密码策略可确保用户密码强度高且定期更改,从而使攻击者几乎不可能破解密码。为确保AD域中用户帐户的高度安全性,管理员必须配置和实施域密码策略。密码策略应提供足够的复杂性、密码长度以及更改用户和服务账户密码的频率。因此可以使攻击者更难以暴力破解或捕获用户密码。

Active Directory

一、什么是 Active Directory 默认密码策略

默认情况下,Active Directory 配置有默认域密码策略。此策略定义 AD域用户帐户的密码要求,例如密码长度、年龄等。

密码策略

二、如何编辑 AD 密码策略

密码策略由组策略配置并链接到域的根目录。您可以使用以下两种方式之一查看默认密码策略。

  • 使用GPMC
  • 使用 PowerShell 脚本
  • 使用 GPMC

转到开始菜单→管理工具→组策略管理。

在控制台中,打开 Forest,然后打开 Domains。选择必须为其设置帐户策略地域。

双击域以显示链接到该域的GPO。

右键单击默认域策略并选择编辑。组策略编辑器控制台将打开。

现在,导航到计算机配置→策略→ Windows 设置→安全设置→帐户策略→密码策略。

双击密码策略则可以显示AD中可用的六个密码设置。右键单击这些设置中的任何一项,然后选择“属性”以定义策略设置

每个策略设置的“属性”对话框都有两个选项卡。安全策略设置选项是设置该值的位置。解释选项提供策略设置及其默认值的简要说明。

在安全策略设置选项卡中,选中定义此策略设置复选框并输入所需的值。单击应用,然后单击确定。

组策略管理编辑器显示 Active Directory 中的默认域策略。

使用 PowerShell 脚本

您还可以使用此命令通过 Powershell 查看默认密码策略。

获取
ADDefaultDomainPasswordPolicy

密码策略设置

三、了解密码策略设置

到目前为止,我们已经了解了如何查看和更改策略。但您必须了解这些默认设置的含义,以便进行必要的更改。因此,让我们来看看每个设置。

  • 强制密码历史

此设置确定在重新使用旧密码之前必须设置的新密码的数量。它确保用户不会连续使用旧密码,这将使最小密码年龄策略设置无用。该值可以设置在 0 到 24 之间。域控制器上的默认值为24,独立服务器上的默认值为0。

例如,如果 Enforce Password History 值设置为 10,则用户必须在密码过期时设置10个不同的密码,然后才能将密码设置为旧值。

如果该值设置为 0,则不会记住密码历史记录,并且用户可以在密码过期时重新使用他们的旧密码。

  • 最大密码年龄

此设置确定密码可以使用的最大天数。一旦密码最长使用期限到期,用户必须更改其密码。它确保用户不会永远使用一个密码。该值可以设置在 0 到 999 天之间。默认值为 42。

例如,如果“密码最长使用期限”值设置为 60,则用户必须每 60 天更改一次密码。

如果该值设置为 0,则密码永不过期,并且用户无需更改他/她的密码。

  • 最低密码年龄

此设置确定密码在更改之前必须使用的最少天数。只有当密码最短使用期限到期时,才允许用户更改他们的密码。它确保用户不会过于频繁地更改密码。该值可以设置在 0 到 999 天之间。域控制器的默认值为 1,独立服务器的默认值为 0。

例如,如果最小密码期限设置为 10,则用户在最后一次密码更改后的 10 天内不能更改他/她的密码。

此设置用于确保强制密码历史设置的有效性。如果最小密码年龄设置为 0,则用户可以每 2 分钟左右更改一次密码,直到达到强制密码历史设置的值,然后重新使用他/她最喜欢的旧密码。通过将最小密码年龄设置为某个值,用户无法频繁更改他/她的密码以使强制密码历史设置无效。

最短密码使用期限的值应始终小于最长密码使用期限。

  • 最小密码长度

此设置确定密码应包含的最少字符数。该值可以设置在 0 到 14 之间。域控制器上的默认值为 7,独立服务器上的默认值为 0。

例如,如果最小密码长度设置为 6,则密码必须至少包含 6 个字符。

如果设置为 0,则不需要密码。

密码策略规则

四、密码必须满足复杂性要求

此设置确定密码是否必须满足指定的复杂性要求。如果启用此设置,密码必须满足以下要求。

  • 不包含超过两个连续字符的用户帐户名或用户全名的一部分
  • 密码长度至少为六个字符。
  • 密码包含来自以下四类中的至少三类的字符:
  • 英文大写字符 (A – Z)
  • 英文小写字符 (a – z)
  • 以 10 位为基数 (0 – 9)
  • 非字母数字(例如:$、# 或 %)
  • 默认情况下,此设置在域控制器上启用,在独立服务器上禁用。

密码策略要求

五、使用可逆加密存储密码

此安全设置确定密码是否使用可逆加密存储。如果使用可逆加密存储密码,则解密密码变得更容易。此设置在某些情况下很有用,其中应用程序或服务需要用户的用户名和密码才能执行某些功能。仅在必要时才应启用此设置。默认情况下,此设置被禁用。

虽然微软为AD域用户提供了较为完善的密码策略,但随着近年来各类攻击形式的不断升级,破解企业AD域用户密码已经不是什么难事。并且高强度的密码策略对用户的使用体验也会大幅度降低,因此更加合理的解决AD域弱密码问题成了企业的重点问题。

ADSelfService Plus

ADSelfService Plus是一款企业级AD域密码自助管理工具,它能实现企业内部员工自助重置、修改密码,还能对已锁定账户进行解锁。整个流程完全自助,却不影响用户密码的安全性同时提供密码黑名单功能,可以将常见的、易破解的密码样式加入黑名单,减少密码被攻击的可能性。而且它还能生成密码状态报告,让管理员能清晰的了解每一次密码修改情况,确保企业网络安全。对密码即将过期的用户进行及时通知,使其在密码过期之前及时修改。

密码在我们的工作中无处不在,合理高效的利用密码能确保我们的工作正常开展ADSelfService Plus作为一款AD域自助密码管理工具,正在给越来越多企业的AD域管理带来福利。