none
强制实施强密码策略的逐步式指南 RRS feed

  • 问题

  • 本文逐步式指南详细介绍了使用组策略对象 (GPO) 定义强密码策略以扩展计算环境安全性的方法。
    概述
    大多数用户通过使用在键盘上键入的用户名和密码组合来登录到本地或远程计算机上。虽然所有常用操作系统都可以使用其他身份验证技术(例如,生物测定、智能卡以及一次性密码),但多数组织仍依赖于传统密码,在以后几年内还会保持这种状况。因此,组织为其计算机定义和强制实施密码策略(包括强制使用强密码)是至关重要的。
    强密码符合一些复杂性要求(包括长度和字符类别),从而使黑客更难以破解密码。为组织制订强密码策略有助于防止黑客模拟用户,因而有助于防止敏感信息的丢失、泄露或破坏。
    取决于组织中的计算机是 Active Directory 域成员、独立计算机,还是二者兼而有之,要实施强密码策略,您需要执行下面的一个或两个任务。
    l Active Directory 域中配置密码策略设置。
    l在独立计算机上配置密码策略设置。
    本文讲述如何通过 GPO Active Directory 域成员上配置密码策略设置。
    在配置了适当的密码策略设置后,组织用户就可以创建新的密码了,但前提是新密码必须符合强密码的长度和复杂性要求,而且用户不能立即更改其新密码。
    使用组策略对象来设置密码策略 在网络计算机上配置密码策略之前,您需要指定相关的设置,确定这些设置使用的值,并了解 Windows 存储密码策略配置信息的方式。
    注意:Windows 95Windows 98 以及 Windows Millennium Edition 操作系统不支持高级安全功能(例如,密码策略)。如果网络中包括运行这些操作系统的独立计算机(不属于任何域的计算机),则不能在这些计算机上强制实施密码策略。如果网络中运行这些操作系统的计算机是 Active Directory 域的成员,则只能在域级别强制实施密码策略。
    指定密码策略的相关设置 对于 Windows 2000Windows XP Windows Server 2003,可以配置六种与密码特性有关的设置:“强制密码历史”、“密码最长使用期限”、“密码最短使用期限”、“密码长度最小值”、“密码必须符合复杂性要求”和“用可还原的加密来储存密码”。有关确定这些符合组织业务要求的设置值的帮助,请参阅 Microsoft 安全指南 Web 站点上的选择安全密码。
    l强制密码历史确定在用户可以重用旧密码前必须使用唯一新密码的数量。该设置的值可以在 0 24 之间;如果将其设置为 0,则禁用强制密码历史。对于大多数组织,应该将该值设置为 24 个密码。
    l密码最长使用期限确定在要求用户更改密码之前可以使用它的天数。该设置的值可以在 0 999 之间;如果将其设置为 0,密码将永不过期。如果将该值设置得太低,则可能会给用户带来不必要的麻烦;如果设置得过高或将其禁用,黑客就会有更充足的时间来破解密码。对于大多数组织,应该将该值设置为 42 天。
    l密码最短使用期限确定在用户可以更改新密码前必须将其保持的天数。该设置旨在与“强制密码历史”设置搭配使用,以使用户不能快速将密码重设所需的次数,然后改回其旧密码。该设置的值可以在 0 999 之间;如果将其设置为 0,则用户可以立即更改新密码。建议将该值设置为 2 天。
    l密码长度最小值确定密码的最少字符数。虽然 Windows 2000Windows XP 以及 Windows Server 2003 支持长达 28 个字符的密码,但是该设置的值只能在 0 14 之间。如果将该值设置为 0,则允许用户使用空白密码,因此不应将其设置为 0。建议您将该值设置为 8 个字符。
    l密码必须符合复杂性要求确定是否强制实施密码复杂性。如果启用该设置,用户密码应满足以下要求:
    n密码长度最少为 6 个字符。
    n密码至少包含以下五种字符中的三种:
    u大写英文字符 (A Z)
    u小写英文字符 (a z)
    u10 以内的阿拉伯数字 (0 9)
    u非字母数字字符(例如:!$# %
    uUnicode 字符
    n密码不能包含用户帐户名称中的三个或三个以上字符。
    n如果帐户名称长度少于三个字符,则不执行该检查,因为密码被拒绝率太高了。在检查用户全称时,将以下几个字符视为分隔符(将名称分隔为单独的标记):逗号、句号、破折号/连字符、下划线、空格、英镑标记和制表符。对于每个长度为三个或三个以上字符的标记,将在密码中搜索该标记;如果找到了,则拒绝更改密码。例如,名称“Erin M. Hagens”将分解为三个标记:“Erin”、“M”和“Hagens”。由于第二个标记长度仅为一个字符,所以将该标记忽略。因此,此用户不能在密码中包含“erin”或“hagens”作为子字符串。所有这些检查都不区分大小写。
    n在更改密码或创建新密码时,将强制实施这些复杂性要求。建议您启用该设置。
    l用可还原的加密来储存密码为以下应用程序提供支持:所使用的协议要求知道用于身份验证的用户密码。用可还原的加密来储存密码与存储纯文本密码版本基本相同。为此,除非应用程序要求的重要性超过保护密码信息需求,否则,切勿启用该策略。
    通过远程访问或 Internet 验证服务 (IAS) 来使用质询握手身份验证协议 (CHAP) 时,要求启用该策略。在 Internet 信息服务 (IIS) 中使用摘要式身份验证时,也要求启用该策略。
    存储密码策略信息 在实施密码策略之前,您需要了解密码策略配置信息的存储方式。这是因为,密码策略存储机制限制可以实施的各种密码策略的数量,并且影响应用密码策略设置的方式。
    每个帐户数据库只能有一个密码策略。可将 Active Directory 域视为一个帐户数据库,就如同独立计算机上的本地帐户数据库一样。作为域成员的计算机也拥有一个本地帐户数据库,但是大多数部署了 Active Directory 域的组织要求其用户使用基于域的帐户登录到其计算机和网络上。因此,如果您指定的最小域密码长度为 14 字符,域中的所有用户在创建新密码时,必须使用 14 个或 14 个以上字符的密码。要为一组特定用户设置不同的要求,您必须为其帐户创建新的域。
    Active Directory 域使用 GPO 来存储各种配置信息,其中包括密码策略设置。虽然 Active Directory 是一种可支持多种组织单位 (OU) 级别和多个 GPO 的分层式目录服务,但必须在域的根容器中定义域的密码策略设置。在为新的 Active Directory 域创建第一个域控制器时,就会自动创建两个 GPO:“Default Domain PolicyGPO 和“Default Domain Controller PolicyGPO。“Default Domain Policy”链接到根容器上。它包含一些全域性的重要设置,其中包括默认密码策略设置。“Default Domain Controller Policy”链接到“Domain ControllersOU 上,并且包含域控制器的初始安全设置。
    最佳做法是避免修改这些内置的 GPO。如果您需要应用不同于默认设置的密码策略设置,应创建一个新的 GPO,将其链接到该域的根容器或“Domain ControllersOU 上,并为其分配一个比内置 GPO 更高的优先级。如果将两个具有冲突设置的 GPO 链接到同一个容器上,优先级高的 GPO 优先。
    实施密码策略设置 本节通过在组织的计算机上实施密码策略设置来提供增强安全性的逐步式说明。
    要创建新的根域组策略对象,请按照以下步骤操作:
    1.单击“开始”按钮,选择“所有程序”,选择“管理工具”,然后单击“GPWalkThrough”。
    2. 在“GPWalkThroughMMC 控制台中,展开“Active Directory 用户和计算机”,右键单击“contoso.com”,单击“属性”,然后单击“组策略”选项卡。
    注意:Microsoft 建议您创建一个新的 GPO,而不是编辑内置 GPODefault Domain Policy”。通过这样做,您可以更容易地从严重的安全设置问题中恢复。如果新的安全设置出现问题,则可以暂时禁用新的 GPO,直至找出引起问题的设置。
    3. 单击“新建”,然后键入“Domain Password Policy”作为“GPO 名称”(如图 1 所示)。

    1. 创建根域 GPO
    4. 按“Enter”键。
    要强制实施“Domain Password PolicyGPO,请按照以下步骤操作:
    1. 在“contoso.com 属性”页上,单击以突出显示“Domain Password Policy”,然后单击“向上”按钮。
    2. 在“contoso.com 属性”页上,右键单击“Domain Password Policy”,然后单击“禁止替代”。“contoso.com 属性”页应该如图 2 所示。

    2. 设置 GPO 优先级
    要定义密码使用策略,请按照以下步骤操作:
    1. 在“contoso.com 属性”页上,双击“Domain Password Policy”。
    2. 在“组策略对象编辑器”的“计算机配置”下面,依次展开“Windows 设置”、“安全设置”和“帐户策略”,然后单击“密码策略”。
    3. 在详细信息窗格中,双击“强制密码历史”,选择“定义这个策略设置”复选框,将“保留密码历史”值设置为“24”,然后单击“确定”。
    4. 在详细信息窗格中,双击“密码最长使用期限”,选择“定义这个策略设置”复选框,将“密码过期时间”值设置为“42”,单击“确定”,然后单击“确定”接受“密码最长使用期限”的建议更改值。
    5. 在详细信息窗格中,双击“密码最短使用期限”,将“在以下天数后可以更改密码”值设置为 2,然后单击“确定”。
    6. 在详细信息窗格中,双击“密码长度最小值”,选择“定义这个策略设置”复选框,将“密码必须至少是”值设置为“8”,然后单击“确定”。
    7. 在详细信息窗格中,双击“密码必须符合复杂性要求”,选择“在模板中定义这个策略设置”复选框,选择“已启用”,然后单击“确定”。
    8. 在详细信息窗格中,双击“用可还原的加密来储存密码”,选择“在模板中定义这个策略设置”复选框,选择“已禁用”(默认),然后单击“确定”。设置应该如图 3 所示。

    3. 确认域密码策略
    若要求使用密码保护屏幕保护程序,请按照以下步骤操作:
    1. 在“组策略对象编辑器”中,折叠“计算机配置”,在“用户配置”下面,展开“管理模板”,展开“控制模板”,然后单击“显示”。
    2. 可选设置:在详细信息窗格中,双击“可执行的屏幕保护程序的名称”,选择“已启用”,键入“scrnsave.sc”作为“可执行的屏幕保护程序的名称”,然后单击“确定”。
    注意:定义可执行的屏幕保护程序的名称是出于性能考虑而在此定义的一项可选设置。在提供核心计算服务的 Windows Server 2003 中,如果启用屏幕保护程序,则可能会占用不必要的处理能力,因此限制了组织计算所需的可用资源。如果在服务器上部署屏幕保护程序,强烈建议您使用空白屏幕保护程序 (scrnsave.scr)。您可以考虑在“Domain Controllers”容器下面再创建一个 GPO 以定义“可执行的屏幕保护程序的名称”设置。
    3. 在详细信息窗格中,双击“密码保护屏幕保护程序”,选择“已启用”,键入“scrnsave.scr”作为“可执行的屏幕保护程序的名称”,然后单击“确定”。设置应该如图 4 所示。


    4. 确认域屏幕保护程序
    4. 在“组策略对象编辑器”中,单击“文件”,然后单击“退出”。在“contoso.com 属性”页中,单击“关闭”。单击“文件”,然后单击“退出”以关闭“Active Directory 用户和计算机”。如果出现提示,请单击“是”以保存“GPWalkThroughMMC
    要确认密码保护屏幕保护程序,请按照以下步骤操作:
    1. 单击“开始”按钮,单击“运行”,键入“gpupdate /force”,然后单击“确定”。
    注意:Gpupdate 刷新本地组策略设置和基于 Active Directory 的组策略设置,其中包括安全设置。force 选项忽略所有处理优化并重新应用所有设置。
    2. 右键单击“桌面”,单击“属性”,然后单击“屏幕保护程序”选项卡。屏幕保护程序名称应为“无”,并且选择了“在恢复时使用密码保护”复选框。这两项应灰显,如图 5 所示。
     

    5. 确认密码保护屏幕保护程序
    3. 单击“取消”。

     

    详细地址:http://www.mcse.org.cn/showtopic-432.html

     

    2007年7月17日 7:14

答案