방금 Windows 2008 도메인에서 사용자가 자신의 암호를 변경할 수 없었습니다. 그가 선택한 암호가이를 충족한다고 확신하더라도 복잡성 요구 사항에 대한 비밀 메시지를 제공했습니다. 나는 그것을 직접 테스트하고 확인했다.
내가 기억한다면 그의 마지막 암호는 Microsoft가 권장하는 기본값 인 10 일에 대해 너무 최근에 설정된 것 같습니다.
그는 대답 할 수없는 아주 좋은 질문을했습니다. 왜 최소 암호 사용 기간 이 필요한 가요? 이것이 어떻게 보안에 합리적으로 도움이 될 수 있습니까? 또한이 10 일 이내에 비밀번호가 노출되어 비밀번호를 변경하지 못할 수도 있음을 지적했습니다.
최소 암호 사용 기간을 적용해야하는 유효한 이유가 있습니까?
답변
첫째, 기술적 답변 :
암호 기록 적용을 유효하게하려면 최소 암호 사용 기간을 0보다 크게 구성하십시오. 최소 암호 사용 기간이 없으면 사용자는 오래된 즐겨 찾기에 도달 할 때까지 암호를 반복해서 순환 할 수 있습니다.
http://technet.microsoft.com/en-us/library/cc779758 (v = ws.10) .aspx (서버 2003)
http://technet.microsoft.com/en-us/library/hh994570(v= ws.10) .aspx (Server 2008 / Windows Vista 이상)
따라서 이것이 0이 아닌 좋은 이유입니다. 또한 해당 기사에 따르면 :
기본
도메인 컨트롤러에서 1입니다.
독립형 서버에서는 0입니다.
다시 말해, 기본값은 비밀번호 기록을 시행하는 데 필요한 최소값입니다.
이제 개인적으로 최소 암호 사용 기간을 적용 해야하는 유효한 보안 이유는 없지만 실제 / 인간적인 이유가있을 수 있다고 생각합니다. 예를 들어, “비밀번호 분실”호출 횟수를 줄이기 위해 비밀번호 변경 횟수를 제한 할 수 있습니다. 아마도 이것이 고등학생에게 실용적이라고 볼 수 있습니다.
마지막으로 이러한 제한은 Active Directory 사용자 및 컴퓨터의 수동 암호 재설정에는 적용되지 않습니다. 따라서 사용자는 항상 암호를 변경해야하는 경우 Sysadmin에 도움을 요청할 수 있습니다.
답변
최소 암호 사용 기간의 근거는 사용자가 암호를 강제로 변경 한 직후에 이전 암호로 되돌아 가지 못하도록하는 것입니다. 이 정책은 “암호 기록”정책과 함께 사용하는 것이 가장 좋습니다 (사용자가 마지막 X 개의 이전 암호를 재사용하지 못하도록 방지).
답변
최소 암호 사용 기간도 안전 조치로 사용될 수 있습니다. 해커가 컴퓨터에 침입 한 직후에 암호를 변경하면 어떻게됩니까?