密碼策略可確保用戶密碼強度高且定期更改，從而使攻擊者幾乎不可能破解密碼。為確保AD域中用戶帳戶的高度安全性，管理員必須配置和實施域密碼策略。密碼策略應提供足夠的復雜性、密碼長度以及更改用戶和服務賬戶密碼的頻率。因此可以使攻擊者更難以暴力破解或捕獲用戶密碼。

Active Directory

一、什么是 Active Directory 默認密碼策略

默認情況下，Active Directory 配置有默認域密碼策略。此策略定義 AD域用戶帳戶的密碼要求，例如密碼長度、年齡等。

密碼策略

二、如何編輯 AD 密碼策略

密碼策略由組策略配置并鏈接到域的根目錄。您可以使用以下兩種方式之一查看默認密碼策略。

使用GPMC

使用 PowerShell 腳本

使用 GPMC

轉到開始菜單→管理工具→組策略管理。

在控制臺中，打開 Forest，然后打開 Domains。選擇必須為其設置帳戶策略地域。

雙擊域以顯示鏈接到該域的GPO。

右鍵單擊默認域策略并選擇編輯。組策略編輯器控制臺將打開。

現在，導航到計算機配置→策略→ Windows 設置→安全設置→帳戶策略→密碼策略。

雙擊密碼策略則可以顯示AD中可用的六個密碼設置。右鍵單擊這些設置中的任何一項，然后選擇“屬性”以定義策略設置

每個策略設置的“屬性”對話框都有兩個選項卡。安全策略設置選項是設置該值的位置。解釋選項提供策略設置及其默認值的簡要說明。

在安全策略設置選項卡中，選中定義此策略設置復選框并輸入所需的值。單擊應用，然后單擊確定。

組策略管理編輯器顯示 Active Directory 中的默認域策略。

使用 PowerShell 腳本

您還可以使用此命令通過 Powershell 查看默認密碼策略。

獲取 ADDefaultDomainPasswordPolicy

密碼策略設置

三、了解密碼策略設置

到目前為止，我們已經了解了如何查看和更改策略。但您必須了解這些默認設置的含義，以便進行必要的更改。因此，讓我們來看看每個設置。

強制密碼歷史

此設置確定在重新使用舊密碼之前必須設置的新密碼的數量。它確保用戶不會連續使用舊密碼，這將使最小密碼年齡策略設置無用。該值可以設置在 0 到 24 之間。域控制器上的默認值為24，獨立服務器上的默認值為0。

例如，如果 Enforce Password History 值設置為 10，則用戶必須在密碼過期時設置10個不同的密碼，然后才能將密碼設置為舊值。

如果該值設置為 0，則不會記住密碼歷史記錄，并且用戶可以在密碼過期時重新使用他們的舊密碼。

最大密碼年齡

此設置確定密碼可以使用的最大天數。一旦密碼最長使用期限到期，用戶必須更改其密碼。它確保用戶不會永遠使用一個密碼。該值可以設置在 0 到 999 天之間。默認值為 42。

例如，如果“密碼最長使用期限”值設置為 60，則用戶必須每 60 天更改一次密碼。

如果該值設置為 0，則密碼永不過期，并且用戶無需更改他/她的密碼。

最低密碼年齡

此設置確定密碼在更改之前必須使用的最少天數。只有當密碼最短使用期限到期時，才允許用戶更改他們的密碼。它確保用戶不會過于頻繁地更改密碼。該值可以設置在 0 到 999 天之間。域控制器的默認值為 1，獨立服務器的默認值為 0。

例如，如果最小密碼期限設置為 10，則用戶在最后一次密碼更改后的 10 天內不能更改他/她的密碼。

此設置用于確保強制密碼歷史設置的有效性。如果最小密碼年齡設置為 0，則用戶可以每 2 分鐘左右更改一次密碼，直到達到強制密碼歷史設置的值，然后重新使用他/她最喜歡的舊密碼。通過將最小密碼年齡設置為某個值，用戶無法頻繁更改他/她的密碼以使強制密碼歷史設置無效。

最短密碼使用期限的值應始終小于最長密碼使用期限。

最小密碼長度

此設置確定密碼應包含的最少字符數。該值可以設置在 0 到 14 之間。域控制器上的默認值為 7，獨立服務器上的默認值為 0。

例如，如果最小密碼長度設置為 6，則密碼必須至少包含 6 個字符。

如果設置為 0，則不需要密碼。

密碼策略規則

四、密碼必須滿足復雜性要求

此設置確定密碼是否必須滿足指定的復雜性要求。如果啟用此設置，密碼必須滿足以下要求。

不包含超過兩個連續字符的用戶帳戶名或用戶全名的一部分

密碼長度至少為六個字符。

密碼包含來自以下四類中的至少三類的字符：

英文大寫字符 (A – Z)

英文小寫字符 (a – z)

以 10 位為基數 (0 – 9)

非字母數字（例如：$、# 或 %）

默認情況下，此設置在域控制器上啟用，在獨立服務器上禁用。

密碼策略要求

五、使用可逆加密存儲密碼

此安全設置確定密碼是否使用可逆加密存儲。如果使用可逆加密存儲密碼，則解密密碼變得更容易。此設置在某些情況下很有用，其中應用程序或服務需要用戶的用戶名和密碼才能執行某些功能。僅在必要時才應啟用此設置。默認情況下，此設置被禁用。

雖然微軟為AD域用戶提供了較為完善的密碼策略，但隨著近年來各類攻擊形式的不斷升級，破解企業AD域用戶密碼已經不是什么難事。并且高強度的密碼策略對用戶的使用體驗也會大幅度降低，因此更加合理的解決AD域弱密碼問題成了企業的重點問題。

ADSelfService Plus

ADSelfService Plus是一款企業級AD域密碼自助管理工具，它能實現企業內部員工自助重置、修改密碼，還能對已鎖定賬戶進行解鎖。整個流程完全自助，卻不影響用戶密碼的安全性同時提供密碼黑名單功能，可以將常見的、易破解的密碼樣式加入黑名單，減少密碼被攻擊的可能性。而且它還能生成密碼狀態報告，讓管理員能清晰的了解每一次密碼修改情況，確保企業網絡安全。對密碼即將過期的用戶進行及時通知，使其在密碼過期之前及時修改。

密碼在我們的工作中無處不在，合理高效的利用密碼能確保我們的工作正常開展ADSelfService Plus作為一款AD域自助密碼管理工具，正在給越來越多企業的AD域管理帶來福利。