盗墓笔记小说txt下载,国际完美世界下载

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案

Windows密碼安全問(wèn)題全解析

Windows默認(rèn)密碼

銀海網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)建站！從網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開(kāi)發(fā)、APP開(kāi)發(fā)、自適應(yīng)網(wǎng)站建設(shè)等網(wǎng)站項(xiàng)目制作，到程序開(kāi)發(fā)，運(yùn)營(yíng)維護(hù)。創(chuàng)新互聯(lián)建站2013年至今到現(xiàn)在10年的時(shí)間，我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn)，來(lái)保證我們的工作的順利進(jìn)行。專(zhuān)注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)建站。

當(dāng)你試圖登錄到Active Directory域的時(shí)候，你將需要輸入三項(xiàng)內(nèi)容：用戶(hù)名、密碼和域名。

當(dāng)域控制器收到這些信息后，會(huì)根據(jù)列在Active Directory數(shù)據(jù)庫(kù)的用戶(hù)名和密碼對(duì)信息進(jìn)行分析。如果密碼是相符合的，那么域控制器就會(huì)通過(guò)驗(yàn)證用戶(hù)，然后為用戶(hù)提供驗(yàn)證令牌以獲取訪問(wèn)網(wǎng)絡(luò)/域中其他資源的訪問(wèn)權(quán)。

當(dāng)用戶(hù)試圖更改其帳戶(hù)密碼時(shí)，這種信息也會(huì)被發(fā)送至域控制器。當(dāng)用戶(hù)輸入新密碼并將新密碼發(fā)送至域控制器時(shí)，會(huì)有相應(yīng)的政策來(lái)確保密碼符合最低安全標(biāo)準(zhǔn)。以下是一些基本的密碼政策(針對(duì)域和所有本地用戶(hù)帳戶(hù)的)：

·Windows 密碼(Windows Server 2003域或者更高版本)要求至少有7個(gè)字符長(zhǎng)度

·密碼必須包含以下四種類(lèi)型字符中的三種字符類(lèi)型：大寫(xiě)字母、小寫(xiě)字母、數(shù)字、特殊符號(hào)。

·新密碼必須在42天前生成的，以保持帳戶(hù)的有效性。

·在創(chuàng)建24個(gè)獨(dú)特密碼前，密碼不可以重復(fù)使用。

所有這些設(shè)置都是在GPO的電腦配置部分進(jìn)行設(shè)置的，位于密碼政策列表下。圖1顯示的是如何設(shè)置這些密碼政策。

圖1：GPO中的密碼政策(Password Policy)設(shè)置位于計(jì)算機(jī)配置(Computer Configuration)下，

而不是用戶(hù)配置(User Configuration)中

什么在控制著域密碼政策?

筆者發(fā)現(xiàn)，盡管距離微軟公司首次發(fā)布Active Directory已經(jīng)過(guò)去9年了，很多IT專(zhuān)業(yè)人士仍然搞不清楚密碼政策是如何被控制的以及如何修改這些政策等問(wèn)題，下面是關(guān)于Windows 密碼政策和功能的一些事實(shí)：

首先，Default Domain Policy GPO(默認(rèn)域政策GPO)控制著整個(gè)域中所有計(jì)算機(jī)的密碼政策，這包括域控制器、服務(wù)器和整個(gè)Active Directory的桌面(已經(jīng)加入域中)。Default Domain Policy是與域節(jié)點(diǎn)相關(guān)的，這當(dāng)然包括域中的所有計(jì)算機(jī)。

其次，任何連接到域的GPO都可以用于建立和控制密碼政策設(shè)置，GPO在域級(jí)別擁有最高優(yōu)先權(quán)，這使其在任何與密碼政策設(shè)置相沖突的設(shè)置中都能起決定作用。

第三，如果GPO連接到組織單位(OU)，它將不能控制位于OU內(nèi)的用戶(hù)帳戶(hù)。這是目前IT專(zhuān)業(yè)人士最常犯的錯(cuò)誤。密碼政策設(shè)置不是基于用戶(hù)的，而是基于計(jì)算機(jī)的，正如圖1所示。

第四，如果GPO鏈接到OU，GPO中創(chuàng)建的密碼政策設(shè)置將會(huì)影響位于OU的任何計(jì)算機(jī)上的本地SAM，這將使鏈接到該域的GPO中配置的密碼政策設(shè)置發(fā)揮主導(dǎo)作用，但是僅限于存儲(chǔ)在這些計(jì)算機(jī)的本地SAM的本地用戶(hù)帳戶(hù)。

第五，如果GPO鏈接到默認(rèn)域控制器OU，它將不會(huì)控制存儲(chǔ)在域控制器的用戶(hù)Active Directory數(shù)據(jù)庫(kù)。修改域用戶(hù)帳戶(hù)的密碼政策設(shè)置的唯一途徑位于鏈接到該域的GPO內(nèi)。

第六，大多數(shù)現(xiàn)有的Windows Active Directory企業(yè)版都支持LanManager(LM)功能，LM是一個(gè)非常舊的驗(yàn)證協(xié)議，不太能保證密碼和生成的密碼hash(用于支持該協(xié)議的驗(yàn)證)的安全性，有兩種GPO設(shè)置(實(shí)際上是注冊(cè)表設(shè)置)可以控制是否支持LM以及是否存儲(chǔ)LM hash，這將在接下來(lái)的文章中進(jìn)行探討。

總結(jié)

Active Directory域的默認(rèn)密碼政策設(shè)置并不可怕，不過(guò)仍然需要改進(jìn)。默認(rèn)設(shè)置是最初設(shè)置的，并被保存在默認(rèn)域政策GPO中，而這是與域節(jié)點(diǎn)相連的。對(duì)于windows 2000和Server 2003域而言，只能有一個(gè)密碼政策，這意味著所有的用戶(hù)(IT人員、開(kāi)發(fā)人員、管理人員、人力資源等)都擁有相同的密碼政策控制，這是非常不安全的。可以通過(guò)鏈接到OU(這些計(jì)算機(jī)帳戶(hù)位于AD中)的GPO對(duì)服務(wù)器和桌面的本地SAM進(jìn)行修改，這些GPO設(shè)置只能控制本地用戶(hù)帳戶(hù)，而不是域用戶(hù)帳戶(hù)。LM是一種舊的不安全的驗(yàn)證協(xié)議，盡可能禁用這種協(xié)議。

網(wǎng)站名稱(chēng)：Windows密碼安全問(wèn)題全解析
URL地址：http://fisionsoft.com.cn/article/dhgohoc.html

新聞中心

其他資訊