安全观察Windows域密码策略
来源:不详 责任编辑:栏目编辑 发表时间:2013-07-02 00:34 点击:次
如果您是 Windows 域的管理员,一定会非常清楚域用户帐户的密码策略的相关限制。但随着WindowsServer2008的到来,其中一些限制将不复存在。让我们来看看这个新操作系统将如何解决这样一个问题:不能实现多个密码策略。
如果您运行的是 Windows? 域当前的任意版本(Windows NT?、Windows2000ActiveDirectory?或 WindowsServer?2003ActiveDirectory),就会受到每个域只能有一个密码策略的限制。事实上,对您产生限制的不仅是密码策略,而且还有帐户策略涵盖的范围更广的设置。图1显示了这些策略和设置。
Figure 1 Account policies
密码策略
强制密码历史
密码最长使用期限
密码最短使用期限
最短密码长度
密码必须满足复杂性要求
使用可逆加密存储密码
帐户锁定策略
帐户锁定时间
帐户锁定域值
重置帐户锁定计数器之前经过的时间...
Kerberos 策略
强制用户登录限制
服务票证最长寿命
用户票证最长寿命
用户票证续订最长寿命
计算机时钟同步的最大容差
默认情况下,这些策略设置适用于与域相关联的所有域帐户和用户帐户。这是因为组策略是沿着ActiveDirectory结构向下继承的。为了更好地认识这些策略如何影响域帐户和本地用户帐户,了解以下两点非常重要:这些策略的设置位置,以及组策略的继承方式如何影响所有不同的用户帐户。(请注意,Kerberos策略设置仅适用于域用户帐户,这是因为只有域用户帐户使用Kerberos进行身份验证。本地用户帐户使用NTLMv2、NTLM 或LM 进行身份验证。)
设置帐户策略
在 Active Directory内部,组策略建立并控制整个域的帐户策略。这是在首次安装ActiveDirectory域时发生的,并且是通过获得链接到 ActiveDirectory 中域节点的默认组策略对象 (GPO)完成的。此GPO名为默认域策略,具有帐户策略的所有三部分的默认配置。图 2显示了 WindowsServer2003域中密码策略项初始设置的完整列表。
Figure 2 Default password policies for WindowsServer2003domain(单击该图像获得较大视图)
此GPO中的设置控制所有域用户帐户以及每台域计算机的帐户策略。请记住,所有域计算机(台式机和服务器)都具有本地安全帐户管理器(SAM),这很重要。此默认GPO中的设置控制的就是这一SAM。当然,本地 SAM 也包含每台计算机的本地用户帐户。
通过 GPO 沿着 ActiveDirectory结构向下进行的正常继承,默认域策略中的设置可影响所有域计算机。由于此GPO链接到域节点,所以它将影响此域中的所有计算机帐户。
无法对当前密码策略执行的操作
关于 Active Directory(在WindowsServer2003中)的当前实现,目前仍存在对密码控制的许多误解,尽管经过了多年的严格测试,也未找到证据证明那些误解是对的。很明显(或应该说),策略是无法通过设计以外的其他方式起作用的。
也就是说,很多管理员都相信,可以为同一域中的多个用户设置多个密码策略。他们认为您可以创建一个GPO,并将其链接到某个组织单位(OU)。该思想是将用户帐户移到OU以使GPO影响这些对象。在GPO内部,对帐户策略进行修改以创建更安全的密码策略(可能是通过将最大密码长度设置为14实现此目的)。但是,由于一些原因,此配置永远达不到期望的结果。首先,密码策略设置是基于计算机而非基于用户的策略。有了这种设置的前提条件之后,设置将永远无法影响用户帐户。其次,修改域用户帐户的帐户策略设置只有一种方法,即在链接到该域的GPO内部进行修改。链接到OU且被配置为更改帐户策略设置的那些 GPO,会修改驻留在 OU 中(或在链接的 OU 的子OU中)计算机的本地 SAM。
另一个误解是,在根域(ActiveDirectory林的初始域)中建立的帐户策略设置将向下流动或继承到林中的子域。这同样并非事实,通过这种方式是无法使设置起作用的。链接到域和某个域中OU的GPO不会影响其他域中的对象,即使 GPO 链接到的域是根域也是一样。使 GPO 设置影响其他域中对象的唯一方法是将GPO链接到ActiveDirectory 站点。
密码策略的改变
可以看到,Windows的当前版本处理用户帐户密码的方式简单直观。这包括一组适用于所有域帐户的密码规则,以及通过链接到ActiveDirectory中域节点的组策略对象来管理帐户策略的方式。随着Windows Server2008的到来,这一切就都被判出局了。
Windows Server 2008 以及一同推出的ActiveDirectory基础结构采用了另一
如果您运行的是 Windows? 域当前的任意版本(Windows NT?、Windows2000ActiveDirectory?或 WindowsServer?2003ActiveDirectory),就会受到每个域只能有一个密码策略的限制。事实上,对您产生限制的不仅是密码策略,而且还有帐户策略涵盖的范围更广的设置。图1显示了这些策略和设置。
Figure 1 Account policies
密码策略
强制密码历史
密码最长使用期限
密码最短使用期限
最短密码长度
密码必须满足复杂性要求
使用可逆加密存储密码
帐户锁定策略
帐户锁定时间
帐户锁定域值
重置帐户锁定计数器之前经过的时间...
Kerberos 策略
强制用户登录限制
服务票证最长寿命
用户票证最长寿命
用户票证续订最长寿命
计算机时钟同步的最大容差
默认情况下,这些策略设置适用于与域相关联的所有域帐户和用户帐户。这是因为组策略是沿着ActiveDirectory结构向下继承的。为了更好地认识这些策略如何影响域帐户和本地用户帐户,了解以下两点非常重要:这些策略的设置位置,以及组策略的继承方式如何影响所有不同的用户帐户。(请注意,Kerberos策略设置仅适用于域用户帐户,这是因为只有域用户帐户使用Kerberos进行身份验证。本地用户帐户使用NTLMv2、NTLM 或LM 进行身份验证。)
设置帐户策略
在 Active Directory内部,组策略建立并控制整个域的帐户策略。这是在首次安装ActiveDirectory域时发生的,并且是通过获得链接到 ActiveDirectory 中域节点的默认组策略对象 (GPO)完成的。此GPO名为默认域策略,具有帐户策略的所有三部分的默认配置。图 2显示了 WindowsServer2003域中密码策略项初始设置的完整列表。
Figure 2 Default password policies for WindowsServer2003domain(单击该图像获得较大视图)
此GPO中的设置控制所有域用户帐户以及每台域计算机的帐户策略。请记住,所有域计算机(台式机和服务器)都具有本地安全帐户管理器(SAM),这很重要。此默认GPO中的设置控制的就是这一SAM。当然,本地 SAM 也包含每台计算机的本地用户帐户。
通过 GPO 沿着 ActiveDirectory结构向下进行的正常继承,默认域策略中的设置可影响所有域计算机。由于此GPO链接到域节点,所以它将影响此域中的所有计算机帐户。
无法对当前密码策略执行的操作
关于 Active Directory(在WindowsServer2003中)的当前实现,目前仍存在对密码控制的许多误解,尽管经过了多年的严格测试,也未找到证据证明那些误解是对的。很明显(或应该说),策略是无法通过设计以外的其他方式起作用的。
也就是说,很多管理员都相信,可以为同一域中的多个用户设置多个密码策略。他们认为您可以创建一个GPO,并将其链接到某个组织单位(OU)。该思想是将用户帐户移到OU以使GPO影响这些对象。在GPO内部,对帐户策略进行修改以创建更安全的密码策略(可能是通过将最大密码长度设置为14实现此目的)。但是,由于一些原因,此配置永远达不到期望的结果。首先,密码策略设置是基于计算机而非基于用户的策略。有了这种设置的前提条件之后,设置将永远无法影响用户帐户。其次,修改域用户帐户的帐户策略设置只有一种方法,即在链接到该域的GPO内部进行修改。链接到OU且被配置为更改帐户策略设置的那些 GPO,会修改驻留在 OU 中(或在链接的 OU 的子OU中)计算机的本地 SAM。
另一个误解是,在根域(ActiveDirectory林的初始域)中建立的帐户策略设置将向下流动或继承到林中的子域。这同样并非事实,通过这种方式是无法使设置起作用的。链接到域和某个域中OU的GPO不会影响其他域中的对象,即使 GPO 链接到的域是根域也是一样。使 GPO 设置影响其他域中对象的唯一方法是将GPO链接到ActiveDirectory 站点。
密码策略的改变
可以看到,Windows的当前版本处理用户帐户密码的方式简单直观。这包括一组适用于所有域帐户的密码规则,以及通过链接到ActiveDirectory中域节点的组策略对象来管理帐户策略的方式。随着Windows Server2008的到来,这一切就都被判出局了。
Windows Server 2008 以及一同推出的ActiveDirectory基础结构采用了另一
相关新闻>>
最新推荐更多>>>
- 发表评论
-
- 最新评论 更多>>