强制密码历史
介绍了有关“强制密码历史”安全策略设置的最佳做法、位置、值、策略管理和安全注意事项。
参考
“强制密码历史”****策略设置确定在可以重复使用旧密码前,必须与用户帐户相关联的唯一新密码的数量。
密码重复使用对于任何组织都是一个重要问题。许多用户希望在较长的时间段内为其帐户重复使用相同的密码。为特定帐户使用相同密码的时间越长,攻击者通过暴力攻击确定密码的几率就越大。如果要求用户更改其密码,但他们可以重复使用旧密码,则将大大降低优良密码的有效性。
通过为“强制密码历史”指定较小的数,允许用户持续地重复使用少量的相同密码。如果你还未设置密码最短使用期限,则用户可以连续更改其密码足够多的次数来重复使用其原密码。
可能值
用户指定的数字介于 0 到 24 之间
未定义
最佳做法
将“强制密码历史”****设置为 24。这将有助于缓解由于密码重复使用导致的漏洞。
设置密码最长使用期限,以使密码的到期日期介于 60 天到 90 天之间。尝试使密码在重要业务周期之间到期以防止工作损失。
配置密码最短使用期限,以便不允许你立即更改密码。
位置
计算机配置\Windows 设置\安全设置\帐户策略\密码策略
默认值
下表列出实际和有效默认策略值。策略的属性页中还列出了默认值。
| 服务器类型或 GPO | 默认值 |
|---|---|
默认域策略 |
记住 24 个密码 |
默认域控制器策略 |
未定义 |
独立服务器默认设置 |
记住 0 个密码 |
域控制器有效默认设置 |
记住 24 个密码 |
成员服务器有效默认设置 |
记住 24 个密码 |
客户端计算机上的有效 GPO 默认设置 |
记住 24 个密码 |
策略管理
本部分介绍用于帮助你管理此策略的功能、工具和指南。
重启要求
无。当以本地方式保存或通过组策略分配对本策略的更改时,无需重新启动设备即可使这些更改生效。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
用户使用相同密码的时间越长,攻击者通过暴力攻击确定密码的几率就越大。此外,只要密码保持不变,任何可能受到威胁的帐户将保持可以利用的状态。如果要求更改密码但不阻止密码重复使用,或如果用户持续重复使用少量密码,将大大降低良好密码策略的有效性。
如果你为此策略设置指定较小的数字,则用户可以重复使用相同的少量密码。如果你还未配置密码最短使用期限策略设置,则用户可能重复更改其密码,直到他们可以重复使用其原密码。
注意
在帐户受到威胁后,简单的密码重置可能不足以限制恶意用户,因为恶意用户可能已修改用户的环境,以便在特定时间将密码自动更改回已知的值。如果帐户受到威胁,最好删除该帐户,并在所有受影响的系统恢复正常运作并验证已不再受到威胁后向用户分配新帐户。
对策
将“强制密码历史”策略设置配置为 24(最大设置)来帮助最大程序地减少由于密码重复使用所导致的漏洞数量。
若要使此策略设置生效,你还应该为密码最短使用期限和密码最长使用期限策略设置配置有效值。
潜在影响
将“强制密码历史”****设置配置为 24 的主要影响是,用户必须在每次需要更改其旧密码时创建新密码。如果用户需要将其密码更改为新的唯一值,会增加用户在某处写下密码以防止忘记密码的风险。另一个风险是用户可能创建以递增方式更改的密码(例如,password01、password02 等)以便于记忆,但这会使攻击者更容易地猜出密码。此外,如果密码最长使用期限策略设置的值过低,可能会增加管理开销,因为忘记密码的用户可能会频繁地要求支持人员重置密码。