如何使用組策略管理用戶的Windows密碼？

作者：布加迪編譯 2019-05-05 08:00:00

你可以實施各種策略，確保用戶滿足Windows密碼方面的特定要求。不妨了解組策略中與密碼有關(guān)的一些設(shè)置。

【51CTO.com快譯】對于任何企業(yè)來說，密碼一直讓人左右犯難。用戶更喜歡使用易于記住和輸入的簡單Windows密碼，而你希望那些密碼強大且復(fù)雜，以此保護用戶和公司。如果你在公司使用組策略，至少可以設(shè)置某些密碼策略以確保低級別的安全性。本文介紹了具體方法。(以下策略可適用于Windows 7、8.1和10客戶端。)

打開組策略編輯器。你最初可能想要在當前計算機上進行測試，為此使用本地組策略編輯器。然后，等為每個人創(chuàng)建和部署設(shè)置時可以轉(zhuǎn)而進入到域的組策略控制臺。
在搜索字段，輸入gpedit.msc。
在本地組策略編輯器中，進入到以下設(shè)置：“計算機配置”| Windows設(shè)置|安全設(shè)置|帳戶策略|密碼策略。你會找到可以設(shè)置的特定策略。下面詳細介紹每項策略。

實施密碼歷史記錄。該策略限制用戶創(chuàng)建已用過的密碼。目的是確保不會重復(fù)使用可能已泄露或被盜的任何之前的密碼。如果你啟用密碼歷史記錄，可以設(shè)置不能重復(fù)使用的特定數(shù)量的之前密碼，可在1到24之間任選一個(圖A)。

圖A

密碼最長使用期限。該策略強制用戶在一段時間后通過密碼到期失效來定期更改密碼。默認值為42天，但可以將其設(shè)置為1天(不建議!)到999天(圖B)。

圖B

雖然密碼到期失效策略是許多企業(yè)使用的策略，但你應(yīng)慎重采用。請記住，你的用戶不喜歡密碼，強迫他們每隔幾個月創(chuàng)建并記住新密碼是另一種可能不必要的負擔。連微軟也宣布反對該政策，聲稱想在定于5月底發(fā)布的Windows的下一個版本(具體是指Windows 10和Windows Server 1903)中刪除這項基準設(shè)置。

正如微軟所說，密碼到期失效的主要目的是確保無法再使用被盜或被黑的密碼。但如果密碼從未被盜過，為何強迫用戶更改密碼呢?如果你知道某個密碼被盜，可以立馬更改，而不是等它過期失效。你更應(yīng)把精力放在配置和啟用其他密碼策略上。

密碼最短使用期限。該策略可防止用戶在創(chuàng)建新密碼后過快更改密碼。在某些方面，這是密碼歷史記錄設(shè)置的后續(xù)措施。目的是阻止用戶循環(huán)使用所有舊密碼，除非找到策略允許的密碼。它還旨在挫敗這種黑客：可能獲得了現(xiàn)有密碼，然后重置成他們選擇的某個密碼。你可以對其進行設(shè)置，以便在1天到998天后更改密碼(圖C)。

圖C

最小密碼長度：該策略指定Windows密碼所需的最少字符數(shù)。你可以將長度設(shè)置為1到20個字符(圖D)。密碼越長，黑客就越難通過蠻力及其他方式猜中密碼。許多專家建議最小密碼長度為12個字符，但在為用戶選擇合適的密碼長度時，別忘了考慮其他密碼策略和方法。

圖D

密碼必須滿足復(fù)雜性要求。該策略決定了用戶密碼允許和所需的字符類型(圖E)。如果啟用，用戶密碼必須：

不包含用戶的帳戶名稱或用戶全名中超過兩個連續(xù)字符的部分。
長度至少為六個字符。
包含以下四類中三類的字符：
英文大寫字母(A到Z)
英文小寫字母(a到z)
10個基本數(shù)(0到9)
非字母字符(比如!、$、#和%)

將該策略與最小密碼長度一起設(shè)置時，應(yīng)力爭在安全性和易用性之間取得適當?shù)钠胶狻?fù)雜的Windows密碼提供了更好的保護，但用戶可能被要求將它與他們可能在使用的所有其他密碼一起記住。如果你確實設(shè)置了最小密碼長度和密碼復(fù)雜性，應(yīng)告訴用戶如何創(chuàng)建更容易記住和使用的安全密碼。