簡介 可在域級別上應(yīng)用所有的帳戶策略組策略設(shè)置。在帳戶策略、帳戶鎖定策略和 Kerberos 策略內(nèi)置的默認(rèn)域控制器中提供了默認(rèn)值。請記住，在 Microsoft Active Directory 中設(shè)置這些策略時，Microsoft Windows 僅允許一個域帳戶策略：應(yīng)用于域樹根域的帳戶策略。域帳戶策略將成為屬于該域的任何 Windows 系統(tǒng)的默認(rèn)帳戶策略。此規(guī)則的唯一例外情況是，當(dāng)為組織單位定義了另外一個帳戶策略時。組織單位 (OU) 的帳戶策略設(shè)置將影響到該 OU 中任何計算機上的本地策略。本模塊將通篇討論其中每種類型的設(shè)置。 帳戶策略 帳戶策略是在域級別上實現(xiàn)的。Microsoft Windows Server 2003 域必須有一個針對該域的密碼策略、帳戶鎖定策略和 Kerberos V5 身份驗證協(xié)議。在 Active Directory 中任何其他級別上設(shè)置這些策略將只會影響到成員服務(wù)器上的本地帳戶。如果有要求單獨密碼策略的組，應(yīng)根據(jù)任何其他要求將這些組分段到另一個域或目錄林。 在 Windows 和許多其他操作系統(tǒng)中，驗證用戶身份最常用的方法是使用秘密通行碼或密碼。確保網(wǎng)絡(luò)環(huán)境的安全要求所有用戶都使用強密碼。這有助于避免未經(jīng)授權(quán)的用戶猜測弱密碼所帶來的威脅，他們通過手動的方法或工具來獲取已泄密用戶帳戶的憑據(jù)。這一點對于管理帳戶尤其有用。隨本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”（英文）為默認(rèn)設(shè)置編制了文檔。請單擊此處下載。 定期更改的復(fù)雜密碼減少了密碼攻擊成功的可能性。密碼策略設(shè)置控制密碼的復(fù)雜性和壽命。本部分將討論每個特定的密碼策略帳戶設(shè)置。 注意：對于域帳戶，每個域只能有一個帳戶策略。必須在默認(rèn)域策略或鏈接到域根的新策略中定義帳戶策略，并且?guī)舨呗砸獌?yōu)先于由組成該域的域控制器強制實施的默認(rèn)域策略。域控制器總是從域的根目錄中獲取帳戶策略，即使存在應(yīng)用于包含域控制器的 OU 的其他帳戶策略。域的根目錄是該域的頂層容器，不要與目錄林中的根域相混淆；目錄林中的根域是該目錄林中的頂層域。 默認(rèn)情況下，加入域的工作站和服務(wù)器（即域成員計算機）還為其本地帳戶接收相同的帳戶策略。但是，通過為包含成員計算機的 OU 定義帳戶策略，可以使成員計算機的本地帳戶策略區(qū)別于域帳戶策略。 可以在組策略對象編輯器中的以下位置配置帳戶策略設(shè)置： 計算機配置Windows 設(shè)置安全設(shè)置帳戶策略密碼策略 強制密碼歷史 “強制密碼歷史”設(shè)置確定在重用舊密碼之前必須與用戶帳戶關(guān)聯(lián)的唯一新密碼的數(shù)量。 該組策略設(shè)置可能的值是： 用戶指定的值，在 0 至 24 之間 沒有定義 漏洞 密碼重用對于任何組織來說都是需要考慮的重要問題。許多用戶都希望在很長時間以后使用或重用相同的帳戶密碼。特定帳戶使用相同密碼的時間越長，攻擊者能夠通過暴力攻擊確定密碼的機會就越大。如果要求用戶更改其密碼，但卻無法阻止他們使用舊密碼，或允許他們持續(xù)重用少數(shù)幾個密碼，則會大大降低一個不錯的密碼策略的有效性。 為此設(shè)置指定一個較低的數(shù)值將使用戶能夠持續(xù)重用少數(shù)幾個相同的密碼。如果還沒有配置“密碼最短使用期限”設(shè)置，用戶可以根據(jù)需要連續(xù)多次更改其密碼，以便重用其原始密碼。 對策 將“強制密碼歷史”設(shè)置成最大值“24”。將此值配置為最大設(shè)置有助于確保將因密碼重用而導(dǎo)致的漏洞減至最少。 由于此設(shè)置在組織內(nèi)有效，因此不允許在配置“密碼最短使用期限”后立即更改密碼。要確定將此值設(shè)置為何種級別，應(yīng)綜合考慮合理的密碼最長使用期限和組織中所有用戶的合理密碼更改間隔要求。 潛在影響 此設(shè)置的主要影響在于，每當(dāng)要求用戶更改舊密碼時，用戶都必須提供新密碼。由于要求用戶將其密碼更改為新的唯一值，用戶會為了避免遺忘而寫下自己的密碼，這就帶來了更大的風(fēng)險。