Windows服务器本地密码修改方法
-
图形界面操作
- 按
Win+R输入lusrmgr.msc打开本地用户和组 - 进入“用户”目录 → 右键目标用户 → 选择“设置密码”
- 强制确认后输入新密码(需满足复杂度要求)
- 按
-
命令行高效操作(管理员权限)
:: 修改当前用户密码 net user %username% "NewP@ssw0rd2026"
: 修改指定用户密码(需管理员权限)
net user Administrator “Str0ng!Encrypt3dKey”
Linux服务器本地密码修改方法
Root用户修改自身或其他账户密码
```bash
# 修改当前root密码
passwd
# 修改其他用户密码(如webadmin)
passwd webadmin- 普通用户修改自身密码
直接执行passwd命令,需验证旧密码
关键操作注意事项与风险规避
-
密码策略合规性
- Windows:检查
secpol.msc中的密码长度(≥8位)、复杂度(大小写/数字/符号)、最长使用期限(≤90天) - Linux:编辑
/etc/login.defs配置PASS_MAX_DAYS,使用libpam-pwquality强化规则
- Windows:检查
-
权限验证
- 修改他人密码需Administrator或root权限
- 普通账户仅能修改自身密码
-
关联服务影响
- 立即终止所有RDP/SSH会话,避免旧密码进程残留
- 重启依赖本地账户的服务(如SQL Server代理)
高级安全加固方案
▶ 双因素认证集成
- Windows:安装
Google Authenticator模块,修改注册表启用两步验证 - Linux:配置
pam_google_authenticator.so,强制SSH登录需动态令牌
▶ 特权账户管理规范
# Linux示例:创建受限管理员(允许sudo但禁止直接登录) useradd -m sysadmin -s /bin/bash usermod -aG sudo sysadmin passwd -l sysadmin # 锁定密码登录,仅允许密钥认证
▶ 密码存储加密升级
- Windows:启用
Reversible Encryption后需同步更新DPAPI主密钥 - Linux:将
/etc/shadow默认的SHA-512升级为yescrypt算法(编辑/etc/pam.d/common-password)
应急场景处理指南
▶ 忘记密码解决方案
-
Windows Server 2019+:
- 使用Windows PE启动盘挂载系统分区
- 替换
Utilman.exe为cmd.exe - 重启后触发无障碍功能获得SYSTEM权限终端
- 执行
net user Administrator NewPassword
-
Linux(Ubuntu/CentOS):
- GRUB引导时按
e进入编辑模式 - 在
linux行末尾添加init=/bin/bash - 按
Ctrl+X启动后执行passwd root
- GRUB引导时按
专业运维建议
-
密码轮换机制
- 通过Ansible批量更新:
- name: Rotate server passwords
hosts: webservers
tasks:- ansible.builtin.user:
name: “{{ item }}”
password: “{{ new_password | password_hash(‘sha512’) }}”
loop: [admin, deploy, backup]
- ansible.builtin.user:
-
审计与追溯
- Windows:启用
Audit Account Management策略,日志存于事件查看器 - Linux:配置
auditd规则监控/etc/shadow修改
- Windows:启用
行业实践警示:某金融平台因未及时修改离职管理员密码,导致前员工通过遗留RDP连接入侵,最终触发2000万数据泄露,定期密码更新必须与权限回收流程联动执行。
深度思考:您所在企业的服务器密码策略是否包含历史密码比对?是否因合规要求采用第三方特权账户管理系统(如CyberArk/Thycotic)?欢迎分享您的架构设计经验或遇到的特殊场景挑战。
原创文章,作者:世雄 - 原生数据库架构专家,如若转载,请注明出处:https://idctop.com/article/33962.html
