关于如何配置“运维小登”密码策略-概述和

zhongnaozhao

密码策略可确保用户密码强度高且定期更改，从而使攻击者几乎不可能破解密码。为确保AD域中用户帐户的高度安全性，管理员必须配置和施域密码策略。密码策略应提供足够的复杂性、密码长度以及更改用户和服务账户密码的频率。因此可以使攻击者更难以暴力破解或捕获用户密码。新开传奇私服的相关资讯可以到我们网站了解一下，从专业角度出发为您解答相关问题，给您优质的服务！

A D


一、什么是 A D 默认密码策略


默认情况下，A D 配置有默认域密码策略。此策略定义 AD域用户帐户的密码要求，例如密码长度、年龄等。


密码策略


二、如何 AD 密码策略


密码策略由组策略配置并链接到域的根目录。您可以使用以下两种方式之一查看默认密码策略。



使用GPMC
使用 PS 脚本
使用 GPMC

转到开始菜单→管理工具→组策略管理。


在控制台中，打开 F，然后打开 D。选择必须为其设置帐户策略地域。


双击域以显示链接到该域的GPO。


右键单击默认域策略并选择。组策略器控制台将打开。


现在，导航到计算机配置→策略→ W 设置→安全设置→帐户策略→密码策略。


双击密码策略则可以显示AD中可用的六个密码设置。右键单击这些设置中的任何一项，然后选择“属性”以定义策略设置


每个策略设置的“属性”对话框都有两个选项卡。安全策略设置选项是设置该值的位置。解释选项提供策略设置及其默认值的简要说明。


在安全策略设置选项卡中，选中定义此策略设置复选框并输入所需的值。单击应用，然后单击确定。


组策略管理器显示 A D 中的默认域策略。


使用 PS 脚本


您还可以使用此命令通过 P 查看默认密码策略。


获取


ADDDPP


密码策略设置


、了解密码策略设置


到目前为止，我们已经了解了如何查看和更改策略。但您必须了解这些默认设置的含义，以便进行必要的更改。因此，让我们来看看每个设置。



强制密码历史

此设置确定在重新使用旧密码之前必须设置的新密码的数量。它确保用户不会连续使用旧密码，这将使比较小密码年龄策略设置用。该值可以设置在 0 到 24 之间。域控制器上的默认值为24，单独服务器上的默认值为0。


例如，如果 E P H 值设置为 10，则用户必须在密码过期时设置10个不同的密码，然后才能将密码设置为旧值。


如果该值设置为 0，则不会记住密码历史记录，并且用户可以在密码过期时重新使用他们的旧密码。



比较大密码年龄

此设置确定密码可以使用的比较大天数。一旦密码比较长使用期限到期，用户必须更改其密码。它确保用户不会永远使用一个密码。该值可以设置在 0 到 999 天之间。默认值为 42。


例如，如果“密码比较长使用期限”值设置为 60，则用户必须每 60 天更改一次密码。


如果该值设置为 0，则密码永不过期，并且用户需更改他她的密码。



比较低密码年龄

此设置确定密码在更改之前必须使用的比较少天数。只有当密码比较短使用期限到期时，才允许用户更改他们的密码。它确保用户不会过于频繁地更改密码。该值可以设置在 0 到 999 天之间。域控制器的默认值为 1，单独服务器的默认值为 0。


例如，如果比较小密码期限设置为 10，则用户在比较后一次密码更改后的 10 天内不能更改他她的密码。


此设置用于确保强制密码历史设置的有效性。如果比较小密码年龄设置为 0，则用户可以每 2 分钟左右更改一次密码，直到达到强制密码历史设置的值，然后重新使用他她比较喜欢的旧密码。通过将比较小密码年龄设置为某个值，用户法频繁更改他她的密码以使强制密码历史设置效。


比较短密码使用期限的值应始终小于比较长密码使用期限。



比较小密码长度

此设置确定密码应包含的比较少字符数。该值可以设置在 0 到 14 之间。域控制器上的默认值为 7，单独服务器上的默认值为 0。


例如，如果比较小密码长度设置为 6，则密码必须至少包含 6 个字符。


如果设置为 0，则不需要密码。


密码策略规则


四、密码必须满足复杂性要求


此设置确定密码是否必须满足指定的复杂性要求。如果启用此设置，密码必须满足以下要求。



不包含超过两个连续字符的用户帐户或用户全的一部分
密码长度至少为六个字符。
密码包含来自以下四类中的至少类的字符：
英文大写字符 (A – Z)
英文小写字符 ( – )
以 10 位为基数 (0 – 9)
非字母数字（例如：$、# 或 %）
默认情况下，此设置在域控制器上启用，在单独服务器上禁用。

密码策略要求


五、使用可逆加密存储密码


此安全设置确定密码是否使用可逆加密存储。如果使用可逆加密存储密码，则解密密码变得更容易。此设置在某些情况下很有用，其中应用程序或服务需要用户的用户和密码才能执行某些功能。仅在必要时才应启用此设置。默认情况下，此设置被禁用。


虽然微软为AD域用户提供了较为完善的密码策略，但随着近年来各类攻击形式的不断升级，破解企业AD域用户密码已经不是什么难事。并且高强度的密码策略对用户的使用体验也会大幅度降低，因此更加合理的解决AD域弱密码问题成了企业的重点问题。


ADSS P


ADSS P是一款企业级AD域密码自助管理工具，它能现企业内部员工自助重置、修改密码，还能对已锁定账户进行解锁。整个流程完全自助，却不影响用户密码的安全性同时提供密码黑单功能，可以将常见的、易破解的密码样式加入黑单，减少密码被攻击的可能性。而且它还能生成密码状态报告，让管理员能清晰的了解每一次密码修改情况，确保企业络安全。对密码即将过期的用户进行及时通知，使其在密码过期之前及时修改。


密码在我们的工作中处不在，合理高效的利用密码能确保我们的工作正常开展ADSS P作为一款AD域自助密码管理工具，正在给越来越多企业的AD域管理带来福利。