Windows默認(rèn)密碼
銀海網(wǎng)站制作公司哪家好,找創(chuàng)新互聯(lián)建站����!從網(wǎng)頁設(shè)計�、網(wǎng)站建設(shè)��、微信開發(fā)����、APP開發(fā)、自適應(yīng)網(wǎng)站建設(shè)等網(wǎng)站項目制作����,到程序開發(fā),運營維護�����。創(chuàng)新互聯(lián)建站2013年至今到現(xiàn)在10年的時間,我們擁有了豐富的建站經(jīng)驗和運維經(jīng)驗���,來保證我們的工作的順利進(jìn)行��。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)建站����。
當(dāng)你試圖登錄到Active Directory域的時候��,你將需要輸入三項內(nèi)容:用戶名����、密碼和域名。
當(dāng)域控制器收到這些信息后���,會根據(jù)列在Active Directory數(shù)據(jù)庫的用戶名和密碼對信息進(jìn)行分析���。如果密碼是相符合的,那么域控制器就會通過驗證用戶�,然后為用戶提供驗證令牌以獲取訪問網(wǎng)絡(luò)/域中其他資源的訪問權(quán)。
當(dāng)用戶試圖更改其帳戶密碼時�,這種信息也會被發(fā)送至域控制器。當(dāng)用戶輸入新密碼并將新密碼發(fā)送至域控制器時,會有相應(yīng)的政策來確保密碼符合最低安全標(biāo)準(zhǔn)��。以下是一些基本的密碼政策(針對域和所有本地用戶帳戶的):
·Windows 密碼(Windows Server 2003域或者更高版本)要求至少有7個字符長度
·密碼必須包含以下四種類型字符中的三種字符類型:大寫字母���、小寫字母���、數(shù)字、特殊符號���。
·新密碼必須在42天前生成的����,以保持帳戶的有效性�。
·在創(chuàng)建24個獨特密碼前���,密碼不可以重復(fù)使用����。
所有這些設(shè)置都是在GPO的電腦配置部分進(jìn)行設(shè)置的�����,位于密碼政策列表下。圖1顯示的是如何設(shè)置這些密碼政策��。
|
圖1:GPO中的密碼政策(Password Policy)設(shè)置位于計算機配置(Computer Configuration)下�, 而不是用戶配置(User Configuration)中 |
什么在控制著域密碼政策?
筆者發(fā)現(xiàn),盡管距離微軟公司首次發(fā)布Active Directory已經(jīng)過去9年了�����,很多IT專業(yè)人士仍然搞不清楚密碼政策是如何被控制的以及如何修改這些政策等問題���,下面是關(guān)于Windows 密碼政策和功能的一些事實:
首先���,Default Domain Policy GPO(默認(rèn)域政策GPO)控制著整個域中所有計算機的密碼政策,這包括域控制器�����、服務(wù)器和整個Active Directory的桌面(已經(jīng)加入域中)�。Default Domain Policy是與域節(jié)點相關(guān)的,這當(dāng)然包括域中的所有計算機�。
其次,任何連接到域的GPO都可以用于建立和控制密碼政策設(shè)置���,GPO在域級別擁有最高優(yōu)先權(quán)�,這使其在任何與密碼政策設(shè)置相沖突的設(shè)置中都能起決定作用。
第三�,如果GPO連接到組織單位(OU),它將不能控制位于OU內(nèi)的用戶帳戶����。這是目前IT專業(yè)人士最常犯的錯誤。密碼政策設(shè)置不是基于用戶的���,而是基于計算機的���,正如圖1所示。
第四���,如果GPO鏈接到OU�,GPO中創(chuàng)建的密碼政策設(shè)置將會影響位于OU的任何計算機上的本地SAM�,這將使鏈接到該域的GPO中配置的密碼政策設(shè)置發(fā)揮主導(dǎo)作用,但是僅限于存儲在這些計算機的本地SAM的本地用戶帳戶���。
第五,如果GPO鏈接到默認(rèn)域控制器OU�,它將不會控制存儲在域控制器的用戶Active Directory數(shù)據(jù)庫。修改域用戶帳戶的密碼政策設(shè)置的唯一途徑位于鏈接到該域的GPO內(nèi)��。
第六,大多數(shù)現(xiàn)有的Windows Active Directory企業(yè)版都支持LanManager(LM)功能���,LM是一個非常舊的驗證協(xié)議�����,不太能保證密碼和生成的密碼hash(用于支持該協(xié)議的驗證)的安全性�����,有兩種GPO設(shè)置(實際上是注冊表設(shè)置)可以控制是否支持LM以及是否存儲LM hash�,這將在接下來的文章中進(jìn)行探討�����。
總結(jié)
Active Directory域的默認(rèn)密碼政策設(shè)置并不可怕��,不過仍然需要改進(jìn)����。默認(rèn)設(shè)置是最初設(shè)置的,并被保存在默認(rèn)域政策GPO中����,而這是與域節(jié)點相連的��。對于windows 2000和Server 2003域而言���,只能有一個密碼政策,這意味著所有的用戶(IT人員���、開發(fā)人員��、管理人員���、人力資源等)都擁有相同的密碼政策控制,這是非常不安全的��?�?梢酝ㄟ^鏈接到OU(這些計算機帳戶位于AD中)的GPO對服務(wù)器和桌面的本地SAM進(jìn)行修改����,這些GPO設(shè)置只能控制本地用戶帳戶,而不是域用戶帳戶�����。LM是一種舊的不安全的驗證協(xié)議�,盡可能禁用這種協(xié)議。
當(dāng)前名稱:Windows密碼安全問題全解析
當(dāng)前路徑:
http://uogjgqi.cn/article/dhgohoc.html
