Linux、Windows Server Password Security Policy Strengthen

1. windows Security and Protection(Logon and Authentication)
2. windows密码强制安全策略
3. PAM(Pluggable Authentication Modules)
4. linux密码强制安全策略配置

1. Educate your users about how to best protect their accounts from unauthorized attacks 
https://technet.microsoft.com/en-us/library/cc784090#BKMK_UserBP

2. Use the system key utility (Syskey) on computers throughout your network. The system key utility uses strong encryption techniques to secure account password information that is stored in the Security Accounts Manager (SAM) database. 
    1) The system key utility: https://technet.microsoft.com/en-us/library/cc783856
    2) create or update a system key: 

3. Define password policy that ensures that every user is following the password guidelines that you decide are appropriate 
https://technet.microsoft.com/en-us/library/cc784090#BKMK_PasswordPolicy

4. Consider whether implementing account lockout policy is appropriate for your organization. 
https://technet.microsoft.com/en-us/library/cc784090#BKMK_AccountLockout

1. Protect your account
2. Use strong passwords for all accounts
3. Change passwords regularly
4. Use different passwords for individual accounts
5. Store user names and passwords only when appropriate

https://technet.microsoft.com/en-us/library/cc784090
https://technet.microsoft.com/en-us/library/cc758124
https://technet.microsoft.com/en-us/library/cc783860

1. 强制执行和有效期限
2. 强制密码历史: 密码最长使用期限
3. 密码最短使用期限
4. 密码长度最小值
5. 密码必须符合复杂性要求
6. 是否用可还原的加密(对称可逆)来存储密码
//以上各项的配置方法均需根据当前用户账户类型来选择。在默认情况下，成员计算机的配置与其域控制器的配置相同

1. 执行【开始】->【管理工具，打开"安全设置"界面
//对于本地计算机中的"账户和本地策略"都是在此管理工具中进行配置的 
2. 因密码策略属于用户策略范畴，所以选择【安全设置】->【账户策略】->【密码策略】，在右边详细信息窗口中将显示可配置的密码策略选项的当前配置 

1. 密码必须符合复杂性要求: 可设置确定密码是否符合复杂性要求，如启用该策略，则密码必须符合以下最低要求：
    1) 不包含全部或部分的用户账户名
    2) 长度至少为6个字符
    3) 包含来自以下4个类别中的3个字符
        3.1) 英文大写字母(A~Z)
        3.2) 英文小写字母(a~z)
        3.3) 10个基本数字(0~9)
        3.4) 非字母字符(例如!、$、#、%)

2. 密码长度最小值
该安全设置确定用户账户的密码可以包含的最少字符个数，可以设置为1~14个字符之间的某个值，或者通过将字符数设置为0，可设置不需要密码 
    1) 在域控制器上的默认值为7
    2) 而在独立服务器上为0(允许不需要密码)

3. 密码最长使用期限
该安全设置确定系统要求用户更改密码之前可以使用该密码的时间(单位为天)。可将密码的过期天数设置在1~999天之间，或将天数设置为0，可指定密码永不过期
    1) 如果密码最长使用期限在1~999天之间，那么"密码最短使用期限"必须小于密码最长使用期限
    2) 如果密码最长使用期限设置为0，则密码最短使用期限可以是1~998天之间的任何值，默认值：42 
//使密码每隔30~90天过期一次是一种安全的最佳操作，取决于环境。通过这种方式，攻击者只能够在有限的时间内破解用户密码，并访问网络资源 

4. 密码最短使用期限
该安全策略设置确定在用户可以更改密码之前必须使用该密码的时间(单位为天)。可以设置1~998天之间的某个值，或者将天数设置为0，允许立即更改密码 
    1) 密码最短使用期限必须小于"密码最长使用期限"，除非密码最长使用期限设置为0(表明密码永不过期)
    2) 如果密码最长使用期限设置为0，那么密码最短使用期限可设置为0~998天之间的任意值 
//如果希望上面设置的“强制密码历史”安全策略选项设置有效，则将密码最短有效期限配置为大于0。如果没有密码最短有效期限，则用户可以循环以前的密码，直到获得喜欢的旧密码 

5. 强制密码历史
重新使用旧密码之前，该安全设置确定某个用户账户所使用的新密码不能与该账户所使用的最近的旧密码一样。该值必须为0~24之间的一个数值。该策略通过确保旧密码不能在某段时间内重复使用，使用户账户更安全
    1) 在域控制器上的默认值为24
    2) 而在独立服务器上为0。 
//要维持密码历史记录的有效性，应在通过启用密码最短使用期限安全策略设置更改密码之后，不允许立即更改密码 

6. 用可还原的加密来存储密码
该安全设置确定操作系统是否使用可还原的加密来存储密码。
如果应用程序使用了要求知道用户密码才能进行身份验证的协议，则该策略可对它提供支持。使用可还原的加密存储密码和存储明文版本密码本质上是相同的。因此，除非应用程序有比保护密码信息更重要的要求，否则不必启用该策略，系统默认值为禁用
//当使用质询握手身份验证协议(CHAP)通过远程访问或Internet身份验证服务(IAS)进行身份验证时，该策略是必需的。在Internet信息服务(IIS)中使用摘要式验证时也要求该策略 

1. 在默认情况下，安全选项在域控制器上是已启用的
2. 而在大部分server独立服务器上是已禁用的 

1. 单击"开始"、"控制面板"，在"控制面板"窗口中，双击"管理工具"，然后双击"Active Directory 用户与计算机"
2. 右键单击域的根容器：
3. 从出现的菜单上选择"属性"
4. 在域的属性对话框中，单击"组策略"选项卡，然后单击"新建"，以在根容器中创建一个新的组策略对象。为新策略名键入"Domain Policy"，然后单击"关闭" 
//注意：Microsoft 建议您创建一个新的组策略对象而不是编辑名为"默认域策略"的内置组策略，因为这样做可以在安全设置有严重问题时更容易恢复系统。如果新安全设置产生了问题，您可以在隔离引起问题的设置之前，先临时禁用新的组策略对象 
5. 右键单击域的根容器，然后单击"属性" 
6. 在属性对话框中，单击"组策略"选项卡，然后选择"域策略" 
7. 单击"向上"，将新的 GPO 移动到列表的顶端，然后单击"编辑"，为您刚才创建的 GPO 打开"组策略对象编辑器" 
8. 在"计算机配置"下，导航到 Windows 设置\安全设置\帐户策略\密码策略文件夹
9. 在详细信息窗格中，双击"强制密码历史"，选中"定义这个策略设置"复选框，将"保存密码历史记录"的值设置为 24，然后单击"确定" 
强制密码历史属性
10. 在详细信息窗格中，双击"密码最长使用期限"，选中"定义这个策略设置"复选框，将"密码过期时间"的值设置为 42，单击"确定"，然后单击"确定"，关闭出现的"建议的数值改动"窗口。
密码最长使用期限属性
11. 在详细信息窗格中，双击"密码最短使用期限"，选中"定义这个策略设置"复选框，将"在以下天数后可以更改密码"的值设置为 2，然后单击"确定" 
密码最短使用期限属性
12. 在详细信息窗格中，双击"最小密码长度"，选中"定义这个策略设置"复选框，将"密码必须至少是"的值设置为 8, 然后双击"确定"
最小密码长度属性
13. 在详细信息窗格中，双击"密码必须符合复杂性要求"，选中"在模板中定义这个策略设置"复选框，选择"已启用"，然后单击"确定" 
密码必须符合复杂性要求属性
14. 关闭"组策略对象编辑器"，然后单击"确定"，以关闭域的属性对话框，然后退出"Active Directory 用户和计算机" 

1. min_pwage: 密码必须保持活动的最少天数: 缺省值1
2. pwage: 密码可以保持活动的最多天数: 缺省值180
3. min_length: 密码的最小长度: 缺省值8
4. hist_size: 不能复用的已保存先前密码数: 缺省值10
5. warn_pwage: 向用户警告密码即将到期的天数: 缺省值7
6. min_digits: 密码中必需使用的数字个数: 缺省值无
7. min_uppercase: 必须大写的字符数: 缺省值1
8. min_lowercase: 必须小写的字符数: 缺省值6
9. min_special_chars: 密码中必须含有的特殊字符数: 缺省值无

1. HMC 中等安全密码策略不适用于 hscroot、hscpe 和 root 用户标识
2. HMC 中等安全密码策略只影响在 HMC 上管理的本地认证的用户，不能对 LDAP 或 Kerberos 用户强制实施
3. HMC 中等安全密码策略或用户定义的策略允许系统管理员设置密码复用限制
4. HMC 中等安全密码是只读的，并且 HMC 中等安全密码的属性无法更改。可以创建用户定义的新密码来设置密码限制 

1. mkpwdpolicy: mkpwdpolicy 命令可通过从包含所有参数的文件导入策略或从 CLI 创建策略来添加新的密码策略 
2. lspwdpolicy: lspwdpolicy 命令可列出所有可用的密码策略概要文件并搜索特定参数。您还可以查看当前活动的策略 
3. rmpwdpolicy: rmpwdpolicy 命令可除去现有的不活动密码策略 
//注: 不能除去活动的中等安全策略和缺省只读策略 
4. chpwdpolicy: rmpwdpolicy 命令可更改不活动密码策略中的参数

本地安全策略 -> 安全设置 -> 账户设置 -> 密码策略
1. 密码必须符合复杂性要求：启用
2. 密码长度最小值：8个字符
3. 密码最长存留期：90天
4. 密码最短存留期：1天
5. 强制密码历史：1个记住密码

本地策略 -> 安全选项
1. 登录屏幕上不要显示上次登录的用户名：启用

1. secedit /analyze: 分析组策略 
2. secedit /configure: 配置组策略
3. secedit /export: 导出组策略
4. secedit /validate: 验证模板语法
5. secedit /refreshpolicy: 更新组策略
//与访问注册表只需reg文件不同的是，访问组策略除了要有个模板文件(还是inf)，还需要一个安全数据库文件(sdb)。要修改组策略，必须先将模板导入安全数据库，再通过应用安全数据库来刷新组策略

[version]
signature="$CHICAGO$"
[System Access]
MinimumPasswordAge = 1
MaximumPasswordAge = 90
MinimumPasswordLength = 8
PasswordComplexity = 1
PasswordHistorySize = 1  
[Registry Values]
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName=4,1

/*
本地安全策略 -> 安全设置 -> 账户设置 -> 密码策略
1. 密码必须符合复杂性要求：启用
2. 密码长度最小值：8个字符
3. 密码最长存留期：90天
4. 密码最短存留期：1天
5. 强制密码历史：1个记住密码

本地策略 -> 安全选项
1. 登录屏幕上不要显示上次登录的用户名：启用
*/

secedit /export /cfg gp.inf /log 1.log
//gp.inf中保存的就是当前系统的安全策略配置

http://bbs.csdn.net/topics/70409280
http://bbs.pediy.com/showthread.php?t=123435
http://www.powershellmagazine.com/2013/04/02/pstip-view-policy-settings-with-rsop-wmi-classes/ 
http://www.activexperts.com/network-monitor/windowsmanagement/adminscripts/computermanagement/policy/
http://blog.csdn.net/dlyhlq/article/details/2851573
http://www.microsoft.com/china/smb/issues/sgc/articles/enforce_strong_passwords.mspx
http://book.51cto.com/art/200704/44945.htm
http://book.51cto.com/art/200704/44852.htm
http://www-01.ibm.com/support/knowledgecenter/9109-RMD/p7ha1/enhancedpasswordpolicy.htm?lang=zh

1. 通过单个配置文件/etc/pam.conf
2. RedHat还支持另外一种配置方式，即通过配置目录/etc/pam.d/，且这种的优先级要高于单个配置文件的方式 

service-name module-type control-flag module-path arguments

1. service-name: 服务的名字
例如telnet、login、ftp等，服务名字"OTHER"代表所有没有在该文件中明确配置的其它服务

2. module-type: 模块类型有四种，即对应PAM所支持的四种管理方式。同一个服务可以调用多个PAM模块进行认证，这些模块构成一个stack
    1) auth
    2) account
    3) session
    4) password

3. control-flag: 用来告诉PAM库该如何处理与该服务相关的PAM模块的成功或失败情况，它有四种可能的值
    1) required: required表示本模块必须返回成功才能通过认证，但是如果该模块返回失败的话，失败结果也不会立即通知用户，而是要等到同一stack 中的所有模块全部执行完毕再将失败结果返回给应用程序，可以认为是一个必要条件
    2) requisite: requisite与required类似，该模块必须返回成功才能通过认证，但是一旦该模块返回失败，将不再执行同一stack内的任何模块，而是直 接将控制权返回给应用程序。是一个必要条件。注：这种只有RedHat支持，Solaris不支持
    3) sufficient: sufficient 表明本模块返回成功已经足以通过身份认证的要求，不必再执行同一stack内的其它模块，但是如果本模块返回失败的话可以忽略。可以认为是一个充分条件
    4) optional: optional表明本模块是可选的，它的成功与否一般不会对身份认证起关键作用，其返回值一般被忽略

4. module-path: 用来指明本模块对应的程序文件的路径名，一般采用绝对路径，如果没有给出绝对路径，默认该文件在目录/usr/lib/security下面

5. arguments: 用来传递给该模块的参数。一般来说每个模块的参数都不相同，可以由该模块的开发者自己定义，但是也有以下几个共同的参数
    1) debug: 该模块应当用syslog()将调试信息写入到系统日志文件中
    2) no_warn: 表明该模块不应把警告信息发送给应用程序
    3) use_first_pass: 表明该模块不能提示用户输入密码，而应使用前一个模块从用户那里得到的密码
    4) try_first_pass: 表明该模块首先应当使用前一个模块从用户那里得到的密码，如果该密码验证不通过，再提示用户输入新的密码
    5) use_mapped_pass: 该模块不能提示用户输入密码，而是使用映射过的密码
    6) expose_account: 允许该模块显示用户的帐号名等信息，一般只能在安全的环境下使用，因为泄漏用户名会对安全造成一定程度的威胁 

module-type control-flag module-path arguments
//每个字段的含义和/etc/pam.conf中的相同 

http://www.kafan.cn/edu/46999104.html

vim /etc/pam.d/system-auth 
//or
vim /etc/pam.conf 
//添加一行
password required pam_passwdqc.so min=disabled,disabled,12,8,8 max=30 passphrase=3 match=4 similar=deny enforce=everyone

password required pam_passwdqc.so min=disabled,disabled,12,8,8 max=30 passphrase=3 match=4 similar=deny enforce=everyone

1. password: 调用password PAM模块
2. required: required表示本模块必须返回成功才能通过认证，但是如果该模块返回失败的话，失败结果也不会立即通知用户，而是要等到同一stack 中的所有模块全部执行完毕再将失败结果返回给应用程序，可以认为是一个必要条件

3. pam_passwdqc.so: 要引入的模块
4. min=disabled,disabled,12,8,8: 设置口令字最小长度，每个设置项分别使用逗号分隔
    1) 只包含一种字符的密码，拒绝(大小写、数字、特殊字符分别为4种字符) 
    2) 只包含两种字符的密码，拒绝
    3) 如果密码中被识别出了常用的单词，那么最小长度必须为12位，常用单词的最小识别长度为3(由passphrase=3制定)  
    4) 包含三种字符的密码，最小长度为8位
    5) 包含四种字符的密码，最小长度为8位 

5. max: 设置口令字的最大长度，默认值是max=40 
6. passphrase:设置口令短语中单词的最少个数，默认值是passphrase=3，如果为0则禁用口令短语 

7. match: 设置密码串的常见程序，默认值是match=4，如果发现本次修改的密码和老密码有4个substring的长度类似，就认为是弱密码
8. similar: 设置当我们重设口令时，重新设置的新口令能否与旧口令相似
    1) similar=permit: 允许相似
    2) similar=deny: 不允许相似 

enforce=everyone: 设置约束范围
    1) enforce=none: 表示只警告弱口令字，但不禁止它们使用
    2) enforce=users: 对系统上的全体非根用户实行这一限制
    3) enforce=everyone: 对包括根用户在内的全体用户实行这一限制 

cat /etc/login.defs

1. PASS_MAX_DAYS   99999     #密码的最大有效期, 99999:永久有期
2. PASS_MIN_DAYS   0         #是否可修改密码,0可修改,非0多少天后可修改
3. PASS_MIN_LEN    5         #密码最小长度，如果使用pam_cracklib module，该参数不再有效
4. PASS_WARN_AGE   7         #密码失效前多少天在用户登录时通知用户修改密码

1. centos
echo "password required pam_passwdqc.so min=disabled,disabled,12,8,8 max=30 passphrase=3 match=4 similar=deny enforce=everyone" >> /etc/pam.d/system-auth

2. ubuntu
echo "password required pam_passwdqc.so min=disabled,disabled,12,8,8 max=30 passphrase=3 match=4 similar=deny enforce=everyone" >> /etc/pam.conf  

useradd test
passwd test
//123

http://www.cnblogs.com/ylan2009/articles/2321177.html
http://www.oschina.net/p/passwdqc
http://blog.itpub.net/9390331/viewspace-710719/
http://blog.sina.com.cn/s/blog_7201f0430102v0tr.html
http://fanli7.net/a/bianchengyuyan/C__/20131121/444743.html