密码必须符合复杂性要求

介绍 "密码必须满足复杂性要求" 安全策略设置的最佳做法、位置、值和安全注意事项。

参考

"密码必须满足复杂性要求" 策略设置确定密码是否必须满足一系列对强密码重要的指南。 启用此策略设置需要密码才能满足以下要求:

在更改或创建密码时, 将强制执行复杂性要求。

Windows Server 密码复杂性要求中包含的规则属于 Passfilt, 不能直接修改。

启用默认的 Passfilt 可能会导致对锁定帐户的其他帮助台呼叫, 因为用户可能不会使用包含字母表中所示字符以外的其他字符的密码。 但是, 此策略设置非常灵活, 所有用户都可以通过次要学习曲线遵守要求。

可包含在自定义 Passfilt 中的其他设置是使用非上层行字符。 较高的字符是通过按住 SHIFT 键并键入任何数字 from1 through10 所键入的字符。

可能值

最佳实践

设置密码必须满足复杂性要求才能启用。 此策略设置与 "最小密码长度 of8" 相结合, 可确保单个密码至少有218340105584896种不同的可能性。 这使得强力攻击非常困难, 但仍不可能。

使用 ALT 键字符组合可以大大提高密码的复杂程度。 但是, 要求组织中的所有用户遵守严格的密码要求可能会导致不满意的用户和极其繁忙的技术支持。 请考虑在你的组织中实现一个要求, 以使用0128到0159范围内的 ALT 字符作为所有管理员密码的一部分。 (此范围外的可选字符可以表示不会为密码增加额外复杂性的标准字母数字字符。)

仅包含字母数字字符的密码可通过公共可用工具轻松受到危害。 为防止这种情况, 密码应包含其他字符并满足复杂性要求。

位置

计算机 Configuration\Windows Settings\Security Settings\Account Policies\Password 政策

默认值

下表列出了实际和有效的默认策略值。 默认值也在策略的属性页上列出。

服务器类型或组策略对象 (GPO) 默认值
默认域策略 启用
默认域控制器策略 启用
独立服务器默认设置 禁用
域控制器有效默认设置 启用
成员服务器有效的默认设置 启用
客户端计算机上的有效 GPO 默认设置 禁用

安全注意事项

本部分介绍攻击者如何利用一项功能或其配置,如何实施对策,以及对策实施可能产生的负面后果。

漏洞

仅包含字母数字字符的密码非常容易发现使用多个公开可用的工具。

对策

将 "密码必须满足复杂性要求" 策略设置配置为 "已启用", 并建议用户使用其密码中的各种字符。

结合使用最小密码长度8 时, 此策略设置可确保单个密码的不同可能性的数量非常大, 以至于非常困难 (但不可能), 强力攻击才能成功。 (如果 "最小密码长度" 策略设置增加, 则成功的攻击所需的平均时间也会增加。)

潜在影响

如果保留默认密码复杂性配置, 则可能会发生锁定帐户的其他支持呼叫, 因为用户可能不熟悉包含非字母字符的密码, 或者可能在输入时遇到问题包含具有不同布局的键盘上的重音字符或符号的密码。 但是, 所有用户都应能够以最少的难度满足复杂性要求。

如果您的组织具有更严格的安全要求, 则可以创建 Passfilt 文件的自定义版本, 该版本允许使用任意复杂的密码强度规则。 例如, 自定义密码筛选器可能需要使用非上层行符号。 (较高的行符号是要求您长按 SHIFT 键, 然后按1到0之间的任何数字的符号。)自定义密码筛选器还可能执行字典检查, 以验证建议的密码是否不包含常见字典单词或片段。

使用 ALT 键字符组合可以大大提高密码的复杂程度。 但是, 这种严格的密码要求可能会导致其他帮助台请求。 或者, 你的组织可以考虑对所有管理员密码的要求, 以便在0128–0159范围中使用 ALT 字符。 (此范围外的可选字符可以表示不会为密码增加额外复杂性的标准字母数字字符。)

  1. 密码不能包含用户的 samAccountName (帐户名称) 值或整个 displayName (全名)。 这两个检查不区分大小写。

    将完全检查 samAccountName, 以确定它是否是密码的一部分。 如果 samAccountName 的长度小于3个字符, 将跳过此检查。 将分析 displayName 的分隔符: 逗号、句点、短划线或连字符、下划线、空格、井号和制表符。 如果找到这些分隔符中的任何一个, 则将拆分 displayName, 并且将确认所有已分析的分区 (标记) 不包含在密码中。 将忽略小于3个字符的标记, 并且不检查标记的子字符串。 例如, 名称 "Erin Hagens" 分为三个标记: "Erin"、"M" 和 "Hagens"。 由于第二个令牌的长度仅为一个字符, 因此将被忽略。 因此, 此用户在密码中的任何地方都不能包含 "erin" 或 "hagens" 作为子字符串的密码。

  2. 密码包含以下类别中的三个:

    • 欧洲语言的大写字母 (A 到 Z, 带有音调符号标记、希腊语和西里尔文字符)
    • 欧洲语言的小写字母 (a 到 z、半高和音调符号标记、希腊语和西里尔文字符)
    • 基数10个数字 (0 到 9)
    • 非字母数字字符 (特殊字符): (~! @ # $% ^& * _-+ = "| \ (){}\ []:;" "<>,。?/) 此政策设置不会将货币符号 (如欧元或英国镑) 计为特殊字符。
    • 归类为字母字符但不大写或小写的任何 Unicode 字符。 这包括亚洲语言的 Unicode 字符。
  • Enabled
  • 禁用
  • 未定义

Windows密码复杂性要求相关推荐

  1. 服务器修改密码复杂性,【已解决】在windows server 2008域环境中如何禁用密码复杂性要求?...

    我的windows server 2008 是一个子域控制器,版本是英文的企业版.记得之前在03 server 上只要运行gpedit.msc禁用密码复杂性要求就可以了.在08里我是这么操作的: 1. ...

  2. 使用Rainbow tables和Ophcrack的组合工具破解Windows密码

    本文为寻找人生的起点 (http://blog.cn-ic.org)原创,如需转载,请注明出处,并保留原文链接 . 从前面的两篇文章(得到WindowsXP管理员权限的有效方法 ,John/bkhiv ...

  3. 用 Ubuntu 重置 Windows 密码

    用 Ubuntu 重置 Windows 密码 5人收藏此文章, 我要收藏发表于2年前(2010-11-30 11:15) , 已有391次阅读 ,共1个评论 首先,你要做的事是创建一个装有 Ubunt ...

  4. 如何使用Linux重置Windows密码

    如果您(或您认识的人)忘记了Windows密码,您将很高兴了解chntpw ,这是一个可用于重置Windows密码的简洁的Linux实用程序. 对于此方法,我创建了Windows虚拟机,并在我的用户帐 ...

  5. 计算机加密怎么设置方法,如何设置电脑密码?手把手教你如何设置电脑Windows密码...

    说到电脑密码,很多朋友都会选择设置密码来保护电脑安全.最近小编发现有小伙伴想知道,电脑怎么设置开机密码.所以,电脑店就整理了电脑Windows设置开机密码的资料,下面就手把手教你如何设置电脑Windo ...

  6. Windows取证——CHNTPW工具使用(可更改 Windows 密码)

    一.概述 chntpw是一个Kali Linux工具,可用于编辑Windows注册表,重置用户密码,将用户提升为管理员,以及其他几个有用的选项.使当您不知道Windows密码是什么时,可以利用chnt ...

  7. free rainbow 分布式破解 WINDOWS 密码的最好选择!

    我们虽然可以通过Rainbow Table与Ophcrack的组合以更加快速的方式暴力破解Windows密码.但是对于个人,下载或者自己制作几G,甚至几十G的Rainbow Table,结果只破解一. ...

  8. windows密码破解(哈希破解技术)

    一.windows密码与哈希 1.我们用于登录的windows密码,在windows系统中会进行加密.一般密码加密文件储存在c盘的windows\system32\config目录下,文件名是SAM文 ...

  9. 计算机密码是空的怎么重置,电脑忘记开机登录密码怎么办? Windows 密码重置 - 合一学院...

    [ 电脑忘记开机登录密码怎么办 ] 电脑很久没有用或者是刚设置好开机密码都很容易忘记,有些时候还会间歇性失忆会突然忘记密码,遇到这种情况重装系统又太麻烦,今天就就教大家怎样重置电脑的密码. 测试的系统 ...

  10. [原]简易Windows密码查看器

    [标题]:简易Windows密码查看器 [时间]:2009-10-09 [摘要]:通过全局钩子获取当前鼠标处的窗口控件句柄,然后直接调用GetWindowText()获取密码文本. [关键字]:密码. ...

最新文章

  1. 无法在证书存储区中找到清单签名证书的解决办法
  2. Maple Warrior 个人简历
  3. python编程100例头条-我用Python编程语言做了一些神奇好玩的事情
  4. 「mysql优化专题」90%程序员面试都用得上的索引优化手册(5)【面试重点】
  5. python为什么用两个等于号_刷Leetcode学python(一)两数之和
  6. 黑马程序员-Java-面向对象篇上《二》
  7. 更换百度地图图标html,百度地图接口,自定义图标,点击切换图标
  8. QT 网络编程之https
  9. Java虚拟机JVM简介与理解(三)
  10. FP、FN、TP、TN、精确率(Precision)、召回率(Recall)、准确率(Accuracy)是什么意思
  11. Polar vector and axial vector(极矢量和轴向矢量)
  12. 性能测试/压力测试/负载测试
  13. java iecapt.exe_【C#】NET截屏网页,生成网页快照开发——IECapt、CutyCapt
  14. Python与图像处理8
  15. I/O多路转换之select与select服务器
  16. 网络安全之信息收集技术(全)
  17. UI、交互、产品设计的自学方法
  18. 视觉SLAM-回环检测
  19. linux ftp web服务器搭建,Linux系统下搭建Web服务器和FTP服务器
  20. 质量管理新理念——以员工为中心

热门文章

  1. 获取B站SESSDATA及解决403
  2. 调频连续波雷达基本原理(1)-测距原理详解
  3. linux调时区北京,Linux修改系统时间和中国时区
  4. vin码车架号查询易语言代码
  5. php抛物线函数,通过JS如何实现抛物线运动(详细教程)
  6. entrez检索系统要服务器吗,Entrez 系统
  7. shell命令查阅端口信息_Powershell 执行外部命令
  8. 华御上网行为管理FAQ
  9. 华为网络设备-二层Eth-trunk配置
  10. 夏普PC_1500计算机使用,夏普PC-1500袖珍计算机的检修(续)