2023年11月27日发(作者:)

2008R2密码策略

强制密码历史

描述

重新使用旧密码之前,该安全设置确定与某个用户帐户相关的唯一新密码的数量。该值必须为 0

24 之间的一个数值。

该策略通过确保旧密码不能继续使用,从而使管理员能够增强安全性。

默认值:

在域控制器上为 24

在独立服务器上为 0

注意

默认情况下,成员计算机遵循它们的域控制器的配置。

要维持密码历史记录的有效性,则在通过启用密码最短使用期限安全策略设置更改密码之后,不允

许立即更改密码。有关密码最短使用期限安全策略设置的相关信息,请参阅密码最短使用期限。

配置此安全设置

密码最短使用期限

描述

该安全策略设置确定用户可以更改密码之前必须使用该密码的时间(单位为天)。可以设置 1

998 天之间的某个值,或者通过将天数设置为 0,允许立即更改密码。

密码最短使用期限必须小于密码最长使用期限,除非密码最长使用期限设置为 0(表明密码永不过

期)。如果密码最长使用期限设置为 0,那么密码最短使用期限可设置为 0 998 天之间的任意

值。

如果希望强制密码历史有效,请将密码最短有效期限配置为大于 0。如果没有密码最短有效期限,

则用户可以重复循环通过密码,直到获得喜欢的旧密码。默认设置不遵从这种推荐方法,因此管理

员可以为用户指定密码,然后要求当用户登录时更改管理员定义的密码。如果将该密码的历史记录

设置为 0,则用户不必选择新密码。因此,默认情况下将密码历史记录设置为 1

默认值:

在域控制器上为 1

在独立服务器上为 0

注意

默认情况下,成员计算机遵循它们的域控制器的配置。

配置此安全设置

可通过打开相应的策略并按以下方式展开控制台树来配置该安全设置:计算机配置Windows 设置

安全设置帐户策略密码策略

密码最长使用期限

描述

该安全设置确定系统要求用户更改密码之前可以使用该密码的时间(单位为天)。可将密码的过期

天数设置在 1 999 天之间,或将天数设置为 0,可指定密码永不过期。如果密码最长使用期限

1 999 天之间,那么密码最短使用期限必须小于密码最长使用期限。如果密码最长使用期限

设置为 0,则密码最短使用期限可以是 1 998 天之间的任何值。

注意

使密码每隔 30 90 天过期一次是一种安全最佳操作,这取决于您的环境。通过这种方式,攻击

者只能够在有限的时间内破解用户密码并访问您的网络资源。

默认值: 42.

配置此安全设置

通过打开相应的策略并按照以下层次展开控制台树,可以配置此安全设置:计算机配置Windows

安全设置帐户策略密码策略

定义密码策略,用强密码保护所有用户帐户。

定义“强制密码历史”策略设置可以使系统记住几个以前用过的密码。使用该策略设置,当密码到

期时,用户将无法重复使用以前用过的密码。

定义“密码最长使用期限”策略设置可以使您环境中密码的到期时间尽可能短,通常的间隔是 30

90 天。使用该策略设置,即使攻击者破解了密码,也只能在密码到期之前访问网络。

定义“密码最短使用期限”策略设置可以使密码在指定的天数内无法更改。该策略设置可以与“强

制密码历史”策略设置结合使用。如果定义了密码最短使用期限,用户便无法通过频繁更改密码的

方法避开“强制密码历史”策略设置而使用其原来的密码。用户只有在等待指定的天数之后才可以

更改密码。

定义“密码长度最小值”策略设置可以使密码必须至少包含指定个数的字符。七位以上的长密码通

常比短密码具有更强的安全性。使用该策略设置,用户便无法使用空密码,他们必须创建指定字符

长度的密码。

启用“密码必须符合复杂性要求”策略设置。该策略设置将会检查所有新密码,确保其符合基本的

强密码要求。有关这些要求的完整列表,请参阅密码必须符合复杂性要求。

关于如何应用或修改这些策略设置的信息,请参阅应用或修改密码策略。有关各项策略设置的信息,

请参阅密码策略。

谨慎定义帐户锁定策略。

不要随意使用帐户锁定策略。在使用帐户锁定策略对非法攻击企业加强防范的同时,也可能在不经

意间锁定合法用户,这可能会使企业付出很大代价。

如果决定采用帐户锁定策略,应设置足够高的“帐户锁定阈值”策略设置,以便使合法用户不至于

仅因敲错了密码而被锁定帐户。

如果合法用户在一台计算机上更改了密码,但没有同时更改另一台计算机上的密码,这时合法用户

将被锁定。仍旧使用原来密码的计算机会不断使用错误的密码对用户进行身份验证,并最终导致用

户帐户锁定。这可能成为因定义帐户锁定策略而付出的高昂代价,因为合法用户在其帐户得到恢复

前无法访问网络资源。对于只使用运行 Windows Server 2003 家族操作系统的域控制器的组织,则

不存在此问题。

有关帐户锁定策略的详细信息,请参阅帐户锁定策略概述。有关如何应用或修改帐户锁定策略的信

息,请参阅应用或修改帐户锁定策略。

描述

重新使用旧密码之前,该安全设置确定与某个用户帐户相关的唯一新密码的数量。该值必须为 0

24 之间的一个数值。

该策略通过确保旧密码不能继续使用,从而使管理员能够增强安全性。

默认值:

在域控制器上为 24

在独立服务器上为 0

注意

默认情况下,成员计算机遵循它们的域控制器的配置。

要维持密码历史记录的有效性,则在通过启用密码最短使用期限安全策略设置更改密码之后,不允

许立即更改密码。有关密码最短使用期限安全策略设置的相关信息,请参阅密码最短使用期限。

配置此安全设置

可以通过打开适当的策略并按如下方式展开控制台树来配置此安全设置:计算机配置Windows

安全设置帐户策略密码策略

有关如何配置密码策略设置的具体说明,请参阅应用或修改密码策略。

详细信息,请参阅:

密码的密码最佳操作

密码策略

Security Configuration Manager Tools

应用或修改密码策略

对于本地计算机

打开“本地安全设置”

单击控制台树中的“密码策略”

位置

安全设置/帐户策略/密码策略

在详细信息窗格中,右键单击所需的策略设置,然后单击“属性”

选择所需的选项,然后单击“确定”

注意

To perform this procedure, you must be a member of the Administrators group on the local computer, or

you must have been delegated the appropriate authority. If the computer is joined to a domain, members of

the Domain Admins group might be able to perform this procedure. As a security best practice, consider

using Run as to perform this procedure.

To open Local Security Policy, click Start, point to Settings, click Control Panel, double-click

Administrative Tools, and then double-click Local Security Policy.

对于域,并且您位于已加入到域中的成员服务器或工作站

打开“Microsoft 管理控制台 (MMC)

在“文件”菜单上,单击“添加/删除管理单元”,然后单击“添加”

单击“组策略对象编辑器”,然后单击“添加”

单击“选择组策略对象”中的“浏览”

“浏览组策略对象”中,选择合适的域、站点或组织单位中的组策略对象 (GPO)或者新建一个)

单击“确定”,然后单击“完成”

单击“关闭”,然后单击“确定”

单击控制台树中的“密码策略”

位置

组策略对象 [计算机名] 策略/计算机配置/Windows 设置/安全设置/帐户策略/密码策略

在详细信息窗格中,右键单击所需的策略设置,然后单击“属性”

如果是首次定义该策略设置,请选中“定义此策略设置”复选框。

选择所需的选项,然后单击“确定”

注意

To perform this procedure, you must be a member of the Domain Admins group or the Enterprise Admins

group in Active Directory, or you must have been delegated the appropriate authority. As a security best

practice, consider using Run as to perform this procedure. For more information, see Default local groups,

Default groups, and Using Run as.

To open Microsoft Management Console, click Start, click Run, type mmc, and then click OK.

对于域,并且您位于域控制器,或已安装 Windows Server 2003 管理工具包的工作站

打开“Active Directory 用户和计算机”

右键单击控制台树中要设置组策略的域或组织单位。

单击“属性”,然后单击“组策略”选项卡。

单击“组策略对象链接”中的项目以选择现有的组策略对象 (GPO),然后单击“编辑”。另外,可

以单击“新建”创建新的 GPO,然后单击“编辑”

单击控制台树中的“密码策略”

位置

组策略对象 [计算机名] 策略/计算机配置/Windows 设置/安全设置/帐户策略/密码策略

在详细信息窗格中,右键单击所需的策略设置,然后单击“属性”

如果是首次定义该策略设置,请选中“定义此策略设置”复选框。

选择所需的选项,然后单击“确定”

注意

To perform this procedure, you must be a member of the Domain Admins group or the Enterprise Admins

group in Active Directory, or you must have been delegated the appropriate authority. As a security best

practice, consider using Run as to perform this procedure. For more information, see Default local groups,

Default groups, and Using Run as.

To open Active Directory Users and Computers, click Start, click Control Panel, double-click

Administrative Tools, and then double-click Active Directory Users and Computers.

注意

密码策略能够保证,所有用户创建的密码都符合管理员所设置的规则。有关每个密码策略设置的详

细信息,请参阅“相关主题”中的“密码策略”

有关功能差别的信息

Your server might function differently based on the version and edition of the operating system that is

installed, your account permissions, and your menu settings. For more information, see Viewing Help on

the Web.

用可还原的加密来存储密码

描述

该安全设置确定操作系统是否使用可还原的加密来存储密码。

如果应用程序使用了要求知道用户密码才能进行身份验证的协议,则该策略可对它提供支持。使用

可还原的加密存储密码和存储明文版本密码在本质上是相同的。因此,除非应用程序有比保护密码

信息更重要的要求,否则不必启用该策略。

当使用质询握手身份验证协议 (CHAP) 通过远程访问或 Internet 身份验证服务(IAS) 进行身份验

证时,该策略是必需的。在 Internet 信息服务 (IIS) 中使用摘要式验证时也要求启用该策略。

默认:已禁用。

配置此安全设置

您可以通过打开相应策略并如下展开控制台树来配置此安全设置:计算机配置Windows 设置安全

设置帐户策略密码策略