Active Directory 密码策略：指南和最佳实践

全球范围内的网络攻击呈上升趋势，凸显了强有力的密码策略的必要性。密码策略可确保用户密码强度高且定期更改，从而使攻击者极难破解。黑客经常使用合法用户或管理员凭据访问企业网络，从而导致安全漏洞和合规性失败。攻击者用来破坏公司密码的各种技术包括：

• 暴力攻击：黑客使用程序输入潜在密码，直到找到正确的密码。
• 字典攻击：攻击者尝试字典中的单词作为可能的密码。
• 密码喷射攻击：黑客尝试在多个用户帐户上使用通用密码。
• 撞库攻击：自动化工具用于针对公司登录门户输入凭证列表。
• 蜘蛛攻击：攻击者收集有关目标的信息并根据该数据创建密码。

什么是 Active Directory 默认密码策略？

为了防止这些攻击，组织必须为其 Active Directory 制定强大的密码策略。此策略制定了创建密码的准则，包括最小长度、复杂性（例如包含特殊字符）以及必须更改密码之前的持续时间。默认情况下，Active Directory 附带预设的域密码策略，该策略设置用户帐户的要求，包括密码长度、年龄和其他因素。

如何配置域密码策略

要配置域密码策略，管理员可以使用默认域策略，这是一个影响域内所有对象的组策略对象。要访问和编辑此策略，必须打开组策略管理控制台 (GPMC)。 可以在以下位置找到该政策：

计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 帐户策略 -> 密码策略。

或者，可以通过 PowerShell 通过运行命令“Get-ADDefaultDomainPasswordPolicy”来访问域密码策略。

请务必注意，对默认密码策略所做的任何更改都将应用于域内的所有帐户。管理员还可以选择使用 Windows Server 中的 Active Directory 管理中心 (ADAC) 创建和管理更具体的密码策略。

默认密码策略设置

以下是六个默认密码策略设置及其默认值：

强制执行密码历史记录：默认值为 24。此设置确定用户在重新使用旧密码之前必须创建的唯一密码的数量。建议保留默认值，以最大限度地降低密码泄露的风险。

密码最长期限：默认值为 42。此设置指定系统提示用户更改密码之前密码可以存在的期限。当密码即将到期时，用户通常会收到警告。可以通过 PowerShell 使用命令“net user USERNAME/domain”检查此设置。通常不建议将该值设置为 0，因为这意味着密码永远不会过期。

密码最短期限：默认值为 1 天。此设置确定密码必须存在多长时间后用户才能更改它。设置最低年龄可以防止用户不断重置密码以绕过“强制密码历史记录”设置并立即重新使用首选密码。

最小密码长度：默认值为 7。此设置确定密码所需的最小字符数。虽然较短的密码更容易被黑客破解，但设置非常长的最小长度可能会导致拼写错误，并且用户不得不写下密码。建议密码长度至少为 8 个字符。

复杂性要求：默认值为启用。此设置指定密码中必须包含的字符类型。尽管之前建议启用此设置，但当前的最佳实践优先考虑密码长度而不是复杂性或频繁更改。复杂性要求通常包括大写字母、小写字母、数字和非字母数字字符的组合。此外，它还限制用户帐户名或显示名称中最多使用两个符号。

使用可逆加密存储密码：默认值为“禁用”。此设置专为需要用户输入密码进行身份验证的应用程序而设计。管理员应禁用此设置，因为启用它将使知道加密方法的攻击者在破坏帐户后登录到网络。也有例外，例如为 Internet 身份验证服务 (IAS) 或质询握手身份验证协议 (CHAP) 启用此设置。

什么是细粒度密码策略 (FGPP)？

旧版本的 AD 只允许为每个域创建一个密码策略。细粒度密码策略 (FGPP) 的引入使管理员可以创建多种密码策略，以更好地满足业务需求。例如，您可能希望要求管理员帐户使用比常规用户帐户更复杂的密码。深思熟虑地定义您的组织结构非常重要，以便它映射到您所需的密码策略。当您在 GPO 中定义默认域密码策略时，FGPP 是在密码设置对象 (PSO) 中设置的。要进行设置，请打开 ADAC，单击您的域，导航到系统文件夹，然后单击密码设置容器。

NIST SP 800-63 密码指南

美国国家标准研究院 (NIST) 是一个政府机构，负责制定管理数字身份的规则和指南。特别出版物 800-63B 概述了密码标准。当前的标准是 SP 800-63B 的第 3 版，该标准于 2017 年发布，并于 2019 年更新。这些指南是组织创建强大的密码安全基础设施的基础。 NIST 建议包括：要求用户生成的密码至少为 8 个字符（机器生成的密码为 6 个字符）、允许密码最多 64 个字符、允许使用任何 ASCII/Unicode 字符、禁止密码中的连续或重复字符以及不鼓励频繁更改密码。最新的 NIST 800-63B 标准强调谨慎使用密码过期策略，因为研究表明禁止密码列表、更长的密码和多重身份验证 (MFA) 等替代方案可提供更好的安全性。

Active Directory 密码策略最佳实践

以下是 AD 密码策略最佳实践的摘要：

• 密码长度至少为 8 个字符。
• 强制执行密码历史记录策略，检查用户最近使用的 10 个密码。
• 将最短密码期限设置为 3 天，以防止用户快速循环使用以前的密码。
• 使用禁止的密码列表、泄露的密码列表和密码字典来检查建议的新密码的强度。
• 使用自动密码重置工具每 180 天重置一次本地管理员密码。
• 每年至少更改一次设备帐户密码。
• 确保域管理员帐户密码的长度至少为 15 个字符。
• 使用自动密码过期提醒工具实施电子邮件通知，在密码即将过期时提醒用户。
• 为特定组织单位创建精细的密码策略，而不是修改默认域策略。
• 利用密码管理工具安全地存储密码。
• 使用户能够通过网络浏览器更改密码，并提供有关选择强密码的指导。
• 实施账户锁定策略，防止暴力攻击。
• 强调不要写下密码的重要性。
• 鼓励用户在没有任何人观看的情况下谨慎输入密码。
• 教育用户区分 URL 中的“HTTPS://”和“HTTP://”以增强安全性的重要性。
• 避免在多个网站访问敏感信息时使用相同的密码。