如何设置和管理 Active Directory 密码策略

随着网络攻击在世界各地呈爆炸式增长，组织拥有强大的密码策略比以往任何时候都更加重要。黑客经常通过合法用户或管理员凭据访问企业网络，从而导致安全事件和合规性失败。在本文中，我们将探讨如何创建和维护强大且有效的 Active Directory 密码策略。

攻击者如何破坏公司密码

攻击者使用各种技术来破坏公司密码，包括以下技术：

• 暴力攻击——黑客运行程序，为特定用户帐户输入各种潜在密码，直到找到正确的密码。
• 字典攻击——这是一种特定形式的暴力攻击，涉及尝试在字典中找到的单词作为可能的密码。
• 密码喷射攻击 - 攻击者对多个用户帐户尝试通用密码，看看它们是否有效。
• 撞库攻击 - 黑客使用自动化工具针对各种公司登录门户输入凭证列表。
• 蜘蛛攻击 - 对手收集尽可能多的有关黑客目标的信息，然后尝试使用该数据创建的密码。？

如何查看和编辑 Active Directory 密码策略

为了防御这些攻击，组织需要强大的 Active Directory 密码策略。密码策略定义密码创建规则，例如最小长度、复杂性（例如是否需要特殊字符）以及密码在必须更改为其他密码之前的持续时间长度。

要配置域密码策略，管理员可以使用默认域策略，这是一个组策略对象 (GPO)，其中包含影响域中所有对象的设置。要查看或编辑此 GPO：

1. 打开组策略管理控制台 (GPMC)。
2. 展开“域”文件夹，选择要访问其策略的域，然后选择组策略对象。
3. 右键单击“默认域策略”文件夹，然后单击编辑。
4. 导航至计算机配置策略Windows 设置安全设置帐户策略 à 密码政策。？

或者，您可以通过执行以下 PowerShell 命令来访问域密码策略：

Get-ADDefaultDomainPasswordPolicy?

请记住，您对域的默认密码策略所做的任何更改都会应用于该域中的每个帐户。您可以使用 Windows Server 中的 Active Directory 管理中心 (ADAC) 创建和管理细粒度的密码策略。 ？

了解 AD 密码策略设置

以下是六个密码策略设置及其默认值：

• 强制执行密码历史记录 - 默认值为24。 此设置指定用户在重新使用旧密码之前必须创建的唯一密码的数量。建议保留默认值，以降低用户密码被泄露的风险。
• 密码最长期限 — 默认值为42。 此设置确定系统强制用户更改密码之前密码可以存在的时间。当用户的密码到期时，他们通常会收到弹出警告。您可以通过 PowerShell 执行命令 net user USERNAME/domain 检查此设置。请记住，强制频繁更改密码可能会导致用户写下密码或简单地将月份附加到他们重复使用的词干上，这些做法实际上会增加安全风险。将“密码最长期限”设置为 0 意味着密码永不过期（通常不建议这样做）。
• 最短密码期限 - 默认为1 天。 此设置指定密码必须存在多长时间才能允许用户更改密码。设置最低年龄可以防止用户重复重置密码以规避“强制密码历史记录”设置并立即重复使用最喜欢的密码。
• 最小密码长度 - 默认为7。此设置确定密码可以包含的最少字符数。虽然较短的密码更容易被黑客破解，但需要很长的密码可能会导致因输入错误而被锁定，以及用户写下密码带来的安全风险。最佳实践建议密码长度至少为 8。
• 复杂性要求 - 默认为启用。此设置详细说明了用户必须在密码字符串中包含的字符类型。最佳实践过去建议启用此设置，但密码长度现在被视为比复杂性或频繁更改更好的策略。复杂性要求通常要求密码包含以下内容的组合：

• • 大写或小写字母（A 到 Z 和 a 到 z）
• 数字字符 (0-9)
• 非字母数字字符，例如 $、# 或 %
• 用户帐户名或显示名称中的符号不得超过两个

• 使用可逆加密存储密码 - 默认为禁用。此设置为要求用户输入密码进行身份验证的应用提供支持。管理员应禁用此设置，因为启用它将使熟悉如何破解此加密的攻击者在破坏帐户后登录网络。作为例外，您可以在使用 Internet 身份验证服务 (IAS) 或质询握手身份验证协议 (CHAP) 时启用此设置。

细粒度策略及其配置方式

旧版本的 AD 只允许为每个域创建一个密码策略。细粒度密码策略 (FGPP) 的引入使管理员可以创建多种密码策略，以更好地满足业务需求。例如，您可能希望要求管理员帐户使用比常规用户帐户更复杂的密码。深思熟虑地定义您的组织结构非常重要，以便它映射到您所需的密码策略。

当您在 GPO 中定义默认域密码策略时，FGPP 是在密码设置对象 (PSO) 中设置的。要进行设置，请打开 ADAC，单击您的域，导航到系统文件夹，然后单击密码设置容器。

NIST SP 800-63 密码指南

美国国家标准研究院 (NIST) 是一个联邦机构，负责发布有关管理数字身份的控制措施和要求。特别出版物 800-63B 涵盖了密码标准。 SP 800-63B 第 3 修订版于 2017 年发布并于 2019 年更新，是当前标准。

这些指南为组织提供了构建强大的密码安全基础设施的基础。 NIST 建议包括以下内容：

• 要求用户生成的密码长度至少为 8 个字符（机器生成的密码为 6 个字符）。
• 允许用户创建最长 64 个字符的密码。
• 允许用户在密码中使用任何 ASCII/Unicode 字符。
• 禁止使用连续字符（“12345”或“abcd”）或重复字符（“kkkk”）的密码。
• 不要求频繁更改密码。尽管多年来，许多组织都要求用户经常更改密码，但此策略通常会导致用户对基本密码进行增量更改，写下密码，或因忘记新密码而被锁定。因此，最新的 NIST 800-63B 标准要求谨慎使用密码过期策略。最近的研究表明，更好的替代方案包括使用禁止的密码列表、使用更长的密码以及强制执行多重身份验证 (MFA) 以提高安全性。

AD 密码策略最佳实践

最佳实践总结

• 设置最小密码长度至少为 8 个字符。
• 实施密码历史记录策略，查看用户最近 10 个密码。
• 将最短密码期限设置为 3 天，以防止用户快速轮换历史密码并设置上一个密码。
• 根据禁止的密码列表、泄露的密码列表和密码字典检查建议的新密码。
• 每 180 天重置一次本地管理员密码（考虑使用免费的 Netwrix 批量密码重置工具）。
• 每年至少重置一次设备帐户密码。
• 要求域管理员帐户的密码长度至少为 15 个字符。
• 设置电子邮件通知，让用户知道密码即将过期（免费的 Netwrix 密码过期通知工具可以提供帮助）。
• 考虑创建细粒度密码策略以链接到特定组织单位，而不是编辑默认域策略设置。
• 考虑使用密码管理工具来存储密码。
• 使用户能够通过网络浏览器更改密码，并帮助他们选择合规的新密码。
• 设置帐户锁定策略以避免暴力攻击。

有关更多信息，请阅读我们的密码策略最佳实践，以确保 AD 中的强大安全性。

用户培训

用户培训与密码政策一样重要。教育您的用户遵守以下行为规则：

• 不要写下密码。相反，选择您可以轻松记住的强密码或密码短语，并使用密码管理工具。
• 当有人观看时请勿输入密码。
• 了解以“HTTPS://”开头的 URL 比以“HTTP://”开头的 URL 更安全。
• 不要对提供敏感信息访问权限的多个网站使用相同的密码。

常问问题

如何查找和编辑我的 Active Directory 密码策略？

您可以通过导航至计算机配置-> 策略 -> Windows 设置 -> 安全设置 -> 帐户策略 -> 密码策略 通过管理控制台或使用 PowerShell 命令 Get-ADDefaultDomainPasswordPolicy。

Active Directory 中的密码是否已加密？

是的。用户创建的密码经过哈希算法对其进行加密。

Active Directory 密码复杂度是多少？

复杂性要求控制密码中不能或不能包含的字符。 例如，可能会阻止用户使用连续字符或数字，或者要求用户在密码中至少包含一个数字和一个小写字母。

什么是 Windows Server 密码策略？

Windows Server 密码策略控制访问 Windows 服务器的密码。

如何在 Windows Server 中查找、编辑或禁用密码策略？

通过组策略管理控制台找到 GPO，然后单击“编辑”。

什么是好的密码策略？

最佳实践包括以下内容：

• 让用户在重复使用旧密码之前至少创建 10 个新密码。
• 将建议的新密码与被破坏的密码列表和密码字典进行比较。
• 应用最短密码期限为 3 天。
• 让用户创建长度至少为 8 个字符的密码。
• 禁用可逆加密。