我刚刚遇到一个用户无法在 Windows 2008 域上更改密码的情况。系统向他发送了一条有关复杂性要求的神秘消息,尽管他确信自己选择的密码符合这些要求。我自己测试并确认了这一点。
如果我没记错的话,他的最后一个密码似乎是按照微软建议的默认设置(大约 10 天)设置的。
他问了我一个非常好的问题,我无法回答:为什么会有最低限度密码使用期限?这怎么能合理地提高安全性呢?他还指出,人们可能会在这 10 天内发现自己的密码被泄露,却无法更改!
是否有任何正当理由来执行最低限度密码年龄?
答案1
首先,技术方面的回答:
如果希望强制密码历史生效,请将密码最小使用期限配置为大于 0。如果没有设置密码最小使用期限,用户可能会反复使用密码,直到找到他们最喜欢的旧密码。
http://technet.microsoft.com/en-us/library/cc779758(v=ws.10).aspx(服务器 2003) http://technet.microsoft.com/en-us/library/hh994570(v=ws.10).aspx(服务器 2008 / Windows Vista 及以上版本)
所以,这就是它不为 0 的一个很好的理由。此外,根据这些文章:
默认
1 在域控制器上。
独立服务器上为 0。
所以,换句话说,默认值是强制执行密码历史记录所需的最低限度。
现在,我个人认为没有有效的安全理由来强制执行最低密码使用期限但可能有一些实际/人为原因。例如,您可以限制密码更改次数,以减少“忘记密码”电话的数量。我认为这对高中生来说可能很实用。
最后,需要记住的是,这些限制不适用于通过 Active Directory 用户和计算机手动重置密码。因此,如果用户确实需要更改密码,可以随时向系统管理员寻求帮助。
答案2
密码最低使用期限背后的原理是防止用户在强制更改密码后立即恢复旧密码。此策略最好与“密码历史”策略一起使用(防止用户重复使用前 X 个密码)。
答案3
密码最低使用期限也可以作为一种安全措施。如果黑客入侵计算机后立即更改密码怎么办?