xp此域的安全级别设置s

潜在影响

使用通过远程访问的 CHAP 身份验证协议或 IAS 服务。IIS 中的摘要式身份验证要求将此值设置为“禁用”。将使用组策略逐个应用到每位用户是一种极其危险的设置，因为它要求在 Active Directory 用户和计算机管理控制台中打开适当的用户帐户对象。

警告：请永远不要启用此设置，除非业务要求比保护密码信息更为重要。

帐户锁定策略

试图登录到系统时多次不成功的密码尝试可能表示攻击者正在以试错法来确定帐户密码。Windows Server 2003 跟踪登录尝试，而且可以将操作系统配置为通过在预设时间段内禁用帐户来响应这种潜在攻击。随本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”（英文）为默认设置编制了文档。

可以在组策略对象编辑器的以下位置配置帐户锁定策略设置：

计算机配置\Windows 设置\安全设置\帐户策略\帐户锁定策略

帐户锁定时间

“帐户锁定时间”设置确定在自动解锁之前锁定帐户保持锁定状态的时间。可用范围为从 1 到 99,999 分钟。通过将该值设定为“0”，可以指定在管理员明确解锁之前锁定帐户。如果定义了帐户锁定阀值，帐户锁定时间必须大于或等于复位时间。

此组策略设置可能的值是：

• 用户定义的值，在 0 至 99,999 分钟之间

• 没有定义

漏洞

如果攻击者滥用“帐户锁定阀值”并反复尝试登录到帐户，则可能产生拒绝服务 (DoS) 攻击。如果配置“帐户锁定阀值”，在失败尝试达到指定次数之后将锁定帐户。如果“帐户锁定时间”设置为 0，则在管理员手动解锁前帐户将保持锁定状态。

对策

将“帐户锁定时间”设置为“30 分钟”。要指定该帐户永不锁定，请将该