科技时代新浪首页 > 科技时代 > 学园 > 微软技术 > 微软下载与技术专区专题 > 正文

选择安全密码的原理和策略(2)


http://www.sina.com.cn 2004年11月05日 12:06 新浪科技

  文/Microsoft

  

  开发组织的密码策略

  本节提供了有关通过为组织创建并通告密码策略来提高安全
性的分步说明。

  ·

识别组织的网络中使用的计算机操作系统。

  ·

了解这些操作系统的局限性

  ·

定义组织中网络的密码技术要求

  ·

确定关于记录和通告组织的密码策略的相应正规度

  ·

书面记录密码策略

  ·

在系统中实施密码策略之前向用户通告该策略

  ·

在组织的计算机系统中实施密码策略

  ·

时刻提醒用户遵守密码策略和其它企业安全策略的重要性

  识别现有操作系统

  要为登录到组织中的计算机的任何用户指定不会带来问题的密码策略,需要了解这些计算机所使用的操作系统。可能您已经确切了解网络中所使用的操作系统。如果尚不清楚,则需进行确定。此时,无需了解各操作系统的数量,也无需创建有关网络中所有系统的精确清单。要设计恰当的密码策略,仅需了解是否使用了旧系统。在您的网络中,很可能存在运行 Windows 95、Windows 98 或 Windows Millennium Edition 等旧操作系统的计算机。

·

确定组织的网络中使用的计算机操作系统
您既可以要求用户检查他们所运行的操作系统版本,也可以在每台计算机前面亲自检查。无论执行检查的人员是谁,都需遵循下列过程:

1.

单击“开始”,然后单击“运行”。

2.

在“打开”中,键入 winver.exe,然后单击“确定”。版本号即会显示在“关于 Windows”对话框中。

  了解某些操作系统的局限性

  如前文所述,运行 Windows NT 4.0、Windows 2000、Windows XP 和 Windows Server 2003 的计算机都支持长而强的密码。而运行 Windows 95、Windows 98 和 Windows Millennium Edition 的计算机则不可以。如果网络中有计算机运行任何这些 Windows 版本,密码策略都必须支持这些计算机。

  对于有计算机运行 Windows 95、Windows 98 或 Windows Millennium Edition 的组织,用户密码不得超过 14 个字符,且不能包括通过 Alt 键组合生成的字符。

  如果组织内的所有计算机运行的都是 Windows NT 4.0、Windows 2000、Windows XP 或 Windows Server 2003,则用户密码的最大长度可以是 128 个字符,且密码可以包含通过 Alt 键组合生成的字符。

  定义密码技术要求

  对于运行 Windows 2000、Windows XP 和 Windows Server 2003 的计算机,可以强制执行最多五项与密码特性相关的设置。

  在此步骤中,我们为您提供了设置定义和针对这些设置的建议。您将决定贵组织将要强制执行的值。

  密码技术要求

设置 描述 建议

强制密码历史记录

确定在可以重用旧密码之前用户必须使用的独一无二的新密码的数量。其值的设置范围是 0 到 24;如果设为 0,则强制密码历史记录将被禁用。

大多数组织都设为记忆 24 个密码。

密码最长期限

确定在用户必须更改密码之前该密码可以使用的天数。其值的设置范围是 0 到 999;如果设为 0,则密码永不过期。设置该值过低可能会给用户带来巨大的麻烦,而过高设置或禁用该设置则会为潜在攻击者提供更多时间来尝试破解用户密码。

大多数组织都设为 42 天。

密码最短期限

确定在用户可以更改新密码之前该用户必须保留该密码的天数。此设置须与“强制密码历史记录”设置配合使用,这样用户就不能快速重置其密码 24 次,然后将其密码重新设置为原来的密码。其值的设置范围是 0 到 999;如果设为 0,用户即可立即多次更改自己的密码。

大多数组织都设为 2 天。

最短密码长度

确定密码的最小长度。尽管运行 Windows 2000、Windows XP 和 Windows Server 2003 的计算机最多可支持 128 个字符,但此设置仅可设为 0 到 14 个字符。如果设为 0,用户则可拥有空白密码;此值绝不可使用。

设为 8 个字符。

密码必须符合复杂性要求

确定是否强制执行密码复杂性。
如果启用此设置,用户密码需遵守下列要求:

·

密码长度至少有 6 个字符。

·

密码须包含来自下列五类中的三类字符:英文大写字符 (A - Z)、英文小写字符 (a - z)、十进制数字 (0 - 9)、非字母数字符号(例如 !、$、# 或 %)、Unicode 字符。

·

密码不得包含三个或三个以上来自用户帐户名中的字符。如果帐户名长度低于三个字符,因为密码被拒概率过高而不会执行此项检查。在检查用户全名的过程中,有多个字符可视作分隔符(将名称分隔为单个的标记):逗号、句点、破折号/连字符、下划线、空格、镑符和制表符。对于包含三个或更多字符的每个标记,将在密码中对其进行搜索,如果发现了该标记,就会拒绝密码更改。例如,姓名“Erin M. Hagens”将拆分为三个标记:“Erin”、“M”和“Hagens”。因为第二个标记仅包含一个字符,因而会将其忽略。因此,该用户密码中任何位置都不能包含“erin”或“hagens”子字符串。所有这些检查都区分大小写形式。

启用此设置。

[上一页]  [1]  [2]  [3]  [下一页]



评论】【初学者原地论坛】【推荐】【 】【打印】【下载点点通】【关闭
 

 
新 闻 查 询
关键词一
关键词二



彩 信 专 题
Twins
友谊第一乱世佳人
维他小子
多吃水果海底世界
有声有色
夏日狂哗依依不舍
 
 



科技时代意见反馈留言板 电话:010-82628888-5488   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2004 SINA Inc. All Rights Reserved

版权所有 新浪网