【正文】 密碼一旦泄露，應(yīng)立即更改密碼。 ?謹(jǐn)慎選擇密碼在計(jì)算機(jī)上保存的位置。 2. 定義密碼策略，用強(qiáng)密碼保護(hù)所有用戶賬戶 ?定義 “ 強(qiáng)制密碼歷史 ” 策略設(shè)置，可以使系統(tǒng)記憶幾個(gè)以前用過的密碼。 ?定義 “ 密碼最長期限 ” 策略設(shè)置，可以使密碼的到期時(shí)間盡可能短，通常的間隔是 30至 90天。 ?定義 “ 最短密碼期限 ” 策略設(shè)置，可以使密碼在指定的天數(shù)內(nèi)無法更改。 ?定義 “ 最短密碼長度 ” 策略設(shè)置，可以使密碼必須至少包含指定個(gè)數(shù)的字符。 ?啟用 “ 密碼必須符合復(fù)雜性要求 ” 策略設(shè)置。 3. 謹(jǐn)慎定義賬戶鎖定策略 ?不要隨意使用賬戶鎖定策略 ?如果決定采用賬戶鎖定策略，應(yīng)設(shè)置足夠高的 “ 賬戶鎖定閾值 ” 策略設(shè)置，使合法用戶不至于僅因敲錯(cuò)了密碼而被鎖定。 ?如果合法用戶在一臺(tái)計(jì)算機(jī)上更改了密碼，但沒有同時(shí)更改另一臺(tái)計(jì)算機(jī)上的密碼，這時(shí)合法用戶將被鎖定。 本節(jié)詳細(xì)內(nèi)容參見書本的 P191~P192頁。 域賬戶密碼策略的設(shè)置 密碼策略的設(shè)置方法同樣適用于域賬戶或本地用戶賬戶。這部分設(shè)置項(xiàng)目包括： ?強(qiáng)制密碼歷史 ?密碼最長使用期限 ?密碼最短使用期限 ?密碼長度最小值 ?密碼必須符合復(fù)雜性要求 ?用可還原的加密來存儲(chǔ)密碼 本節(jié)詳細(xì)內(nèi)容參見書本的 P192~P194頁。 用戶賬戶的密碼信息存儲(chǔ)在工作站和成員服務(wù)器注冊表的安全賬戶管理器（ SAM）數(shù)據(jù)庫中。在域控制器上，密碼信息存儲(chǔ)在目錄服務(wù)中。通常情況下，密碼破解軟件大都針對 SAM數(shù)據(jù)庫或目錄服務(wù)來獲取用戶賬戶的密碼。系統(tǒng)密鑰實(shí)用程序（ Syskey）為對抗密碼破解軟件建立了另一道防線。它使用強(qiáng)加密技術(shù)來保證存儲(chǔ)在 SAM數(shù)據(jù)庫或目錄服務(wù)中的賬戶密碼信息的安全。破解經(jīng)過加密的賬戶密碼會(huì)變得更加困難，更為耗時(shí)。 創(chuàng)建或更新系統(tǒng)密鑰的具體步驟參見書中 P195頁介紹。但執(zhí)行該過程時(shí)需要視環(huán)境的不同而使用不同的管理憑據(jù)： ?如果創(chuàng)建或更新系統(tǒng)密鑰用于本地計(jì)算機(jī)：要執(zhí)行該過程，您必須是本地計(jì)算機(jī) Administrators組的成員，或者您必須被委派適當(dāng)?shù)臋?quán)限。如果將計(jì)算機(jī)加入域， Domain Admins組的成員可能也可以執(zhí)行這個(gè)過程。作為安全性的最佳操作，可以考慮使用運(yùn)行方式來執(zhí)行這個(gè)過程。 ?如果創(chuàng)建或更新系統(tǒng)密鑰用于域控制器：若要執(zhí)行此過程，您必須是 Active Directory中 Domain Admins組或 Enterprise Admins組的成員，或者您必須被委派了適當(dāng)?shù)臋?quán)限。作為安全性的最佳操作，可以考慮使用運(yùn)行方式來執(zhí)行這個(gè)過程。 如果存儲(chǔ)系統(tǒng)密鑰的磁盤丟失，或在選擇了 “ 密碼啟動(dòng) ”方式后又忘記了系統(tǒng)密鑰密碼，您將無法啟動(dòng)計(jì)算機(jī)，除非將注冊表還原到使用系統(tǒng)密鑰之前的狀態(tài)。 對于密碼策略的設(shè)置和應(yīng)用還可以在組策略中進(jìn)行，具體方法是在 “ Active Directory用戶和計(jì)算機(jī) ” 管理工具中，在域控制器上單擊右鍵，在彈出菜單中選擇 “ 屬性 ” 選項(xiàng)，然后在打開的對話框中選擇 “ 組策略 ” 選項(xiàng)卡， 具體配置方法參見書本 P196頁介紹。 【 技巧 】 因?yàn)橄到y(tǒng)管理員賬戶 Administrator大家都知道，所以出于安全考慮，通常把系統(tǒng)管理員賬戶名稱進(jìn)行更改（注意，包括賬戶說明）。而為了欺騙那些非法用戶，通常把一個(gè)具有較低權(quán)限的用戶名改為 administrator。如果當(dāng)前是采用 administrator系統(tǒng)管理員賬戶登錄域控制器的，則在管理員賬戶名更改后系統(tǒng)要求注銷當(dāng)前用戶，重新以新名稱登錄。 賬戶鎖定策略配置 賬戶鎖定策略就是讓在指定的時(shí)間段內(nèi)，輸入不正確的密碼達(dá)到了指定的次數(shù)，將禁用用戶賬戶。這些策略設(shè)置有助于防止攻擊者猜測用戶密碼，并由此減少成功襲擊所在網(wǎng)絡(luò)的可能性。 賬戶鎖定策略用于域賬戶或本地用戶賬戶。它們確定某個(gè)賬戶被系統(tǒng)鎖定的情況和時(shí)間長短。這部分包含以下三個(gè)方面： ?賬戶鎖定時(shí)間 ?賬戶鎖定閾值 ?復(fù)位賬戶鎖定計(jì)數(shù)器 以上策略的具體設(shè)置方法參見書本 P197~P199頁介紹。 Kerberos身份驗(yàn)證策略配置 Kerberos V5身份驗(yàn)證協(xié)議是用于確認(rèn)用戶或主機(jī)身份的身份驗(yàn)證機(jī)制，也是 Windows 2022和 Windows Server 2022系統(tǒng)默認(rèn)的身份驗(yàn)證服務(wù)。 Inter協(xié)議安全性（ IPSec）可以使用 Kerberos協(xié)議進(jìn)行身份驗(yàn)證。 對于在安裝過程中所有加入到 Windows Server 2022或Windows 2022域的計(jì)算機(jī)都默認(rèn)啟用 Kerberos V5身份驗(yàn)證協(xié)議。 Kerberos可對域內(nèi)的資源和駐留在受信任的域中的資源提供單一登錄?？赏ㄟ^那些作為賬戶策略一部分的Kerberos安全設(shè)置來控制 Kerberos配置的某些方面。例如，可設(shè)置用戶的 Kerberos 5票證生存周期。作為管理員，可以使用默認(rèn)的 kerberos策略，也可以更改它以適應(yīng)環(huán)境的需要。 使用 Kerberos V5進(jìn)行成功的身份驗(yàn)證需要兩個(gè)客戶端系統(tǒng)都必須運(yùn)行 Windows 202 Windows Server 2022家族或Windows XP Professional操作系統(tǒng)。 如果客戶端系統(tǒng)嘗試向運(yùn)行其他操作系統(tǒng)的服務(wù)器進(jìn)行身份驗(yàn)證，則使用 NTLM協(xié)議作為身份驗(yàn)證機(jī)制。 NTLM身份驗(yàn)證協(xié)議 是用來處理兩臺(tái)計(jì)算機(jī)（其中至少有一臺(tái)計(jì)算機(jī)運(yùn)行 Windows NT ）之間事務(wù)的協(xié)議。 使用 Kerberos進(jìn)行身份驗(yàn)證的計(jì)算機(jī)必須使其時(shí)間設(shè)置在5分鐘內(nèi)與常規(guī)時(shí)間服務(wù)同步，否則身份驗(yàn)證將失敗。運(yùn)行 Windows Server 2022家