在 Windows系統(特別是 Windows Server環境)中, 為了加強帳戶安全性, 系統管理員需要設定與管理多項安全性功能, 以下是幾個主要的帳戶安全項目及其簡要說明:
1. Windows Server帳戶安全性功能
Windows Server提供一套完整的帳戶安全性功能用來保護使用者帳戶不被未授權存取或濫用, 主要包括:
。使用者帳戶控制(UAC): 限制應用程式使用管理員權限, 避免惡意軟體自動取得高權限
。群組原則(Group Policy): 集中管理帳戶安全設定, 包括密碼、鎖定、登入限制等
。帳戶稽核(Audit Policy): 追蹤登入登出、帳戶異動等行為, 以利偵測可疑活動
。安全性原則(Local Security Policy): 針對本機或網域帳戶設定具體安全規則
w-studio.idv.tw
密碼原則是保護帳戶免於遭受猜測或暴力破解攻擊的第一道防線, 常見設定包含:
。最小密碼長度: 強制密碼須有一定字元數(例如 7字元以上)
。複雜性需求: 要求密碼包含大寫、小寫、數字及特殊符號
。密碼最短使用期限: 設定密碼變更的最短間隔時間(避免馬上換回原密碼)
。密碼最長使用期限: 強制定期更換密碼(例如每 42天一次)
。密碼歷史記錄: 避免重複使用舊密碼(例如記錄過去 5個密碼)
這些設定通常可透過「本機安全性原則」或「群組原則編輯器」進行設定
3. 帳戶鎖定原則
此原則能防止帳戶遭受密碼暴力破解攻擊, 一旦觸發會暫時鎖定帳戶:
。帳戶鎖定閾值: 輸入錯誤密碼的最大次數(如 5次)
。帳戶鎖定時間: 被鎖定帳戶需要等待多長時間才能自動解鎖(如 15分鐘)
。重設帳戶鎖定計數器時間: 輸入錯誤密碼後, 若在這段時間內未再錯誤會將次數重設(如 10分鐘)
4. Kerberos原則
Kerberos是 Windows網域環境預設使用的驗證協定, 其原則設定可提升驗證安全性與效能:
。票證存活時間(Ticket Lifetime):
--TGT(Ticket Granting Ticket)預設有效期通常為 10小時
--Service Ticket有效期可設為較短(如 600分鐘)
。更新期限(Renewal Time): 允許在票證到期前續期, 例如最多 7天
。時鐘同步要求: Kerberos對伺服器與用戶端時間同步要求嚴格(預設誤差不超過 5分鐘), 以防重播攻擊
w-studio.idv.tw
沒有留言:
張貼留言