強(qiáng)制實(shí)施強(qiáng)密碼策略的逐步式指南本逐步式指南詳細(xì)介紹了使用組策略對(duì)象 (GPO) 定義強(qiáng)密碼策略以擴(kuò)展計(jì)算環(huán)境安全性的方法。 本頁內(nèi)容簡介概述使用組策略對(duì)象來設(shè)置密碼策略其他資源簡介逐步式指南Windo

強(qiáng)制實(shí)施強(qiáng)密碼策略的逐步式指南

本逐步式指南詳細(xì)介紹了使用組策略對(duì)象 (GPO) 定義強(qiáng)密碼策略以擴(kuò)展計(jì)算環(huán)境安全性的方法。 本頁內(nèi)容

簡介

概述

使用組策略對(duì)象來設(shè)置密碼策略

其他資源

簡介

逐步式指南

Windows Server 2003 部署逐步式指南提供了很多常見操作系統(tǒng)配置的實(shí)際操作經(jīng)驗(yàn)。本指南首先介紹通過以下過程來建立通用網(wǎng)絡(luò)結(jié)構(gòu)：安裝 Windows Server 2003；配置 Active Directory?；安裝 Windows XP Professional 工作站并最后將此工作站添加到域中。后續(xù)逐步式指南假定您已建立了此通用網(wǎng)絡(luò)結(jié)構(gòu)。如果您不想遵循此通用網(wǎng)絡(luò)結(jié)構(gòu)，則需要在使用這些指南時(shí)進(jìn)行適當(dāng)?shù)男薷摹?/p>

通用網(wǎng)絡(luò)結(jié)構(gòu)要求完成以下指南。

? 第一部分：將 Windows Server 2003 安裝為域控制器

? 第二部分：安裝 Windows XP Professional 工作站并將其連接到域上

在配置通用網(wǎng)絡(luò)結(jié)構(gòu)后，可以使用任何其他的逐步式指南。注意，某些逐步式指南除具備通用網(wǎng)絡(luò)結(jié)構(gòu)要求外，可能還需要滿足額外的先決條件。任何額外的要求都將列在特定的逐步式指南中。

Microsoft Virtual PC

可以在物理實(shí)驗(yàn)室環(huán)境中或通過虛擬化技術(shù)（如 Microsoft Virtual PC 2004 或 Microsoft Virtual Server 2005）來實(shí)施 Windows Server 2003 部署逐步式指南。借助于虛擬機(jī)技術(shù)，客戶可以同時(shí)在一臺(tái)物理服務(wù)器上運(yùn)行多個(gè)操作系統(tǒng)。Virtual PC 2004 和 Virtual Server 2005 就是為了在軟件測試和開發(fā)、舊版應(yīng)用程序遷移以及服務(wù)器整合方案中提高工作效率而設(shè)計(jì)的。

Windows Server 2003 部署逐步式指南假定所有配置都是在物理實(shí)驗(yàn)室環(huán)境中完成的，但大多數(shù)配置不經(jīng)修改就可以應(yīng)用于虛擬環(huán)境。

將這些逐步式指南中提供的概念應(yīng)用于虛擬環(huán)境超出了本文的討論范圍。

重要說明

此處作為例子提到的公司、組織、產(chǎn)品、域名、電子郵件地址、徽標(biāo)、個(gè)人、地點(diǎn)和事件純屬虛構(gòu)，決不意指，也不應(yīng)由此臆測任何公司、組織、產(chǎn)品、域名、電子郵件地址、徽標(biāo)、個(gè)人、地點(diǎn)或事件。

此通用基礎(chǔ)結(jié)構(gòu)是為在專用網(wǎng)絡(luò)上使用而設(shè)計(jì)的。此通用結(jié)構(gòu)中使用的虛擬公司名稱和域名系統(tǒng) (DNS) 名稱并未注冊(cè)以便在 Internet 上使用。您不應(yīng)在公共網(wǎng)絡(luò)或 Internet 上使用此名稱。

此通用結(jié)構(gòu)的 Active Directory 服務(wù)結(jié)構(gòu)用于說明“Windows Server 2003 更改和配置管理”如何與 Active Directory 配合使用。不能將其作為任何組織進(jìn)行 Active Directory 配置的模型。 返回頁首

概述

大多數(shù)用戶通過使用在鍵盤上鍵入的用戶名和密碼組合來登錄到本地或遠(yuǎn)程計(jì)算機(jī)上。雖然所有常用操作系統(tǒng)都可以使用其他身份驗(yàn)證技術(shù)（例如，生物測定、智能卡以及一次性密碼），但多數(shù)組織仍依賴于傳統(tǒng)密碼，在以后幾年內(nèi)還會(huì)保持這種狀況。因此，組織為其計(jì)算機(jī)定義和強(qiáng)制實(shí)施密碼策略（包括強(qiáng)制使用強(qiáng)密碼）是至關(guān)重要的。

強(qiáng)密碼符合一些復(fù)雜性要求（包括長度和字符類別），從而使黑客更難以破解密碼。為組織制訂強(qiáng)密碼策略有助于防止黑客模擬用戶，因而有助于防止敏感信息的丟失、泄露或破壞。

取決于組織中的計(jì)算機(jī)是 Active Directory 域成員、獨(dú)立計(jì)算機(jī)，還是二者兼而有之，要實(shí)施強(qiáng)密碼策略，您需要執(zhí)行下面的一個(gè)或兩個(gè)任務(wù)。

? 在 Active Directory 域中配置密碼策略設(shè)置。

? 在獨(dú)立計(jì)算機(jī)上配置密碼策略設(shè)置。

本文講述如何通過 GPO 在 Active Directory 域成員上配置密碼策略設(shè)置。

在配置了適當(dāng)?shù)拿艽a策略設(shè)置后，組織用戶就可以創(chuàng)建新的密碼了，但前提是新密碼必須符合強(qiáng)密碼的長度和復(fù)雜性要求，而且用戶不能立即更改其新密碼。

先決條件

? 第一部分：將 Windows Server 2003 安裝為域控制器

? ? 了解組策略功能集的逐步式指南

指南要求

? 憑據(jù)：您必須以 Domain Admins 組成員的身份登錄以完成這些練習(xí)。 返回頁首

使用組策略對(duì)象來設(shè)置密碼策略

在網(wǎng)絡(luò)計(jì)算機(jī)上配置密碼策略之前，您需要指定相關(guān)的設(shè)置，確定這些設(shè)置使用的值，并了解 Windows 存儲(chǔ)密碼策略配置信息的方式。

注意：Windows 95、Windows 98 以及 Windows Millennium Edition 操作系統(tǒng)不支持高級(jí)安全功能（例如，密碼策略）。如果網(wǎng)絡(luò)中包括運(yùn)行這些操作系統(tǒng)的獨(dú)立計(jì)算機(jī)（不屬于任何域的計(jì)算機(jī)），則不能在這些計(jì)算機(jī)上強(qiáng)制實(shí)施密碼策略。如果網(wǎng)絡(luò)中運(yùn)行這些操作系統(tǒng)的計(jì)算機(jī)是 Active Directory 域的成員，則只能在域級(jí)別強(qiáng)制實(shí)施密碼策略。

指定密碼策略的相關(guān)設(shè)置

對(duì)于 Windows 2000、Windows XP 和 Windows Server 2003，可以配置六種與密碼特性有關(guān)的設(shè)置：“強(qiáng)制密碼歷史”、“密碼最長使用期限”、“密碼最短使用期限”、“密碼長度最小值”、“密碼必須符合復(fù)雜性要求”和“用可還原的加密來儲(chǔ)存密碼”。有關(guān)確定這些符合組織業(yè)務(wù)要求的設(shè)置值的幫助，請(qǐng)參閱 Microsoft 安全指南 Web 站點(diǎn)上的選擇安全密碼。

? 強(qiáng)制密碼歷史確定在用戶可以重用舊密碼前必須使用唯一新密碼的數(shù)量。該設(shè)置的值可以在 0 和 24 之間；

如果將其設(shè)置為 0，則禁用強(qiáng)制密碼歷史。對(duì)于大多數(shù)組織，應(yīng)該將該值設(shè)置為 24 個(gè)密碼。

? 密碼最長使用期限確定在要求用戶更改密碼之前可以使用它的天數(shù)。該設(shè)置的值可以在 0 和 999 之間；如

果將其設(shè)置為 0，密碼將永不過期。如果將該值設(shè)置得太低，則可能會(huì)給用戶帶來不必要的麻煩；如果設(shè)置得過高或?qū)⑵浣?，黑客就?huì)有更充足的時(shí)間來破解密碼。對(duì)于大多數(shù)組織，應(yīng)該將該值設(shè)置為 42 天。 ? 密碼最短使用期限確定在用戶可以更改新密碼前必須將其保持的天數(shù)。該設(shè)置旨在與“強(qiáng)制密碼歷史”設(shè)置搭

配使用，以使用戶不能快速將密碼重設(shè)所需的次數(shù)，然后改回其舊密碼。該設(shè)置的值可以在 0 和 999 之間；如果將其設(shè)置為 0，則用戶可以立即更改新密碼。建議將該值設(shè)置為 2 天。

? 密碼長度最小值確定密碼的最少字符數(shù)。雖然 Windows 2000、Windows XP 以及 Windows Server

2003 支持長達(dá) 28 個(gè)字符的密碼，但是該設(shè)置的值只能在 0 和 14 之間。如果將該值設(shè)置為 0，則允許用戶使用空白密碼，因此不應(yīng)將其設(shè)置為 0。建議您將該值設(shè)置為 8 個(gè)字符。

? 密碼必須符合復(fù)雜性要求確定是否強(qiáng)制實(shí)施密碼復(fù)雜性。如果啟用該設(shè)置，用戶密碼應(yīng)滿足以下要求：

? 密碼長度最少為 6 個(gè)字符。

? 密碼至少包含以下五種字符中的三種：

? 大寫英文字符 (A – Z)

? 小寫英文字符 (a – z)

? 10 以內(nèi)的阿拉伯?dāng)?shù)字 (0 – 9)

? 非字母數(shù)字字符（例如：! 、$、# 或 ）

? Unicode 字符

? 密碼不能包含用戶帳戶名稱中的三個(gè)或三個(gè)以上字符。

? 如果帳戶名稱長度少于三個(gè)字符，則不執(zhí)行該檢查，因?yàn)槊艽a被拒絕率太高了。在檢查用戶全稱時(shí)，將以下幾個(gè)字符視為分隔符（將名稱分隔為單獨(dú)的標(biāo)記）：逗號(hào)、句號(hào)、破折號(hào)/連字符、下劃線、空格、英鎊標(biāo)記和制表符。對(duì)于每個(gè)長度為三個(gè)或三個(gè)以上字符的標(biāo)記，將在密碼中搜索該標(biāo)記；如果找到了，則拒絕更改密碼。例如，名稱“Erin M. Hagens”將分解為三個(gè)標(biāo)記：“Erin”、“M”和“Hagens”。由于第二個(gè)標(biāo)記長度僅為一個(gè)字符，所以將該標(biāo)記忽略。因此，此用戶不能在密碼中包含“erin”或“hagens”作為子字符串。所有這些檢查都不區(qū)分大小寫。

? 在更改密碼或創(chuàng)建新密碼時(shí)，將強(qiáng)制實(shí)施這些復(fù)雜性要求。建議您啟用該設(shè)置。

? 用可還原的加密來儲(chǔ)存密碼為以下應(yīng)用程序提供支持：所使用的協(xié)議要求知道用于身份驗(yàn)證的用戶密碼。用可還原的加密來儲(chǔ)存密碼與存儲(chǔ)純文本密碼版本基本相同。為此，除非應(yīng)用程序要求的重要性超過保護(hù)密碼信息需求，否則，切勿啟用該策略。

? 通過遠(yuǎn)程訪問或 Internet 驗(yàn)證服務(wù) (IAS) 來使用質(zhì)詢握手身份驗(yàn)證協(xié)議 (CHAP) 時(shí)，要求啟用該策略。在 Internet 信息服務(wù) (IIS) 中使用摘要式身份驗(yàn)證時(shí)，也要求啟用該策略。

存儲(chǔ)密碼策略信息

在實(shí)施密碼策略之前，您需要了解密碼策略配置信息的存儲(chǔ)方式。這是因?yàn)椋艽a策略存儲(chǔ)機(jī)制限制可以實(shí)施的各種密碼策略的數(shù)量，并且影響應(yīng)用密碼策略設(shè)置的方式。

每個(gè)帳戶數(shù)據(jù)庫只能有一個(gè)密碼策略?？蓪?Active Directory 域視為一個(gè)帳戶數(shù)據(jù)庫，就如同獨(dú)立計(jì)算機(jī)上的本地帳戶數(shù)據(jù)庫一樣。作為域成員的計(jì)算機(jī)也擁有一個(gè)本地帳戶數(shù)據(jù)庫，但是大多數(shù)部署了 Active Directory 域的組織要求其用戶使用基于域的帳戶登錄到其計(jì)算機(jī)和網(wǎng)絡(luò)上。因此，如果您指定的最小域密碼長度為 14 字符，域中的所有用戶在創(chuàng)建新密碼時(shí)，必須使用 14 個(gè)或 14 個(gè)以上字符的密碼。要為一組特定用戶設(shè)置不同的要求，您必須為其帳戶創(chuàng)建新的域。

Active Directory 域使用 GPO 來存儲(chǔ)各種配置信息，其中包括密碼策略設(shè)置。雖然 Active Directory 是一種可支持多種組織單位 (OU) 級(jí)別和多個(gè) GPO 的分層式目錄服務(wù)，但必須在域的根容器中定義域的密碼策略設(shè)置。在為新的 Active Directory 域創(chuàng)建第一個(gè)域控制器時(shí)，就會(huì)自動(dòng)創(chuàng)建兩個(gè) GPO ：“Default Domain Policy”GPO 和“Default Domain Controller Policy”GPO?！癉efault Domain Policy”鏈接到根容器上。它包含一些全域性的重要設(shè)置，其中包括默認(rèn)密碼策略設(shè)置。“Default Domain Controller Policy”鏈接到“Domain Controllers”O(jiān)U 上，并且包含域控制器的初始安全設(shè)置。

最佳做法是避免修改這些內(nèi)置的 GPO 。如果您需要應(yīng)用不同于默認(rèn)設(shè)置的密碼策略設(shè)置，應(yīng)創(chuàng)建一個(gè)新的 GPO ，將其鏈接到該域的根容器或“Domain Controllers”O(jiān)U 上，并為其分配一個(gè)比內(nèi)置 GPO 更高的優(yōu)先級(jí)。如果將兩個(gè)具有沖突設(shè)置的 GPO 鏈接到同一個(gè)容器上，優(yōu)先級(jí)高的 GPO 優(yōu)先。

實(shí)施密碼策略設(shè)置

本節(jié)通過在組織的計(jì)算機(jī)上實(shí)施密碼策略設(shè)置來提供增強(qiáng)安全性的逐步式說明。

要?jiǎng)?chuàng)建新的根域組策略對(duì)象，請(qǐng)按照以下步驟操作：

1. 單擊“開始”按鈕，選擇“所有程序”，選擇“管理工具”，然后單擊“GPWalkThrough”。

注意：GPWalkThrough Microsoft 管理控制臺(tái) (MMC) 是在了解組策略功能集的逐步式指南中創(chuàng)建的。如果您沒有完成該指南中的步驟，則需要相應(yīng)地修改以下步驟。

2. 在“GPWalkThrough”MMC 控制臺(tái)中，展開“Active Directory 用戶和計(jì)算機(jī)”，右鍵單擊

“contoso.com”，單擊“屬性”，然后單擊“組策略”選項(xiàng)卡。

注意：Microsoft 建議您創(chuàng)建一個(gè)新的 GPO ，而不是編輯內(nèi)置 GPO“Default Domain Policy”。通過這樣做，您可以更容易地從嚴(yán)重的安全設(shè)置問題中恢復(fù)。如果新的安全設(shè)置出現(xiàn)問題，則可以暫時(shí)禁用新的 GPO ，直至找出引起問題的設(shè)置。

3. 單擊“新建”，然后鍵入“Domain Password Policy”作為“GPO 名稱”（如圖 1 所示）。

圖 1. 創(chuàng)建根域 GPO

4. 按“Enter”鍵。

要強(qiáng)制實(shí)施“Domain Password Policy”GPO，請(qǐng)按照以下步驟操作：

注意：有關(guān)組策略繼承的詳細(xì)討論和以下步驟的更多信息，請(qǐng)參見了解組策略功能集的逐步式指南。

1. 在“contoso.com 屬性”頁上，單擊以突出顯示“Domain Password Policy”，然后單擊“向上”按鈕。 2. 在“contoso.com 屬性”頁上，右鍵單擊“Domain Password Policy”，然后單擊“禁止替代”。

“contoso.com 屬性”頁應(yīng)該如圖 2 所示。

圖 2. 設(shè)置 GPO 優(yōu)先級(jí)

要定義密碼使用策略，請(qǐng)按照以下步驟操作：

1. 在“contoso.com 屬性”頁上，雙擊“Domain Password Policy”。 2. 在“組策略對(duì)象編輯器”的“計(jì)算機(jī)配置”下面，依次展開“Windows 設(shè)置”、“安全設(shè)置”和“帳戶策略”，然后

單擊“密碼策略”。

3. 在詳細(xì)信息窗格中，雙擊“強(qiáng)制密碼歷史”，選擇“定義這個(gè)策略設(shè)置”復(fù)選框，將“保留密碼歷史”值設(shè)置為

“24”，然后單擊“確定”。

4. 在詳細(xì)信息窗格中，雙擊“密碼最長使用期限”，選擇“定義這個(gè)策略設(shè)置”復(fù)選框，將“密碼過期時(shí)間”值設(shè)置

為“42”，單擊“確定”，然后單擊“確定”接受“密碼最長使用期限”的建議更改值。 5. 在詳細(xì)信息窗格中，雙擊“密碼最短使用期限”，將“在以下天數(shù)后可以更改密碼”值設(shè)置為 2，然后單擊“確

定”。

6. 在詳細(xì)信息窗格中，雙擊“密碼長度最小值”，選擇“定義這個(gè)策略設(shè)置”復(fù)選框，將“密碼必須至少是”值設(shè)置

為“8”，然后單擊“確定”。

7. 在詳細(xì)信息窗格中，雙擊“密碼必須符合復(fù)雜性要求”，選擇“在模板中定義這個(gè)策略設(shè)置”復(fù)選框，選擇“已啟

用”，然后單擊“確定”。

8. 在詳細(xì)信息窗格中，雙擊“用可還原的加密來儲(chǔ)存密碼”，選擇“在模板中定義這個(gè)策略設(shè)置”復(fù)選框，選擇“已

禁用”（默認(rèn)），然后單擊“確定”。設(shè)置應(yīng)該如圖 3 所示。

圖 3. 確認(rèn)域密碼策略 查看大圖

若要求使用密碼保護(hù)屏幕保護(hù)程序，請(qǐng)按照以下步驟操作：

1. 在“組策略對(duì)象編輯器”中，折疊“計(jì)算機(jī)配置”，在“用戶配置”下面，展開“管理模板”，展開“控制模板”，然

后單擊“顯示”。

2. 可選設(shè)置：在詳細(xì)信息窗格中，雙擊“可執(zhí)行的屏幕保護(hù)程序的名稱”，選擇“已啟用”，鍵入“scrnsave.sc”

作為“可執(zhí)行的屏幕保護(hù)程序的名稱”，然后單擊“確定”。

注意：定義可執(zhí)行的屏幕保護(hù)程序的名稱是出于性能考慮而在此定義的一項(xiàng)可選設(shè)置。在提供核心計(jì)算服務(wù)的 Windows Server 2003 中，如果啟用屏幕保護(hù)程序，則可能會(huì)占用不必要的處理能力，因此限制了組織計(jì)算所需的可用資源。如果在服務(wù)器上部署屏幕保護(hù)程序，強(qiáng)烈建議您使用空白屏幕保護(hù)程序

(scrnsave.scr)。您可以考慮在“Domain Controllers”容器下面再創(chuàng)建一個(gè) GPO 以定義“可執(zhí)行的屏幕保護(hù)程序的名稱”設(shè)置。

3. 在詳細(xì)信息窗格中，雙擊“密碼保護(hù)屏幕保護(hù)程序”，選擇“已啟用”，鍵入“scrnsave.scr”作為“可執(zhí)行的屏

幕保護(hù)程序的名稱”，然后單擊“確定”。設(shè)置應(yīng)該如圖 4 所示。

圖 4. 確認(rèn)域屏幕保護(hù)程序

4. 在“組策略對(duì)象編輯器”中，單擊“文件”，然后單擊“退出”。在“contoso.com 屬性”頁中，單擊“關(guān)閉”。單擊“文件”，然后單擊“退出”以關(guān)閉“Active Directory 用戶和計(jì)算機(jī)”。如果出現(xiàn)提示，請(qǐng)單擊“是”以保存“GPWalkThrough”MMC。

要確認(rèn)密碼保護(hù)屏幕保護(hù)程序，請(qǐng)按照以下步驟操作：

1. 單擊“開始”按鈕，單擊“運(yùn)行”，鍵入“gpupdate /force”，然后單擊“確定”。

注意：Gpupdate 刷新本地組策略設(shè)置和基于 Active Directory 的組策略設(shè)置，其中包括安全設(shè)置。force 選項(xiàng)忽略所有處理優(yōu)化并重新應(yīng)用所有設(shè)置。

單擊“屬性”，然后單擊“屏幕保護(hù)程序”選項(xiàng)卡。屏幕保護(hù)程序名稱應(yīng)為“無”，并且選擇了“在2. 右鍵單擊“桌面”，

恢復(fù)時(shí)使用密碼保護(hù)”復(fù)選框。這兩項(xiàng)應(yīng)灰顯，如圖 5 所示。

圖 5. 確認(rèn)密碼保護(hù)屏幕保護(hù)程序

3. 單擊“取消”。