解析Windows密码安全问题(第三部分)

核心提示：在前两部分文章中，我们讨论了Windows密码政策问题以及它是如何在Active Directory环境被控制等问题，解析Windows密码安全问题(第三部分)，大家应该还记得在默认情况下密码政策和相关的设置位于默认域策略中(Default Domain Policy)，另外同样探讨了可以使用哪些技术破获windows

在前两部分文章中，我们讨论了Windows密码政策问题以及它是如何在Active Directory环境被控制等问题，大家应该还记得在默认情况下密码政策和相关的设置位于默认域策略中(Default Domain Policy)。另外同样探讨了可以使用哪些技术破获windows密码，以及每种攻击方式的限制问题。那么，在本文中，我们将讨论如何让windows密码变得更加安全，以及如何能够解决在前两部分文章中出现的所有问题。本文将涉及Windows2002/2003/2008Active Directory默认安装带来的可能性以及其他能够整体提高密码安全的技术。

第一件事，很简单

密码的要素其实很简单，它们必须容易被记住，容易输入和容易获取更长的密码，用户可能使用的典型的密码就是：

Am3r1c@

这种特殊密码确实能够符合密码复杂度要求，但是这很难记住也很难输入，这样一来，用户可能会将这种密码写下来贴在监视器或者键盘上，在笔者看来，下面这种类型的密码更加值得推崇：

I am a Group Policy MVP. 或者I went to Germany on my last vacation.

注意：

你可以尝试阅读上面三种密码短语，然后尝试在电脑上输入这三个密码，你会发现有实际意义的词组更容易输入和记住。

在这最后的文章中，我们将讨论一个好的密码政策应该是怎样的，如何确保该密码政策的部署;如何确保在所有的电脑上都部署着相同的密码政策，以及能够确保部署良好密码的其他技术。

确保密码政策在所有域和本地用户帐户都是一致的

内置的Active Directory配置能够确保所有的用户帐户(包括存储在AD和存储在每台电脑和服务器上的本地SAM中的帐户)都具有相同的密码政策，但是，这可能由于在企业单位(OU)级别连接和配置GPO时被改变，因为OU中有很多计算机帐户存储在其中。在这种情况下，计算机和服务器(不是域控制器)可以让本地SAM的用户帐户使用不同的密码政策，而不包括域用户帐户。