欢迎来到天天文库
浏览记录
ID:16673766
大小:38.00 KB
页数:11页
时间:2018-08-23
《域策略中账户策略和密码策略的配置》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、域策略中账户策略和密码策略的配置域策略中账户策略和密码策略的配置详解电脑问题2009-04-0213:26:15阅读828评论0字号:大中小订阅在实际配置域环境的策略中,需要注意配置的策略有以下几点:账户策略、密码策略、账户锁定策略、Kerberos策略。首先我们确定域策略的级别,级别有以下几种:域级别、基准级别和特定于角色的级别。而在日常使用过程中,除服务器和特别的服务以外,都是基于运用域级别的策略。在域的组策略中,管理员可以修改相应的策略和配置,以达到安全的目的。我们可以通过策略来修改文件系统的权限,使不同用户拥有不同的访问权限,从而限制一些用户访问个别的文件,也杜绝用户修
2、改系统文件;另外,我们也可以修改注册表中的设置,注册表中的信息是十分强大的,运用组策略修改注册表能达到意想不到的效果,包括前面所说的屏保就是通过注册表来修改的,还有IE的起始页设置、桌面和菜单的设置、各种安全选项和系统信息的配置以及阻止某些应用程序的设置等等;还可以配置系统服务,开启和关闭一起服务,以自己周围环境为基准配置,从而达到速度快和安全性高的双重性标准;而配置审核和事件日志,能让管理员清晰又全面去诊断用户电脑的问题,也能更加及时地反映出问题,对于管理来说是必不可少的一项配置策略;而安全的最基础就是账户和密码策略,也是应用最为平常的一个策略,几乎每个管理员都要配置这个策略
3、以求达到更加安全的目的,而我则在下面的文章中详细讲这个策略中的各种功能和此策略中各个细节策略如何去配置。在策略中最为重要的是帐户策略,而其中包括了密码策略、帐户锁定策略和Kerberos策略安全设置。密码策略提供了一种方法来设置高安全环境的复杂性和更改计划。帐户锁定策略允许跟踪失败的密码登录尝试以便在必要时启动帐户锁定。Kerberos策略用于域用户帐户,并确定与Kerberos身份验证协议相关的设置。密码策略是控制密码的复杂性和使用期限,对密码长度和复杂性要求严格并不一定意味着用户和管理员将使用强密码。虽然密码策略可能要求用户遵循技术复杂性要求,但还需要附加的强安全策略来确保
4、用户创建难以遭破坏的密码。例如,Password!可能符合所有密码复杂性要求,但是要破解该密码并非难事。若了解密码创建人的特定情况,而且密码是基于其家庭地址、生日或名字的,就可以猜到该密码。制作一张介绍弱密码的海报,并将其贴在公共场所,如饮水机或复印机附近,是设法让用户接受强密码的组织安全计划的一种策略。您的组织应该设立强密码创建准则,组织中所有服务帐户密码也应该遵循这些准则。而本人建议在设置密码策略中应该注意以下几点:l不要使用任何语言词典中的单词,包括常见或巧妙拼错的单词。l创建新密码时,不能只是增加当前密码中的一个数字。l密码的开头或结尾不要使用数字,因为与将数字摆在中间
5、的密码相比,前者更容易猜到。l其他人只需看看您的办公桌即可轻松猜到的密码不宜使用,例如宠物名称、运动队名称和家人姓名。l不要使用来自大众文化的单词。l强制使用需要在键盘上用两手输入的密码。l强制在所有密码中混合使用大小写字母、数字和符号。l强制使用空格字符和只有按Alt键才能生成的字符。强制密码历史此策略设置确定在可以重新使用旧密码之前,必须与某个用户帐户关联的唯一新密码个数。此设置的值必须在0到24个密码之间。WindowsServer2003SP1中“强制密码历史”设置的默认值最多为24个密码。本人建议使用该值,原因是它有助于确保旧密码不会连续重新使用、常见的漏洞与密码重新
6、使用相关联以及低值设置将允许用户持续循环使用数目很小的密码。要增强此策略设置的有效性,您也可以配置“密码最短使用期限”设置以便密码无法被立即更改。这种组合使得用户很难重新使用旧密码,无论是偶然还是有意。密码最长使用期限此策略设置定义了破解密码的攻击者在密码过期之前使用该密码访问网络计算机的期限。此策略设置的值范围为1到999天。您可以配置“密码最长使用期限”设置,以便密码在环境需要时过期。此设置的默认值为42天。定期更改密码有助于防止密码遭破坏。若攻击者有足够的时间和计算功能,就能够破解大多数密码。密码更改越频繁,攻击者破解密码的时间就越少。但是,此值设置得越低,帮助台支持呼叫
7、增多的可能性越大。本人建议将“密码最长使用期限”设置保留为默认值42天,此配置将确保密码会被定期更改,但不要求用户频繁更改其密码以致无法记住密码,要权衡安全性和可用性需求。密码最短适用期限此策略设置确定用户更改密码之前该密码可以使用的天数。此策略设置的值范围介于0至999天,0值允许立即更改密码。设置的默认值为1天,设置必须小于“密码最长使用期限”设置,除非“密码最长使用期限”设置配置为0(这意味着密码永不过期)。如果希望“强制密码历史”设置生效,请将此策略设置配置为大于0的值。如果没有密码
此文档下载收益归作者所有