PasswordIQ 可扫描出 Active Directory 用户的 11 种密码漏洞。收到扫描结果后，您可与用户一起解决 PasswordIQ 检测到的密码漏洞。如需了解如何查看扫描结果，请参阅文章如何使用 PasswordIQ 报表面板。

如需了解如何解决用户的密码漏洞，请参见以下部分。有关 PasswordIQ 的通用信息，请参阅 PasswordIQ 产品手册。

弱密码

如果 PasswordIQ 检测到弱密码，请按照以下建议解决此漏洞：

1. 通知用户当前密码为弱密码。
2. 要求用户修改密码。
3. 提供培训，指导用户如何创建强密码。KnowBe4 在 ModStore 中提供了多项培训模块，您可以给用户分配相应模块，包括创建强密码-安全意识培训、如何使用测验创建强密码以及密码安全。有关 ModStore 培训内容的更多信息，请参阅 ModStore 和库指南。

共享密码

如果 PasswordIQ 检测到共享密码，请按照以下建议解决此漏洞：

1. 通知用户当前密码为共享密码。
2. 要求用户为所有使用该共享密码的账户更改密码。

提供培训，指导用户如何创建唯一密码。KnowBe4 在 ModStore 中提供了多项培训模块，您可以给用户分配相应模块，包括创建强密码-安全意识培训、如何使用测验创建强密码以及密码安全。有关 ModStore 培训内容的更多信息，请参阅 ModStore 和库指南。

明文密码

如果 PasswordIQ 检测到一个用户或一组用户使用了明文密码，则可对用户的帐户启用可逆加密设置。当 PasswordIQ 检测到该漏洞时，还将评估细粒度密码策略 (FGPP)。您可能还需要检查是否为某些用户应用了与可逆加密相关的精细密码政策。

下表概述了如何根据用户的个人设置、FGPP 和组政策对象 (GPO) 的组合来确定明文密码漏洞。有效政策按以下顺序进行评估：

• 如果在用户级别启用了使用可逆加密存储密码标志，则将覆盖其他政策。PasswordIQ 将检测明文密码漏洞。
• 如果应用了 FGPP 并启用了使用可逆加密存储密码选项，此设置将优先于域 GPO。无论组政策域设置如何，PasswordIQ 都将检测明文密码漏洞。
• 如果不存在 FGPP，则仅应用域 GPO 设置。如果启用了使用可逆加密存储密码政策，PasswordIQ 将检测明文密码漏洞。

	用户设置	精细密码政策 (FGPP)	组政策对象 (GPO)	有效政策	明文密码漏洞检测
用户已启用使用可逆加密存储密码标志	已启用	任何 FGPP	任何 GPO	用户设置已应用	已检测
用户未选择“使用可逆加密存储密码”设置，但 FGPP 已应用	已禁用	使用可逆加密存储密码设置已启用	任何 GPO	FGPP 已应用	已检测
用户未选择使用可逆加密存储密码设置，且仅存在域 GPO	已禁用	无 FGPP	使用可逆加密存储密码设置已启用	域 GPO 已应用	已检测

按照以下步骤查找此设置：

1. 打开 Active Directory。
2. 前往用户的账户属性。
3. 选择 Account（账户）选项卡。
4. 打开 Account options（账户选项）部分，找到 Store password using reversible encryption（使用可逆加密存储密码）设置。确保未选定此选项。
5. 提醒您的用户更改密码。

如果 PasswordIQ 检测到全部用户使用了明文密码，则可在组政策中设置可逆加密。

按照以下步骤查找此设置：

1. 打开 Group Policy Management Editor（组政策管理编辑器）。
2. 前往此路径：Computer Configuration（计算机配置）\Policies（政策）\Windows Settings（Windows 设置）\Security Settings（安全设置）\Account Policies（账户政策）\Password Policy（密码政策）。
3. 打开 Store password using reversible encryption（使用可逆加密存储密码）政策。确保已禁用此政策。
4. 强制更新您的公司所应用的组政策。
5. 提醒您的用户更改密码。

如果 PasswordIQ 检测到明文密码，则可能会为整个组织启用 STORE_CLEARTEXT 标志。

要确定是否启用了此标志，请按照以下步骤操作：

1. 从您的域控制器打开 Active Directory Users and Computers (ADUC)。
2. 右键单击域名并选择属性。
3. 选择属性编辑器选项卡并查找 pwdProperties 属性。如果此属性包含 STORE_CLEARTEXT 标志，则该域被配置为允许使用明文密码。您可以通过默认域策略或其他强制域策略禁用此设置。

空密码

如果 PasswordIQ 检测到空密码，则可在组政策中将 Minimum password length（最小密码长度）设置的值设为 0。此设置可将密码设为零字符。

按照以下步骤查找此设置：

1. 打开 Group Policy Management Editor（组政策管理编辑器）
2. 前往此路径：Computer Configuration（计算机配置）\Policies（政策）\Windows Settings（Windows 设置）\Security Settings（安全设置）\Account Policies（账户政策）\Password Policy（密码政策）。
3. 打开 Minimum password length（最小密码长度）政策。

仅 DES 加密

如果 PasswordIQ 检测到仅 DES 加密，则可对该账户启用 DES 加密设置。

按照以下步骤查找此设置：

1. 打开 Active Directory。
2. 前往用户的账户属性。
3. 选择 Account（账户）选项卡。
4. 打开 Account options（账户选项）部分，找到 Use Kerberos DES encryption types for this account（将 Kerberos DES 加密类型用于此账户）设置。

密码泄露

如果 PasswordIQ 检测到密码泄露，请按照以下建议解决此漏洞：

1. 通知用户，由于数据泄露，当前密码可被他人轻易窃取。
2. 若用户对所有账户使用了相同密码，则要求用户修改所有账户密码。
3. 给用户分配最新版本的 KnowBe4 安全意识培训，指导他们如何随时应对潜在的社会工程攻击。网络犯罪分子可能会更容易攻击涉及数据泄露的用户。

无密码要求

如果 PasswordIQ 检测到账户不要求设置密码，则可在账户的 userAccountControl 属性中设置 PASSWD_NOTREQD 标记。按照以下步骤查找此设置：

1. 打开 Active Directory。
2. 启用 Advanced Features（高级功能）（View（查看） > Advanced Features（高级功能））。
3. 前往用户的账户属性。
4. 选择属性编辑器选项卡并查找 userAccountControl 属性。

密码永不失效

如果 PasswordIQ 检测到一个用户或一组用户的密码永不失效，则可对用户的账户启用 Password never expires（密码永不失效）设置。

下表概述了如何根据用户的个人设置、精细密码政策 (FGPP) 和组政策对象 (GPO) 的组合来确定密码永不失效漏洞。有效政策按以下顺序进行评估：

• 如果在用户级别启用了密码永不失效标志，它将覆盖其他政策，密码将永不过期。PasswordIQ 将检测“密码永不失效”漏洞。
• 如果 FGPP 已应用且强制最长密码使用期限选项已禁用，此设置将优先于域 GPO。无论组政策域设置如何，PasswordIQ 都将检测“密码永不失效”漏洞。
• 如果不存在 FGPP，则应用域 GPO 设置。如果最长密码使用期限政策设置为 0，则当密码永不过期时，PasswordIQ 将检测到漏洞。

	用户设置	精细密码政策 (PSO)	组政策对象 (GPO)	有效政策	“密码永不失效”漏洞检测
用户未选择密码永不失效设置	已启用	任何 FGPP	任何 GPO	用户设置已应用	已检测
用户未选择密码永不失效设置，但 FGPP 已应用	已禁用	强制最长使用期限设置已禁用	任何 GPO	FGPP 已应用	已检测
用户未选择密码永不失效设置，仅存在域 GPO	已禁用	无 FGPP	强制最长使用期限设置设为 0	域 GPO 已应用	已检测

按照以下步骤查找此设置：

1. 打开 Active Directory。
2. 前往用户的账户属性。
3. 选择 Account（账户）选项卡。
4. 打开 Account options（账户选项）部分，找到 Password never expires（密码永不失效）设置。

如果 PasswordIQ 检测到全部用户的密码永不失效，则可在组政策中将 Maximum password age（最大密码期限）设置的值设为 0。

按照以下步骤查找此设置：

1. 打开 Group Policy Management Editor（组政策管理编辑器）。
2. 前往Computer Configuration（计算机配置）\Policies（政策）\Windows Settings（Windows 设置）\Security Settings（安全设置）\Account Policies（账户政策）\Security Options（安全选项）。
3. 打开 Maximum password age（最大密码期限）政策。
4. 强制更新您的公司所应用的组政策。

您可能还需要检查是否已为某组用户应用了与最大密码期限相关的细粒度密码政策。

按照以下步骤查找此设置：

1. 打开 Active Directory 管理中心。
2. 前往“Domain”（域）\System（系统）\Settings Container（密码设置容器）。
3. 验证所列密码政策是否已禁用 Enforced maximum password age（实施最大密码期限）选项。

LM 散列密码

如果 PasswordIQ 检测到 LAN 管理器 (LM) 散列密码，则可在组政策中启用 LM 散列设置。

按照以下步骤查找此设置：

1. 打开 Group Policy Management Editor（组政策管理编辑器）。
2. 前往Computer Configuration（计算机配置）\Windows Settings（Windows 设置）\Security Settings（安全设置）\Local Policies（本地政策）\Security Options（安全选项）。
3. 打开Network Security（网络安全）：请勿在新密码更改政策上存储 LAN 管理器散列值。
4. 强制更新您的公司所应用的组政策。
5. 提醒您的用户更改密码。

未设置 AES 加密

如果 PasswordIQ 检测到一个用户或一组用户未设置高级加密标准 (AES) 加密，则可能需要对用户的账户启用 AES 加密设置。

按照以下步骤查找此设置：

1. 打开 Active Directory。
2. 前往用户的账户属性。
3. 选择 Account（账户）选项卡。
4. 打开 Account options（账户选项）部分，找到 This account supports Kerberos AES128 bit encryption（此账户支持 Kerberos AES128 位加密）设置或 This account supports Kerberos AES256 bit encryption（此账户支持 Kerberos AES256 位加密）设置。选择您可使用的选项。

如果 PasswordIQ 检测到所有用户未设置 AES 加密，则可能需要在组政策中选择 AES 加密类型。

按照以下步骤查找此设置：

1. 打开 Group Policy Management Editor（组政策管理编辑器）。
2. 前往Computer Configuration（计算机配置）\Policies（政策）\Windows Settings（Windows 设置）\Security Settings（安全设置）\Local Policies（本地政策）\Security Options（安全选项）。
3. 打开 Network security（网络安全）:Configure types allowed for Kerberos（配置 Kerberos 允许的类型）政策。AES 密钥为 AES128_HMAC_SHA1 和 AES256_HMAC_SHA1。

缺少预身份验证

如果 PasswordIQ 检测到缺少预身份验证，则可对该账户启用 Do not require Kerberos preauthentication（无需 Kerberos 预身份验证）设置。

按照以下步骤查找此设置：

1. 打开 Active Directory。
2. 前往用户的账户属性。
3. 选择 Account（账户）选项卡，
4. 打开 Account options（账户选项）部分，找到 Do not require Kerberos preauthentication（无需 Kerberos 预身份验证）设置。