如何使用密码长度设置优秀密码过期战略
发布时间:2022-01-17 10:20:14 所属栏目:安全 来源:互联网
导读:活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务,活动目录服务是Windows Server 2000操作系统平台的中心组件之一。不过弱活动目录密码是Active Directory最长的漏洞之一。Ac
|
活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务,活动目录服务是Windows Server 2000操作系统平台的中心组件之一。不过弱活动目录密码是Active Directory最长的漏洞之一。Active Directory密码策略的众多功能之一是最长密码使用期限。传统的Active Directory环境长期以来一直使用密码时效来增强密码安全性。默认Active Directory密码策略中的本机密码有效期在配置设置中受到相对限制。 让我们先看一下一些在密码过期方面已经进行过的最佳实践方法,使用默认的Active Directory密码策略,用户可以对密码过期执行哪些控制措施?组织可以使用更好的工具来控制Active Directory用户帐户的最长密码期限吗? 哪些密码过期的最佳做法已发生了更改?Active Directory用户帐户的密码过期长期以来一直是安全防护中的一个有争议的话题,尽管许多组织仍采用更传统的密码时效规则,但著名的安全性组织已提供了更新的密码时效指南。微软表示,他们将从Windows 10 v1903和Windows Server v1903的安全性基准中删除密码过期策略。美国国家标准技术研究院(NIST)长期以来一直提供网络安全框架和安全最佳实践建议。 正如SP 800-63B的《数字身份指南:身份验证和生命周期管理》第5.1.1.2节中所更新的那样,请注意以下指南:验证者不应该要求任意更改存储的机密,例如存储周期。但是,如果有证据表明验证者受到攻击,则验证者将强制进行更改。 NIST在其有关“数字身份准则”的“常见问题”页面中解释了指南中发生的改变部分。 指南中指出:当用户知道他们将不得不在不久的将来更改密码时,他们倾向于选择记忆较弱的密码。当发生这些更改时,他们通常通过应用一组通用转换(比如在密码中增加一个数字)来选择一个与旧的记忆中的密码相似的密码。如果先前的任何密码被泄漏了,这种做法就会给人一种虚假的安全感,因为攻击者可以应用这些相同的通用转换。但是,如果有证据表明存储的密码已经被泄漏,例如验证者的哈希密码数据库被破坏或观察到的欺诈活动,则应该要求订阅者更改他们存储的密码。然而,这种基于事件的改变应该很少发生,这样他们就不会有动机选择一个弱密码,因为他们知道它只会在有限的时间内使用。 在上述组织和许多其他组织的反馈,安全专家承认,密码过期,至少对其本身来说,不一定是防止密码在环境中泄漏的好策略。另外,密码期限指南的最新更改也适用于传统的Microsoft Active Directory密码策略。 双击最长密码使用期限时,可以配置用户可以使用同一密码的最长天数。查看密码使用期限的说明时,用户将在组策略设置中看到以下内容: 此安全设置确定在系统要求用户更改密码之前可以使用密码的时间段(以天为单位),用户可以将密码设置为在1到999之间的天数后过期,或者用户可以指定通过将天数设置为0,则密码永不过期。如果最长密码期限在1到999天之间,则最小密码期限必须小于最长密码期限;如果将最长密码期限设置为0,则最小密码期限年龄可以是0到998天之间的任何值。 (编辑:宁德站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐