Windows默認(rèn)密碼

當(dāng)你試圖登錄到Active Directory域的時(shí)候，你將需要輸入三項(xiàng)內(nèi)容：用戶名、密碼和域名。

當(dāng)域控制器收到這些信息后，會(huì)根據(jù)列在Active Directory數(shù)據(jù)庫的用戶名和密碼對(duì)信息進(jìn)行分析。如果密碼是相符合的，那么域控制器就會(huì)通過驗(yàn)證用戶，然后為用戶提供驗(yàn)證令牌以獲取訪問網(wǎng)絡(luò)/域中其他資源的訪問權(quán)。

當(dāng)用戶試圖更改其帳戶密碼時(shí)，這種信息也會(huì)被發(fā)送至域控制器。當(dāng)用戶輸入新密碼并將新密碼發(fā)送至域控制器時(shí)，會(huì)有相應(yīng)的政策來確保密碼符合最低安全標(biāo)準(zhǔn)。以下是一些基本的密碼政策(針對(duì)域和所有本地用戶帳戶的)：

·Windows 密碼(Windows Server 2003域或者更高版本)要求至少有7個(gè)字符長度

·密碼必須包含以下四種類型字符中的三種字符類型：大寫字母、小寫字母、數(shù)字、特殊符號(hào)。

·新密碼必須在42天前生成的，以保持帳戶的有效性。

·在創(chuàng)建24個(gè)獨(dú)特密碼前，密碼不可以重復(fù)使用。

所有這些設(shè)置都是在GPO的電腦配置部分進(jìn)行設(shè)置的，位于密碼政策列表下。圖1顯示的是如何設(shè)置這些密碼政策。

什么在控制著域密碼政策?

筆者發(fā)現(xiàn)，盡管距離微軟公司首次發(fā)布Active Directory已經(jīng)過去9年了，很多IT專業(yè)人士仍然搞不清楚密碼政策是如何被控制的以及如何修改這些政策等問題，下面是關(guān)于Windows 密碼政策和功能的一些事實(shí)：

首先，Default Domain Policy GPO(默認(rèn)域政策GPO)控制著整個(gè)域中所有計(jì)算機(jī)的密碼政策，這包括域控制器、服務(wù)器和整個(gè)Active Directory的桌面(已經(jīng)加入域中)。Default Domain Policy是與域節(jié)點(diǎn)相關(guān)的，這當(dāng)然包括域中的所有計(jì)算機(jī)。

其次，任何連接到域的GPO都可以用于建立和控制密碼政策設(shè)置，GPO在域級(jí)別擁有最高優(yōu)先權(quán)，這使其在任何與密碼政策設(shè)置相沖突的設(shè)置中都能起決定作用。

第三，如果GPO連接到組織單位(OU)，它將不能控制位于OU內(nèi)的用戶帳戶。這是目前IT專業(yè)人士最常犯的錯(cuò)誤。密碼政策設(shè)置不是基于用戶的，而是基于計(jì)算機(jī)的，正如圖1所示。

第四，如果GPO鏈接到OU，GPO中創(chuàng)建的密碼政策設(shè)置將會(huì)影響位于OU的任何計(jì)算機(jī)上的本地SAM，這將使鏈接到該域的GPO中配置的密碼政策設(shè)置發(fā)揮主導(dǎo)作用，但是僅限于存儲(chǔ)在這些計(jì)算機(jī)的本地SAM的本地用戶帳戶。

第五，如果GPO鏈接到默認(rèn)域控制器OU，它將不會(huì)控制存儲(chǔ)在域控制器的用戶Active Directory數(shù)據(jù)庫。修改域用戶帳戶的密碼政策設(shè)置的唯一途徑位于鏈接到該域的GPO內(nèi)。

第六，大多數(shù)現(xiàn)有的Windows Active Directory企業(yè)版都支持LanManager(LM)功能，LM是一個(gè)非常舊的驗(yàn)證協(xié)議，不太能保證密碼和生成的密碼hash(用于支持該協(xié)議的驗(yàn)證)的安全性，有兩種GPO設(shè)置(實(shí)際上是注冊(cè)表設(shè)置)可以控制是否支持LM以及是否存儲(chǔ)LM hash，這將在接下來的文章中進(jìn)行探討。

總結(jié)

Active Directory域的默認(rèn)密碼政策設(shè)置并不可怕，不過仍然需要改進(jìn)。默認(rèn)設(shè)置是最初設(shè)置的，并被保存在默認(rèn)域政策GPO中，而這是與域節(jié)點(diǎn)相連的。對(duì)于windows 2000和Server 2003域而言，只能有一個(gè)密碼政策，這意味著所有的用戶(IT人員、開發(fā)人員、管理人員、人力資源等)都擁有相同的密碼政策控制，這是非常不安全的?？梢酝ㄟ^鏈接到OU(這些計(jì)算機(jī)帳戶位于AD中)的GPO對(duì)服務(wù)器和桌面的本地SAM進(jìn)行修改，這些GPO設(shè)置只能控制本地用戶帳戶，而不是域用戶帳戶。LM是一種舊的不安全的驗(yàn)證協(xié)議，盡可能禁用這種協(xié)議。

【編輯推薦】

1. Windows操作系統(tǒng)常見安全問題解決方法
2. MySQL數(shù)據(jù)庫的其它安全問題
3. Windows無法上網(wǎng)問題解決全攻略