“最短密码长度”设置确定可以组成用户帐户密码的最少字符数。确定组织的最佳密码长度有许多不同的理论,但是,“通行码”一词可能比“密码”更好。在
Microsoft Windows 2000 及更高版本中,通行码可以相当长,并且可以包括空格。因此,诸如“I want to drink a $5
milkshake”之类的短语都是有效的通行码,它比由 8 个或 10 个随机数字和字母组成的字符串要强大得多,而且更容易记住。
•
密码不得包含三个或三个以上来自用户帐户名中的字符。如果帐户名长度低于三个字符,因为密码被拒概率过高而不会执行此项检查。检查用户全名时,有几个字符被看作是将名称分隔成单个令牌的分隔符,这些分隔符包括:逗号、句点、短划线/连字符、下划线、空格、磅字符和制表符。对于包含三个或更多字符的每个令牌,将在密码中对其进行搜索,如果发现了该令牌,就会拒绝密码更改。例如,姓名“Erin
M.
Hagens”将被拆分为三个令牌:“Erin”、“M”和“Hagens”。因为第二个令牌仅包含一个字符,因而会将其忽略。因此,该用户密码中的任何位置都不能包含“erin”或“hagens”子字符串。所有这些检查都是区分大小写的。
这些复杂性要求在密码更改或新建密码时强制执行。
不能直接修改 Windows Server 2003
策略中包括的这些规则。但是,可以创建一个新版本的 passfilt.dll,以应用不同的规则集。关于 passfilt.dll 的源代码,请参阅
Microsoft 知识库文章 151082“HOW TO: Password Change Filtering & Notification in
Windows NT”,其网址为:https://support.microsoft.com/default.aspx?scid=151082(英文)。
同时,使用 Alt
键字符组合可大大增加密码的复杂性。但是,要求组织中的所有用户都遵守如此严格的密码要求可能会导致用户不满,并将导致帮助台极度繁忙。考虑在组织内实现这样一种要求,即使用
0128 – 0159 范围内的 Alt 字符作为所有管理员密码的一部分。此范围之外的 Alt 字符可表示标准的字母数字字符,而不会另外增加密码的复杂性。
用可还原的加密来存储密码(针对域中的所有用户)
“用可还原的加密来存储密码(针对域中的所有用户)”设置确定
Microsoft Windows Server 2003、Windows 2000 Server、Windows 2000 Professional 和
Windows XP Professional 是否使用可还原的加密来存储密码。
使用通过远程访问的 CHAP 身份验证或 Internet 验证服务 (IAS) 时要求启用此设置。质询握手身份验证协议 (CHAP) 是
Microsoft 远程访问和网络连接使用的一种身份验证协议。Microsoft Internet 信息服务 (IIS) 的摘要式验证也要求启用此设置。
此组策略设置可能的值是:
• 启用
• 禁用
• 没有定义
漏洞
此设置确定 Windows Server 2003
是否以更容易遭到暴力攻击的一种较弱格式来存储密码。
对策
将“用可还原的加密来存储密码(针对域中的所有用户)”的值设置为“禁用”。
潜在影响
使用通过远程访问的 CHAP 身份验证协议或 IAS 服务。IIS
中的摘要式身份验证要求将此值设置为“禁用”。将使用组策略逐个应用到每位用户是一种极其危险的设置,因为它要求在 Active Directory
用户和计算机管理控制台中打开适当的用户帐户对象。
警告:请永远不要启用此设置,除非业务要求比保护密码信息更为重要。
帐户锁定策略
试图登录到系统时多次不成功的密码尝试可能表示攻击者正在以试错法来确定帐户密码。Windows Server
2003 跟踪登录尝试,而且可以将操作系统配置为通过在预设时间段内禁用帐户来响应这种潜在攻击。随本指南提供的 Microsoft Excel
工作簿“Windows Default Security and Services Configuration”(英文)为默认设置编制了文档。