密码策略
04/01/2016
本文内容
Windows 密码策略的概述和每个策略设置的信息的链接。
在许多操作系统中,对用户身份进行验证的最常用方法是使用密码。安全的网络环境要求所有用户使用强密码,它至少拥有八个字符并包括字母、数字和符号的组合。这类密码可以防止未经授权的用户通过使用手动方法或自动工具猜测弱密码来损害用户帐户和管理帐户。定期更改强密码可以减少成功攻击密码的可能性。
Windows 在 Windows Server 2008 R2 和 Windows Server 2008 中引入对细化密码策略的支持。此功能向组织提供了为域中不同组的用户定义不同密码和帐户锁定策略的方法。细化密码策略仅适用于用户对象(在未使用用户对象的情况下则为使用的 inetOrgPerson 对象)和全局安全组。
若要将细化密码策略应用到 OU 中的用户,可以使用卷影组。卷影组是逻辑上映射到 OU 以强制执行细化策略的一个全局安全组。将 OU 的用户添加为新创建的卷影组的成员,然后将细化密码策略应用于此卷影组。可以根据需要为其他 OU 创建其他卷影组。如果将某个用户从一个 OU 移动到另一个 OU,则必须更新相应卷影组的成员身份。
除帐户锁定设置以外,细化密码策略还包括可以在默认域策略(Kerberos 设置除外)中定义的所有设置的属性。在指定细化密码策略时,必须指定所有这些设置。默认情况下,仅域管理员组成员可以设置细化密码策略。但是,也可以将设置这些策略的功能委派给其他用户。域必须运行 Windows Server 2008 R2 或 Windows Server 2008 及以上版本的系统才能使用细化密码策略。细化密码策略无法直接应用到组织单位 (OU)。
可以通过相应的密码策略强制使用强密码。存在控制密码复杂性和生命周期的密码策略设置,例如“密码必须符合复杂性要求”策略设置。
可以通过使用组策略管理控制台在以下位置中配置密码策略设置:
计算机配置\Windows 设置\安全设置\帐户策略\密码策略
如果个别组要求独特的密码策略,这些组应该根据其他要求分隔到其他域或林。
以下主题讨论了密码策略实现和最佳做法注意事项、策略位置、服务器类型或 GPO 的默认值、操作系统版本的相关区别、安全注意事项(包括每个设置的可能漏洞)、可以采取的对策和对每个设置的潜在影响。
本部分内容
主题
描述
介绍了有关“强制密码历史”安全策略设置的最佳做法、位置、值、策略管理和安全注意事项。
介绍了有关“密码最长使用期限”安全策略设置的最佳做法、位置、值、策略管理和安全注意事项。
介绍了有关“密码最短使用期限”安全策略设置的最佳做法、位置、值、策略管理和安全注意事项。
介绍了有关“最短密码长度”安全策略设置的最佳做法、位置、值、策略管理和安全注意事项。
介绍了有关“密码必须符合复杂性要求”安全策略设置的最佳做法、位置、值和安全注意事项。
介绍了有关“使用可逆加密存储密码”安全策略设置的最佳做法、位置、值和安全注意事项。
相关主题