域控中强制实施强密码策略的逐步式指南

强制实施强密码策略的逐步式指南本逐步式指南详细介绍了使用组策略对象 (GPO) 定义强密码策略以扩展计算环境安全性的方法。 本页内容简介概述使用组策略对象来设置密码策略其他资源简介逐步式指南Windo

强制实施强密码策略的逐步式指南

本逐步式指南详细介绍了使用组策略对象 (GPO) 定义强密码策略以扩展计算环境安全性的方法。 本页内容

简介

概述

使用组策略对象来设置密码策略

其他资源

简介

逐步式指南

Windows Server 2003 部署逐步式指南提供了很多常见操作系统配置的实际操作经验。本指南首先介绍通过以下过程来建立通用网络结构：安装 Windows Server 2003；配置 Active Directory®；安装 Windows XP Professional 工作站并最后将此工作站添加到域中。后续逐步式指南假定您已建立了此通用网络结构。如果您不想遵循此通用网络结构，则需要在使用这些指南时进行适当的修改。

通用网络结构要求完成以下指南。

• 第一部分：将 Windows Server 2003 安装为域控制器

• 第二部分：安装 Windows XP Professional 工作站并将其连接到域上

在配置通用网络结构后，可以使用任何其他的逐步式指南。注意，某些逐步式指南除具备通用网络结构要求外，可能还需要满足额外的先决条件。任何额外的要求都将列在特定的逐步式指南中。

Microsoft Virtual PC

可以在物理实验室环境中或通过虚拟化技术（如 Microsoft Virtual PC 2004 或 Microsoft Virtual Server 2005）来实施 Windows Server 2003 部署逐步式指南。借助于虚拟机技术，客户可以同时在一台物理服务器上运行多个操作系统。Virtual PC 2004 和 Virtual Server 2005 就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高工作效率而设计的。

Windows Server 2003 部署逐步式指南假定所有配置都是在物理实验室环境中完成的，但大多数配置不经修改就可以应用于虚拟环境。

将这些逐步式指南中提供的概念应用于虚拟环境超出了本文的讨论范围。

重要说明

此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构，决不意指，也不应由此臆测任何公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。

此通用基础结构是为在专用网络上使用而设计的。此通用结构中使用的虚拟公司名称和域名系统 (DNS) 名称并未注册以便在 Internet 上使用。您不应在公共网络或 Internet 上使用此名称。

此通用结构的 Active Directory 服务结构用于说明“Windows Server 2003 更改和配置管理”如何与 Active Directory 配合使用。不能将其作为任何组织进行 Active Directory 配置的模型。 返回页首

概述

大多数用户通过使用在键盘上键入的用户名和密码组合来登录到本地或远程计算机上。虽然所有常用操作系统都可以使用其他身份验证技术（例如，生物测定、智能卡以及一次性密码），但多数组织仍依赖于传统密码，在以后几年内还会保持这种状况。因此，组织为其计算机定义和强制实施密码策略（包括强制使用强密码）是至关重要的。

强密码符合一些复杂性要求（包括长度和字符类别），从而使黑客更难以破解密码。为组织制订强密码策略有助于防止黑客模拟用户，因而有助于防止敏感信息的丢失、泄露或破坏。

取决于组织中的计算机是 Active Directory 域成员、独立计算机，还是二者兼而有之，要实施强密码策略，您需要执行下面的一个或两个任务。

• 在 Active Directory 域中配置密码策略设置。

• 在独立计算机上配置密码策略设置。

本文讲述如何通过 GPO 在 Active Directory 域成员上配置密码策略设置。

在配置了适当的密码策略设置后，组织用户就可以创建新的密码了，但前提是新密码必须符合强密码的长度和复杂性要求，而且用户不能立即更改其新密码。

先决条件

• 第一部分：将 Windows Server 2003 安装为域控制器

• • 了解组策略功能集的逐步式指南

指南要求

• 凭据：您必须以 Domain Admins 组成员的身份登录以完成这些练习。 返回页首

使用组策略对象来设置密码策略

在网络计算机上配置密码策略之前，您需要指定相关的设置，确定这些设置使用的值，并了解 Windows 存储密码策略配置信息的方式。

注意：Windows 95、Windows 98 以及 Windows Millennium Edition 操作系统不支持高级安全功能（例如，密码策略）。如果网络中包括运行这些操作系统的独立计算机（不属于任何域的计算机），则不能在这些计算机上强制实施密码策略。如果网络中运行这些操作系统的计算机是 Active Directory 域的成员，则只能在域级别强制实施密码策略。

指定密码策略的相关设置

对于 Windows 2000、Windows XP 和 Windows Server 2003，可以配置六种与密码特性有关的设置：“强制密码历史”、“密码最长使用期限”、“密码最短使用期限”、“密码长度最小值”、“密码必须符合复杂性要求”和“用可还原的加密来储存密码”。有关确定这些符合组织业务要求的设置值的帮助，请参阅 Microsoft 安全指南 Web 站点上的选择安全密码。

• 强制密码历史确定在用户可以重用旧密码前必须使用唯一新密码的数量。该设置的值可以在 0 和 24 之间；

如果将其设置为 0，则禁用强制密码历史。对于大多数组织，应该将该值设置为 24 个密码。

• 密码最长使用期限确定在要求用户更改密码之前可以使用它的天数。该设置的值可以在 0 和 999 之间；如

果将其设置为 0，密码将永不过期。如果将该值设置得太低，则可能会给用户带来不必要的麻烦；如果设置得过高或将其禁用，黑客就会有更充足的时间来破解密码。对于大多数组织，应该将该值设置为 42 天。 • 密码最短使用期限确定在用户可以更改新密码前必须将其保持的天数。该设置旨在与“强制密码历史”设置搭

配使用，以使用户不能快速将密码重设所需的次数，然后改回其旧密码。该设置的值可以在 0 和 999 之间；如果将其设置为 0，则用户可以立即更改新密码。建议将该值设置为 2 天。

• 密码长度最小值确定密码的最少字符数。虽然 Windows 2000、Windows XP 以及 Windows Server

2003 支持长达 28 个字符的密码，但是该设置的值只能在 0 和 14 之间。如果将该值设置为 0，则允许用户使用空白密码，因此不应将其设置为 0。建议您将该值设置为 8 个字符。

• 密码必须符合复杂性要求确定是否强制实施密码复杂性。如果启用该设置，用户密码应满足以下要求：

• 密码长度最少为 6 个字符。

• 密码至少包含以下五种字符中的三种：

• 大写英文字符 (A – Z)

• 小写英文字符 (a – z)

• 10 以内的阿拉伯数字 (0 – 9)

• 非字母数字字符（例如：! 、$、# 或 ）

• Unicode 字符

• 密码不能包含用户帐户名称中的三个或三个以上字符。

• 如果帐户名称长度少于三个字符，则不执行该检查，因为密码被拒绝率太高了。在检查用户全称时，将以下几个字符视为分隔符（将名称分隔为单独的标记）：逗号、句号、破折号/连字符、下划线、空格、英镑标记和制表符。对于每个长度为三个或三个以上字符的标记，将在密码中搜索该标记；如果找到了，则拒绝更改密码。例如，名称“Erin M. Hagens”将分解为三个标记：“Erin”、“M”和“Hagens”。由于第二个标记长度仅为一个字符，所以将该标记忽略。因此，此用户不能在密码中包含“erin”或“hagens”作为子字符串。所有这些检查都不区分大小写。

• 在更改密码或创建新密码时，将强制实施这些复杂性要求。建议您启用该设置。

• 用可还原的加密来储存密码为以下应用程序提供支持：所使用的协议要求知道用于身份验证的用户密码。用可还原的加密来储存密码与存储纯文本密码版本基本相同。为此，除非应用程序要求的重要性超过保护密码信息需求，否则，切勿启用该策略。

• 通过远程访问或 Internet 验证服务 (IAS) 来使用质询握手身份验证协议 (CHAP) 时，要求启用该策略。在 Internet 信息服务 (IIS) 中使用摘要式身份验证时，也要求启用该策略。

存储密码策略信息

在实施密码策略之前，您需要了解密码策略配置信息的存储方式。这是因为，密码策略存储机制限制可以实施的各种密码策略的数量，并且影响应用密码策略设置的方式。

每个帐户数据库只能有一个密码策略。可将 Active Directory 域视为一个帐户数据库，就如同独立计算机上的本地帐户数据库一样。作为域成员的计算机也拥有一个本地帐户数据库，但是大多数部署了 Active Directory 域的组织要求其用户使用基于域的帐户登录到其计算机和网络上。因此，如果您指定的最小域密码长度为 14 字符，域中的所有用户在创建新密码时，必须使用 14 个或 14 个以上字符的密码。要为一组特定用户设置不同的要求，您必须为其帐户创建新的域。

Active Directory 域使用 GPO 来存储各种配置信息，其中包括密码策略设置。虽然 Active Directory 是一种可支持多种组织单位 (OU) 级别和多个 GPO 的分层式目录服务，但必须在域的根容器中定义域的密码策略设置。在为新的 Active Directory 域创建第一个域控制器时，就会自动创建两个 GPO ：“Default Domain Policy”GPO 和“Default Domain Controller Policy”GPO。“Default Domain Policy”链接到根容器上。它包含一些全域性的重要设置，其中包括默认密码策略设置。“Default Domain Controller Policy”链接到“Domain Controllers”OU 上，并且包含域控制器的初始安全设置。

最佳做法是避免修改这些内置的 GPO 。如果您需要应用不同于默认设置的密码策略设置，应创建一个新的 GPO ，将其链接到该域的根容器或“Domain Controllers”OU 上，并为其分配一个比内置 GPO 更高的优先级。如果将两个具有冲突设置的 GPO 链接到同一个容器上，优先级高的 GPO 优先。

实施密码策略设置

本节通过在组织的计算机上实施密码策略设置来提供增强安全性的逐步式说明。

要创建新的根域组策略对象，请按照以下步骤操作：

1. 单击“开始”按钮，选择“所有程序”，选择“管理工具”，然后单击“GPWalkThrough”。

注意：GPWalkThrough Microsoft 管理控制台 (MMC) 是在了解组策略功能集的逐步式指南中创建的。如果您没有完成该指南中的步骤，则需要相应地修改以下步骤。

2. 在“GPWalkThrough”MMC 控制台中，展开“Active Directory 用户和计算机”，右键单击

“contoso.com”，单击“属性”，然后单击“组策略”选项卡。

注意：Microsoft 建议您创建一个新的 GPO ，而不是编辑内置 GPO“Default Domain Policy”。通过这样做，您可以更容易地从严重的安全设置问题中恢复。如果新的安全设置出现问题，则可以暂时禁用新的 GPO ，直至找出引起问题的设置。

3. 单击“新建”，然后键入“Domain Password Policy”作为“GPO 名称”（如图 1 所示）。

图 1. 创建根域 GPO

4. 按“Enter”键。

要强制实施“Domain Password Policy”GPO，请按照以下步骤操作：

注意：有关组策略继承的详细讨论和以下步骤的更多信息，请参见了解组策略功能集的逐步式指南。

1. 在“contoso.com 属性”页上，单击以突出显示“Domain Password Policy”，然后单击“向上”按钮。 2. 在“contoso.com 属性”页上，右键单击“Domain Password Policy”，然后单击“禁止替代”。

“contoso.com 属性”页应该如图 2 所示。

图 2. 设置 GPO 优先级

要定义密码使用策略，请按照以下步骤操作：

1. 在“contoso.com 属性”页上，双击“Domain Password Policy”。 2. 在“组策略对象编辑器”的“计算机配置”下面，依次展开“Windows 设置”、“安全设置”和“帐户策略”，然后

单击“密码策略”。

3. 在详细信息窗格中，双击“强制密码历史”，选择“定义这个策略设置”复选框，将“保留密码历史”值设置为

“24”，然后单击“确定”。

4. 在详细信息窗格中，双击“密码最长使用期限”，选择“定义这个策略设置”复选框，将“密码过期时间”值设置

为“42”，单击“确定”，然后单击“确定”接受“密码最长使用期限”的建议更改值。 5. 在详细信息窗格中，双击“密码最短使用期限”，将“在以下天数后可以更改密码”值设置为 2，然后单击“确

定”。

6. 在详细信息窗格中，双击“密码长度最小值”，选择“定义这个策略设置”复选框，将“密码必须至少是”值设置

为“8”，然后单击“确定”。

7. 在详细信息窗格中，双击“密码必须符合复杂性要求”，选择“在模板中定义这个策略设置”复选框，选择“已启

用”，然后单击“确定”。

8. 在详细信息窗格中，双击“用可还原的加密来储存密码”，选择“在模板中定义这个策略设置”复选框，选择“已

禁用”（默认），然后单击“确定”。设置应该如图 3 所示。

图 3. 确认域密码策略 查看大图

若要求使用密码保护屏幕保护程序，请按照以下步骤操作：

1. 在“组策略对象编辑器”中，折叠“计算机配置”，在“用户配置”下面，展开“管理模板”，展开“控制模板”，然

后单击“显示”。

2. 可选设置：在详细信息窗格中，双击“可执行的屏幕保护程序的名称”，选择“已启用”，键入“scrnsave.sc”

作为“可执行的屏幕保护程序的名称”，然后单击“确定”。

注意：定义可执行的屏幕保护程序的名称是出于性能考虑而在此定义的一项可选设置。在提供核心计算服务的 Windows Server 2003 中，如果启用屏幕保护程序，则可能会占用不必要的处理能力，因此限制了组织计算所需的可用资源。如果在服务器上部署屏幕保护程序，强烈建议您使用空白屏幕保护程序

(scrnsave.scr)。您可以考虑在“Domain Controllers”容器下面再创建一个 GPO 以定义“可执行的屏幕保护程序的名称”设置。

3. 在详细信息窗格中，双击“密码保护屏幕保护程序”，选择“已启用”，键入“scrnsave.scr”作为“可执行的屏

幕保护程序的名称”，然后单击“确定”。设置应该如图 4 所示。

图 4. 确认域屏幕保护程序

4. 在“组策略对象编辑器”中，单击“文件”，然后单击“退出”。在“contoso.com 属性”页中，单击“关闭”。单击“文件”，然后单击“退出”以关闭“Active Directory 用户和计算机”。如果出现提示，请单击“是”以保存“GPWalkThrough”MMC。

要确认密码保护屏幕保护程序，请按照以下步骤操作：

1. 单击“开始”按钮，单击“运行”，键入“gpupdate /force”，然后单击“确定”。

注意：Gpupdate 刷新本地组策略设置和基于 Active Directory 的组策略设置，其中包括安全设置。force 选项忽略所有处理优化并重新应用所有设置。

单击“属性”，然后单击“屏幕保护程序”选项卡。屏幕保护程序名称应为“无”，并且选择了“在2. 右键单击“桌面”，

恢复时使用密码保护”复选框。这两项应灰显，如图 5 所示。

图 5. 确认密码保护屏幕保护程序

3. 单击“取消”。