Dave Asked: 2009-07-15 13:24:26 +0800 CST2009-07-15 13:24:26 +0800 CST 2009-07-15 13:24:26 +0800 CST Windows 域密码策略建议 772 我有需要密码策略的 Windows 域。现在一个都没有。任何人都对弱密码和密码如此强大以至于只写下来的用户之间的良好平衡有反馈? 由于没有人有过期密码,我想我可以通过从用户帐户中删除“密码永不过期”属性来逐步加入用户。这样我(和服务台)就不会因为问题/密码重置而受到猛烈抨击。任何反馈? windows-server-2003 group-policy security active-directory password 9 个回答 Voted duffbeer703 2009-07-15T13:31:36+08:002009-07-15T13:31:36+08:00 美国国家标准与技术研究院 (NIST) 有一些关于计算机安全主题的优秀出版物。它们是很好的资源……您正在寻找的出版物是 NIST 特别出版物 800-53。(相信我,它并不像听起来那么糟糕) IMO 密码策略应该是这样的: 8 个字符 以下 3 种:大写、小写、数字、特殊字符 不得重复使用最后 12 个密码 30-90 天密码到期 Izzy 2009-07-15T13:33:22+08:002009-07-15T13:33:22+08:00 请记住,您的政策越严格,需要解锁帐户或重置密码的用户调用您的次数就越多。您的政策限制越少,您的组织面临的风险就越大。 默认情况下,您无法定义域密码策略的复杂程度(至少到 2003 年)。有改变规则的方法和方法,但据我了解,它非常复杂,而不是为了装腔作势。换句话说,您不能决定您的用户密码是 3 个大写字母、2 个特殊密码、2 个数字密码等。 以下是在默认域组策略中启用密码必须满足复杂性要求设置时将设置的内容: 密码必须满足复杂性要求。 此安全设置确定密码是否必须满足复杂性要求。如果启用此策略,密码必须满足以下最低要求: 不包含超过两个连续字符的用户帐户名或用户全名部分长度至少为六个字符 包含来自以下四个类别中的三个类别的字符: 英文大写字符(A 到 Z) 英文小写字符(a> 到 z) 以 10 位为基数(0 到 > 9) 非字母字符(例如,!、$、#、%) 更改或创建密码时会强制执行复杂性要求。 但是,您可以设置的是: 最小密码长度 最低密码年龄 最大密码年龄 密码历史 帐户锁定阈值(无效登录尝试) 帐户锁定持续时间 在我们所有的域中,我们使用复杂性,最少 8 个字符,最少 14 天,最长 90 天,14 密码历史记录,5 次无效登录尝试,30 分钟锁定持续时间 Boden 2009-07-15T13:51:17+08:002009-07-15T13:51:17+08:00 duffbeer703 的链接很好。某些密码限制和最低要求有一些技术原因。如果您不在一个完全同质的环境中,您尤其需要探索这些限制。 无论如何,八字三四字组规则是相当标准的。我个人所做的是训练我的用户创建密码短语而不是密码。这使得想出密码变得更加容易,并且他们不会花费太多时间来试图弄清楚如何在所有这些字符要求中工作。像“天气晴朗。Yippee!”这样的密码。很容易想出并记住。 这种方法存在问题,但是如果人们在编写密码时使用正确的英语语法,从而在一定程度上限制了可能组合的总数。也就是说,始终以大写字母开头并以句点结尾的密码不会因为它包含大写字母和句点而更强大,它更弱,因为我们可以提前猜到这一点。 其他标准的 Windows 域规则很好,IMO,除了我只需要每季度更改一次密码。就我个人而言,我不赞成密码过期的概念。如果帐户被盗,即使三十天也是永恒的。无论如何,当人们不得不更改密码时,他们会非常生气。 由于即使是安全专家也无法在与密码相关的任何事情上达成良好的中间立场,所以我说大多数关于任何极端的建议都是愚蠢的,除非你特别处于高度安全的情况下。我认为最重要的,并且我让用户真正签署的是类似的声明:“永远不要与任何人分享您的密码。我不在乎他们是谁或他们为什么需要在您的计算机上获取当您度假时。您的密码安全是您的责任。” 我所见过的最大的帐户滥用来自共享密码的人。所有其他 133t 黑客的东西在常规的旧业务中几乎不是问题。 RascalKing 2009-07-15T13:32:41+08:002009-07-15T13:32:41+08:00 好吧,你最了解你的用户,所以如果你认为让密码过期是可行的方法,那就去吧。它是一个很好的选择。 至于密码策略,它总是在完美的安全性(即 13 个字符长、4 个大写字母、2 个符号、3 个数字,其余小写)和完美的便利性(即没有任何策略......自动登录)之间进行权衡。基本上,如果你在安全方面做得太过分,你会发现人们的密码被贴在键盘底部或显示器旁边的帖子上,如果你太追求便利,你的安全性就会很差,而且密码很容易被猜到。 对于我们的组织,我们需要至少 7 个字符的密码,至少包含 1 个数字、1 个大写字母和 1 个小写字母(符号可用于任何要求)。这似乎对我们的用户很有效,并且没有受到他们的反对。祝你好运,希望这会有帮助。 Jim B 2009-07-15T14:21:10+08:002009-07-15T14:21:10+08:00 Nist 发布还可以,您的域密码策略不如教育用户不要共享密码重要。只要未将其粘贴到他们的键盘上并且他们不共享密码,永不过期的密码本质上就没有任何问题。基本上你设置的任何参数都可以,最重要的两件事是: 帐户锁定阈值(无效登录尝试) 帐户锁定持续时间 这限制了人们暴力破解您的安全的能力。我通常推荐 5 的阈值和 2 小时的持续时间,但这当然取决于具体情况。正如博登指出的那样,即使是安全专家也无法就安全密码策略达成一致。事实上,在我担心我的密码策略之前,我会实施服务器和域隔离。到时候我会给你我的密码——你还没有进入我的资源。 KAPes 2009-07-26T00:19:57+08:002009-07-26T00:19:57+08:00 该领域的一些指导方针:) 教育用户密码越长越好,即使它并不复杂。(经过验证的研究表明,复杂度高的小密码比较长的简单密码破解得更快) 将密码有效期保持为 7 的倍数,例如 28、42、91。这样可以确保在到期后的定期密码重置在工作日内平均分布。当您拥有数千个帐户时,这很重要。例如,如果您在星期一重设了密码,那么您的下一个密码将仅在星期一到期。 保持明智的帐户锁定政策。从适度的开始,然后监控相关的帮助台呼叫并根据需要调整锁定策略。例如,电话太多,然后稍微放宽锁定政策。 如果可能,请购买密码自助服务产品,以便用户自己重置密码或解锁帐户。(大约 30% 到 40% 的帮助台电话与此处相关) 最后使用密码破解工具定期检查人们设置的密码强度,并警告使用非常简单的密码的人选择更好。请记住,黑客只需要一个帐户即可进入您的网络。 K. Brian Kelley 2009-07-26T06:23:24+08:002009-07-26T06:23:24+08:00 密码要记住的一件大事永不过期。实施密码策略后,如果密码根据上次更改已过期,则只要关闭该标志,密码就会过期。因此,您需要提醒用户注意这一事实。 Microsoft 对 Windows Server 2003 的高安全性建议曾经是: 在 15 分钟内尝试 10 次失败 15分钟解锁 最少 8 个字符的密码 复杂性开启 记住了 10 个密码(这个我很模糊……这可能不对) 30 天到期(再说一次,我对此很模糊) 然而,这与我接触过的审计员并不满意。我见过的最宽松的人想要 24 小时解锁,并且在 24 小时内不超过 10 次失败,有效期为 60 天。我见过的最不宽容的是没有自动解锁,在 24 小时内失败不超过 3 次,有效期为 30 天。所有字符的最小字符长度为 8,并在记住完整的 24 个密码的情况下打开复杂性。 Adam Brand 2009-07-15T13:27:53+08:002009-07-15T13:27:53+08:00 您可以实施密码短语而不是密码。比如“为什么密码如此复杂?” 可能是密码。 lluke 2011-09-29T21:58:26+08:002011-09-29T21:58:26+08:00 是的,我同意adam-brand并发现它在实践中有效,向您的用户做广告的东西可能是这个 XKCD 漫画: http://xkcd.com/936/
美国国家标准与技术研究院 (NIST) 有一些关于计算机安全主题的优秀出版物。它们是很好的资源……您正在寻找的出版物是 NIST 特别出版物 800-53。(相信我,它并不像听起来那么糟糕)
IMO 密码策略应该是这样的:
请记住,您的政策越严格,需要解锁帐户或重置密码的用户调用您的次数就越多。您的政策限制越少,您的组织面临的风险就越大。
默认情况下,您无法定义域密码策略的复杂程度(至少到 2003 年)。有改变规则的方法和方法,但据我了解,它非常复杂,而不是为了装腔作势。换句话说,您不能决定您的用户密码是 3 个大写字母、2 个特殊密码、2 个数字密码等。
以下是在默认域组策略中启用密码必须满足复杂性要求设置时将设置的内容:
但是,您可以设置的是:
在我们所有的域中,我们使用复杂性,最少 8 个字符,最少 14 天,最长 90 天,14 密码历史记录,5 次无效登录尝试,30 分钟锁定持续时间
duffbeer703 的链接很好。某些密码限制和最低要求有一些技术原因。如果您不在一个完全同质的环境中,您尤其需要探索这些限制。
无论如何,八字三四字组规则是相当标准的。我个人所做的是训练我的用户创建密码短语而不是密码。这使得想出密码变得更加容易,并且他们不会花费太多时间来试图弄清楚如何在所有这些字符要求中工作。像“天气晴朗。Yippee!”这样的密码。很容易想出并记住。
这种方法存在问题,但是如果人们在编写密码时使用正确的英语语法,从而在一定程度上限制了可能组合的总数。也就是说,始终以大写字母开头并以句点结尾的密码不会因为它包含大写字母和句点而更强大,它更弱,因为我们可以提前猜到这一点。
其他标准的 Windows 域规则很好,IMO,除了我只需要每季度更改一次密码。就我个人而言,我不赞成密码过期的概念。如果帐户被盗,即使三十天也是永恒的。无论如何,当人们不得不更改密码时,他们会非常生气。
由于即使是安全专家也无法在与密码相关的任何事情上达成良好的中间立场,所以我说大多数关于任何极端的建议都是愚蠢的,除非你特别处于高度安全的情况下。我认为最重要的,并且我让用户真正签署的是类似的声明:“永远不要与任何人分享您的密码。我不在乎他们是谁或他们为什么需要在您的计算机上获取当您度假时。您的密码安全是您的责任。” 我所见过的最大的帐户滥用来自共享密码的人。所有其他 133t 黑客的东西在常规的旧业务中几乎不是问题。
好吧,你最了解你的用户,所以如果你认为让密码过期是可行的方法,那就去吧。它是一个很好的选择。
至于密码策略,它总是在完美的安全性(即 13 个字符长、4 个大写字母、2 个符号、3 个数字,其余小写)和完美的便利性(即没有任何策略......自动登录)之间进行权衡。基本上,如果你在安全方面做得太过分,你会发现人们的密码被贴在键盘底部或显示器旁边的帖子上,如果你太追求便利,你的安全性就会很差,而且密码很容易被猜到。
对于我们的组织,我们需要至少 7 个字符的密码,至少包含 1 个数字、1 个大写字母和 1 个小写字母(符号可用于任何要求)。这似乎对我们的用户很有效,并且没有受到他们的反对。祝你好运,希望这会有帮助。
Nist 发布还可以,您的域密码策略不如教育用户不要共享密码重要。只要未将其粘贴到他们的键盘上并且他们不共享密码,永不过期的密码本质上就没有任何问题。基本上你设置的任何参数都可以,最重要的两件事是:
帐户锁定阈值(无效登录尝试) 帐户锁定持续时间
这限制了人们暴力破解您的安全的能力。我通常推荐 5 的阈值和 2 小时的持续时间,但这当然取决于具体情况。正如博登指出的那样,即使是安全专家也无法就安全密码策略达成一致。事实上,在我担心我的密码策略之前,我会实施服务器和域隔离。到时候我会给你我的密码——你还没有进入我的资源。
该领域的一些指导方针:)
教育用户密码越长越好,即使它并不复杂。(经过验证的研究表明,复杂度高的小密码比较长的简单密码破解得更快)
将密码有效期保持为 7 的倍数,例如 28、42、91。这样可以确保在到期后的定期密码重置在工作日内平均分布。当您拥有数千个帐户时,这很重要。例如,如果您在星期一重设了密码,那么您的下一个密码将仅在星期一到期。
保持明智的帐户锁定政策。从适度的开始,然后监控相关的帮助台呼叫并根据需要调整锁定策略。例如,电话太多,然后稍微放宽锁定政策。
如果可能,请购买密码自助服务产品,以便用户自己重置密码或解锁帐户。(大约 30% 到 40% 的帮助台电话与此处相关)
最后使用密码破解工具定期检查人们设置的密码强度,并警告使用非常简单的密码的人选择更好。请记住,黑客只需要一个帐户即可进入您的网络。
密码要记住的一件大事永不过期。实施密码策略后,如果密码根据上次更改已过期,则只要关闭该标志,密码就会过期。因此,您需要提醒用户注意这一事实。
Microsoft 对 Windows Server 2003 的高安全性建议曾经是:
然而,这与我接触过的审计员并不满意。我见过的最宽松的人想要 24 小时解锁,并且在 24 小时内不超过 10 次失败,有效期为 60 天。我见过的最不宽容的是没有自动解锁,在 24 小时内失败不超过 3 次,有效期为 30 天。所有字符的最小字符长度为 8,并在记住完整的 24 个密码的情况下打开复杂性。
您可以实施密码短语而不是密码。比如“为什么密码如此复杂?” 可能是密码。
是的,我同意adam-brand并发现它在实践中有效,向您的用户做广告的东西可能是这个 XKCD 漫画:
http://xkcd.com/936/