的值太高,使用者可以續訂非常舊的使用者票證。
對策
將“使用者票證續訂的最長壽命”的值設定為“7 天”。
此組策略設定可能的值是:
• 使用者定義的值,在 0 至 99,999 分鐘之間
• 沒有定義
潛在影響
這是預設設定,沒有潛在影響。
計算機時鐘同步的最大容差
此安全設定確定 Kerberos V5 可以承受的客戶端時鐘時間和執行 Windows Server 2003(提供 Kerberos 身份驗證)的域控制器時間之間的最大時間差(以分鐘表示)。
漏洞
為了防止“重播攻擊”,Kerberos V5 使用時間戳作為其協議定義的一部分。為了使時間戳正常執行,客戶端和域控制器的時鐘需要儘可能同步。由於兩臺計算機的時鐘經常不同步,管理員可以使用此策略建立 Kerberos V5 可以接受的客戶端時鐘和域控制器時鐘之間的最大時間差。如果客戶端時鐘和域控制器時鐘之間的時間差小於此策略指定的最大時間差,則兩臺計算機之間的會話所使用的任何時間戳都被認為是可信的。
對策
將“計算機時鐘同步的最大容差”的值設定為“5 分鐘”。
此組策略設定可能的值是:
• 使用者定義的值,在 1 至 99,999 分鐘之間
• 沒有定義
潛在影響
這是預設設定,沒有潛在影響。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617542/viewspace-945716/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 微軟安全指南:制定安全無線網路策略(轉)微軟
- Windows XP 八大安全策略(轉)Windows
- Windows 7安全指南Windows
- 安全設定Windows組策略有效阻止駭客(轉)Windows
- Windows2000區域網的組策略管理(轉)Windows
- 虛擬化安全指南-淺談CSA安全指南第三版之第13域 薦
- 微軟更新 Windows 驅動安全指南微軟Windows
- Web 安全之內容安全策略 (CSP)Web
- 瀏覽器安全策略說之內容安全策略CSP瀏覽器
- 安全設定Windows組策略 有效阻止駭客Windows
- ubuntu 6.10 升級策略(轉)Ubuntu
- VPD策略實現行級安全性
- 用測試網站來檢測安全級別(轉)網站
- 微軟安全指南:安全無線LAN規劃指南簡介(轉)微軟
- Windows 10 家庭版 新增 本地安全策略Windows
- 安全設定Windows組策略有效阻止黑客Windows黑客
- windows server 2008_安全策略WindowsServer
- java安全編碼指南之:方法編寫指南Java
- Windows2000Professional之無人安裝指南(轉)Windows
- Js型別轉換之相等運算子[初級]JS型別
- Oracle資料庫安全策略(轉)Oracle資料庫
- 在Windows2003中實施遠端訪問安全策略(轉)Windows
- 域組策略與本地組策略
- BSD的核心安全級別
- 如何降低Excel宏安全級別Excel
- 安全技術 | 域滲透之SPN
- Oracle資料庫的安全策略(轉)Oracle資料庫
- java安全編碼指南之:Number操作Java
- linux系統升級指南(轉)Linux
- 微軟在Windows8.1中加入BYOD安全策略微軟Windows
- 域環境的Windows伺服器無法禁用密碼策略Windows伺服器密碼
- linux加入windows域之完美方案LinuxWindows
- .NET 歡樂程式設計術之型別超級轉換之術??程式設計型別
- (interbase之七) 使用域擴充套件interbase的資料型別 (轉)套件資料型別
- MySQL RR隔離級別的更新衝突策略MySql
- R12.2新特性:彈性域值集安全策略
- java安全編碼指南之:執行緒安全規則Java執行緒
- 資料安全(反爬蟲)之「防重放」策略爬蟲