強制實施強密碼策略的逐步式指南本逐步式指南詳細介紹了使用組策略對象 (GPO) 定義強密碼策略以擴展計算環(huán)境安全性的方法。 本頁內(nèi)容簡介概述使用組策略對象來設置密碼策略其他資源簡介逐步式指南Windo

強制實施強密碼策略的逐步式指南

本逐步式指南詳細介紹了使用組策略對象 (GPO) 定義強密碼策略以擴展計算環(huán)境安全性的方法。 本頁內(nèi)容

簡介

概述

使用組策略對象來設置密碼策略

其他資源

簡介

逐步式指南

Windows Server 2003 部署逐步式指南提供了很多常見操作系統(tǒng)配置的實際操作經(jīng)驗。本指南首先介紹通過以下過程來建立通用網(wǎng)絡結構：安裝 Windows Server 2003；配置 Active Directory?；安裝 Windows XP Professional 工作站并最后將此工作站添加到域中。后續(xù)逐步式指南假定您已建立了此通用網(wǎng)絡結構。如果您不想遵循此通用網(wǎng)絡結構，則需要在使用這些指南時進行適當?shù)男薷摹?/p>

通用網(wǎng)絡結構要求完成以下指南。

? 第一部分：將 Windows Server 2003 安裝為域控制器

? 第二部分：安裝 Windows XP Professional 工作站并將其連接到域上

在配置通用網(wǎng)絡結構后，可以使用任何其他的逐步式指南。注意，某些逐步式指南除具備通用網(wǎng)絡結構要求外，可能還需要滿足額外的先決條件。任何額外的要求都將列在特定的逐步式指南中。

Microsoft Virtual PC

可以在物理實驗室環(huán)境中或通過虛擬化技術（如 Microsoft Virtual PC 2004 或 Microsoft Virtual Server 2005）來實施 Windows Server 2003 部署逐步式指南。借助于虛擬機技術，客戶可以同時在一臺物理服務器上運行多個操作系統(tǒng)。Virtual PC 2004 和 Virtual Server 2005 就是為了在軟件測試和開發(fā)、舊版應用程序遷移以及服務器整合方案中提高工作效率而設計的。

Windows Server 2003 部署逐步式指南假定所有配置都是在物理實驗室環(huán)境中完成的，但大多數(shù)配置不經(jīng)修改就可以應用于虛擬環(huán)境。

將這些逐步式指南中提供的概念應用于虛擬環(huán)境超出了本文的討論范圍。

重要說明

此處作為例子提到的公司、組織、產(chǎn)品、域名、電子郵件地址、徽標、個人、地點和事件純屬虛構，決不意指，也不應由此臆測任何公司、組織、產(chǎn)品、域名、電子郵件地址、徽標、個人、地點或事件。

此通用基礎結構是為在專用網(wǎng)絡上使用而設計的。此通用結構中使用的虛擬公司名稱和域名系統(tǒng) (DNS) 名稱并未注冊以便在 Internet 上使用。您不應在公共網(wǎng)絡或 Internet 上使用此名稱。

此通用結構的 Active Directory 服務結構用于說明“Windows Server 2003 更改和配置管理”如何與 Active Directory 配合使用。不能將其作為任何組織進行 Active Directory 配置的模型。 返回頁首

概述

大多數(shù)用戶通過使用在鍵盤上鍵入的用戶名和密碼組合來登錄到本地或遠程計算機上。雖然所有常用操作系統(tǒng)都可以使用其他身份驗證技術（例如，生物測定、智能卡以及一次性密碼），但多數(shù)組織仍依賴于傳統(tǒng)密碼，在以后幾年內(nèi)還會保持這種狀況。因此，組織為其計算機定義和強制實施密碼策略（包括強制使用強密碼）是至關重要的。

強密碼符合一些復雜性要求（包括長度和字符類別），從而使黑客更難以破解密碼。為組織制訂強密碼策略有助于防止黑客模擬用戶，因而有助于防止敏感信息的丟失、泄露或破壞。

取決于組織中的計算機是 Active Directory 域成員、獨立計算機，還是二者兼而有之，要實施強密碼策略，您需要執(zhí)行下面的一個或兩個任務。

? 在 Active Directory 域中配置密碼策略設置。

? 在獨立計算機上配置密碼策略設置。

本文講述如何通過 GPO 在 Active Directory 域成員上配置密碼策略設置。

在配置了適當?shù)拿艽a策略設置后，組織用戶就可以創(chuàng)建新的密碼了，但前提是新密碼必須符合強密碼的長度和復雜性要求，而且用戶不能立即更改其新密碼。

先決條件

? 第一部分：將 Windows Server 2003 安裝為域控制器

? ? 了解組策略功能集的逐步式指南

指南要求

? 憑據(jù)：您必須以 Domain Admins 組成員的身份登錄以完成這些練習。 返回頁首

使用組策略對象來設置密碼策略

在網(wǎng)絡計算機上配置密碼策略之前，您需要指定相關的設置，確定這些設置使用的值，并了解 Windows 存儲密碼策略配置信息的方式。

注意：Windows 95、Windows 98 以及 Windows Millennium Edition 操作系統(tǒng)不支持高級安全功能（例如，密碼策略）。如果網(wǎng)絡中包括運行這些操作系統(tǒng)的獨立計算機（不屬于任何域的計算機），則不能在這些計算機上強制實施密碼策略。如果網(wǎng)絡中運行這些操作系統(tǒng)的計算機是 Active Directory 域的成員，則只能在域級別強制實施密碼策略。

指定密碼策略的相關設置

對于 Windows 2000、Windows XP 和 Windows Server 2003，可以配置六種與密碼特性有關的設置：“強制密碼歷史”、“密碼最長使用期限”、“密碼最短使用期限”、“密碼長度最小值”、“密碼必須符合復雜性要求”和“用可還原的加密來儲存密碼”。有關確定這些符合組織業(yè)務要求的設置值的幫助，請參閱 Microsoft 安全指南 Web 站點上的選擇安全密碼。

? 強制密碼歷史確定在用戶可以重用舊密碼前必須使用唯一新密碼的數(shù)量。該設置的值可以在 0 和 24 之間；

如果將其設置為 0，則禁用強制密碼歷史。對于大多數(shù)組織，應該將該值設置為 24 個密碼。

? 密碼最長使用期限確定在要求用戶更改密碼之前可以使用它的天數(shù)。該設置的值可以在 0 和 999 之間；如

果將其設置為 0，密碼將永不過期。如果將該值設置得太低，則可能會給用戶帶來不必要的麻煩；如果設置得過高或將其禁用，黑客就會有更充足的時間來破解密碼。對于大多數(shù)組織，應該將該值設置為 42 天。 ? 密碼最短使用期限確定在用戶可以更改新密碼前必須將其保持的天數(shù)。該設置旨在與“強制密碼歷史”設置搭

配使用，以使用戶不能快速將密碼重設所需的次數(shù)，然后改回其舊密碼。該設置的值可以在 0 和 999 之間；如果將其設置為 0，則用戶可以立即更改新密碼。建議將該值設置為 2 天。

? 密碼長度最小值確定密碼的最少字符數(shù)。雖然 Windows 2000、Windows XP 以及 Windows Server

2003 支持長達 28 個字符的密碼，但是該設置的值只能在 0 和 14 之間。如果將該值設置為 0，則允許用戶使用空白密碼，因此不應將其設置為 0。建議您將該值設置為 8 個字符。

? 密碼必須符合復雜性要求確定是否強制實施密碼復雜性。如果啟用該設置，用戶密碼應滿足以下要求：

? 密碼長度最少為 6 個字符。

? 密碼至少包含以下五種字符中的三種：

? 大寫英文字符 (A – Z)

? 小寫英文字符 (a – z)

? 10 以內(nèi)的阿拉伯數(shù)字 (0 – 9)

? 非字母數(shù)字字符（例如：! 、$、# 或 ）

? Unicode 字符

? 密碼不能包含用戶帳戶名稱中的三個或三個以上字符。

? 如果帳戶名稱長度少于三個字符，則不執(zhí)行該檢查，因為密碼被拒絕率太高了。在檢查用戶全稱時，將以下幾個字符視為分隔符（將名稱分隔為單獨的標記）：逗號、句號、破折號/連字符、下劃線、空格、英鎊標記和制表符。對于每個長度為三個或三個以上字符的標記，將在密碼中搜索該標記；如果找到了，則拒絕更改密碼。例如，名稱“Erin M. Hagens”將分解為三個標記：“Erin”、“M”和“Hagens”。由于第二個標記長度僅為一個字符，所以將該標記忽略。因此，此用戶不能在密碼中包含“erin”或“hagens”作為子字符串。所有這些檢查都不區(qū)分大小寫。

? 在更改密碼或創(chuàng)建新密碼時，將強制實施這些復雜性要求。建議您啟用該設置。

? 用可還原的加密來儲存密碼為以下應用程序提供支持：所使用的協(xié)議要求知道用于身份驗證的用戶密碼。用可還原的加密來儲存密碼與存儲純文本密碼版本基本相同。為此，除非應用程序要求的重要性超過保護密碼信息需求，否則，切勿啟用該策略。

? 通過遠程訪問或 Internet 驗證服務 (IAS) 來使用質詢握手身份驗證協(xié)議 (CHAP) 時，要求啟用該策略。在 Internet 信息服務 (IIS) 中使用摘要式身份驗證時，也要求啟用該策略。

存儲密碼策略信息

在實施密碼策略之前，您需要了解密碼策略配置信息的存儲方式。這是因為，密碼策略存儲機制限制可以實施的各種密碼策略的數(shù)量，并且影響應用密碼策略設置的方式。

每個帳戶數(shù)據(jù)庫只能有一個密碼策略?？蓪?Active Directory 域視為一個帳戶數(shù)據(jù)庫，就如同獨立計算機上的本地帳戶數(shù)據(jù)庫一樣。作為域成員的計算機也擁有一個本地帳戶數(shù)據(jù)庫，但是大多數(shù)部署了 Active Directory 域的組織要求其用戶使用基于域的帳戶登錄到其計算機和網(wǎng)絡上。因此，如果您指定的最小域密碼長度為 14 字符，域中的所有用戶在創(chuàng)建新密碼時，必須使用 14 個或 14 個以上字符的密碼。要為一組特定用戶設置不同的要求，您必須為其帳戶創(chuàng)建新的域。

Active Directory 域使用 GPO 來存儲各種配置信息，其中包括密碼策略設置。雖然 Active Directory 是一種可支持多種組織單位 (OU) 級別和多個 GPO 的分層式目錄服務，但必須在域的根容器中定義域的密碼策略設置。在為新的 Active Directory 域創(chuàng)建第一個域控制器時，就會自動創(chuàng)建兩個 GPO ：“Default Domain Policy”GPO 和“Default Domain Controller Policy”GPO?！癉efault Domain Policy”鏈接到根容器上。它包含一些全域性的重要設置，其中包括默認密碼策略設置?！癉efault Domain Controller Policy”鏈接到“Domain Controllers”O(jiān)U 上，并且包含域控制器的初始安全設置。

最佳做法是避免修改這些內(nèi)置的 GPO 。如果您需要應用不同于默認設置的密碼策略設置，應創(chuàng)建一個新的 GPO ，將其鏈接到該域的根容器或“Domain Controllers”O(jiān)U 上，并為其分配一個比內(nèi)置 GPO 更高的優(yōu)先級。如果將兩個具有沖突設置的 GPO 鏈接到同一個容器上，優(yōu)先級高的 GPO 優(yōu)先。

實施密碼策略設置

本節(jié)通過在組織的計算機上實施密碼策略設置來提供增強安全性的逐步式說明。

要創(chuàng)建新的根域組策略對象，請按照以下步驟操作：

1. 單擊“開始”按鈕，選擇“所有程序”，選擇“管理工具”，然后單擊“GPWalkThrough”。

注意：GPWalkThrough Microsoft 管理控制臺 (MMC) 是在了解組策略功能集的逐步式指南中創(chuàng)建的。如果您沒有完成該指南中的步驟，則需要相應地修改以下步驟。

2. 在“GPWalkThrough”MMC 控制臺中，展開“Active Directory 用戶和計算機”，右鍵單擊

“contoso.com”，單擊“屬性”，然后單擊“組策略”選項卡。

注意：Microsoft 建議您創(chuàng)建一個新的 GPO ，而不是編輯內(nèi)置 GPO“Default Domain Policy”。通過這樣做，您可以更容易地從嚴重的安全設置問題中恢復。如果新的安全設置出現(xiàn)問題，則可以暫時禁用新的 GPO ，直至找出引起問題的設置。

3. 單擊“新建”，然后鍵入“Domain Password Policy”作為“GPO 名稱”（如圖 1 所示）。

圖 1. 創(chuàng)建根域 GPO

4. 按“Enter”鍵。

要強制實施“Domain Password Policy”GPO，請按照以下步驟操作：

注意：有關組策略繼承的詳細討論和以下步驟的更多信息，請參見了解組策略功能集的逐步式指南。

1. 在“contoso.com 屬性”頁上，單擊以突出顯示“Domain Password Policy”，然后單擊“向上”按鈕。 2. 在“contoso.com 屬性”頁上，右鍵單擊“Domain Password Policy”，然后單擊“禁止替代”。

“contoso.com 屬性”頁應該如圖 2 所示。

圖 2. 設置 GPO 優(yōu)先級

要定義密碼使用策略，請按照以下步驟操作：

1. 在“contoso.com 屬性”頁上，雙擊“Domain Password Policy”。 2. 在“組策略對象編輯器”的“計算機配置”下面，依次展開“Windows 設置”、“安全設置”和“帳戶策略”，然后

單擊“密碼策略”。

3. 在詳細信息窗格中，雙擊“強制密碼歷史”，選擇“定義這個策略設置”復選框，將“保留密碼歷史”值設置為

“24”，然后單擊“確定”。

4. 在詳細信息窗格中，雙擊“密碼最長使用期限”，選擇“定義這個策略設置”復選框，將“密碼過期時間”值設置

為“42”，單擊“確定”，然后單擊“確定”接受“密碼最長使用期限”的建議更改值。 5. 在詳細信息窗格中，雙擊“密碼最短使用期限”，將“在以下天數(shù)后可以更改密碼”值設置為 2，然后單擊“確

定”。

6. 在詳細信息窗格中，雙擊“密碼長度最小值”，選擇“定義這個策略設置”復選框，將“密碼必須至少是”值設置

為“8”，然后單擊“確定”。

7. 在詳細信息窗格中，雙擊“密碼必須符合復雜性要求”，選擇“在模板中定義這個策略設置”復選框，選擇“已啟

用”，然后單擊“確定”。

8. 在詳細信息窗格中，雙擊“用可還原的加密來儲存密碼”，選擇“在模板中定義這個策略設置”復選框，選擇“已

禁用”（默認），然后單擊“確定”。設置應該如圖 3 所示。

圖 3. 確認域密碼策略 查看大圖

若要求使用密碼保護屏幕保護程序，請按照以下步驟操作：

1. 在“組策略對象編輯器”中，折疊“計算機配置”，在“用戶配置”下面，展開“管理模板”，展開“控制模板”，然

后單擊“顯示”。

2. 可選設置：在詳細信息窗格中，雙擊“可執(zhí)行的屏幕保護程序的名稱”，選擇“已啟用”，鍵入“scrnsave.sc”

作為“可執(zhí)行的屏幕保護程序的名稱”，然后單擊“確定”。

注意：定義可執(zhí)行的屏幕保護程序的名稱是出于性能考慮而在此定義的一項可選設置。在提供核心計算服務的 Windows Server 2003 中，如果啟用屏幕保護程序，則可能會占用不必要的處理能力，因此限制了組織計算所需的可用資源。如果在服務器上部署屏幕保護程序，強烈建議您使用空白屏幕保護程序

(scrnsave.scr)。您可以考慮在“Domain Controllers”容器下面再創(chuàng)建一個 GPO 以定義“可執(zhí)行的屏幕保護程序的名稱”設置。

3. 在詳細信息窗格中，雙擊“密碼保護屏幕保護程序”，選擇“已啟用”，鍵入“scrnsave.scr”作為“可執(zhí)行的屏

幕保護程序的名稱”，然后單擊“確定”。設置應該如圖 4 所示。

圖 4. 確認域屏幕保護程序

4. 在“組策略對象編輯器”中，單擊“文件”，然后單擊“退出”。在“contoso.com 屬性”頁中，單擊“關閉”。單擊“文件”，然后單擊“退出”以關閉“Active Directory 用戶和計算機”。如果出現(xiàn)提示，請單擊“是”以保存“GPWalkThrough”MMC。

要確認密碼保護屏幕保護程序，請按照以下步驟操作：

1. 單擊“開始”按鈕，單擊“運行”，鍵入“gpupdate /force”，然后單擊“確定”。

注意：Gpupdate 刷新本地組策略設置和基于 Active Directory 的組策略設置，其中包括安全設置。force 選項忽略所有處理優(yōu)化并重新應用所有設置。

單擊“屬性”，然后單擊“屏幕保護程序”選項卡。屏幕保護程序名稱應為“無”，并且選擇了“在2. 右鍵單擊“桌面”，

恢復時使用密碼保護”復選框。這兩項應灰顯，如圖 5 所示。

圖 5. 確認密碼保護屏幕保護程序

3. 單擊“取消”。