读书频道 > 网站 > 网页设计 > 超级网管员——网络安全
5.1.1 密码策略
12-07-06    叶孤城
收藏    我要投稿   

本文所属图书 > 超级网管员——网络安全

本书全面深入地介绍网络安全的配置与实现技术,包括系统管理、用户账户、病毒防御、灾难恢复、文件备份、安全策略、注册表等服务器安全,用户认证、登录限制、访问列表、用户权限、性能监控等网络设备安全,防火...立即去当当网订购
提高密码的破解难度主要是通过采用提高密码复杂性、增大密码长度、提高更换频率等措施来实现,但普通用户很难做到,对于企业网络中的一些敏感用户就必须采取一些相关的措施,以强制改变不安全密码的使用习惯。
密码策略包含以下6个策略。
 密码必须符合复杂性要求。
 密码长度最小值。
 密码最长使用期限。
 密码最短使用期限。
 强制密码历史。
 用可还原的加密来存储密码。
下面,以设置“强制密码历史”为例,说明如何设置账户策略。该策略通过确保旧密码不能继续使用,从而使管理员能够增强安全性。重新使用旧密码之前,该安全设置确定与某个用户账户相关的唯一新密码的数量。该值必须为0~24之间的一个数值,推荐值为8,既便于用户记忆,又很难被他人猜到。
【说明】 经科学研究表明,人能够瞬间记忆的数字最大值为8位。因此,选择采用8个字符作为密码,可以兼顾记忆与安全两个方面。
打开组策略控制台,依次选择“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“密码策略”命令,显示如图5-1所示的窗口。
在右侧的策略窗口中双击“强制密码历史”策略,显示“强制密码历史 属性”对话框,如图5-2所示。
选中“定义这个策略设置”复选框,然后在“保留密码历史”文本框中,输入许可保留的密码个数,如10。

图5-1 密码策略界面

单击“确定”按钮,即可完成强制密码历史的修改。
【说明】 默认值在域控制器上为24,独立服务器上为0。在默认情况下,成员计算机的配置与其域控制器的配置相同。要维持密码历史记录的有效性,则在通过启用密码最短使用期限安全策略设置更改密码之后,不允许立即更改密码。
1.强制密码历史
该策略通过确保旧密码不能继续使用,从而使管理员能够增强安全性。
在图5-1所示的窗品中,双击右侧栏中的“密码策略”→“强制密码历史”选项,显示“强制密码历史 属性”对话框,如图5-3所示。
选择“定义这个策略设置”复选框,在“保留密码历史”文本框中,输入许可保留的密码个数,如10。
2.密码最长使用期限
该安全设置要求用户更改密码之前可以使用该密码的时间(单位为天)。可将密码的过期天数设置在1~999天之间,或将天数设置为0,可指定密码永不过期。如果密码最长使用期限在1~999天之间,那么密码最短使用期限必须小于密码最长使用期限。如果密码最长使用期限设置为0,则密码最短使用期限可以是1~998天之间的任意值。
在图5-1所示的窗口中,双击右侧栏中的“密码策略”→“密码最长使用期限”选项,显示“密码最长使用期限 属性”对话框,如图5-4所示。


选择“定义这个策略设置”复选框,在“密码过期时间”文本框中,输入许可保留的天数,如10。
【提示】 使用此策略,攻击者只能够在有限的时间内破解用户密码并访问的网络资源。建议对网络中的敏感用户密码最长使用期限设为7天。
3.密码最短使用期限
该安全策略设置确定用户可以更改密码之前必须使用该密码的时间(单位为天)。可以设置1~998天之间的某个值,或者通过将天数设置为0,允许立即更改密码。
密码最短使用期限必须小于密码最长使用期限,除非密码最长使用期限设置为0(表明密码永不过期)。如果密码最长使用期限设置为0,那么密码最短使用期限可设置为0~998天之间的任意值。
如果希望强制密码历史有效,将密码最短有效期限设置为大于0。如果没有密码最短有效期限,则用户可以重复循环通过密码,直到获得喜欢的旧密码。默认设置不遵从这种推荐方法,因此管理员可以为用户指定密码,然后要求当用户登录时更改管理员定义的密码。如果将该密码的历史记录设置为0,则用户不必选择新密码。因此,默认情况下将密码历史记录设置为1。
在图5-1所示的窗口中,双击右侧栏中的“密码策略”→“密码最短使用期限”选项,显示“密码最短使用期限 属性”对话框,如图5-5所示。
选择“定义这个策略设置”复选框,在“可以立即更改密码”文本框中,输入许可更改的天数,如1。
4.密码长度最小值
该安全设置确定用户账户的密码可以包含的最少字符数。可以设置为1~14个字符之间的某个值,或者通过将字符数设置为0,可设置不需要密码。
在图5-1所示的窗口中,双击右侧栏中的“密码策略”→“密码长度最小值”选项,显示“密码长度最小值 属性”对话框,如图5-6所示。


选择“定义这个策略设置”复选框,在“密码必须至少是”文本框中,输入密码的长度,如10。
【说明】 在企业中,敏感用户的密码长度建议在16位以上。对用户来说,在登录网络的时候比较烦琐,但是对黑客破解密码提高了难度,同时配合密码复杂度策略,将提高网络的安全。
5.密码必须符合复杂性要求
强制用户必须使用复杂设置的密码。
在图5-1所示的窗口中,双击右侧栏中的“密码策略”→“密码必须符合复杂性要求”选项,显示“密码必须符合复杂性要求 属性”对话框,如图5-7所示。
选择“定义这个策略设置”复选框,并选择“已启用”单选按钮则,表示必须使用符合密码规则的密码,方可通过策略的认证。
【提示】 启用“密码必须符合复杂性要求”策略,密码必须满足以下要求。
(1)不包含全部或部分的用户账户名。
(2)长度至少为8个字符,包含来自以下4个类别中的字符:英文大写字母(从A~Z);英文小写字母(从a~z);10个基本数字(从0~9);非字母字符(例如,!、$、#、%)。
(3)更改或创建密码时,会强制执行复杂需求检测。
6.用可还原的加密来存储密码
该安全设置确定操作系统是否使用可还原的加密来存储密码。
如果应用程序使用了要求知道用户密码才能进行身份验证的协议,则该策略可对它提供支持。使用可还原的加密存储密码和存储明文版本密码本质上是相同的。因此,除非应用程序有比保护密码信息更重要的要求,否则不必启用该策略。
当使用质询握手身份验证协议(CHAP)通过远程访问或Internet身份验证服务(IAS)进行身份验证时,该策略是必需的。在Internet信息服务(IIS)中使用摘要式验证时也要求该策略。


在图5-1所示的窗口中,双击右侧栏中的“密码策略”→“用可还原的加密来储存密码”选项,显示“用可还原的加密来储存密码 属性”对话框,如图5-8所示。
选择“定义这个策略设置”复选框,并选择“已启用”单选按钮,则表示允许使用可还原的加密存储密码。
【说明】 用可还原的加密来存储密码策略,相当于明文存储密码,在网络安全要求较高的环境中,建议关闭
点击复制链接 与好友分享!回本站首页
分享到: 更多
您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力  
上一篇:1.3 功能
下一篇:1.5 小结
相关文章
图文推荐
JavaScript网页动画设
1.9 响应式
1.8 登陆页式
1.7 主题式
排行
热门
文章
下载
读书

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训
版权所有: 红黑联盟--致力于做最好的IT技术学习网站