為了讓用戶賬戶密碼更加的安全、不容易被他人破解,用戶可以在“本地安全設置”→“密碼策略”中加強密碼的安全性,設置完成后用戶可以輸入復雜性的密碼。
第一步,單擊“開始”菜單,打開“運行”輸入“secpol.msc”再點擊“確定”
第二步,依次展開“帳戶策略”→“密碼策略”將紅框中的“策略”。
第三步,將“密碼必須符合復雜性要求”改為“已啟用”再按“確定”。(密碼可以包含大小寫字母、數字、特殊符號以及滿足密碼長度)
第四步,接着雙擊打開“密碼長度最小值屬性”改成8個字符,在單擊“確定”。(可將密碼設為8位數)
第四步,把“密碼最短存留期屬性”改為45天,按“確定”即可。(改密碼后需要等待45天才能再次改)
第五步,將“強制密碼歷史屬性”改為10個記住的密碼。(用戶設置密碼時不能與以前設置的10個密碼相同)
強制密碼歷史
許多用戶希望在較長的時間段內為其帳戶重復使用相同的密碼。為特定帳戶使用相同密碼的時間越長,攻擊者通過暴力攻擊確定密碼的幾率就越大。如果要求用戶更改其密碼,但他們可以重復使用舊密碼,則將大大降低優良密碼的有效性。
可能值
用戶指定的數字介於 0 到 24 之間 未定義
最佳做法
將“強制密碼歷史”設置為 24。這將有助於緩解由於密碼重復使用導致的漏洞。 設置密碼最長使用期限,以使密碼的到期日期介於 60 天到 90 天之間。嘗試使密碼在重要業務周期之間到期以防止工作損失。 配置密碼最短使用期限,以便不允許你立即更改密碼。
安全注意事項
本部分介紹攻擊者可能如何利用某個功能或其配置、如何實現對策以及對策實現可能造成的負面后果。
漏洞
用戶使用相同密碼的時間越長,攻擊者通過暴力攻擊確定密碼的幾率就越大。此外,只要密碼保持不變,任何可能受到威脅的帳戶將保持可以利用的狀態。如果要求更改密碼但不阻止密碼重復使用,或如果用戶持續重復使用少量密碼,將大大降低良好密碼策略的有效性。
如果你為此策略設置指定較小的數字,則用戶可以重復使用相同的少量密碼。如果你還未配置密碼最短使用期限策略設置,則用戶可能重復更改其密碼,直到他們可以重復使用其原密碼。
注意
在帳戶受到威脅后,簡單的密碼重置可能不足以限制惡意用戶,因為惡意用戶可能已修改用戶的環境,以便在特定時間將密碼自動更改回已知的值。如果帳戶受到威脅,最好刪除該帳戶,並在所有受影響的系統恢復正常運作並驗證已不再受到威脅后向用戶分配新帳戶。
對策
將“強制密碼歷史”策略設置配置為 24(最大設置)來幫助最大程序地減少由於密碼重復使用所導致的漏洞數量。
若要使此策略設置生效,你還應該為密碼最短使用期限和密碼最長使用期限策略設置配置有效值。
密碼最長使用期限
參考
“密碼最長使用期限”策略設置確定在系統要求用戶更改密碼之前可以使用該密碼的時段(以天為單位)。你可以將密碼的過期天數設置為 1 到 999,或者通過將該天數設置為 0 來指定密碼永遠不會過期。如果“密碼最長使用期限”天數為 1 到 999,則密碼最短使用期限必須小於密碼最長使用期限。當“密碼最長使用期限”設置為 0 時,“密碼最短使用期限”天數可以是介於 0 和 998 之間的任意值。
注意
將“密碼最長使用期限”設置為 -1 等同於 0,這意味着密碼永遠不會過期。將它設置為任何其他負數等同於將其設置為“未定義”。
可能值
用戶指定的天數介於 0 到 999 之間 未定義
最佳做法
將“密碼最長使用期限”天數設置為 30 到 90 之間的值,具體取決於你的環境。這樣,攻擊者用於破解用戶密碼並有權訪問你的網絡資源的時間量將非常有限。
安全注意事項
本部分介紹攻擊者可能如何利用某個功能或其配置、如何實現對策以及對策實現可能造成的負面后果。
漏洞
密碼存在的時間越長,它受到以下威脅的可能性越高:暴力攻擊、獲得有關用戶的一般知識的攻擊者或共享密碼的用戶。主要風險是將“密碼最長使用期限”策略設置配置為 0,以便用戶永遠不需要更改其密碼,因為只要向有效用戶授予訪問權限,惡意用戶就可以使用受到威脅的密碼。
對策
將“密碼最長使用期限”策略設置配置為適合你的組織的業務要求的值。
潛在影響
如果“密碼最長使用期限”策略設置過低,將頻繁要求用戶更改其密碼。此類配置會降低組織的安全性,因為用戶可能將其密碼保存在不安全的位置或丟失它們。如果此策略設置的值過高,將降低組織內部的安全級別,因為它會使潛在攻擊者有更多時間來發現用戶密碼或使用受到威脅的帳戶。
密碼最短使用期限
參考
“密碼最短使用期限”策略設置確定在系統要求用戶更改密碼之前可以使用該密碼的時段(以天為單位)。你可以將密碼的過期天數設置為 1 到 999,或者通過將該天數設置為 0 來指定密碼永遠不會過期。如果“密碼最長使用期限”天數為 1 到 999,則密碼最短使用期限必須小於密碼最長使用期限。當“密碼最長使用期限”設置為 0 時,“密碼最短使用期限”天數可以是介於 0 和 998 之間的任意值。
可能值
用戶指定的天數介於 0 到 998 之間 未定義
最佳做法
將“密碼最短使用期限”設置為 2 天的值。通過將天數設置為 0,可立即更改密碼(不建議)。
如果你為用戶設置密碼,並希望該用戶更改管理員定義的密碼,必須選中“用戶下次登錄時須更改密碼”復選框。否則,用戶將不能更改密碼,直到“密碼最短使用期限”指定的天數到期。
安全注意事項
本部分介紹攻擊者可能如何利用某個功能或其配置、如何實現對策以及對策實現可能造成的負面后果。
漏洞
用戶可能有他們喜歡使用的偏愛密碼,因為這些密碼容易記住,並且他們相信自己選擇的密碼是安全的且不會泄露。遺憾的是,密碼會遭泄露,並且當獲知用戶數據的攻擊者針對特定的單個用戶帳戶時,重復使用舊密碼可能導致安全漏洞。
若要解決密碼重復使用,必須使用安全設置組合。將此策略設置與“強制密碼歷史”策略設置結合使用可防止輕松重復使用舊密碼。例如,當你配置“強制密碼歷史”策略設置以確保用戶無法重復使用其最后使用的任何 12 個密碼,但未將“密碼最短使用期限”策略設置配置為大於 0 的數時,用戶可在幾分鍾內更改其密碼 13 次,然后重復使用其原密碼。若要使“強制密碼歷史”策略設置生效,必須將此策略設置配置為大於 0 的數。
對策
將“密碼最短使用期限”策略設置配置為至少 2 天的值。用戶應當了解此限制;如果需要在兩天期限內更改其密碼,請聯系支持人員。如果將天數配置為 0,將允許立即更改密碼(不建議)。
潛在影響
如果你為用戶設置密碼,但希望該用戶在首次登錄后更改該密碼,管理員必須選中“用戶下次登錄時須更改密碼”復選框,否則用戶直到第二天才可更改密碼。
最短密碼長度
參考
“最短密碼長度”策略設置確定可以組成用戶帳戶密碼的最少字符數。可以設置 1 到 14 個字符之間的值,或者可以通過將字符數設置為 0 來指示不需要使用密碼。
可能值
用戶指定的字符數介於 0 到 14 之間 未定義
最佳做法
將最短密碼長度設置為至少為 8 的值。如果字符數設置為 0,則不需要使用密碼。在大多數環境中,建議使用 8 個字符的密碼;因為其長度足以提供適當的安全性並且其長度仍短到可供用戶輕松記住。此值將幫助針對暴力攻擊提供適當防御。添加復雜性要求將有助於減少字典攻擊的可能性。有關詳細信息,請參閱密碼必須符合復雜性要求。
允許使用短密碼會降低安全性,因為使用針對密碼執行字典攻擊或暴力攻擊的工具就可以很容易地破解短密碼。要求使用非常長的密碼可能導致密碼錯誤輸入,這可能導致帳戶鎖定,隨后將增加技術人員的呼叫量。
此外,要求使用極長的密碼實際上會降低組織的安全性,因為用戶可能更傾向於寫下其密碼以免忘記它們。但是,如果教導用戶使用密碼短語(如“我想要喝 5 美元的奶昔“句子),應當更容易記住它們。
安全注意事項
本部分介紹攻擊者可能如何利用某個功能或其配置、如何實現對策以及對策實現可能造成的負面后果。
漏洞
密碼攻擊類型包括字典攻擊(嘗試使用常見字詞和短語)和暴力攻擊(嘗試字符的每一種可能組合)。此外,攻擊者有時會嘗試獲取帳戶數據庫,以便他們可以使用工具來發現帳戶和密碼。
對策
將 策略設置配置為 8 或更大的值。如果字符數設置為 0,則無需使用密碼。
在大多數環境中,我們建議使用 8 個字符的密碼;因為其長度足以提供適當的安全性,但對於用戶輕松記住密碼並不會太難。此配置針對暴力攻擊提供適當防御。使用密碼必須符合復雜性要求策略設置以及“最短密碼長度”設置有助於減少字典攻擊的可能性。
注意
某些地區已針對作為建立安全法規組成部分的密碼長度建立了法律要求。
潛在影響
要求使用極長的密碼實際上會降低組織的安全性,因為用戶可能會將該信息存放在不安全位置或將其丟失。如果要求使用非常長的密碼,密碼錯誤輸入可能導致帳戶鎖定,並會增加技術人員的呼叫量。如果你的組織存在因密碼長度要求而忘記密碼的問題,請考慮教導你的用戶使用密碼短語,密碼短語通常更容易記住,並且因較大的字符數組合使其難以被發現。
密碼必須符合復雜性要求
參考
“密碼必須符合復雜性要求”策略設置確定密碼是否必須符合對強密碼至關重要的一系列指南。啟用此策略設置要求密碼滿足以下要求:
1.密碼不應包含用戶的 samAccountName(帳戶名)值或整個 displayName(全名值)。兩個復選框均不區分大小寫。
2.密碼包含以下類別中的三種字符:
歐洲語言的大寫字母(A 到 Z、標有音調、希臘語和西里爾文字符) 歐洲語言的小寫字母(a 到 z、高音 s、標有音調、希臘語和西里爾文字符) 10 個基本數字(0 到 9) 非字母數字字符(特殊字符)(例如 !、$、#、%) 歸類為字母字符但既不是大寫也不是小寫的任何 Unicode 字符。這包括亞洲語言的 Unicode 字符。
更改或創建密碼時要強制執行復雜性要求。
可能值
啟用
禁用
未定義
最佳做法
將“密碼必須符合復雜性要求”設置為“啟用”。此策略設置結合 8 位的最短密碼長度可確保一個密碼具有至少 218340105584896 種不同的可能性。
這使得進行暴力攻擊變得困難,但仍非不可能。
僅包含字母數字字符的密碼很容易通過公共可用的工具遭到泄露。為避免此問題,密碼應包含其他字符,並滿足復雜性要求。
安全注意事項
本部分介紹攻擊者可能如何利用某個功能或其配置、如何實現對策以及對策實現可能造成的負面后果。
漏洞
僅包含字母數字字符的密碼非常容易通過若干種公共可用的工具遭到泄露。
對策
將“密碼必須滿足復雜性要求”策略設置配置為“啟用”,並建議用戶在其密碼中使用各種字符。
在與 8 位的“最短密碼長度”結合使用時,此策略設置可確保一個密碼的不同組合數量非常大,以至於暴力攻擊難以成功(但並非不可能)。(如果增加了“最短密碼長度”策略設置,攻擊成功所需的平均時間也會增加。)
參考:
https://jingyan.baidu.com/article/77b8dc7f227b466174eab624.html
https://msdn.microsoft.com/zh-cn/library/hh994572(v=ws.11).aspx