系统安全的关键是账户策略的恰当设置,根据系统的不同(例如域控制器、工作站、成员服务器),账户策略也会有相应的变化。在Windows 2000域中,账户策略是通过域的组策略 设置和强制执行的。在其它GPO中对域账户策略进行的设置将会被忽略。而在工作站或者成员服务器上直接配置账户策略也只能影响到相应计算机的本地账户策略以及锁定策。如果想要在本机和和域中使用一致的密码策略和账户锁定策略,就需要在域控制器(通过域GPO)以及本机(通过本地安全策略)设置同样的安全策略。
要查看安全模板中关于账户策略的设置,在MMC中双击:
·安全模板
·默认的配置文件保存目录(%SystemRoot%\Security\Templates)
·特定的配置文件
·账户策略
注意:在对一个配置文件进行了任何修改之后,请记得保存修改,然后在正式使用之前一定要先测试好。
密码策略
在对账户策略对话框进行修改之前,复查你的网络中已有的密码策略,在账户策略中设置的内容应该跟已有的密码策略相符合。用户也应该阅读和签署协议表明他们承认组织的计算机策略。
建议包括的密码策略包括:
·用户绝不能把密码写在纸上
·密码要很难猜测,并且最好能包括大小写字母、特殊字符(标点符号以及扩展字符),最后还有数字。字典中的词语不能用作密码。
·用户不能使用电子通讯技术明文传输密码。
要使用安全模板组件修改密码策略设置,依次双击:
账户策略–密码策略 ,查看或者编辑当前设置
表1 列出了密码策略的建议设置,图2显示了MMC中的密码策略设置窗口
图2 密码策略设置窗口
|
密码策略选项 |
建议的设置 |
|
强制密码历史
阻止用户把少数几个密码轮流使用,因为这样做会密码被破解的可能。如果这个选项被设置为0,用户可以立刻使用一个之前用过的密码继续使用。这个选项可用的设置范围是0(不记录历史密码)到24(记录24个历史密码)。 |
24个密码 |
|
密码最长使用期限
用户可以一直使用一个密码而不更改的最长期限。可用的设置范围是0(密码永不过期)或者1到999(天后过期)。为了保证安全,最常使用期限可以设置为90天。 |
90天 |
|
密码最短使用期限
密码最短使用期限决定了一个用户在修改过密码后至少多长时间里不能再次修改。默认情况下,用户可以在任何时间修改他们的密码,因此,用户可以更换一个密码,然后立刻再更改回原来的老密码。这个选项可用的设置范围是0(密码随时可以修改)或者1到998(天)。 |
1天 |
|
密码长度最小值
空密码和太短的密码都很容易被专用破解软件猜测到,为减小密码破解的可能性,密码应该尽量长。这个选项可用的设置范围是0(不需要密码)或者1到14(个字符)。 注意:实际上,Windows 2000和XP支持长达127个字符的密码。长度超过14个字符的密码有一个很明显的优势,长密码的LanManager Hash值是无效的,因此这样的密码局不能被密码破解工具利用常规的方法破解。然而不幸的是安全模板的相关设置不允许使用长度超过14位的密码,同时,如果网络中有Windows 9x或者Windows NT 4.0以及更早期电脑的情况下,长度超过14位的密码在那些电脑的图形界面中就没有足够的空间以供输入。
注意:建议有特权的用户(例如Administrators组的用户)的密码长度都要超过12个字符。一个可选的用来加强密码长度的方法是使用不在默认字符集中的字符。举例来说,Unicode字符从0128到0159。这种做法有两个好处:(1)它们使得LanMan hash不可用,(2)常用的密码字典都不包含这些字符。然而使用这类字符作为密码也一定不能大意。某些Unicode字符例如0200 (è),看起来和其他字符很相似,就像0069 (E)。要输入这样的字符,可以在按下Alt键的同时在数字小键盘上输入代表该字符的数字。对于笔记本用户,可以同时按下Fn和Alt键,然后输入数字。 |
12个字符 |
|
密码必须符合复杂性要求
强制对所有用户使用强密码,更强的密码提供了更高等级的安全。密码必须同时包含以下3到4种元素:大写字母、小写字母、数字,还有特殊字符(例如标点符号),同时,密码还不能跟用户的用户名相同。这个策略将会在用户下次更改密码的时候生效,已有的密码是不受这个策略影响的。
注意:NSA提供了一个增强密码复杂性的插件ENPASFLT.DLL,该文件就可以用在这个选项中。ENPASFLT.DLL仅供美国政府机构使用,这个密码插件可以强制用户使用最短8位的密码,并且要包含所有以上的四类字符。除此之外,使用用户的登录名或者用户全名作为密码也是不允许的。安装信息可以参阅ENPASFLT的相关文件。如果使用ENPASFLT取代这个选项,你应该把这个选项设置为“禁用”以避免互相影响。
注意:如果要获得更多关于自定义密码插件的信息,请参阅微软知识库文章Q151082 “HOWTO: Password Change Filtering and Notification in Windows NT”。 |
启用 |
|
用可还原的加密来存储密码
用来决定是否使用双向Hash(two-way hash)保存用户的密码。这个选项是为某些应用程序提供密码信息而准备的。然而,使用可还原的加密存储密码那和把密码明文保存一样,是应该严格禁止的。 |
禁用 |
表1 密码策略选项