本文详述了Windows操作系统的密码策略,特别是Windows Server 2008 R2及以后版本中的精细密码策略。该策略允许组织为不同用户集定义不同的密码和帐户锁定规则,增强安全性。通过使用全局安全组和卷影组,可以针对特定组织单元(OU)应用这些策略。内容涵盖密码复杂性、生存期、最小长度等策略设置,以及如何通过组策略管理控制台进行配置。此外,还强调了定期更改强密码的重要性,以降低密码攻击风险。
密码策略
04/19/2017
本文内容
适用范围
Windows 10
有关策略的密码策略Windows以及指向每个策略设置的信息的链接。
在许多操作系统中,对用户身份进行身份验证的最常见方法是使用密码密码。 安全网络环境要求所有用户使用强密码,这些密码至少包含八个字符,并包含字母、数字和符号的组合。 这些密码有助于防止未经授权的用户使用手动方法或自动化工具猜测弱密码泄露用户帐户和管理帐户。 定期更改的强密码可降低成功密码攻击的可能性。
Windows Server 2008 R2 和 Windows Server 2008 中引入,Windows支持精细密码策略。 此功能为组织提供了一种为域中的不同用户集定义不同密码和帐户锁定策略的方法。 如果使用用户对象或 inetOrgPerson (,则细粒度密码策略仅适用于这些用户对象,而不是) 全局安全组的用户对象。 有关详细信息,请参阅 AD DS Fine-Grained密码和帐户锁定策略分步指南。
若要将精细密码策略应用于 OU 的用户,可以使用卷影组。 卷影组是在逻辑上映射到 OU 以强制实施精细密码策略的全局安全组。 将 OU 的用户添加为新创建的卷影组的成员,然后将细粒度密码策略应用于此卷影组。 你可根据需要为其他 US 创建其他卷影组。 如果将用户从一个 OU 移动到另一个 OU,则必须更新相应卷影组的成员身份。
除了帐户锁定设置之外,细粒度密码策略还包括可在默认域策略 (除 Kerberos 设置) 之外的所有设置的属性。 指定精细密码策略时,必须指定所有这些设置。 默认情况下,只有 Domain Admins 组的成员才能设置精细的密码策略。 但是,您还可以将设置这些策略的能力委派给其他用户。 域必须至少在 Windows Server 2008 R2 或 Windows Server 2008 上运行,才能使用精细密码策略。 无法将细粒度密码策略应用于直接使用 OU () 单位。
可以通过适当的密码策略强制使用强密码。 有一些控制密码复杂性和生存期的密码策略设置,例如"密码 必须满足复杂性要求" 策略设置。
可以使用组策略管理控制台在下列位置配置密码策略设置:
计算机配置\Windows 设置\安全设置\帐户策略\密码策略
此组策略在域级别应用。 如果各个组需要不同的密码策略,请考虑使用精细的密码策略,如上所述。
以下主题讨论密码策略实施和最佳做法注意事项、策略位置、服务器类型或 GPO 的默认值、操作系统版本的相关差异、安全注意事项 (包括每个设置) 的可能漏洞、您可以采取的对策以及每个设置的潜在影响。
本部分内容
主题
说明
介绍强制实施密码历史记录安全策略设置的最佳方案、位置、值、策略管理和安全注意事项。 ****
介绍"最长密码使用时间"安全策略设置的最佳方案、位置、值、策略管理和安全**** 注意事项。
介绍"最小密码使用时间"安全策略设置的最佳方案、位置、值、策略管理和安全**** 注意事项。
介绍"最小密码长度"安全策略设置的最佳方案、位置、值、策略 管理和安全注意事项 。
介绍"密码必须满足复杂性要求"安全策略设置的最佳方案、 位置、值 和安全注意事项。
介绍使用可逆加密安全策略设置存储密码的最佳实践、位置、值和安全**** 注意事项。
相关主题
扫一扫
2416
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
