如何创建细粒度的密码策略和最佳实践

Active Directory 中的密码和帐户锁定策略不必是全部或全部。在本文中，我将解释如何为特定用户组设置密码和帐户锁定策略，以及在此过程中应遵循的一些最佳实践。

什么是 Active Directory 帐户策略

默认情况下，Active Directory (AD) 域配置有适用于域中所有用户帐户的密码和帐户锁定策略。每个域都有一个称为默认域策略的组策略对象 (GPO)，您可以在计算机配置 > 策略 > Windows 设置 > 安全设置 > 帐户策略下设置密码、帐户锁定和 Kerberos 策略。帐户策略是您应该在默认域策略 GPO 中修改的唯一设置。

密码策略包括强制执行密码历史记录、设置最短和最长密码期限、密码长度等的功能。帐户锁定策略定义帐户锁定持续时间和帐户锁定阈值，即在帐户被锁定之前允许尝试登录失败的次数。

什么是细粒度密码策略

AD 支持域的一组密码和帐户锁定策略。在 Windows Server 2008 之前，如果您想对用户应用不同的密码和帐户锁定策略，则必须为他们设置单独的域。例如，组织通常更愿意对具有 AD 特权访问权限的帐户应用更严格的密码策略，因为它们具有高级别访问权限，因此更有可能成为目标。但是，可能应用于特权域帐户的严格密码和帐户锁定策略对于标准员工来说是不切实际的，因为它们会带来太多不便。

从 Windows Server 2008 开始，您可以使用细粒度密码策略 (FGPP) 覆盖域中的默认密码和帐户锁定策略。要使用细粒度密码策略，您的域必须处于 Windows Server 2008 域功能级别或更高级别。不要忘记，提升领域功能级别是一个单向过程。

如何配置细粒度密码策略

与默认密码和帐户锁定域策略不同，细粒度密码策略是在 AD 中的密码设置对象 (PSO) 中设置的，而不是使用组策略。配置 PSO 的主要方法有两种：

1. 使用 Active Directory 管理中心 (ADAC)
2. 使用PowerShell

您必须是域管理员或拥有委派给您的权限，然后才能创建或更改 PSO。

1.使用Active Directory管理中心

• 安装远程服务器管理工具 (RSAT)。如果您使用 ADAC 控制台或 PowerShell，则需要这样做。
• 打开 Active Directory 管理中心



• 创建政策

请按照以下步骤创建新政策。

1. 在 ADAC 中单击您的域



2. 单击系统文件夹



3. 双击系统文件夹



4. 单击密码设置容器，然后从屏幕右侧选择新建、密码设置

5. 您现在应该位于“创建密码设置”屏幕
   

   

   • 您可以在此处配置策略设置并将其应用到用户或组。可以使用与默认域策略中相同的密码策略设置。
6. 在这个例子中，我们可以为管理员设置一个更强的密码。
7. 这里密码策略名称为“管理员密码策略”，优先级设置为 1。
8. 最小密码长度已设置为 15，并且已设置帐户锁定策略选项。



9. 单击添加将其应用到用户或组。弹出“选择用户或组”对话框



10. 在此示例中，它已应用于管理组
11. 单击确定K。新策略显示在对话框底部。



12. 单击确定

2. 使用PowerShell

使用 New-ADFineGrainedPasswordPolicy PowerShell cmdlet 创建新的 PSO。

New-ADFineGrainedPasswordPolicy -Name administrators1 -DisplayName lepide_admins -Precedence 100 -ComplexityEnabled $true -ReversibleEncryptionEnabled $false -PasswordHistoryCount 10 -MinPasswordLength 8 -MinPasswordAge 3.00:00:00 -MaxPasswordAge 30.00:00:00 -LockoutThreshold 3 -LockoutObservationWindow 0.00:25:00 -LockoutDuration 0.00:30:00

然后使用 Add-ADFineGrainedPasswordPolicySubject 应用新的 PSO：

Add-ADFineGrainedPasswordPolicySubject -Identity lepide_admins -Subjects ‘Secure Admins’

细粒度密码策略的局限性

上述步骤解释了如何在 Active Directory 中创建 FGPP，但了解以下限制也很重要：

• 您无法创建自定义词典列表，然后限制选项以阻止适用于您的组织的某些单词和短语。
• FGPP 缺乏查找和删除已在使用的泄露密码的能力，或阻止当前实时发生的攻击中使用的密码的能力。
• FGPP 不适用于组织单位。
• 由于跟踪分配的策略非常复杂，管理多个 FGPP 可能是一项具有挑战性的任务。
• 有限的密码和帐户锁定设置意味着 FGPP 无法满足 NIST 密码标准等密码合规性法规。
• FGPP 无法防止复杂的现代密码攻击，例如字典攻击和暴力攻击。

细粒度密码策略实施最佳实践

在组织中实施细粒度密码策略时，在创建和应用细粒度密码策略之前需要考虑几件事。

1. 每个 PSO 必须有一个优先索引号。优先级指数较高（如 1）的 PSO 优先于优先级指数较低（如 10）的 PSO。
2. PSO 可以应用于用户和组。如果可能，将 PSO 应用于群体。
3. 了解 PSO 优先级。虽然 PSO 可以应用于多个用户和组，但只有一个 PSO 可以应用于用户帐户。将应用具有最高优先级索引（即最接近 1）的 PSO。如果您想检查，AD 中的 msDS-ResultantPSO 属性会公开用户对象的结果 PSO。链接到用户帐户的 PSO 始终优先于链接到组的 PSO。
4. 确保所有 PSO 都有唯一的优先级索引号。如果两个 PSO 具有相同的优先级索引号，则应用具有最低 GUID 的 PSO。
5. 如果要将 PSO 应用于组织单位 (OU) 中的所有用户，则需要创建一个包含 OU 的所有成员的组，并将 PSO 应用于该组。如果 OU 中的用户发生更改，您必须更新组成员身份。
6. 对大多数用户使用默认域策略 GPO 中的密码和帐户锁定策略设置，并为较小的特定用户组创建 PSO。
7. 为 PSO 提供有意义的名称。

缺乏密码重置和锁定的可见性

如果您很难了解密码重置和帐户锁定原因，这可能表明 Active Directory 可见性存在更广泛的问题。您可能需要考虑部署 Active Directory 审核解决方案（例如 Lepide Active Directory Auditor），以确保您持续主动地跟踪 AD 的更改。这将帮助您了解您的 Active Directory 是否安全且合规。

使用 Lepide Active Directory Auditor 审核密码重置和帐户锁定