如何配置域密码策略

在本文中，您将了解如何配置 Active Directory 域密码策略。

域密码策略对于确保组织的安全性和合规性至关重要。

您还将学习：

• 默认域密码策略是什么
• 了解密码策略设置
• 密码策略最佳实践
• 修改域密码策略

什么是默认域密码策略？

默认情况下，Active Directory 配置有默认域密码策略。此策略定义 Active Directory 用户帐户的密码要求，例如密码长度、年龄等。

此密码策略由组策略配置并链接到域的根。要查看密码策略，请执行以下步骤：

1.打开组策略管理控制台

2. 展开域、您的域，然后展开组策略对象

3.右键单击默认域策略，然后单击编辑

4. 现在导航到计算机配置\策略\Windows 设置\安全设置\帐户策略\密码策略

您还可以使用此命令通过 Powershell 查看默认密码策略。

Get-ADDefaultDomainPasswordPolicy

重要提示：默认密码策略适用于域中的所有计算机。如果您想对一组用户应用不同的密码策略，那么最佳实践是使用细粒度的密码策略。不要创建新的 GPO 并将其链接到 OU，不建议这样做。

您还可以使用 AD Pro Toolkit 的内置安全报告列表获取密码策略。您还可以报告细粒度密码策略和使用旧密码的域管理员。

您可以在您的域中免费试用这些报告。下载 AD Pro 工具包的免费试用版或查看包含的 Active Directory 报告的完整列表。

了解密码策略设置

现在您已经知道如何查看域默认密码策略，让我们看看设置。

强制执行密码历史记录：

此设置定义在重新使用旧密码之前必须使用多少个唯一密码。例如，如果我当前的密码是“Th334goore0！”那么我无法重复使用该密码，直到我更改密码 24 次（或策略设置的任何数字）。此设置很有用，因此用户不会重复使用相同的密码。默认设置为 24

密码最长使用期限：

此设置定义密码需要更改之前可以使用的天数。默认设置为 42 天

密码最短使用期限

此设置确定密码必须使用多长时间才能更改。默认设置为 1 天

最小密码长度

此设置确定密码必须包含多少个字符。默认值为 7。这意味着我的密码必须至少包含 7 个字符。

密码必须满足复杂性要求

如果启用密码必须满足以下要求：

• 不包含用户的帐户名或用户全名中超过两个连续字符的部分
• 长度至少为六个字符

• 包含以下四个类别中三个类别的字符：

  • 英文大写字符（A 到 Z）
• 英文小写字符（a 到 z）
• 10 基数（0 到 9）
• 非字母字符（例如，!、$、#、%）

默认情况下启用此功能

使用可逆加密存储密码

此设置确定操作系统是否使用可逆加密来存储密码。这本质上与存储密码的纯文本版本相同。除非您有一些非常具体的应用程序要求，否则切勿将此策略设置为启用。

密码策略最佳实践

为了提高 Active Directory 安全性，建议遵循密码策略最佳实践。将帐户锁定策略配置为在多次登录尝试失败后锁定用户也非常重要。下面我列出了 Microsoft 和 CIS 安全基准中的密码策略最佳实践。此外，您组织的密码策略可能由 PCI/SOX/CJIS 等合规性/法规要求驱动。

Microsoft 推荐的密码设置

这些设置来自 Microsoft 的安全合规工具包。此工具包提供 Microsoft 推荐的 GPO 设置。

• 强制执行密码历史记录：24
• 密码最长期限：未设置
• 最短密码期限：未设置
• 最小密码长度：14
• 密码必须满足复杂性：已启用
• 使用可逆加密存储密码：已禁用

注意： Microsoft 已放弃从 1903 安全基线开始的密码过期策略。您可以在这里阅读更多相关内容

我认为这是一个很好的决定，但一些组织仍然需要遵循特定的指南（例如 PCI、SOX、CJIS）。希望这些能尽快更新。

CIS 基准密码设置

这些设置来自 CIS 基准。互联网安全中心是一个非营利组织，负责制定安全指南和基准。

• 强制执行密码历史记录：24
• 密码最长期限：60 天或更少
• 密码最短使用期限：1 或以上
• 最小密码长度：14
• 密码必须满足复杂性：已启用
• 使用可逆加密存储密码：已禁用

有关的：

修改默认域密码策略

要修改密码策略，您需要修改默认域策略。

1.打开组策略管理控制台

2. 展开域、您的域，然后展开组策略对象

3.右键单击默认域策略，然后单击编辑

4. 现在导航到计算机配置\策略\Windows 设置\安全设置\帐户策略\密码策略

5. 现在双击要编辑的设置之一。例如，我会双重选择最小密码长度。

我打算将此设置从 7 个字符更改为 14 个字符，然后单击“应用”。

双击任何其他密码策略设置进行更改。

我希望您喜欢这篇文章。

你有任何问题吗？请在下面的评论中告诉我。

相关内容

如何检查 Active Directory 中的密码复杂性