在网络管理工作中,由于密码泄露而导致的安全性问题比较突出,***在***网络系统时也把破解管理员密码作为一个主要的***目标。下面我们通过组策略里的“账户策略”设置,来提高账户密码的安全级别。 

账户策略主要分为两个部分:密码策略和账户锁定策略。 

  

1. 密码策略

  

密码策略的设置项目如下图所示。 

Windows Server入门系列33 设置账户策略_第1张图片

对设置项目的说明: 

  • 密码必须符合复杂性要求。复杂性要求是指用户账户使用的密码长度至少为6位(最多127位),且必须是大写字母、小写字母、数字与符号4种字符中的任意3种以上的组合。启用此策略后,系统中所有用户账户使用的密码都必须要符合复杂性要求。

  • 密码长度最小值。该设置用于确定用户密码的最少位数,设置范围0~14。注意,如果同时启用了密码复杂性要求,并设置了密码长度最小值,则以其中最严格的要求为准。比如启用密码复杂性要求之后,又将密码长度最小值设为8,那么系统中所有用户的密码最小长度必须为8位。

  • 密码最长使用期限。指密码使用的最长时间,单位为天。设置范围0~999,默认设置为42天,到期之后,系统会提示用户更改密码。如果设置为0天,则代表密码永不过期。

  • 密码最短使用期限。指应用密码后,到再一次更改密码的最短时间,单位为天。设置范围0~998,默认值为0,表示可以随时更改密码。注意,密码最短使用期限必须小于密码最长使用期限,除非密码最长使用期限设置为0(表明密码永不过期),那么密码最短使用期限可以设置为0到998天之间的任意值。

  • 强制密码历史。指多少个最近使用过的密码不允许再使用,设置范围在0~24之间。比如将强制密码历史设置为3,那么在为用户设置密码时就不能使用之前3次曾使用过的密码。该项设置的默认值为0,代表可以随意使用过去曾用过的密码。

  • 用可还原的加密来存储密码。此策略一般不必启用。

 

下面是为用户设置安全密码推荐的操作: 

  • 密码长度最小7个字符,而且包括大小写字母、数字及特殊符号。 

  • 密码中不要包括用户的账户名、姓名或公司以及部门的名称。 

  • 密码不使用完整的单词或词组,但可以是一些不规则的组合。 

  • 定期更换密码。 

  • 与过去使用的密码尽量不同。 

 

2. 账户锁定策略

账户锁定策略是指当用户输入错误密码的次数达到一个设定值时,就将此账户锁定。锁定的账户不能再登录,只有等超过指定时间自动解除锁定或由管理员手动解除锁定。注意,账户锁定策略对管理员账户administrator无效。 

账户锁定策略包括下面3个设置 

Windows Server入门系列33 设置账户策略_第2张图片

  • 账户锁定阈值。指用户输入几次错误的密码后,将用户账户锁定。设置范围0~999之间,默认值为0,代表不锁定账户。

  • 账户锁定时间。指用户账户被锁定后,多少分钟后自动解锁。设置范围0分钟~99999分钟,0代表必须有管理员手动解锁。

  • 复位账户锁定计数器。指用户由于输入密码错误开始计数时,计数器保持的时间,当时间过后,计数器将复位为0。比如将锁定阈值设置为3,将锁定计数器设置为30分钟,则用户如果在30分钟之内连续输入3次错误的密码,就会将该账户锁定。但是如果用户输入3次错误密码之间的间隔时间超过了30分钟,则锁定计数器将复位,账户不会锁定。注意,锁定计数器的复位时间必须小于或等于账户锁定时间。