|
|
Windows默认密码 当你试图登录到Active Directory域的时候,你将需要. 输入三项内容:用户名、密码和域名。
当域控制器收到这些信息后,会依据 列在Active Directory数据库的用户名和密码对信息进行剖析 。假如 密码是相契合 的,那么域控制器就会通过验证用户,然后为用户提供验证令牌以获取访问网络/域中其他资源的访问权。
当用户试图更改其帐户密码时,这种信息也会被发送至域控制器。当用户输入新密码并将新密码发送至域控制器时,会有相应的政策来确失密 码契合 最低安全标准。以下是一些基本的密码政策(针对域和一切 本地用户帐户的):
·Windows 密码(Windows Server 2003域或者更高版本)要求至少有7个字符长度
·密码必须包含以下四品种 型字符中的三种字符类型:大写字母、小写字母、数字、特殊符号。
·新密码必须在42天前生成的,以保持帐户的有效性。
·在创建24个共同 密码前,密码不可以重复使用。
一切 这些设置都是在GPO的电脑配置部分进行设置的,位于密码政策列表下。图1显示的是如何设置这些密码政策。
图1:GPO中的密码政策(Password Policy)设置位于计算机配置(Computer Configuration)下
而不是用户配置(User Configuration)中
什么在控制着域密码政策?
虽然 间隔 微软公司初次 发布Active Directory已经过去9年了,很多IT专业人士依然 搞不清楚密码政策是如何被控制的以及如何修改这些政策等问题,下面是关于Windows 密码政策和功能的一些事实:
首先,Default Domain Policy GPO(默认域政策GPO)控制着整个域中一切 计算机的密码政策,这包括域控制器、服务器和整个Active Directory的桌面(已经加入域中)。Default Domain Policy是与域节点相关的,这当然包括域中的一切 计算机。
其次,任何连接到域的GPO都可以用于建立和控制密码政策设置,GPO在域级别具有 最高优先权,这使其在任何与密码政策设置相抵触 的设置中都能起决定作用。
第三,假如 GPO连接到组织单位(OU),它将不能控制位于OU内的用户帐户。这是目前IT专业人士最常犯的错误。密码政策设置不是基于用户的,而是基于计算机的,正如图[ghost win7纯净版] 1所示[win7旗舰版系统下载] 。
第四,假如 GPO链接到OU,GPO中创建的密码政策设置将会影响位于OU的任何计算机上的本地SAM,这将使链接到该域的GPO中配置的密码政策设置发挥主导作用,但是仅限于存储在这些计算机的本地SAM的本地用户帐户。
第五,假如 GPO链接到默认域控制器OU,它将不会控制存储在域控制器的用户Active Directory数据库。修改域用户帐户的密码政策设置的独一 途径位于链接到该域的GPO内。
第六,大多数现有的Windows Active Directory企业版都支持LanManager(LM)功能,LM是一个十分 旧的验证协议 ,不太能保证密码和生成的密码hash(用于支持该协议 的验证)的安全性,有两种GPO设置(实际上是注册表设置)可以控制是否支持LM以及是否存储LM hash,这将在接下来的文章中进行讨论 。
总结
Active Directory域的默认密码政策设置并不可怕,不过依然 需要. 改良 。默认设置是最初设置的,并被保存在默认域政策GPO中,而这是与域节点相连的。对于windows 2000和Server 2003域而言,只能有一个密码政策,这意味着一切 的用户(IT人员、开发人员、管理人员、人力资源等)都具有 相同的密码政策控制,这是十分 不安全的。可以通过链接到OU(这些计算机帐户位于AD中)的GPO对服务器和桌面的本地SAM进行修改,这些GPO设置只能控制本地用户帐户,而不是域用户帐户。LM是一种旧的不安全的验证协议 ,尽可能禁用这种协议 。下文中我们将讨论密码攻击以及预防攻击等问题。 |
|
|
|
|
|
|
|
|
|
