对于本地计算机密码策略的设置

作者: 何艳辉 王达 出处:电子工业出版社易飞思公司　 (  ) 砖  (  ) 好  评论 ( ) 条 　进入论坛

更新时间：2007-04-07 15:24
关 键 词：密码策略  网络配置  网络管理  网管员必读——网络管理
阅读提示：《网管员必读——网络管理》在全面介绍微软最新网络操作系统Windows Server 2003的基础上，简要地介绍了UNIX和Linux两大操作系统的代表产品：Sun（太阳）公司的Solaris 9.0和Red Hat（红帽子）公司的Red Hat Linux 9.0（它们都是目前的最新版本）的基础网络管理知识，可以满足更多读者需求。本节主要介绍了密码策略的设置 。

12.3.1  密码策略的设置 
密码策略用于域账户或本地用户账户。它们确定密码设置，例如强制执行和有效期限。这部分包含：
强制密码历史；密码最长使用期限；密码最短使用期限；密码长度最小值；密码必须符合复杂性要求；用可还原的加密来存储密码。
以上各项的配置方法均需根据当前用户账户类型来选择。
说明:在默认情况下，成员计算机的配置与其域控制器的配置相同。
1．对于本地计算机
对于本地计算机的用户账户，其密码策略设置是在“本地安全设置”管理工具中进行的。下面是具体的配置方法。
（1）执行【开始】→【管理工具】→【本地安全策略】菜单操作，打开如图12-1所示的“本地安全设置”界面。
对于本地计算机中的“账户和本地策略”都是在此管理工具中进行配置的。
（2）因密码策略属于用户策略范畴，所以先在如图12-1所示的界面中单击选择“账户策略”选项，然后选择“密码策略”选项，在右边详细信息窗口中将显示可配置的密码策略选项的当前配置。
因为各策略选项的配置方法基本一样，所以在此仅以一个选项的配置进行介绍，其他只对各选项的具体作用进行简单介绍。
如要配置“密码必须符合复杂性要求”选项，可设置确定密码是否符合复杂性要求。
如启用该策略，则密码必须符合以下最低要求：
不包含全部或部分的用户账户名；
长度至少为6个字符；
包含来自以下4个类别中的3个字符：
英文大写字母（A～Z）；
英文小写字母（a～z）；
10个基本数字（0～9）；
非字母字符（例如!、$、#、%）。
如果启用了此安全策略，而所配置的用户密码不符合此配置要求时系统会提示错误。有时用户可能百思不得其解，认为自己所设的密码已经够长，而且也是属于随机的，不全是数字或字母，可系统为什么还是老说错误呢？一般来说，是由于所设的密码所包括的字符类型不足以上4个中的3个。通常只是两种，即数字和字母，而没有考虑到字母的大小写或者非字母字符，所以达不到复杂性要求。更改或创建密码时，会强制执行复杂性要求。
在默认情况下，安全选项在域控制器上是已启用的，而在独立服务器上是已禁用的。
这个安全选项的配置方法是在如图12-1所示界面的右边信息窗口中双击“密码必须符合复杂性要求”选项，打开如图12-3所示的对话框。在这个对话框中就可以随意启用或者禁用这个安全策略选项了，配置好后单击【确定】按钮使配置更改生效。

图12-3  “密码必须符合复杂性要求 属性”对话框

其他选项的配置方法都一样，都是通过双击或者单击鼠标右键，然后选择【属性】菜单选项，打开类似图12-3所示的对话框，在这些对话框中进行配置即可。下面简单介绍其他密码策略选项的含义。
①强制密码历史
重新使用旧密码之前，该安全设置确定某个用户账户所使用的新密码不能与该账户所使用的最近的旧密码一样。该值必须为0～24之间的一个数值。该策略通过确保旧密码不能在某段时间内重复使用，使用户账户更安全。
在域控制器上的默认值为24，而在独立服务器上为0。
提示：要维持密码历史记录的有效性，应在通过启用密码最短使用期限安全策略设置更改密码之后，不允许立即更改密码。
②密码最长使用期限
该安全设置确定系统要求用户更改密码之前可以使用该密码的时间（单位为天）。可将密码的过期天数设置在1～999天之间，或将天数设置为0，可指定密码永不过期。如果密码最长使用期限在1～999天之间，那么“密码最短使用期限”（下面将介绍）必须小于密码最长使用期限。如果密码最长使用期限设置为0，则密码最短使用期限可以是1～998天之间的任何值。
默认值：42。
提示：使密码每隔30～90天过期一次是一种安全的最佳操作，取决于环境。通过这种方式，攻击者只能够在有限的时间内破解用户密码，并访问网络资源。
③密码最短使用期限
该安全策略设置确定在用户可以更改密码之前必须使用该密码的时间（单位为天）。可以设置1～998天之间的某个值，或者将天数设置为0，允许立即更改密码。
密码最短使用期限必须小于上面设置的“密码最长使用期限”，除非密码最长使用期限设置为0（表明密码永不过期）。如果密码最长使用期限设置为0，那么密码最短使用期限可设置为0～998天之间的任意值。
如果希望上面设置的“强制密码历史”安全策略选项设置有效，则将密码最短有效期限配置为大于0。如果没有密码最短有效期限，则用户可以循环以前的密码，直到获得喜欢的旧密码。默认设置不遵从这种推荐方法，因此管理员可以为用户指定密码，然后要求当用户登录时更改管理员定义的密码。如果将该密码的历史记录设置为0，则用户不必选择新密码。因此，在默认情况下将密码历史记录设置为1。
在域控制器上的默认值为1，而在独立服务器上为0。
④密码长度最小值
该安全设置确定用户账户的密码可以包含的最少字符个数，可以设置为1～14个字符之间的某个值，或者通过将字符数设置为0，可设置不需要密码。
在域控制器上的默认值为7，而在独立服务器上为0。
⑤用可还原的加密来存储密码
该安全设置确定操作系统是否使用可还原的加密来存储密码。
如果应用程序使用了要求知道用户密码才能进行身份验证的协议，则该策略可对它提供支持。使用可还原的加密存储密码和存储明文版本密码本质上是相同的。因此，除非应用程序有比保护密码信息更重要的要求，否则不必启用该策略。
当使用质询握手身份验证协议（CHAP）通过远程访问或Internet身份验证服务（IAS）进行身份验证时，该策略是必需的。在Internet信息服务（IIS）中使用摘要式验证时也要求该策略。
系统默认值为禁用。
上面介绍的是在本地计算机上配置以上密码安全策略选项的方法，下面继续介绍在其他两种情形中这些密码策略选项的配置方法。

回书目   上一节   下一节

滚动新闻　术语词典　问题悬赏

我也说两句