簡(jiǎn)介 可在域級(jí)別上應(yīng)用所有的帳戶策略組策略設(shè)置。在帳戶策略、帳戶鎖定策略和 Kerberos 策略內(nèi)置的默認(rèn)域控制器中提供了默認(rèn)值。請(qǐng)記住，在 Microsoft Active Directory 中設(shè)置這些策略時(shí)，Microsoft Windows 僅允許一個(gè)域帳戶策略：應(yīng)用于域樹根域的帳戶策略。域帳戶策略將成為屬于該域的任何 Windows 系統(tǒng)的默認(rèn)帳戶策略。此規(guī)則的唯一例外情況是，當(dāng)為組織單位定義了另外一個(gè)帳戶策略時(shí)。組織單位 (OU) 的帳戶策略設(shè)置將影響到該 OU 中任何計(jì)算機(jī)上的本地策略。本模塊將通篇討論其中每種類型的設(shè)置。 帳戶策略 帳戶策略是在域級(jí)別上實(shí)現(xiàn)的。Microsoft Windows Server 2003 域必須有一個(gè)針對(duì)該域的密碼策略、帳戶鎖定策略和 Kerberos V5 身份驗(yàn)證協(xié)議。在 Active Directory 中任何其他級(jí)別上設(shè)置這些策略將只會(huì)影響到成員服務(wù)器上的本地帳戶。如果有要求單獨(dú)密碼策略的組，應(yīng)根據(jù)任何其他要求將這些組分段到另一個(gè)域或目錄林。 在 Windows 和許多其他操作系統(tǒng)中，驗(yàn)證用戶身份最常用的方法是使用秘密通行碼或密碼。確保網(wǎng)絡(luò)環(huán)境的安全要求所有用戶都使用強(qiáng)密碼。這有助于避免未經(jīng)授權(quán)的用戶猜測(cè)弱密碼所帶來的威脅，他們通過手動(dòng)的方法或工具來獲取已泄密用戶帳戶的憑據(jù)。這一點(diǎn)對(duì)于管理帳戶尤其有用。隨本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”（英文）為默認(rèn)設(shè)置編制了文檔。請(qǐng)單擊此處下載。 定期更改的復(fù)雜密碼減少了密碼攻擊成功的可能性。密碼策略設(shè)置控制密碼的復(fù)雜性和壽命。本部分將討論每個(gè)特定的密碼策略帳戶設(shè)置。 注意：對(duì)于域帳戶，每個(gè)域只能有一個(gè)帳戶策略。必須在默認(rèn)域策略或鏈接到域根的新策略中定義帳戶策略，并且?guī)舨呗砸獌?yōu)先于由組成該域的域控制器強(qiáng)制實(shí)施的默認(rèn)域策略。域控制器總是從域的根目錄中獲取帳戶策略，即使存在應(yīng)用于包含域控制器的 OU 的其他帳戶策略。域的根目錄是該域的頂層容器，不要與目錄林中的根域相混淆；目錄林中的根域是該目錄林中的頂層域。 默認(rèn)情況下，加入域的工作站和服務(wù)器（即域成員計(jì)算機(jī)）還為其本地帳戶接收相同的帳戶策略。但是，通過為包含成員計(jì)算機(jī)的 OU 定義帳戶策略，可以使成員計(jì)算機(jī)的本地帳戶策略區(qū)別于域帳戶策略。 可以在組策略對(duì)象編輯器中的以下位置配置帳戶策略設(shè)置： 計(jì)算機(jī)配置Windows 設(shè)置安全設(shè)置帳戶策略密碼策略 強(qiáng)制密碼歷史 “強(qiáng)制密碼歷史”設(shè)置確定在重用舊密碼之前必須與用戶帳戶關(guān)聯(lián)的唯一新密碼的數(shù)量。 該組策略設(shè)置可能的值是： 用戶指定的值，在 0 至 24 之間 沒有定義 漏洞 密碼重用對(duì)于任何組織來說都是需要考慮的重要問題。許多用戶都希望在很長(zhǎng)時(shí)間以后使用或重用相同的帳戶密碼。特定帳戶使用相同密碼的時(shí)間越長(zhǎng)，攻擊者能夠通過暴力攻擊確定密碼的機(jī)會(huì)就越大。如果要求用戶更改其密碼，但卻無法阻止他們使用舊密碼，或允許他們持續(xù)重用少數(shù)幾個(gè)密碼，則會(huì)大大降低一個(gè)不錯(cuò)的密碼策略的有效性。 為此設(shè)置指定一個(gè)較低的數(shù)值將使用戶能夠持續(xù)重用少數(shù)幾個(gè)相同的密碼。如果還沒有配置“密碼最短使用期限”設(shè)置，用戶可以根據(jù)需要連續(xù)多次更改其密碼，以便重用其原始密碼。 對(duì)策 將“強(qiáng)制密碼歷史”設(shè)置成最大值“24”。將此值配置為最大設(shè)置有助于確保將因密碼重用而導(dǎo)致的漏洞減至最少。 由于此設(shè)置在組織內(nèi)有效，因此不允許在配置“密碼最短使用期限”后立即更改密碼。要確定將此值設(shè)置為何種級(jí)別，應(yīng)綜合考慮合理的密碼最長(zhǎng)使用期限和組織中所有用戶的合理密碼更改間隔要求。 潛在影響 此設(shè)置的主要影響在于，每當(dāng)要求用戶更改舊密碼時(shí)，用戶都必須提供新密碼。由于要求用戶將其密碼更改為新的唯一值，用戶會(huì)為了避免遺忘而寫下自己的密碼，這就帶來了更大的風(fēng)險(xiǎn)。