Windows密碼安全問題全解析

Windows默認密碼

當你試圖登錄到Active Directory域的時候，你將需要輸入三項內容：用戶名、密碼和域名。

當域控制器收到這些信息後，會根據列在Active Directory資料庫的用戶名和密碼對信息進行分析。如果密碼是相符合的，那么域控制器就會通過驗證用戶，然後為用戶提供驗證令牌以獲取訪問網路/域中其他資源的訪問權。

當用戶試圖更改其帳戶密碼時，這種信息也會被傳送至域控制器。當用戶輸入新密碼並將新密碼傳送至域控制器時，會有相應的政策來確保密碼符合最低安全標準。以下是一些基本的密碼政策(針對域和所有本地用戶帳戶的)：

·Windows 密碼(Windows Server 2003域或者更高版本)要求至少有7個字元長度

·密碼必須包含以下四種類型字元中的三種字元類型：大寫字母、小寫字母、數字、特殊符號。

·新密碼必須在42天前生成的，以保持帳戶的有效性。

·在創建24個獨特密碼前，密碼不可以重複使用。

所有這些設定都是在GPO的電腦配置部分進行設定的，位於密碼政策列表下。圖1顯示的是如何設定這些密碼政策。

GPO中的密碼政策(Password Policy)設定位於計算機配置(Computer Configuration)下，而不是用戶配置(User Configuration)中

什麼在控制著域密碼政策?

筆者發現，儘管距離微軟公司首次發布Active Directory已經過去9年了，很多IT專業人士仍然搞不清楚密碼政策是如何被控制的以及如何修改這些政策等問題，下面是關於Windows 密碼政策和功能的一些事實：

首先，Default Domain Policy GPO(默認域政策GPO)控制著整個域中所有計算機的密碼政策，這包括域控制器、伺服器和整個Active Directory的桌面(已經加入域中)。Default Domain Policy是與域節點相關的，這當然包括域中的所有計算機。

其次，任何連線到域的GPO都可以用於建立和控制密碼政策設定，GPO在域級別擁有最高優先權，這使其在任何與密碼政策設定相衝突的設定中都能起決定作用。

第三，如果GPO連線到組織單位(OU)，它將不能控制位於OU內的用戶帳戶。這是目前IT專業人士最常犯的錯誤。密碼政策設定不是基於用戶的，而是基於計算機的，正如圖1所示。

第四，如果GPO連結到OU，GPO中創建的密碼政策設定將會影響位於OU的任何計算機上的本地SAM，這將使連結到該域的GPO中配置的密碼政策設定發揮主導作用，但是僅限於存儲在這些計算機的本地SAM的本地用戶帳戶。

第五，如果GPO連結到默認域控制器OU，它將不會控制存儲在域控制器的用戶Active Directory資料庫。修改域用戶帳戶的密碼政策設定的唯一途徑位於連結到該域的GPO內。

基本介紹