Active Directory 密码策略指南

每个人都会涉及到应用程序的密码策略（无论是个人用途还是商业用途）如何影响他们的登录体验。

如果您像我一样，您会记得刚开始时使用的一些旧密码。那时我们以为自己很聪明。一开始使用脏话或我们喜欢的人的名字，但后来逐渐使用一个而不是“I”或“L”——太棒了。

让我告诉你一个关于我的第一个密码的故事；我如何忘记它，我如何记住它，以及我如何永远不会忘记它。

密码政策的难忘时光

我有一台旧的 G4 Macintosh，仅用来播放音乐。那是 Napster 的时代，所以我当时“借用”了很多音乐。每天，我都会在启动 Windows 计算机的同时启动 Mac。一晃几年，我买了我的第一套房子，并吹掉了我的旧 G4 上的灰尘。我连接了一些杀手级扬声器，这将是我的男人洞穴媒体播放器。启动后，当我意识到自己无法登录时，我的喜悦很快就消失了。我无法告诉你我尝试了多少种不同的密码组合，但我可以肯定的是，我将永远记得尝试失败后密码栏震动的动作。

大约一个小时后，我进入了悲伤的接受阶段，但每隔几天我就会再次尝试，直到我终于记起来。当我第一次设置 Mac 时，我想快速登录。那个透明的 G4 键盘有一个漂亮的完整数字键盘，右下角有一个 Enter 键。我感觉自己如遭雷击，冲下楼，启动电脑，输入零，然后“回车”。 ” 我的密码是数字零。它是如此辉煌，如此简单，又如此愚蠢。

在过去 10-15 年中，密码组成发生了巨大变化。严格来说，Microsoft Active Directory 密码策略发生这些巨大变化的原因是细粒度密码策略 (FGPP) 的引入以及行业从本地转移到云端。这两个事件对密码建议产生了非常大的影响，也是为什么一项密码策略不能适用于所有情况的确切原因。这就是为什么本文实际上是从零开始的。

老派方法

当 Active Directory 于 2000 年推出时，微软实施了一项政策来统治它们。这意味着，任何域只能实施一种密码策略。在实施这一一刀切的政策时，管理员的真正任务是确定最小的共同点。通常，这会导致密码策略较弱，必须适应不支持超过八个字符或更糟的密码的旧系统。

通过打开组策略管理控制台 (GPMC) 并编辑默认域策略或链接到域根的其他策略，可以找到 Active Directory 密码策略设置。要到达该位置，请导航至计算机配置 > 策略 > Windows 设置 > 安全设置 > 帐户策略 > 密码策略。

默认情况下，这样的设置已经存在了大约 15 年。

密码策略设置

六种密码策略设置中的每一种都提供了自己独特的安全措施。

强制执行密码历史记录

此设置确定为用户帐户记住多少个以前的密码。此设置的目的是防止密码重复使用。批评者通常认为此设置严重缺乏，因为它仍然允许用户通过简单地增加最后一个字符来重复使用密码（例如：Fall2022 到 Fall2023）。尽管有这样的批评，微软仍然建议记住 24 个密码。

密码最长使用期限

此设置确定密码在需要更改之前的有效期限。此设置通常被称为密码过期，并且多年来一直是争议的话题。 NIST 在 2017 年发布了著名的特别出版物 800-63B，其中建议密码永不过期。 Microsoft 在发布 Windows Server v1903 的安全基线时还放弃了密码期限建议（之前为 60 天）。关于这一决定，微软解释说：“从我们的基线中删除低值设置并且不使用基线中的其他内容进行补偿并不意味着我们正在降低安全标准。它只是强调了安全性不能完全通过基线来实现。他们还在最佳实践中指出，“未实施 Azure AD 密码保护、多因素身份验证或其他现代密码猜测攻击缓解措施的公司应保留此策略。文章仍然建议密码期限在 30 到 90 天之间。

密码最短使用期限

此设置确定密码在再次更改之前必须保持有效的时间。此设置的建议时间是一天。它可以防止非投诉用户在返回原始密码之前立即更改密码 24 次。

最小密码长度

此设置确定密码必须包含的字符数才能有效。密码长度是另一个有争议的设置。较短的密码更容易被猜出或破解，但强制使用较长的密码可能会鼓励最终用户将其写下来或在其他应用程序中重复使用。 Microsoft 目前在其安全基准中建议使用 14 个字符的密码，但也坚持认为 8 个字符对于大多数环境来说可能就足够了。

密码必须满足复杂性要求

此设置确定密码是否必须遵守复杂性要求。 Microsoft 建议启用此设置。启用此设置后，它会阻止包含帐户用户名或全名的密码。它还强制密码包含五种类别中的三种（大写、小写、数字、特殊字符或 Unicode）。

使用可逆加密存储密码

此设置允许以允许密码解密的方式存储密码。使用可逆加密的帐户具有可以轻松解密为其等效明文的密码属性。 Microsoft 建议禁用此设置。

Microsoft 在此提供了全面的解释，包括所有这些设置的最佳实践。不幸的是，其中一些设置的可能值受到限制。如果没有运行 Windows Server 2004 的域控制器，当前不支持使用此密码策略的最小密码长度大于 14 个字符。这就是细粒度密码策略 (FGPP) 的用武之地。

细粒度密码策略 (FGPP)

FGPP 在 Windows Server 2008 中引入，使管理员可以自由地对部分用户设置更严格的密码准则。 FGPP 的建议通常是对具有提升权限的帐户应用特定策略，或对 Microsoft 服务帐户实施不同的策略。尽管 FGPP 扩展了最小密码长度等设置范围，但它们仍然受到与原始密码策略相同的属性的限制。这些限制使域用户容易受到密码攻击，例如密码喷射和凭证填充。它还不包含遵守最新合规准则（例如 NIST 甚至 Microsoft 最佳实践）所需的灵活性。

微软认识到，他们的“一小组可通过 Windows 安全模板强制执行的古老密码策略”已不再足够。相反，他们建议通过实施禁止密码列表、消除密码重复使用以及强制执行多重身份验证 (MFA) 来进一步加强密码安全。

Azure Active Directory 密码策略

微软已经使用他们的云平台来扩展之前的抑制性密码策略。通过利用与本地 Active Directory (AD) 的集成并实施新技术，Microsoft 提供了进一步提高密码安全性的工具包。一些示例包括 Azure AD 密码保护、密码哈希同步 (PHS)、监视和 MFA。

密码保护为 AD 和 Azure AD 实施密码筛选器。此过滤器可防止帐户使用禁止密码列表中的密码。密码过滤器通常会阻止使用弱密码、受损密码或包含企业常用单词的密码。

在混合身份模型中工作时，密码哈希同步 (PHS) 是一个选项，因为它将密码哈希从本地同步到 Azure AD。 PHS 提供的关键功能是泄露的凭证检测。这是一种密码审核形式，可根据已知的被破坏凭据检查密码。密码审核持续进行，而不是仅在更改密码时进行。这种形式的监控不仅可以保护凭据泄露的用户，还有助于防止密码重复使用。

同样，Azure AD 身份保护能够识别潜在的可疑行为并采取行动。它通过评估与登录活动和一般用户相关的风险来实现这一点。有风险的登录行为可能是从非典型位置尝试登录或可能的密码喷射攻击。有风险的用户行为的一个例子是检测到特定用户帐户可能不寻常的活动。 Identity Protection 会监控这些风险事件，并自动发出警报或采取行动。

MFA 并不是专门的密码保护，但它可能是保护帐户免受攻击的最佳方法，并且是 Microsoft 为 Azure AD 提供的重要工具。如今大多数建议都包含 MFA。 Azure AD 提供安全默认值和条件访问策略作为在租户中部署 MFA 的灵活方法。

结论

密码策略是（而且一直是）一种平衡行为。密码策略是安全性和用户影响之间的冲突。很少有公司有能力遵循NIST指南。这就是为什么考虑适用于任何给定环境的选项如此重要。例如，强制执行 MFA 的环境可能能够放宽其密码长度要求。另一方面，没有 MFA 的环境可能会考虑更严格的密码期限或实施密码审核。对于密码策略问题，没有一个正确的答案。好吧，也许不允许密码为零。但另一方面，它可能并不像你想象的那么容易猜测。