安全觀察 Windows 域密碼策略
如果您是 Windows 域的管理員,一定會非常清楚域用戶帳戶的密碼策略的相關限制。但隨著 Windows Server2008的到來,其中一些限制將不復存在。讓我們來看看這個新操作系統將如何解決這樣一個問題:不能實現多個密碼策略。
如果您運行的是 Windows域當前的任意版本(Windows NT、Windows 2000 ActiveDirectory 或 Windows Server 2003ActiveDirectory),就會受到每個域只能有一個密碼策略的限制。事實上,對您產生限制的不僅是密碼策略,而且還有帳戶策略涵蓋的范圍更廣的設置。圖1顯示了這些策略和設置。
Figure 1 Account policies
密碼策略
強制密碼歷史
密碼最長使用期限
密碼最短使用期限
最短密碼長度
密碼必須滿足復雜性要求
使用可逆加密存儲密碼
帳戶鎖定策略
帳戶鎖定時間
帳戶鎖定域值
重置帳戶鎖定計數器之前經過的時間...
Kerberos 策略
強制用戶登錄限制
服務票證最長壽命
用戶票證最長壽命
用戶票證續訂最長壽命
計算機時鐘同步的最大容差
默認情況下,這些策略設置適用于與域相關聯的所有域帳戶和用戶帳戶。這是因為組策略是沿著 ActiveDirectory結構向下繼承的。為了更好地認識這些策略如何影響域帳戶和本地用戶帳戶,了解以下兩點非常重要:這些策略的設置位置,以及組策略的繼承方式如何影響所有不同的用戶帳戶。(請注意,Kerberos策略設置僅適用于域用戶帳戶,這是因為只有域用戶帳戶使用Kerberos 進行身份驗證。本地用戶帳戶使用 NTLMv2、NTLM 或LM 進行身份驗證。)
設置帳戶策略
在 Active Directory 內部,組策略建立并控制整個域的帳戶策略。這是在首次安裝 ActiveDirectory域時發生的,并且是通過獲得鏈接到 Active Directory 中域節點的默認組策略對象 (GPO) 完成的。此GPO名為默認域策略,具有帳戶策略的所有三部分的默認配置。圖 2 顯示了 Windows Server2003域中密碼策略項初始設置的完整列表。
Figure 2 Default password policies for Windows Server 2003domain(單擊該圖像獲得較大視圖)
此 GPO中的設置控制所有域用戶帳戶以及每臺域計算機的帳戶策略。請記住,所有域計算機(臺式機和服務器)都具有本地安全帳戶管理器(SAM),這很重要。此默認GPO 中的設置控制的就是這一 SAM。當然,本地 SAM 也包含每臺計算機的本地用戶帳戶。
通過 GPO 沿著 Active Directory 結構向下進行的正常繼承,默認域策略中的設置可影響所有域計算機。由于此GPO鏈接到域節點,所以它將影響此域中的所有計算機帳戶。
無法對當前密碼策略執行的操作
關于 Active Directory(在 Windows Server2003中)的當前實現,目前仍存在對密碼控制的許多誤解,盡管經過了多年的嚴格測試,也未找到證據證明那些誤解是對的。很明顯(或應該說),策略是無法通過設計以外的其他方式起作用的。
也就是說,很多管理員都相信,可以為同一域中的多個用戶設置多個密碼策略。他們認為您可以創建一個GPO,并將其鏈接到某個組織單位(OU)。該思想是將用戶帳戶移到 OU 以使 GPO 影響這些對象。在GPO內部,對帳戶策略進行修改以創建更安全的密碼策略(可能是通過將最大密碼長度設置為14實現此目的)。但是,由于一些原因,此配置永遠達不到期望的結果。首先,密碼策略設置是基于計算機而非基于用戶的策略。有了這種設置的前提條件之后,設置將永遠無法影響用戶帳戶。其次,修改域用戶帳戶的帳戶策略設置只有一種方法,即在鏈接到該域的GPO內部進行修改。鏈接到 OU 且被配置為更改帳戶策略設置的那些 GPO,會修改駐留在 OU 中(或在鏈接的 OU 的子OU中)計算機的本地 SAM。
另一個誤解是,在根域(ActiveDirectory林的初始域)中建立的帳戶策略設置將向下流動或繼承到林中的子域。這同樣并非事實,通過這種方式是無法使設置起作用的。鏈接到域和某個域中OU的 GPO 不會影響其他域中的對象,即使 GPO 鏈接到的域是根域也是一樣。使 GPO 設置影響其他域中對象的唯一方法是將GPO鏈接到 Active Directory 站點。
密碼策略的改變
可以看到,Windows的當前版本處理用戶帳戶密碼的方式簡單直觀。這包括一組適用于所有域帳戶的密碼規則,以及通過鏈接到Active Directory中域節點的組策略對象來管理帳戶策略的方式。隨著 Windows Server 2008的到來,這一切就都被判出局了。
Windows Server 2008 以及一同推出的 Active Directory基礎結構采用了另一種方法。將帳戶策略置于GPO 中只允許對所有域用戶帳戶設置一種策略,而現在已將這些設置移到了 ActiveDirectory的更深部分。此外,帳戶策略也不再基于計算機帳戶。現在,您可以讓個人用戶和用戶組來控制其密碼限制。對于Windows管理員來說,這是一個全新的概念,畢竟我們長期以來一直在處理計算機帳戶的帳戶策略。
Windows Server 2008 中的帳戶策略
在 Windows Server 2008 中,無需使用默認域策略建立帳戶策略。實際上,您根本不會使用GPO為域用戶帳戶創建帳戶策略。在 Windows Server 2008 中,會將您帶到 ActiveDirectory數據庫中進行修改。具體來說,您將使用一個類似于 ADSIEdit 的工具來修改 ActiveDirectory對象及其關聯的屬性。
進行此更改的原因是組策略并非針對同一域中的多個密碼而設計。在 Windows Server2008中,每個域實現多個密碼的功能非常棒,但并非每個人都覺得該功能使用起來很方便。不過,隨著時間的推移,用于配置設置的界面將越來越易于訪問。現在,您需要采用ActiveDirectory 數據庫設置工具對系統進行更改。
如果您傾向于使用其他方法來修改帳戶策略設置,則不必使用 ADSIEdit。您可以使用能夠訪問 ActiveDirectory數據庫的任何其他 LDAP 編輯工具,甚至可以使用腳本。在 Windows Server2008中實現密碼策略后,就需要使用與過去截然不同的方法了。使用新功能意味著您需要考慮哪些用戶和組要接受哪些密碼設置。
您不但要考慮密碼長度,還要考慮密碼策略設置附帶的其他一些限制,包括最短和最長使用期限、歷史等。其他注意事項包括如何控制用戶鎖定策略設置和Kerberos設置。當前的帳戶策略設置與在 Windows Server 2008 中的 ActiveDirectory數據庫中配置的帳戶策略設置存在一對一關系。但請注意,既然這些策略設置已是 ActiveDirectory對象和屬性,那么每個策略設置的名稱也會與以前不同,這很重要。
要實現新密碼設置,必須在密碼設置容器下創建一個名為 msDS-PasswordSettings 的密碼設置對象(PSO),該容器的LDAP路徑為“cn=PasswordSettings,cn=System,dc=domainname,dc=com”。請注意,所用域的域功能級別必須設置為WindowsServer 2008。在此新對象下,您需要填寫若干屬性信息,如圖 3 所示。
Figure 3 Password attributes in Active Directory
Active Directory 屬性名屬性描述
msDS-PasswordSettingsPrecedence當同一用戶在使用不同密碼策略的多個組中具有成員資格時,建立優先次序。
msDS-PasswordReversibleEncryptionEnabled在是否啟用可逆加密之間切換。
msDS-PasswordHistoryLength確定中間必須隔有多少個不重復的密碼后,才能重用某個密碼。
msDS-PasswordComplexityEnabled確定密碼要求使用的字符數目和字符類型。
msDS-MinimumPasswordLength確定最短密碼長度。
msDS-MinimumPasswordAge確定用戶密碼最短使用多久后才可更改。
msDS-MaximumPasswordAge確定密碼最長使用多久后會要求用戶更改密碼。
msDS-LockoutThreshold確定鎖定用戶帳戶前允許的密碼嘗試失敗次數。
msDS-LockoutObservationWindow確定密碼計數器出現錯誤后多長時間進行重置。
msDS-LockoutDuration確定密碼嘗試失敗次數過多導致帳戶鎖定后,帳戶的鎖定時長。
可以看到,與帳戶策略設置相關的所有組策略設置都會作為屬性復制。請注意,還存在一個優先設置;這對于在同一域中實現多個密碼至關重要,這是因為必然會產生一些沖突,需要有處理這些沖突的機制。
目標帳戶策略設置
對于創建的每個對象,都需要填寫所有的屬性才能針對每位用戶創建帳戶策略。這里有個新屬性msDS-PSOAppliesTo,用于確定哪些對象將接收這組策略設置。這是關鍵屬性,通過它可以將特定設置分配給特定用戶。此屬性下的列表可以是用戶也可以是組,但對于建立訪問控制列表的情形而言,則最好使用組,而不是用戶。因為組更穩定,更容易找到,而且處理起來通常容易得多。
起立歡呼
數年來,我們一直希望能夠在同一 ActiveDirectory域中使用多個密碼,現在終于實現了。從密碼的角度而言,整個域中的每一個用戶都處于同一安全級別的情形已經一去不復返了。例如,現在您能夠為普通用戶設置8個字符的密碼,而為 IT 專業人員(可能具有管理員權限)設置復雜一些的 14 個字符的密碼。
要想習慣使用 ActiveDirectory數據庫建立或修改帳戶策略設置,會花費一些時間。但值得慶幸的是,新設置仿效了您熟悉的設置。當您開始使用 WindowsServer2008 后,請務必立即研究這些新設置,因為這些肯定是屬于您首先完成的配置。
【編輯推薦】
