## 加固与缓解建议 从 `Windows 2008` 以及` 2008 R2` 开始， `Windows` 开始支持细颗粒度的密码策略，可以对不同的 用户或用户组实施不同的密码策略， 我们也建议使用这种细颗粒度的密码策略来取代以往设置 `GPO` 的方法。 ### 步骤一： 首先在 `MMC` 中运行` ADSI Edit` 工具  ### 步骤二： 右键点击 `ADSI Edit` ，选择连接到 `Default naming context`  ### 步骤三 找到 `CN=System, DC=xxxx, DC=xxxx `，右键 点击 `CN=Password Settings Container `，选择 `New>Object`  ### 步骤四 接着在后续的提示框内设置以下内容 Common- Name(字符串)：设置 `PSO` 名称 - `Password Settings Precedence`(数字)：设置优先级，值越低， `PSO `优先级越高 - `Password reversible encryption status for user accounts(Boolean)`：密码可逆加密，建议设置 为 `False` - `Password History Length for user accounts`(数字)：密码历史长度，建议 5 - `Password complexity status for user accounts(Boolean)`：密码复杂度，建议设置 `True Minimum Password Length for user accounts`(数字)：最小密码长度，建议 8- 12 - `Minimum Password Age for user accounts`(日期)：用户设置密码后多长时间可以修改，格式 需要是 `d:hh:mm:ss` - `Maximum Password Age for user accounts`(日期)：用户设置密码后多长时间必须修改，格式 需要是 `d:hh:mm:ss` - `Lockout threshold for lockout of user accounts`(数字)：被锁定前认证失败的次数， 建议 `3-5 Observation Window for lockout of user accounts`(日期)：认证失败计数器重制的时间 ，格式 需要是` d:hh:mm:ss` - `Lockout duration for locked out user accounts`(日期)：用户可以再次尝试登录的时间，格式 需要是 `d:hh:mm:ss` ### 步骤五 设置完成后， 右键新创建的 `PSO`，选择 `Attribute Editor`，找到` msDS- PSOAppliesTo`，点击编 辑，将该 `PSO `应用到某个特定的用户或组  ### 步骤六 在弹出的界面中选择 `Add Windows Account`，添加账户和组