基础安全知识：Windows密码安全全解析

    当你试图登录到Active Directory域的时候，你将需要输入三项内容：用户名、密码和域名。

　　当域控制器收到这些信息后，会根据列在Active Directory数据库的用户名和密码对信息进行分析。如果密码是相符合的，那么域控制器就会通过验证用户，然后为用户提供验证令牌以获取访问网络/域中其他资源的访问权。

　　当用户试图更改其帐户密码时，这种信息也会被发送至域控制器。当用户输入新密码并将新密码发送至域控制器时，会有相应的政策来确保密码符合最低安全标准。以下是一些基本的密码政策(针对域和所有本地用户帐户的)：

　　·Windows 密码(Windows Server 2003域或者更高版本)要求至少有7个字符长度

　　·密码必须包含以下四种类型字符中的三种字符类型：大写字母、小写字母、数字、特殊符号。

　　·新密码必须在42天前生成的，以保持帐户的有效性。

　　·在创建24个独特密码前，密码不可以重复使用。

　　所有这些设置都是在GPO的电脑配置部分进行设置的，位于密码政策列表下。图1显示的是如何设置这些密码政策。

    什么在控制着域密码政策?

　　笔者发现，尽管距离微软公司首次发布Active Directory已经过去9年了，很多IT专业人士仍然搞不清楚密码政策是如何被控制的以及如何修改这些政策等问题，下面是关于Windows 密码政策和功能的一些事实：

　　首先，Default Domain Policy GPO(默认域政策GPO)控制着整个域中所有计算机的密码政策，这包括域控制器、服务器和整个Active Directory的桌面(已经加入域中)。Default Domain Policy是与域节点相关的，这当然包括域中的所有计算机。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点