如何配置密码策略 - 概述和指南

简介: Active Directory(AD)默认密码策略是确保用户账户安全的重要组成部分,涵盖密码长度、复杂性、历史记录及有效期等关键设置。通过组策略或PowerShell可调整这些策略,以满足企业安全需求。然而,高强度密码策略可能影响用户体验,且面对日益复杂的攻击手段,传统策略已显不足。ADSelfService Plus作为一款企业级AD域密码管理工具,提供密码自助重置、锁定账户解锁、密码黑名单及状态报告等功能,在提升安全性的同时优化用户体验,为企业AD域管理带来高效解决方案。

密码策略可确保用户密码强度高且定期更改,从而使攻击者几乎不可能破解密码。为确保AD域中用户帐户的高度安全性,管理员必须配置和实施域密码策略。密码策略应提供足够的复杂性、密码长度以及更改用户和服务账户密码的频率。因此可以使攻击者更难以暴力破解或捕获用户密码。

647960248bf3881b9daa9f604c7727b2.png

Active Directory

一、什么是 Active Directory 默认密码策略

默认情况下,Active Directory 配置有默认域密码策略。此策略定义 AD域用户帐户的密码要求,例如密码长度、年龄等。

二、如何编辑 AD 密码策略

密码策略由组策略配置并链接到域的根目录。您可以使用以下两种方式之一查看默认密码策略。

使用GPMC

使用 PowerShell 脚本

使用 GPMC

转到开始菜单→管理工具→组策略管理。

在控制台中,打开 Forest,然后打开 Domains。选择必须为其设置帐户策略地域。

双击域以显示链接到该域的GPO。

右键单击默认域策略并选择编辑。组策略编辑器控制台将打开。

现在,导航到计算机配置→策略→ Windows 设置→安全设置→帐户策略→密码策略。

双击密码策略则可以显示AD中可用的六个密码设置。右键单击这些设置中的任何一项,然后选择“属性”以定义策略设置

每个策略设置的“属性”对话框都有两个选项卡。安全策略设置选项是设置该值的位置。解释选项提供策略设置及其默认值的简要说明。

在安全策略设置选项卡中,选中定义此策略设置复选框并输入所需的值。单击应用,然后单击确定。

组策略管理编辑器显示 Active Directory 中的默认域策略。

使用 PowerShell 脚本

您还可以使用此命令通过 Powershell 查看默认密码策略。

获取

ADDefaultDomainPasswordPolicy

三、了解密码策略设置

到目前为止,我们已经了解了如何查看和更改策略。但您必须了解这些默认设置的含义,以便进行必要的更改。因此,让我们来看看每个设置。

强制密码历史

此设置确定在重新使用旧密码之前必须设置的新密码的数量。它确保用户不会连续使用旧密码,这将使最小密码年龄策略设置无用。该值可以设置在 0 到 24 之间。域控制器上的默认值为24,独立服务器上的默认值为0。

例如,如果 Enforce Password History 值设置为 10,则用户必须在密码过期时设置10个不同的密码,然后才能将密码设置为旧值。

如果该值设置为 0,则不会记住密码历史记录,并且用户可以在密码过期时重新使用他们的旧密码。

最大密码年龄

此设置确定密码可以使用的最大天数。一旦密码最长使用期限到期,用户必须更改其密码。它确保用户不会永远使用一个密码。该值可以设置在 0 到 999 天之间。默认值为 42。

例如,如果“密码最长使用期限”值设置为 60,则用户必须每 60 天更改一次密码。

如果该值设置为 0,则密码永不过期,并且用户无需更改他/她的密码。

最低密码年龄

此设置确定密码在更改之前必须使用的最少天数。只有当密码最短使用期限到期时,才允许用户更改他们的密码。它确保用户不会过于频繁地更改密码。该值可以设置在 0 到 999 天之间。域控制器的默认值为 1,独立服务器的默认值为 0。

例如,如果最小密码期限设置为 10,则用户在最后一次密码更改后的 10 天内不能更改他/她的密码。

此设置用于确保强制密码历史设置的有效性。如果最小密码年龄设置为 0,则用户可以每 2 分钟左右更改一次密码,直到达到强制密码历史设置的值,然后重新使用他/她最喜欢的旧密码。通过将最小密码年龄设置为某个值,用户无法频繁更改他/她的密码以使强制密码历史设置无效。

最短密码使用期限的值应始终小于最长密码使用期限。

最小密码长度

此设置确定密码应包含的最少字符数。该值可以设置在 0 到 14 之间。域控制器上的默认值为 7,独立服务器上的默认值为 0。

例如,如果最小密码长度设置为 6,则密码必须至少包含 6 个字符。

如果设置为 0,则不需要密码。

四、密码必须满足复杂性要求

此设置确定密码是否必须满足指定的复杂性要求。如果启用此设置,密码必须满足以下要求。

不包含超过两个连续字符的用户帐户名或用户全名的一部分

密码长度至少为六个字符。

密码包含来自以下四类中的至少三类的字符:

英文大写字符 (A – Z)

英文小写字符 (a – z)

以 10 位为基数 (0 – 9)

非字母数字(例如:$、# 或 %)

默认情况下,此设置在域控制器上启用,在独立服务器上禁用。

五、使用可逆加密存储密码

此安全设置确定密码是否使用可逆加密存储。如果使用可逆加密存储密码,则解密密码变得更容易。此设置在某些情况下很有用,其中应用程序或服务需要用户的用户名和密码才能执行某些功能。仅在必要时才应启用此设置。默认情况下,此设置被禁用。

虽然微软为AD域用户提供了较为完善的密码策略,但随着近年来各类攻击形式的不断升级,破解企业AD域用户密码已经不是什么难事。并且高强度的密码策略对用户的使用体验也会大幅度降低,因此更加合理的解决AD域弱密码问题成了企业的重点问题。

ADSP.png

ADSelfService Plus

ADSelfService Plus是一款企业级AD域密码自助管理工具,它能实现企业内部员工自助重置、修改密码,还能对已锁定账户进行解锁。整个流程完全自助,却不影响用户密码的安全性同时提供密码黑名单功能,可以将常见的、易破解的密码样式加入黑名单,减少密码被攻击的可能性。而且它还能生成密码状态报告,让管理员能清晰的了解每一次密码修改情况,确保企业网络安全。对密码即将过期的用户进行及时通知,使其在密码过期之前及时修改。

密码在我们的工作中无处不在,合理高效的利用密码能确保我们的工作正常开展ADSelfService Plus作为一款AD域自助密码管理工具,正在给越来越多企业的AD域管理带来福利。

目录
打赏
0
6
6
1
90
分享
相关文章
nacos常见问题之通过helm方式部署设置开启授权认证功能如何解决
Nacos是阿里云开源的服务发现和配置管理平台,用于构建动态微服务应用架构;本汇总针对Nacos在实际应用中用户常遇到的问题进行了归纳和解答,旨在帮助开发者和运维人员高效解决使用Nacos时的各类疑难杂症。
785 0
DataWorks常见问题之鉴权数据库设置失败如何解决
DataWorks是阿里云提供的一站式大数据开发与管理平台,支持数据集成、数据开发、数据治理等功能;在本汇总中,我们梳理了DataWorks产品在使用过程中经常遇到的问题及解答,以助用户在数据处理和分析工作中提高效率,降低难度。
InfluxData【部署 03】时序数据库 InfluxDB 离线安装配置使用(下载+安装+端口绑定+管理员用户创建+开启密码认证+开机自启配置)完整流程实例分享
InfluxData【部署 03】时序数据库 InfluxDB 离线安装配置使用(下载+安装+端口绑定+管理员用户创建+开启密码认证+开机自启配置)完整流程实例分享
663 0
为Druid监控配置访问权限(配置访问监控信息的用户与密码)
Druid是一个强大的新兴数据库连接池,兼容DBCP,是阿里巴巴做的开源项目. 不仅提供了强悍的数据源实现,还内置了一个比较靠谱的监控组件。  GitHub项目主页: https://github.
2566 0
如何创建一个网站?
网站建设是指创建和开发一个网站的过程,它涵盖了从规划、设计到实施、发布以及维护网站的整个过程。
351 3
如何创建一个自己的网站(适合零基础的用户)
网站制作流程中的每个阶段都至关重要,它们共同构建了一个功能完善、用户友好的网站。在前期准备阶段,团队已经对网站的类型和功能进行了深入的分析和规划,这为后续的网页设计和程序编码奠定了坚实的基础。
2004 1
|
7月前
Proxifier是什么?如何配置使用?
【10月更文挑战第3天】Proxifier是什么?如何配置使用?
1923 1
PolarDB产品使用问题之如何配置白名单以实现远程访问
PolarDB产品使用合集涵盖了从创建与管理、数据管理、性能优化与诊断、安全与合规到生态与集成、运维与支持等全方位的功能和服务,旨在帮助企业轻松构建高可用、高性能且易于管理的数据库环境,满足不同业务场景的需求。用户可以通过阿里云控制台、API、SDK等方式便捷地使用这些功能,实现数据库的高效运维与持续优化。
DataWorks操作报错合集之在查找支持实例错误的时候提示:无法承担用户的角色,请检查RAM角色配置,该怎么办
DataWorks是阿里云提供的一站式大数据开发与治理平台,支持数据集成、数据开发、数据服务、数据质量管理、数据安全管理等全流程数据处理。在使用DataWorks过程中,可能会遇到各种操作报错。以下是一些常见的报错情况及其可能的原因和解决方法。