安全观察Windows域密码策略

来源:不详 责任编辑:栏目编辑 发表时间:2013-07-02 00:34 点击:
  如果您是 Windows 域的管理员,一定会非常清楚域用户帐户的密码策略的相关限制。但随着WindowsServer2008的到来,其中一些限制将不复存在。让我们来看看这个新操作系统将如何解决这样一个问题:不能实现多个密码策略。

  如果您运行的是 Windows? 域当前的任意版本(Windows NT?、Windows2000ActiveDirectory?或 WindowsServer?2003ActiveDirectory),就会受到每个域只能有一个密码策略的限制。事实上,对您产生限制的不仅是密码策略,而且还有帐户策略涵盖的范围更广的设置。图1显示了这些策略和设置。

  Figure 1 Account policies

  密码策略

  强制密码历史

  密码最长使用期限

  密码最短使用期限

  最短密码长度

  密码必须满足复杂性要求

  使用可逆加密存储密码

  帐户锁定策略

  帐户锁定时间

  帐户锁定域值

  重置帐户锁定计数器之前经过的时间...

  Kerberos 策略

  强制用户登录限制

  服务票证最长寿命

  用户票证最长寿命

  用户票证续订最长寿命

  计算机时钟同步的最大容差

  默认情况下,这些策略设置适用于与域相关联的所有域帐户和用户帐户。这是因为组策略是沿着ActiveDirectory结构向下继承的。为了更好地认识这些策略如何影响域帐户和本地用户帐户,了解以下两点非常重要:这些策略的设置位置,以及组策略的继承方式如何影响所有不同的用户帐户。(请注意,Kerberos策略设置仅适用于域用户帐户,这是因为只有域用户帐户使用Kerberos进行身份验证。本地用户帐户使用NTLMv2、NTLM 或LM 进行身份验证。)

  设置帐户策略

  在 Active Directory内部,组策略建立并控制整个域的帐户策略。这是在首次安装ActiveDirectory域时发生的,并且是通过获得链接到 ActiveDirectory 中域节点的默认组策略对象 (GPO)完成的。此GPO名为默认域策略,具有帐户策略的所有三部分的默认配置。图 2显示了 WindowsServer2003域中密码策略项初始设置的完整列表。

  Figure 2 Default password policies for WindowsServer2003domain(单击该图像获得较大视图)

  此GPO中的设置控制所有域用户帐户以及每台域计算机的帐户策略。请记住,所有域计算机(台式机和服务器)都具有本地安全帐户管理器(SAM),这很重要。此默认GPO中的设置控制的就是这一SAM。当然,本地 SAM 也包含每台计算机的本地用户帐户。

  通过 GPO 沿着 ActiveDirectory结构向下进行的正常继承,默认域策略中的设置可影响所有域计算机。由于此GPO链接到域节点,所以它将影响此域中的所有计算机帐户。

  无法对当前密码策略执行的操作

  关于 Active Directory(在WindowsServer2003中)的当前实现,目前仍存在对密码控制的许多误解,尽管经过了多年的严格测试,也未找到证据证明那些误解是对的。很明显(或应该说),策略是无法通过设计以外的其他方式起作用的。

  也就是说,很多管理员都相信,可以为同一域中的多个用户设置多个密码策略。他们认为您可以创建一个GPO,并将其链接到某个组织单位(OU)。该思想是将用户帐户移到OU以使GPO影响这些对象。在GPO内部,对帐户策略进行修改以创建更安全的密码策略(可能是通过将最大密码长度设置为14实现此目的)。但是,由于一些原因,此配置永远达不到期望的结果。首先,密码策略设置是基于计算机而非基于用户的策略。有了这种设置的前提条件之后,设置将永远无法影响用户帐户。其次,修改域用户帐户的帐户策略设置只有一种方法,即在链接到该域的GPO内部进行修改。链接到OU且被配置为更改帐户策略设置的那些 GPO,会修改驻留在 OU 中(或在链接的 OU 的子OU中)计算机的本地 SAM。

  另一个误解是,在根域(ActiveDirectory林的初始域)中建立的帐户策略设置将向下流动或继承到林中的子域。这同样并非事实,通过这种方式是无法使设置起作用的。链接到域和某个域中OU的GPO不会影响其他域中的对象,即使 GPO 链接到的域是根域也是一样。使 GPO 设置影响其他域中对象的唯一方法是将GPO链接到ActiveDirectory 站点。

  密码策略的改变

  可以看到,Windows的当前版本处理用户帐户密码的方式简单直观。这包括一组适用于所有域帐户的密码规则,以及通过链接到ActiveDirectory中域节点的组策略对象来管理帐户策略的方式。随着Windows Server2008的到来,这一切就都被判出局了。

  Windows Server 2008 以及一同推出的ActiveDirectory基础结构采用了另一
    发表评论
    请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
    用户名: 验证码:点击我更换图片
    最新评论 更多>>

    推荐热点

    • ESC键实用方法介绍
    • 索尼 SONY OEM Windows XP PRO SP3 CD-KEY 序列号
    • 10招最有效防电脑辐射方法
    • 一个问题阻止windows正确检查此机器的许可证 错误代码为:0x8007
    • 强行删除文件夹及工具
    • 笔记本屏幕倒了过来如何恢复正常
    • EPSON EPL-6200L激光打印机打印时“通讯错误”
    • 电脑开机弹出SCSIAdapter硬件驱动安装向导的原因及解决方案
    • 845主板鼠标口,USB都异常
    网站首页 - 友情链接 - 网站地图 - TAG标签 - RSS订阅 - 内容搜索
    Copyright © 2008-2015 计算机技术学习交流网. 版权所有

    豫ICP备11007008号-1