发现有人尝试域帐户密码,多次尝试造成密码保护,并使账户锁定.请教,针对密码尝试***的行为,从windows 域策略角度 如何保护?开启,账户的“密码永久有效”选项,的用途? 当设置此选项后,多次密码错误到达垡值时,账户是否会锁定?
回答:在组策略中有个策略叫Account lockout threshold(计算机设置—windows设置—安全设置—帐号锁定策略),是设定域账户的锁定策略的,您可以通过设置该策略是规定错误密码的尝试次数,默认情况下是无数次.但是但您设定了该策略,假设我们设置的次数是7,那么当用户输入密码错误次数打到7此的时候,该用户就被锁定了.
这种情况下我们还可以通过设置Reset account lockout counter after这个策略来定义当用户账户锁定多长的时间之后,该账户会被自动解锁(当然您也可以用domain admin手动解锁) 。
但是从实践的角度上来讲并不建议使用该策略(在我们微软内部的环境中该策略也是禁用的),因为该策略会给管理员带来很多麻烦.如果您希望增加域内的账户安全性(也是针对密码尝试性***),你可以通过设置密码复杂度来解决.
windows 2003的域环境中默认情况在要球您使用密码复杂性(最少7位, 数字 字母大小写, 符号),使用密码复杂性后即便是有恶意的***您的账户密码,我们计算了一下至少也需要42天的时间可以破解该密码.因此我们建议您使用密码复杂性策略,同时启用密码更换周期策略(默认42天),密码过期提示策略(提前14天提示您更换密码),这样就能保证您的密码的安全级别.
请注意:如果您已经使用了我上述提到的策略,就不要在用户的账户上勾选”密码永不过期”这样会导致上述策略被覆盖掉
转载于:https://blog.51cto.com/gnaw0725/668121
