【51CTO.com快譯】對(duì)于任何企業(yè)來(lái)說(shuō)，密碼一直讓人左右犯難。用戶更喜歡使用易于記住和輸入的簡(jiǎn)單Windows密碼，而你希望那些密碼強(qiáng)大且復(fù)雜，以此保護(hù)用戶和公司。如果你在公司使用組策略，至少可以設(shè)置某些密碼策略以確保低級(jí)別的安全性。本文介紹了具體方法。(以下策略可適用于Windows 7、8.1和10客戶端。)

1. 打開(kāi)組策略編輯器。你最初可能想要在當(dāng)前計(jì)算機(jī)上進(jìn)行測(cè)試，為此使用本地組策略編輯器。然后，等為每個(gè)人創(chuàng)建和部署設(shè)置時(shí)可以轉(zhuǎn)而進(jìn)入到域的組策略控制臺(tái)。
2. 在搜索字段，輸入gpedit.msc。
3. 在本地組策略編輯器中，進(jìn)入到以下設(shè)置：“計(jì)算機(jī)配置”| Windows設(shè)置|安全設(shè)置|帳戶策略|密碼策略。你會(huì)找到可以設(shè)置的特定策略。下面詳細(xì)介紹每項(xiàng)策略。

實(shí)施密碼歷史記錄。該策略限制用戶創(chuàng)建已用過(guò)的密碼。目的是確保不會(huì)重復(fù)使用可能已泄露或被盜的任何之前的密碼。如果你啟用密碼歷史記錄，可以設(shè)置不能重復(fù)使用的特定數(shù)量的之前密碼，可在1到24之間任選一個(gè)(圖A)。

圖A

密碼最長(zhǎng)使用期限。該策略強(qiáng)制用戶在一段時(shí)間后通過(guò)密碼到期失效來(lái)定期更改密碼。默認(rèn)值為42天，但可以將其設(shè)置為1天(不建議!)到999天(圖B)。

圖B

雖然密碼到期失效策略是許多企業(yè)使用的策略，但你應(yīng)慎重采用。請(qǐng)記住，你的用戶不喜歡密碼，強(qiáng)迫他們每隔幾個(gè)月創(chuàng)建并記住新密碼是另一種可能不必要的負(fù)擔(dān)。連微軟也宣布反對(duì)該政策，聲稱想在定于5月底發(fā)布的Windows的下一個(gè)版本(具體是指Windows 10和Windows Server 1903)中刪除這項(xiàng)基準(zhǔn)設(shè)置。

正如微軟所說(shuō)，密碼到期失效的主要目的是確保無(wú)法再使用被盜或被黑的密碼。但如果密碼從未被盜過(guò)，為何強(qiáng)迫用戶更改密碼呢?如果你知道某個(gè)密碼被盜，可以立馬更改，而不是等它過(guò)期失效。你更應(yīng)把精力放在配置和啟用其他密碼策略上。

密碼最短使用期限。該策略可防止用戶在創(chuàng)建新密碼后過(guò)快更改密碼。在某些方面，這是密碼歷史記錄設(shè)置的后續(xù)措施。目的是阻止用戶循環(huán)使用所有舊密碼，除非找到策略允許的密碼。它還旨在挫敗這種黑客：可能獲得了現(xiàn)有密碼，然后重置成他們選擇的某個(gè)密碼。你可以對(duì)其進(jìn)行設(shè)置，以便在1天到998天后更改密碼(圖C)。

圖C

最小密碼長(zhǎng)度：該策略指定Windows密碼所需的最少字符數(shù)。你可以將長(zhǎng)度設(shè)置為1到20個(gè)字符(圖D)。密碼越長(zhǎng)，黑客就越難通過(guò)蠻力及其他方式猜中密碼。許多專家建議最小密碼長(zhǎng)度為12個(gè)字符，但在為用戶選擇合適的密碼長(zhǎng)度時(shí)，別忘了考慮其他密碼策略和方法。

圖D

密碼必須滿足復(fù)雜性要求。該策略決定了用戶密碼允許和所需的字符類型(圖E)。如果啟用，用戶密碼必須：

• 不包含用戶的帳戶名稱或用戶全名中超過(guò)兩個(gè)連續(xù)字符的部分。
• 長(zhǎng)度至少為六個(gè)字符。
• 包含以下四類中三類的字符：
• 英文大寫(xiě)字母(A到Z)
• 英文小寫(xiě)字母(a到z)
• 10個(gè)基本數(shù)(0到9)
• 非字母字符(比如!、$、#和%)

將該策略與最小密碼長(zhǎng)度一起設(shè)置時(shí)，應(yīng)力爭(zhēng)在安全性和易用性之間取得適當(dāng)?shù)钠胶狻?fù)雜的Windows密碼提供了更好的保護(hù)，但用戶可能被要求將它與他們可能在使用的所有其他密碼一起記住。如果你確實(shí)設(shè)置了最小密碼長(zhǎng)度和密碼復(fù)雜性，應(yīng)告訴用戶如何創(chuàng)建更容易記住和使用的安全密碼。

圖E

使用可逆加密來(lái)存儲(chǔ)密碼。該策略使用可逆加密來(lái)存儲(chǔ)強(qiáng)密碼，需要了解用戶密碼用于身份驗(yàn)證的應(yīng)用程序可能需要這個(gè)選項(xiàng)。然而，這使你的密碼更岌岌可危，因此除非絕對(duì)必要，否則應(yīng)讓該策略處于被禁用的狀態(tài)(圖F)。

圖F

這些是核心密碼策略，不過(guò)你可以在組策略中找到與密碼有關(guān)的其他設(shè)置，包括帳戶鎖定策略和本地策略下安全選項(xiàng)方面的設(shè)置。

此外請(qǐng)記住，通過(guò)組策略提供的密碼策略作用有限。在介紹密碼過(guò)期失效策略的博文中，連微軟都承認(rèn)“我們必須重申，我們強(qiáng)烈建議采取另外的保護(hù)措施。”因此，你需要采取更先進(jìn)更復(fù)雜的方法來(lái)補(bǔ)充組策略設(shè)置，確保用戶密碼盡可能安全且受到保護(hù)。

原文標(biāo)題：How to manage your users' Windows passwords with Group Policy，作者：Lance Whitney

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】