为了让用户账户密码更加的安全、不容易被他人破解,用户可以在“本地安全设置”→“密码策略”中加强密码的安全性,设置完成后用户可以输入复杂性的密码。
第一步,单击“开始”菜单,打开“运行”输入“secpol.msc”再点击“确定”
第二步,依次展开“帐户策略”→“密码策略”将红框中的“策略”。
第三步,将“密码必须符合复杂性要求”改为“已启用”再按“确定”。(密码可以包含大小写字母、数字、特殊符号以及满足密码长度)
第四步,接着双击打开“密码长度最小值属性”改成8个字符,在单击“确定”。(可将密码设为8位数)
第四步,把“密码最短存留期属性”改为45天,按“确定”即可。(改密码后需要等待45天才能再次改)
第五步,将“强制密码历史属性”改为10个记住的密码。(用户设置密码时不能与以前设置的10个密码相同)
强制密码历史
许多用户希望在较长的时间段内为其帐户重复使用相同的密码。为特定帐户使用相同密码的时间越长,攻击者通过暴力攻击确定密码的几率就越大。如果要求用户更改其密码,但他们可以重复使用旧密码,则将大大降低优良密码的有效性。
可能值
用户指定的数字介于 0 到 24 之间 未定义
最佳做法
将“强制密码历史”设置为 24。这将有助于缓解由于密码重复使用导致的漏洞。 设置密码最长使用期限,以使密码的到期日期介于 60 天到 90 天之间。尝试使密码在重要业务周期之间到期以防止工作损失。 配置密码最短使用期限,以便不允许你立即更改密码。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
用户使用相同密码的时间越长,攻击者通过暴力攻击确定密码的几率就越大。此外,只要密码保持不变,任何可能受到威胁的帐户将保持可以利用的状态。如果要求更改密码但不阻止密码重复使用,或如果用户持续重复使用少量密码,将大大降低良好密码策略的有效性。
如果你为此策略设置指定较小的数字,则用户可以重复使用相同的少量密码。如果你还未配置密码最短使用期限策略设置,则用户可能重复更改其密码,直到他们可以重复使用其原密码。
注意
在帐户受到威胁后,简单的密码重置可能不足以限制恶意用户,因为恶意用户可能已修改用户的环境,以便在特定时间将密码自动更改回已知的值。如果帐户受到威胁,最好删除该帐户,并在所有受影响的系统恢复正常运作并验证已不再受到威胁后向用户分配新帐户。
对策
将“强制密码历史”策略设置配置为 24(最大设置)来帮助最大程序地减少由于密码重复使用所导致的漏洞数量。
若要使此策略设置生效,你还应该为密码最短使用期限和密码最长使用期限策略设置配置有效值。
密码最长使用期限
参考
“密码最长使用期限”策略设置确定在系统要求用户更改密码之前可以使用该密码的时段(以天为单位)。你可以将密码的过期天数设置为 1 到 999,或者通过将该天数设置为 0 来指定密码永远不会过期。如果“密码最长使用期限”天数为 1 到 999,则密码最短使用期限必须小于密码最长使用期限。当“密码最长使用期限”设置为 0 时,“密码最短使用期限”天数可以是介于 0 和 998 之间的任意值。
注意
将“密码最长使用期限”设置为 -1 等同于 0,这意味着密码永远不会过期。将它设置为任何其他负数等同于将其设置为“未定义”。
可能值
用户指定的天数介于 0 到 999 之间 未定义
最佳做法
将“密码最长使用期限”天数设置为 30 到 90 之间的值,具体取决于你的环境。这样,攻击者用于破解用户密码并有权访问你的网络资源的时间量将非常有限。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
密码存在的时间越长,它受到以下威胁的可能性越高:暴力攻击、获得有关用户的一般知识的攻击者或共享密码的用户。主要风险是将“密码最长使用期限”策略设置配置为 0,以便用户永远不需要更改其密码,因为只要向有效用户授予访问权限,恶意用户就可以使用受到威胁的密码。
对策
将“密码最长使用期限”策略设置配置为适合你的组织的业务要求的值。
潜在影响
如果“密码最长使用期限”策略设置过低,将频繁要求用户更改其密码。此类配置会降低组织的安全性,因为用户可能将其密码保存在不安全的位置或丢失它们。如果此策略设置的值过高,将降低组织内部的安全级别,因为它会使潜在攻击者有更多时间来发现用户密码或使用受到威胁的帐户。
密码最短使用期限
参考
“密码最短使用期限”策略设置确定在系统要求用户更改密码之前可以使用该密码的时段(以天为单位)。你可以将密码的过期天数设置为 1 到 999,或者通过将该天数设置为 0 来指定密码永远不会过期。如果“密码最长使用期限”天数为 1 到 999,则密码最短使用期限必须小于密码最长使用期限。当“密码最长使用期限”设置为 0 时,“密码最短使用期限”天数可以是介于 0 和 998 之间的任意值。
可能值
用户指定的天数介于 0 到 998 之间 未定义
最佳做法
将“密码最短使用期限”设置为 2 天的值。通过将天数设置为 0,可立即更改密码(不建议)。
如果你为用户设置密码,并希望该用户更改管理员定义的密码,必须选中“用户下次登录时须更改密码”复选框。否则,用户将不能更改密码,直到“密码最短使用期限”指定的天数到期。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
用户可能有他们喜欢使用的偏爱密码,因为这些密码容易记住,并且他们相信自己选择的密码是安全的且不会泄露。遗憾的是,密码会遭泄露,并且当获知用户数据的攻击者针对特定的单个用户帐户时,重复使用旧密码可能导致安全漏洞。
若要解决密码重复使用,必须使用安全设置组合。将此策略设置与“强制密码历史”策略设置结合使用可防止轻松重复使用旧密码。例如,当你配置“强制密码历史”策略设置以确保用户无法重复使用其最后使用的任何 12 个密码,但未将“密码最短使用期限”策略设置配置为大于 0 的数时,用户可在几分钟内更改其密码 13 次,然后重复使用其原密码。若要使“强制密码历史”策略设置生效,必须将此策略设置配置为大于 0 的数。
对策
将“密码最短使用期限”策略设置配置为至少 2 天的值。用户应当了解此限制;如果需要在两天期限内更改其密码,请联系支持人员。如果将天数配置为 0,将允许立即更改密码(不建议)。
潜在影响
如果你为用户设置密码,但希望该用户在首次登录后更改该密码,管理员必须选中“用户下次登录时须更改密码”复选框,否则用户直到第二天才可更改密码。
最短密码长度
参考
“最短密码长度”策略设置确定可以组成用户帐户密码的最少字符数。可以设置 1 到 14 个字符之间的值,或者可以通过将字符数设置为 0 来指示不需要使用密码。
可能值
用户指定的字符数介于 0 到 14 之间 未定义
最佳做法
将最短密码长度设置为至少为 8 的值。如果字符数设置为 0,则不需要使用密码。在大多数环境中,建议使用 8 个字符的密码;因为其长度足以提供适当的安全性并且其长度仍短到可供用户轻松记住。此值将帮助针对暴力攻击提供适当防御。添加复杂性要求将有助于减少字典攻击的可能性。有关详细信息,请参阅密码必须符合复杂性要求。
允许使用短密码会降低安全性,因为使用针对密码执行字典攻击或暴力攻击的工具就可以很容易地破解短密码。要求使用非常长的密码可能导致密码错误输入,这可能导致帐户锁定,随后将增加技术人员的呼叫量。
此外,要求使用极长的密码实际上会降低组织的安全性,因为用户可能更倾向于写下其密码以免忘记它们。但是,如果教导用户使用密码短语(如“我想要喝 5 美元的奶昔“句子),应当更容易记住它们。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
密码攻击类型包括字典攻击(尝试使用常见字词和短语)和暴力攻击(尝试字符的每一种可能组合)。此外,攻击者有时会尝试获取帐户数据库,以便他们可以使用工具来发现帐户和密码。
对策
将 策略设置配置为 8 或更大的值。如果字符数设置为 0,则无需使用密码。
在大多数环境中,我们建议使用 8 个字符的密码;因为其长度足以提供适当的安全性,但对于用户轻松记住密码并不会太难。此配置针对暴力攻击提供适当防御。使用密码必须符合复杂性要求策略设置以及“最短密码长度”设置有助于减少字典攻击的可能性。
注意
某些地区已针对作为建立安全法规组成部分的密码长度建立了法律要求。
潜在影响
要求使用极长的密码实际上会降低组织的安全性,因为用户可能会将该信息存放在不安全位置或将其丢失。如果要求使用非常长的密码,密码错误输入可能导致帐户锁定,并会增加技术人员的呼叫量。如果你的组织存在因密码长度要求而忘记密码的问题,请考虑教导你的用户使用密码短语,密码短语通常更容易记住,并且因较大的字符数组合使其难以被发现。
密码必须符合复杂性要求
参考
“密码必须符合复杂性要求”策略设置确定密码是否必须符合对强密码至关重要的一系列指南。启用此策略设置要求密码满足以下要求:
1.密码不应包含用户的 samAccountName(帐户名)值或整个 displayName(全名值)。两个复选框均不区分大小写。
2.密码包含以下类别中的三种字符:
欧洲语言的大写字母(A 到 Z、标有音调、希腊语和西里尔文字符) 欧洲语言的小写字母(a 到 z、高音 s、标有音调、希腊语和西里尔文字符) 10 个基本数字(0 到 9) 非字母数字字符(特殊字符)(例如 !、$、#、%) 归类为字母字符但既不是大写也不是小写的任何 Unicode 字符。这包括亚洲语言的 Unicode 字符。
更改或创建密码时要强制执行复杂性要求。
可能值
启用
禁用
未定义
最佳做法
将“密码必须符合复杂性要求”设置为“启用”。此策略设置结合 8 位的最短密码长度可确保一个密码具有至少 218340105584896 种不同的可能性。
这使得进行暴力攻击变得困难,但仍非不可能。
仅包含字母数字字符的密码很容易通过公共可用的工具遭到泄露。为避免此问题,密码应包含其他字符,并满足复杂性要求。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
仅包含字母数字字符的密码非常容易通过若干种公共可用的工具遭到泄露。
对策
将“密码必须满足复杂性要求”策略设置配置为“启用”,并建议用户在其密码中使用各种字符。
在与 8 位的“最短密码长度”结合使用时,此策略设置可确保一个密码的不同组合数量非常大,以至于暴力攻击难以成功(但并非不可能)。(如果增加了“最短密码长度”策略设置,攻击成功所需的平均时间也会增加。)
参考:
https://jingyan.baidu.com/article/77b8dc7f227b466174eab624.html
https://msdn.microsoft.com/zh-cn/library/hh994572(v=ws.11).aspx