2008R2密码策略
强制密码历史
描述
重新使用旧密码之前,该安全设置确定与某个用户帐户相关的唯一新密码的数量。该值必须为0 到24 之间的一个数值。
该策略通过确保旧密码不能继续使用,从而使管理员能够增强安全性。
默认值:
在域控制器上为24。
在独立服务器上为0。
注意
默认情况下,成员计算机遵循它们的域控制器的配置。
要维持密码历史记录的有效性,则在通过启用密码最短使用期限安全策略设置更改密码之后,不允许立即更改密码。有关密码最短使用期限安全策略设置的相关信息,请参阅密码最短使用期限。配置此安全设置
密码最短使用期限
描述
该安全策略设置确定用户可以更改密码之前必须使用该密码的时间(单位为天)。可以设置 1 到998 天之间的某个值,或者通过将天数设置为0,允许立即更改密码。
密码最短使用期限必须小于密码最长使用期限,除非密码最长使用期限设置为0(表明密码永不过期)。如果密码最长使用期限设置为0,那么密码最短使用期限可设置为0 到998 天之间的任意值。
如果希望强制密码历史有效,请将密码最短有效期限配置为大于0。如果没有密码最短有效期限,则用户可以重复循环通过密码,直到获得喜欢的旧密码。默认设置不遵从这种推荐方法,因此管理员可以为用户指定密码,然后要求当用户登录时更改管理员定义的密码。如果将该密码的历史记录设置为0,则用户不必选择新密码。因此,默认情况下将密码历史记录设置为1。
默认值:
在域控制器上为1。
在独立服务器上为0。
注意
默认情况下,成员计算机遵循它们的域控制器的配置。
配置此安全设置
可通过打开相应的策略并按以下方式展开控制台树来配置该安全设置:计算机配置\Windows 设置\安全设置\帐户策略\密码策略\
密码最长使用期限
描述
该安全设置确定系统要求用户更改密码之前可以使用该密码的时间(单位为天)。可将密码的过期天数设置在1 至999 天之间,或将天数设置为0,可指定密码永不过期。如果密码最长使用期限在 1 至999 天之间,那么密码最短使用期限必须小于密码最长使用期限。如果密码最长使用期限设置为0,则密码最短使用期限可以是 1 至998 天之间的任何值。
注意
使密码每隔30 至90 天过期一次是一种安全最佳操作,这取决于您的环境。通过这种方式,攻击者只能够在有限的时间内破解用户密码并访问您的网络资源。
默认值:42.
配置此安全设置
通过打开相应的策略并按照以下层次展开控制台树,可以配置此安全设置:计算机配置\Windows 设置\安全设置\帐户策略\密码策略\
定义密码策略,用强密码保护所有用户帐户。
定义“强制密码历史”策略设置可以使系统记住几个以前用过的密码。使用该策略设置,当密码到期时,用户将无法重复使用以前用过的密码。
定义“密码最长使用期限”策略设置可以使您环境中密码的到期时间尽可能短,通常的间隔是30 至90 天。使用该策略设置,即使攻击者破解了密码,也只能在密码到期之前访问网络。
定义“密码最短使用期限”策略设置可以使密码在指定的天数内无法更改。该策略设置可以与“强制密码历史”策略设置结合使用。如果定义了密码最短使用期限,用户便无法通过频繁更改密码的方法避开“强制密码历史”策略设置而使用其原来的密码。用户只有在等待指定的天数之后才可以更改密码。
定义“密码长度最小值”策略设置可以使密码必须至少包含指定个数的字符。七位以上的长密码通常比短密码具有更强的安全性。使用该策略设置,用户便无法使用空密码,他们必须创建指定字符长度的密码。
启用“密码必须符合复杂性要求”策略设置。该策略设置将会检查所有新密码,确保其符合基本的强密码要求。有关这些要求的完整列表,请参阅密码必须符合复杂性要求。
关于如何应用或修改这些策略设置的信息,请参阅应用或修改密码策略。有关各项策略设置的信息,请参阅密码策略。
谨慎定义帐户锁定策略。
不要随意使用帐户锁定策略。在使用帐户锁定策略对非法攻击企业加强防范的同时,也可能在不经意间锁定合法用户,这可能会使企业付出很大代价。
如果决定采用帐户锁定策略,应设置足够高的“帐户锁定阈值”策略设置,以便使合法用户不至于仅因敲
错了密码而被锁定帐户。
如果合法用户在一台计算机上更改了密码,但没有同时更改另一台计算机上的密码,这时合法用户将被锁定。仍旧使用原来密码的计算机会不断使用错误的密码对用户进行身份验证,并最终导致用户帐户锁定。这可能成为因定义帐户锁定策略而付出的高昂代价,因为合法用户在其帐户得到恢复前无法访问网络资源。对于只使用运行Windows Server 2003 家族操作系统的域控制器的组织,则不存在此问题。
有关帐户锁定策略的详细信息,请参阅帐户锁定策略概述。有关如何应用或修改帐户锁定策略的信息,请参阅应用或修改帐户锁定策略。
描述
重新使用旧密码之前,该安全设置确定与某个用户帐户相关的唯一新密码的数量。该值必须为0 到24 之间的一个数值。
该策略通过确保旧密码不能继续使用,从而使管理员能够增强安全性。
默认值:
在域控制器上为24。
在独立服务器上为0。
注意
默认情况下,成员计算机遵循它们的域控制器的配置。
要维持密码历史记录的有效性,则在通过启用密码最短使用期限安全策略设置更改密码之后,不允许立即更改密码。有关密码最短使用期限安全策略设置的相关信息,请参阅密码最短使用期限。
配置此安全设置
可以通过打开适当的策略并按如下方式展开控制台树来配置此安全设置:计算机配置\Windows 设
置\安全设置\帐户策略\密码策略\
有关如何配置密码策略设置的具体说明,请参阅应用或修改密码策略。
详细信息,请参阅:
密码的密码最佳操作
密码策略
Security Configuration Manager Tools
应用或修改密码策略
对于本地计算机
打开“本地安全设置”。
单击控制台树中的“密码策略”。
位置
安全设置/帐户策略/密码策略
在详细信息窗格中,右键单击所需的策略设置,然后单击“属性”。
选择所需的选项,然后单击“确定”。
注意
To perform this procedure, you must be a member of the Administrators group on the local computer, o
r you must have been delegated the appropriate authority. If the computer is joined to a domain, members of the Domain Admins group might be able to perform this procedure. As a security best practice, consider using Run as to perform this procedure.
To open Local Security Policy, click Start, point to Settings, click Control Panel, double-click Administrative Tools, and then double-click Local Security Policy.
对于域,并且您位于已加入到域中的成员服务器或工作站
打开“Microsoft 管理控制台(MMC)”。
在“文件”菜单上,单击“添加/删除管理单元”,然后单击“添加”。
单击“组策略对象编辑器”,然后单击“添加”。
单击“选择组策略对象”中的“浏览”。
在“浏览组策略对象”中,选择合适的域、站点或组织单位中的组策略对象(GPO)(或者新建一个),单击“确定”,然后单击“完成”。
单击“关闭”,然后单击“确定”。
单击控制台树中的“密码策略”。
位置
组策略对象[计算机名] 策略/计算机配置/Windows 设置/安全设置/帐户策略/密码策略
在详细信息窗格中,右键单击所需的策略设置,然后单击“属性”。
如果是首次定义该策略设置,请选中“定义此策略设置”复选框。
选择所需的选项,然后单击“确定”。
windowsserver能日常用吗注意
To perform this procedure, you must be a member of the Domain Admins group or the Enterprise Admins group in Active Directory, or you must have been delegated the appropriate authority. As a security best practice, consider using Run as to perform this procedure. For more information, see Default local groups, Default groups, and Using Run as.
To open Microsoft Management Console, click Start, click Run, type mmc, and then click OK.
对于域,并且您位于域控制器,或已安装Windows Server 2003 管理工具包的工作站
打开“Active Directory 用户和计算机”。
右键单击控制台树中要设置组策略的域或组织单位。
单击“属性”,然后单击“组策略”选项卡。
单击“组策略对象链接”中的项目以选择现有的组策略对象(GPO),然后单击“编辑”。另外,可以单击“新建”创建新的GPO,然后单击“编辑”。
单击控制台树中的“密码策略”。
位置
组策略对象[计算机名] 策略/计算机配置/Windows 设置/安全设置/帐户策略/密码策略
在详细信息窗格中,右键单击所需的策略设置,然后单击“属性”。
如果是首次定义该策略设置,请选中“定义此策略设置”复选框。
选择所需的选项,然后单击“确定”。
注意
To perform this procedure, you must be a member of the Domain Admins group or the Enterprise Admins group in Active Directory, or you must have been delegated the appropriate authority. As a security best practice, consider using Run as to perform this procedure. For more information, see Default local groups, Default groups, and Using Run as.
To open Active Directory Users and Computers, click Start, click Control Panel, double-click Administrative Tools, and then double-click Active Directory Users and Computers.
注意
密码策略能够保证,所有用户创建的密码都符合管理员所设置的规则。有关每个密码策略设置的详细信息,请参阅“相关主题”中的“密码策略”。
有关功能差别的信息
Your server might function differently based on the version and edition of the operating system that is installed, your account permissions, and your menu settings. For more information, see Viewing Help on the Web.
用可还原的加密来存储密码
描述
该安全设置确定操作系统是否使用可还原的加密来存储密码。
如果应用程序使用了要求知道用户密码才能进行身份验证的协议,则该策略可对它提供支持。使用可还原的加密存储密码和存储明文版本密码在本质上是相同的。因此,除非应用程序有比保护密码信息更重要的要求,否则不必启用该策略。
当使用质询握手身份验证协议(CHAP) 通过远程访问或Internet 身份验证服务(IAS) 进行身份验证时,该策略是必需的。在Internet 信息服务(IIS) 中使用摘要式验证时也要求启用该策略。
默认:已禁用。
配置此安全设置
您可以通过打开相应策略并如下展开控制台树来配置此安全设置:计算机配置\Windows 设置\安全设置\帐户策略\密码策略\
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论