科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道Windows2003安全之强化域控制器(4)

Windows2003安全之强化域控制器(4)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

对于依赖域控制器完成身份验证、组策略、以及一个中央LDAP(轻量级目录访问协议)目录的客户机、服务器以及应用软件而言,IT环境中域控制器的任何损失或信息泄密都可能是灾难性的。

作者:51CTO.COM 2007年10月30日

关键字: 组策略 域控制器 身份验证

  • 评论
  • 分享微博
  • 分享邮件

  改变系统时间

  表 4.6: 设置

  

  

  

  “改变系统时间”权限允许用户调整计算机内部时钟的时间。该权限对于改变时区或系统时间的其他显示特征不是必需的。

  系统时间保持同步对于 Active Directory 的运行至关重要。正确的 Active Directory 复制和KerberosV5身份验证协议使用的身份验证票据生成过程要依赖于整个环境中的时间同步。

  如果在环境中,一台域控制器配置的系统时间与另一台域控制器配置的系统时间不同步,则可能妨碍域服务的操作。仅允许管理员改变系统时间可以将域控制器被配置为错误系统时间的可能性降至最小。

  缺省情况下, Server Operators 组被授予了改变域控制器系统时间的权限。由于这个组的成员可能会不正确地更改域控制器系统时间,该用户权限在DCBP中进行了配置,以便在本指南定义的三种环境下,只有 Administrators 组有权改变系统时间。

  要了解关于Microsoft Windows? 时间服务(Microsoft Windows? Time Service)的更多信息,请参考知识库文章Q224799,“Windows Time Service 的基本操作”:http://support.microsoft.com/default.aspx?scid=224799,以及Q216734,“如何在Windows 2000中配置一台权威的时间服务器”:http://support.microsoft.com/default.aspx?scid=216734.

  为委派启用受信任的计算机和用户帐户

  表 4.7:设置

  

  

  

  “为委派启用受信任的计算机和用户账户”权限允许用户在 Active Directory 中的一个用户和计算机对象上改变 “允许委派”(Trusted for Delegation)设置。身份验证委派是由多层客户/服务器应用程序所使用的一种功能。它允许前端服务在验证一项后端服务时使用客户机的信任凭据。要使这项操作成立,客户机和服务器都必须运行在允许接收委派的账户下。

  对该权限的误用可能会导致未经授权的用户假装网络中的其他用户。攻击者可以利用该权限假扮其他用户访问网络资源,这使得在安全事件出现之后,确定事件原因的工作变得更加困难。

  本指南推荐将“为委派启用受信任的计算机和用户账户”权限分配给域控制器中的Administrators 组。

  注意:尽管缺省的域控制器策略将该权限分配给管理员组,但DCBP之所以在高安全性环境下加强了该项权限设置是因为它最初是建立在MSBP基础上的,而MSBP给该权限分配了一个NULL值。

 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章