一、什么是默认域密码策略?
Active Directory 域带有“默认域密码策略”,它有助于通过密码强化来提高安全性。该策略旨在强制密码具有足够的复杂性,比平时更长,并在一段时间后过期。此策略与“锁定策略”等其他策略配合得很好,它通过限制允许的错误登录次数来防止暴力攻击。
如何进行Active Directory密码策略设置?
您可以配置六种不同的密码策略。
1.强制密码历史
“强制密码历史”指定存储在 Active Directory 中的以前密码的数量。
该设置通过防止用户过于频繁地重复使用旧密码来强制用户创建唯一的新密码。
此设置的默认值为 24,这意味着用户只有在使用了 24 个新密码后才能使用当前密码。
2.最大密码年龄
“最长密码使用期限”定义了密码在需要更新之前可以使用的天数。
它给出了密码,一个有效期。
一旦密码达到其最长密码使用期限,系统将要求更改密码。
3.最低密码年龄
“最低密码使用期限”确定在用户需要更改密码之前应该使用密码的天数。
此设置通过拒绝用户过于频繁和快速地更改密码以恢复旧密码来帮助“强制密码历史记录”。
最好配置此值,但将其保持在最低限度,以防密码泄露。默认值为一天。
4.最小密码长度
最小密码长度确定密码中的字符数。
此设置的默认值为 7,这意味着所有密码都必须至少包含 7 个字符。
当心!如果将此策略设置为零值,则甚至不需要密码。
5.密码必须满足复杂性要求
您只能启用或禁用此设置。
当您启用它时,您将要求用户根据某些准则创建复杂的密码。默认情况下启用此设置。
要求是:
用户不能在密码的任何地方使用帐户名或用户名。名称中不允许连续使用两个字符。
用户必须包含三种不同类型的字符,包括任意数字 (0–9)、大写和小写字母以及非字母字符(@、$、&、#)。
密码长度必须至少为六个字符。
6.使用可逆加密存储密码
Active Directory 对密码进行加密并将其存储在数据库中。
通常,加密的密码不能反转为“纯文本”。但在某些情况下,用户需要在某些应用程序中使用他们的密码才能访问域。
该应用很可能无法解密密码,因此您需要启用可逆加密。
除非应用程序有特殊需要,否则不建议启用此设置。如果您需要启用它,请在每个用户的基础上进行。
二、密码策略设置建议
设置密码策略取决于您正在运行的组织和应用程序的类型。
您的设置还可以遵循合规性法规的要求,例如 PCI-DSS、HIPAA、SOX、NIST 等。
一个很好的起点是来自 Active Directory 开发人员 Microsoft 的相同建议。
以下是Microsoft 威胁防护最佳实践推荐的密码策略设置。
1、强制密码历史记录:
其设置为最大值,即 24。不惜一切代价避免密码重复使用。
2、密码最长使用期限:
设置在 60 到 90 天之间。Microsoft 建议在主要业务周期之间使密码过期。
3、密码最短使用期限:
将此值设置为 1 天。Microsoft 建议不要将此设置为 0,因为它允许立即更改密码。用户可以在同一天更改密码 24 次,并恢复为旧密码。
4、最小密码长度:
Microsoft 建议将此值设置为至少 8。8 是保持密码复杂的好数字,同时也不要太长以免用户忘记它。
5、密码必须满足复杂性:
将其设置为启用。此设置与所需的最少八个字符相结合,将保证密码无法猜测。
6、使用可逆加密存储密码:
设置为禁用。仅当您通过远程访问使用 CHAP 等身份验证服务时才启用它。
上是关于设置AD域密码策略的一些建议,但随着密码攻击的日益猖獗,人工很难完成较为完善的密码策略,所以很多企业现在都开始利用工具来增加企业AD域的密码强度。
三、AD域密码自助管理工具ADSelfSeciver Plus
ADSelfSeciver Plus是一款AD域密码管理工具。其最大的特点就是在密码安全方面给出了多种策略。强制用户执行密码策略,通过较强的密码策略抑制外部攻击,进而保护用户信息安全。在密码策略的强制下用户必须在一段时间内对密码进行修改,如果规定时间内没有修改则会导致密码过期,用户无法登录。在传统的密码管理方式中,AD域密码修改需要通过IT管理员来执行,当更改密码的人数越来越多就会对IT管理员的正常工作带来影响,所以对密码的自助管理非常必要。
————————————————
转载声明:本文转自卓豪中国官网ADSelfSeciver Plus资讯文章。
原文链接:
www.manageengine.cn/products/se…
