在网络管理工作中,由于密码泄露而导致的安全性问题比较突出,黑客在攻击网络系统时也把破解管理员密码作为一个主要的攻击目标。下面我们通过组策略里的“账户策略”设置,来提高账户密码的安全级别。
账户策略主要分为两个部分:密码策略和账户锁定策略。
1. 密码策略
密码策略的设置项目如下图所示。
对设置项目的说明:
密码必须符合复杂性要求。复杂性要求是指用户账户使用的密码长度至少为6位(最多127位),且必须是大写字母、小写字母、数字与符号4种字符中的任意3种以上的组合。启用此策略后,系统中所有用户账户使用的密码都必须要符合复杂性要求。
密码长度最小值。该设置用于确定用户密码的最少位数,设置范围0~14。注意,如果同时启用了密码复杂性要求,并设置了密码长度最小值,则以其中最严格的要求为准。比如启用密码复杂性要求之后,又将密码长度最小值设为8,那么系统中所有用户的密码最小长度必须为8位。
密码最长使用期限。指密码使用的最长时间,单位为天。设置范围0~999,默认设置为42天,到期之后,系统会提示用户更改密码。如果设置为0天,则代表密码永不过期。
密码最短使用期限。指应用密码后,到再一次更改密码的最短时间,单位为天。设置范围0~998,默认值为0,表示可以随时更改密码。注意,密码最短使用期限必须小于密码最长使用期限,除非密码最长使用期限设置为0(表明密码永不过期),那么密码最短使用期限可以设置为0到998天之间的任意值。
强制密码历史。指多少个最近使用过的密码不允许再使用,设置范围在0~24之间。比如将强制密码历史设置为3,那么在为用户设置密码时就不能使用之前3次曾使用过的密码。该项设置的默认值为0,代表可以随意使用过去曾用过的密码。
用可还原的加密来存储密码。此策略一般不必启用。
下面是为用户设置安全密码推荐的操作:
密码长度最小7个字符,而且包括大小写字母、数字及特殊符号。
密码中不要包括用户的账户名、姓名或公司以及部门的名称。
密码不使用完整的单词或词组,但可以是一些不规则的组合。
定期更换密码。
与过去使用的密码尽量不同。
2. 账户锁定策略
账户锁定策略是指当用户输入错误密码的次数达到一个设定值时,就将此账户锁定。锁定的账户不能再登录,只有等超过指定时间自动解除锁定或由管理员手动解除锁定。注意,账户锁定策略对管理员账户administrator无效。
账户锁定策略包括下面3个设置
账户锁定阈值。指用户输入几次错误的密码后,将用户账户锁定。设置范围0~999之间,默认值为0,代表不锁定账户。
账户锁定时间。指用户账户被锁定后,多少分钟后自动解锁。设置范围0分钟~99999分钟,0代表必须有管理员手动解锁。
复位账户锁定计数器。指用户由于输入密码错误开始计数时,计数器保持的时间,当时间过后,计数器将复位为0。比如将锁定阈值设置为3,将锁定计数器设置为30分钟,则用户如果在30分钟之内连续输入3次错误的密码,就会将该账户锁定。但是如果用户输入3次错误密码之间的间隔时间超过了30分钟,则锁定计数器将复位,账户不会锁定。注意,锁定计数器的复位时间必须小于或等于账户锁定时间。
