资讯

历史

科技

环境与自然

成长

游戏

财经

文学与艺术

美食

健康

家居

文化

情感

汽车

三农

军事

旅行

运动

教育

生活

星座命理

Windows管理员如何防止密码泄露？

创作时间:

作者:

@小白创作中心

Windows管理员如何防止密码泄露？

引用

来源

https://learn.microsoft.com/zh-cn/windows-server/identity/ad-ds/get-started/adac/fine-grained-password-policies

https://help.aliyun.com/zh/security-center/use-cases/reinforce-password-security

https://learn.microsoft.com/zh-cn/windows/security/operating-system-security/virus-and-threat-protection/microsoft-defender-smartscreen/enhanced-phishing-protection

https://learn.microsoft.com/zh-cn/microsoft-365/admin/misc/password-policy-recommendations?view=o365-worldwide#understanding-password-recommendations

https://learn.microsoft.com/zh-cn/microsoft-365/admin/misc/password-policy-recommendations?view=o365-worldwide

https://learn.microsoft.com/zh-cn/windows-server/identity/ad-fs/design/best-practices-for-secure-planning-and-deployment-of-ad-fs

https://www.itbigtec.com/03-security-and-compliance/lepide/40703.html

https://www.cnblogs.com/suv789/p/18297814

https://learn.microsoft.com/zh-cn/deployedge/microsoft-edge-security-password-manager-security

随着网络安全威胁日益增加，Windows系统管理员在保护用户账户安全方面扮演着关键角色。本文介绍了如何通过PowerShell和其他Windows工具来设置和管理复杂的密码策略，确保用户密码强度和安全性。从本地密码策略到域密码策略，再到精细密码策略（FGPP），管理员可以通过多种方法提高系统的整体安全性。此外，文章还提供了导出和导入安全策略的方法，以及检查和解锁用户账户的具体操作步骤，帮助管理员更好地维护网络环境的安全性和一致性。

密码安全策略配置

精细密码策略（Fine-Grained Password Policies）

精细密码策略为管理员提供了一种为域中不同用户集定义不同密码和帐户锁定策略的方法。通过精细密码策略，你可以在单个域中指定多个密码策略，并对不同用户集应用不同的密码和帐户锁定策略限制。例如，可以将较严格的设置应用于有权限的帐户，而将较不严格的设置应用于其他用户的帐户。

精细密码策略仅适用于全局安全组和用户对象。默认情况下，只有 Domain Admins 组的成员可以设置精细密码策略。然而，也可以将设置这些策略的能力委派给其他用户。

创建精细密码策略

使用 Active Directory 管理中心（ADAC）创建精细密码策略的步骤如下：

打开 Active Directory 管理中心，可以从服务器管理器控制台的工具菜单打开，也可以通过运行提升的 PowerShell 会话并键入dsac.exe打开。
如果未选择相应的目标域，请选择管理，选择添加导航节点，然后在添加导航节点对话框中选择相应的目标域，然后选择确定。
在 ADAC 导航窗格中，打开系统条目，再选择密码设置容器。
在任务窗格中，选择新建，再选择密码设置。
填写或编辑属性页中的字段，以新建“密码设置”对象。要求“名称”和“优先”字段。
在直接应用到下，选择添加，键入精细密码策略所在的组的名称，然后选择确定。
选择确定以提交创建。

使用 PowerShell 创建精细密码策略的示例：

$policyParams = @{
    Name = "PasswordPolicy"
    ComplexityEnabled = $true
    LockoutDuration = "00:30:00"
    LockoutObservationWindow = "00:30:00"
    LockoutThreshold = "0"
    MaxPasswordAge = "42.00:00:00"
    MinPasswordAge = "1.00:00:00"
    MinPasswordLength = "7"
    PasswordHistoryCount = "24"
    Precedence = "1"
    ReversibleEncryptionEnabled = $false
    ProtectedFromAccidentalDeletion = $true
}

New-ADFineGrainedPasswordPolicy @policyParams

将新策略分配给组的命令：

Add-ADFineGrainedPasswordPolicySubject PasswordPolicy -Subjects group1

查看生成的用户策略集

使用 ADAC 查看应用于特定用户的结果策略：

打开 Active Directory 管理中心，可以从服务器管理器控制台的工具菜单打开，也可以通过运行提升的 PowerShell 会话并键入dsac.exe打开。
如果未选择相应的目标域，请选择管理，选择添加导航节点，然后在添加导航节点对话框中选择相应的目标域，然后选择确定。
导航到要查看其结果策略设置的用户。
选择任务窗格中的查看结果密码设置。
检查密码设置策略，再选择取消。

使用 PowerShell 查看适用于特定用户的策略：

Get-ADUserResultantPasswordPolicy -Identity test1

编辑精细密码策略

使用 ADAC 编辑精细密码策略：

打开 Active Directory 管理中心，可以从服务器管理器控制台的工具菜单打开，也可以通过运行提升的 PowerShell 会话并键入dsac.exe打开。
如果未选择相应的目标域，请选择管理，选择添加导航节点，然后在添加导航节点对话框中选择相应的目标域，然后选择确定。
在 ADAC导航窗格中，展开系统，再展开密码设置容器。
选择要编辑的精细密码策略，然后在任务窗格中选择属性。
修改要更改的设置，然后选择确定。

使用 PowerShell 编辑精细密码策略：

Set-ADFineGrainedPasswordPolicy -Identity PasswordPolicy -MinPasswordLength 8

Microsoft Defender SmartScreen 中的增强型网络钓鱼防护

从 Windows 11 版本 22H2 开始，Microsoft Defender SmartScreen 中的增强型网络钓鱼防护可帮助保护Microsoft学校或工作密码免受网站和应用上的网络钓鱼和不安全使用的影响。

如果用户使用密码登录 Windows，则增强型钓鱼防护与 Windows 安全保护一起使用，并通过以下方式帮助保护用于登录 Windows 11 的键入工作或学校密码：

如果用户在任何浏览器中键入或粘贴其工作或学校密码，则将其Microsoft Defender SmartScreen 视为恶意的网站，增强型钓鱼防护会向他们发出警报。它还会提醒他们更改密码，以便攻击者无法访问其帐户。
重用工作或学校密码可使泄露用户密码的攻击者轻松访问其其他帐户。增强的钓鱼防护可以警告用户在网站和应用中重复使用其工作或学校Microsoft帐户密码，并提醒他们更改密码。
由于在文本编辑器中存储纯文本密码不安全，因此如果用户将工作或学校密码存储在记事本、Word 或任何 Microsoft 365 Office 应用中，增强型钓鱼防护可能会警告用户，并建议他们从文件中删除其密码。
如果用户在 SmartScreen 发现可疑的网站或应用中键入其工作或学校密码，增强型钓鱼防护可以自动从该网站或应用收集信息，以帮助识别安全威胁。例如，显示的内容、播放的声音和应用程序内存。

注意：当用户使用 Windows Hello 企业版 PIN 或生物识别登录到设备时，增强型钓鱼防护不会向用户发出警报，也不会将事件发送到Microsoft Defender for Endpoint (MDE)。