加固与缓解建议
从 Windows 2008 以及2008 R2 开始, Windows 开始支持细颗粒度的密码策略,可以对不同的 用户或用户组实施不同的密码策略, 我们也建议使用这种细颗粒度的密码策略来取代以往设置 GPO 的方法。
步骤一:
首先在 MMC 中运行ADSI Edit 工具
步骤二:
右键点击 ADSI Edit ,选择连接到 Default naming context
步骤三
找到 CN=System, DC=xxxx, DC=xxxx,右键 点击 CN=Password Settings Container,选择 New>Object
步骤四
接着在后续的提示框内设置以下内容 Common- Name(字符串):设置 PSO 名称
-
Password Settings Precedence(数字):设置优先级,值越低,PSO优先级越高 -
Password reversible encryption status for user accounts(Boolean):密码可逆加密,建议设置 为False -
Password History Length for user accounts(数字):密码历史长度,建议 5 -
Password complexity status for user accounts(Boolean):密码复杂度,建议设置True Minimum Password Length for user accounts(数字):最小密码长度,建议 8- 12 -
Minimum Password Age for user accounts(日期):用户设置密码后多长时间可以修改,格式 需要是d:hh:mm:ss -
Maximum Password Age for user accounts(日期):用户设置密码后多长时间必须修改,格式 需要是d:hh:mm:ss -
Lockout threshold for lockout of user accounts(数字):被锁定前认证失败的次数, 建议3-5 Observation Window for lockout of user accounts(日期):认证失败计数器重制的时间 ,格式 需要是d:hh:mm:ss -
Lockout duration for locked out user accounts(日期):用户可以再次尝试登录的时间,格式 需要是d:hh:mm:ss
步骤五
设置完成后, 右键新创建的 PSO,选择 Attribute Editor,找到msDS- PSOAppliesTo,点击编 辑,将该 PSO应用到某个特定的用户或组
步骤六
在弹出的界面中选择 Add Windows Account,添加账户和组
-6d31b0f0e74746c79eedbbe7332eac52.jpg)
