本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
了解 Amazon 托管微软 AD 密码策略
Amazon Microsoft AD 托管允许您为在托管 M Amazon icrosoft AD 域中管理的用户组定义和分配不同的密码和帐户锁定策略(也称为细粒度密码策略
Policy | 设置 |
---|---|
强制密码历史 | 记住 24 个密码 |
最长密码使用期限 | 42 天 * |
最短密码使用期限 | 1 天 |
最短密码长度 | 7 个字符 |
密码必须符合复杂性要求 | 已启用 |
使用可逆加密存储密码 | 已禁用 |
注意
* 42 天的最大密码使用期限包括管理员密码。
例如,对于仅有权访问敏感度不高的信息的员工,您可以设置较为宽松的策略设置。对于定期访问机密信息的高级经理,您可以应用更严格的设置。
以下资源提供了有关以下内容的更多信息 Microsoft Active Directory 精细的密码策略和安全策略:
Amazon 在托管 Amazon Microsoft AD 中提供了一组精细的密码策略,您可以对其进行配置和分配给您的群组。要配置策略,您可以使用标准 Microsoft 策略工具,例如 Active Directory 行政中心
如何应用密码策略
根据密码是重置还是更改,细粒度密码策略的应用方式会有所不同。域用户可以更改自己的密码。网络 ACL 和安全组都允许 (因此可到达您的实例) 的发起 ping 的 Active Directory 管理员或具有必要权限的用户可以重置用户的密码。有关更多信息,请参见下表。
Policy | 密码重置 | 密码更改 |
---|---|---|
强制密码历史 | ||
最长密码使用期限 | ||
最短密码使用期限 | ||
最短密码长度 | ||
密码必须符合复杂性要求 |
这些差异会带来安全影响。例如,无论何时重置用户的密码,都不会强制执行密码历史记录和最短密码使用期限政策。有关更多信息,请参阅 Microsoft 文档,了解与强制执行密码历史记录和最低密码
支持的策略设置
Amazon 托管 Microsoft AD 包括五个具有不可编辑优先级值的细粒度策略。这些策略具有各种属性,您可以配置这些属性,在出现登录失败的情况下实施密码强度和账户锁定操作。您可以将策略分配给零个或多个 Active Directory 组。如果最终用户是多个组的成员并接收多个密码策略,Active Directory 将会强制实施优先顺序值最低的策略。
Amazon 预定义的密码策略
下表列出了您的 Amazon 托管 Microsoft AD 目录中包含的五个策略及其分配的优先级值。有关更多信息,请参阅 优先级。
策略名称 | 优先级 |
---|---|
客户 PSO -01 | 10 |
客户 PSO -02 | 20 |
客户 PSO -03 | 30 |
客户 PSO -04 | 40 |
客户 PSO -05 | 50 |
密码策略属性
您可以编辑您的密码策略中的以下属性,以便符合合规性标准,从而满足您的业务需求。
您无法修改这些策略的优先顺序值。有关这些设置如何影响密码强制执行的更多详细信息,请参阅 M ic TechNet rosoft 网站上的 AD DS:精细密码策略
账户锁定策略
您还可以修改密码策略的以下属性,以指定 Active Directory 在登录失败时是否以及如何锁定账户:
-
允许的最大失败登录尝试数
-
账户锁定持续时间
-
在一段持续时间后重置失败的登录尝试
有关这些政策的一般信息,请参阅 Microsoft TechNet 网站上的帐户锁定政策
优先级
策略的优先顺序值越小,优先级越高。您可以将密码策略分配给 Active Directory 安全组。虽然您应该将一个策略应用到一个安全组,不过单个用户可以接收多个密码策略。例如,假设jsmith
是 HR 组的成员,同时也是该MANAGERS组的成员。如果您将客户 PSO -05(优先级为 50)分配给 HR 组,将客户 -0 PSO4(优先级为 40)分配给 HR 组,则客户 -04 的优先级更高MANAGERS,PSOA ctive Directory 会将该策略应用于。jsmith
如果您将多个策略分配给用户或组,Active Directory 将按照以下方式确定生成的策略:
-
应用您直接分配给用户对象的策略。
-
如果未直接向用户对象分配任何策略,由于组成员资格的原因,会应用该用户收到的所有策略中具有最低优先顺序值的策略。
有关更多详细信息,请参阅 M ic TechNet rosoft 网站上的 AD DS:精细密码策略
相关 Amazon 安全博客文章