【IT168 专稿】在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面,而其中的“帐户策略”又包括:密码策略、帐户锁定策略和Kerberos策略三个方面;另外的“本地策略”也包括:审核策略、用户权限分配和安全选项三部分。下面分别予以介绍。
一、密码策略的设置
密码策略作用于域帐户或本地帐户,其中就包含以下几个方面:
强制密码历史
密码最长使用期限
密码最短使用期限
密码长度最小值
密码必须符合复杂性要求
用可还原的加密来存储密码
以上各项的配置方法均需根据当前用户帐户类型来选择。默认情况下,成员计算机的配置与其域控制器的配置相同。下面分别根据几种不同用户类型介绍相应的密码策略配置方法。
1. 对于本地计算机
对于本地计算机的用户帐户,其密码策略设置是在“本地安全设置”管理工个中进行的。下面是具体的配置方法。
第1步,执行〖开始〗→〖管理工具〗→〖本地安全策略〗菜单操作,打开如图所示的“本地安全设置”界面。对于本地计算机中用户“帐户和本地策略”都查在此管理工具中进行配置的。
第2步,因密码策略是属于用户策略范畴,所以先需在如上图所示界面中单击选择“用户策略”选项,然后再选择“密码策略”选项,在右边详细信息窗口中将显示可配置的密码策略选项的当前配置。
因为各策略选项的配置方法基本一样,所以在此仅以一个选项的配置进行介绍,其它只对各选项的具体作用进行简单介绍。
如配置“密码必须符合复杂性要求”选项,可设置确定密码是否符合复杂性要求。启用该策略,则密码必须符合以下最低要求:
(1)不包含全部或部分的用户帐户名
(2)长度至少为六个字符
(3)包含来自以下四个类别中的三个的字符:
英文大写字母(从A到Z)
英文小写字母(从a到z)
10个基本数字(从0到9)
非字母字符(例如,!、$、#、%)
如果启用了此安全策略,而您所配置的用户密码不符合此配置要求时系统会提示错误。有时您可能百思不得其解,认为自己所设的密码已经够长,而且也是属于随机的,不全都是数字或字母,可系统为什么还是老说错误呢?一般来说是由于您所设的密码所包括的字符类型不足以上四个中的三个。通常只各个领域其中的两种,即数字和字母,而没有考虑到字母的大小写或者非字母字符,所以达不到复杂性要求。更改或创建密码时,会强制执行复杂性要求。
默认情况下,在域控制器上默认是已启用了这一策略的;而在独立服务器上则默认是禁用的。
这个安全选项的配置方法是在如上图所示界面的右边信息窗口中双击“密码必须符合复杂性要求”选项,打开如图所示对话框。在这个对话框中就可随意启用或者禁用这个安全策略选项,配置好后单击“确定”按钮使配置更改生效。
其它选项的配置方法都一样,都是通过双击或者单击右键,然后选择“属性”选项,打开类似如图2所示对话框,在这些对话框中进行配置即可。不过为了便于工作于大家理解和配置,下面简单介绍其它密码策略选项的含义。
强制密码历史
重新使用旧密码之前,该安全设置确定某个用户帐户所使用的新密码必须不能与该帐户所使用的最近多少旧密码一样。该值必须为0到24之间的一个数值。该策略通过确保旧密码不能在某段时间内重复使用,使用户帐户更安全。
在域控制器上的默认值为24;而在独立服务器上为0。
【注意】要维持密码历史记录的有效性,则在通过启用密码最短使用期限安全策略设置更改密码之后,不允许立即更改密码。
密码最长使用期限
该安全设置确定系统要求用户更改密码之前可以使用该密码的时间(单位为天)。可将密码的过期天数设置在1至999天之间;如果将天数设置为0,则指定密码永不过期。如果密码最长使用期限在1至999天之间,那么“密码最短使用期限”(下面将介绍)必须小于密码最长使用期限。如果密码最长使用期限设置为0,则密码最短使用期限可以是1至998天之间的任何值。
默认值:42。
【技巧】使密码每隔30至90天过期一次是一种安全非常好的操作,取决于您的环境。通过这种方式,攻击者只能够在有限的时间内破解用户密码并访问您的网络资源。
第三步,密码最短使用期限。该安全策略设置确定用户可以更改密码之前必须使用该密码的时间(单位为天)。可以设置1到998天之间的某个值,或者通过将天数设置为0,允许立即更改密码。密码最短使用期限必须小于上面设置的“密码最长使用期限”,除非密码最长使用期限设置为0(表明密码永不过期)。如果密码最长使用期限设置为0,那么密码最短使用期限可设置为0到998天之间的任意值。
如果希望上面设置的“强制密码历史”安全策略选项设置有效,请将密码最短有效期限配置为大于0。如果没有密码最短有效期限,则用户可以重复循环通过密码,直到获得喜欢的旧密码。默认设置不遵从这种推荐方法,因此管理员可以为用户指定密码,然后要求当用户登录时更改管理员定义的密码。如果将该密码的历史记录设置为0,则用户不必选择新密码。因此,默认情况下将密码历史记录设置为1。在域控制器上的默认值为1;而在独立服务器上为0。
第四步,密码长度最小值。该安全设置确定用户帐户的密码可以包含的最少字符个数。可以设置为1到14个字符之间的某个值,或者通过将字符数设置为0,可设置不需要密码。在域控制器上的默认值为7;而在独立服务器上为0。
第五步,用可还原的加密来存储密码。该安全设置确定操作系统是否使用可还原的加密来存储密码。如果应用程序使用了要求知道用户密码才能进行身份验证的协议,则该策略可对它提供支持。使用可还原的加密存储密码和存储明文版本密码本质上是相同的。因此,除非应用程序有比保护密码信息更重要的要求,否则不必启用该策略。
当使用质询握手身份验证协议(CHAP)通过远程访问或Internet身份验证服务(IAS)进行身份验证时,该策略是必需的。在Internet信息服务(IIS)中使用摘要式验证时也要求该策略。系统默认值为禁用。
上面介绍的是在本地计算机上配置以上密码安全策略选项的方法,下面继续介绍在其它两种情形中这些密码策略选项的配置方法。
2. 在域环境中,并且您位于已加入到域中的成员服务器或工作站
对于这种情形,用户的本地密码策略配置方法如下:
第1步,执行〖开始〗→〖运行〗菜单操作,在对话框的“打开”文本框中输入“mmc”命令,打开Microsoft管理控制台(MMC),如图所示。
第2步,执行〖文件〗→〖添加/删除管理单元〗菜单操作,打开如图所示对话框。在这个对话框中可以添加在控制台管理的管理单元。
第3步,单击“添加”按钮,打开如下图所示对话框。在这个对话框中找到“组策略对象编辑器”选项,然后双击,或单击选择它后按“添加”按钮,打开如图所示对话框。在这个对话框中要求选择所添加的“组策略对象编辑器”所作用的对象。
第4步,输入或者选择好计算机名后,单击“确定”按钮即可返回到如上图所示对话框。单击“完成”按钮,如果所选择的成员服务器或工作站与当前服务器的网络连接正常的话,即可把它们指派到组策略对象编辑器中。
第5步,单击对话框中的“关闭”按钮,返回到如图所示对话框。单击“确定”按钮返回到控制台界面,不过此时已是添加了“组策略对象编辑器”管理单元的控制台,如图所示。
第5步,依次单击展开〖计算机配置〗→〖Windows设置〗→〖安全设置〗→〖帐户策略〗→〖密码策略〗选项,然后在右边详细信息窗口中选择相应的密码策略选项配置即可。配置方法也是在相应选项上单击右键,然后再选择“属性”选项,打开的对话框与前图一样,参照即可。
3. 您位于域控制器,或已安装 Windows Server 2003 管理工具包的工作站
对于这种情形,密码策略的配置方法如下:
第1步,执行〖开始〗→〖管理工具〗→〖Active Directory用户和计算机〗菜单操作,打开如图所示的“Active Directory用户和计算机”管理工具界面。
第2步,在控制台树中要设置组策略的域或组织单位上(本例以域grfwgz.com为例)单击右键,然后选择“属性”选项,在打开的对话框中选择“组策略”选项卡,对话框如图所示。
第3步,选择对话框“组策略对象链接”列表中的项目以选择现有的组策略对象(GPO),然后单击“编辑”按钮。也可单击“新建”按钮创建新的GPO,然后再单击“编辑”按钮,都可打开如图所示“组策略编辑器”界面。
第4步,在控制台树中依次单击展开以下选项〖计算机配置〗→〖Windows设置〗→〖安全设置〗→〖帐户策略〗→〖密码策略〗,展开后“密码策略”选项界面如图所示。在其中也包括本文前面所介绍的各密码策略选项。配置的方法也同上,不再赘述。