【.com速译】对于任何企业来说,密码一直是个难题。用户更喜欢易于记忆和输入的简单Windows密码,但您希望这些密码安全且复杂,以保护用户和您的公司。如果您在公司中使用组策略,您至少可以设置一些密码策略以实现低级别的安全性。本文介绍如何。(以下策略适用于Windows7、8.1和10客户端。)打开组策略编辑器。您最初可能想在当前计算机上进行测试,为此使用本地组策略编辑器。然后,您可以在为每个人创建和部署设置时转向域的组策略控制台。在搜索字段中,输入gpedit.msc。在本地组策略编辑器中,转到以下设置:“计算机配置”|Windows设置|安全设置|账户政策|密码政策。您会找到可以设置的特定策略。下面详细描述了每种策略。实施密码历史记录。此策略限制用户创建已使用的密码。目的是确保不会重复使用任何可能已被泄露或被盗的先前密码。如果启用密码历史记录,则可以设置特定数量的以前不能重复使用的密码,从1到24(图A)。图A中密码的最长使用期限。该策略强制用户通过密码过期一段时间后定期更改密码。默认为42天,但可以设置为1天(不推荐!)到999天(图B)。图B虽然密码过期策略是很多企业使用的策略,但还是要谨慎使用。请记住,您的用户不喜欢密码,并且强迫他们每隔几个月创建并记住新密码是另一个可能不必要的负担。甚至微软也宣布反对该政策,声称希望在计划于5月底发布的下一个Windows版本(具体是Windows10和WindowsServer1903)中移除这一基线设置。正如微软所说,密码过期的主要目的是确保无法再使用被盗或被黑的密码。但是,如果用户从未被盗过,为什么还要强制用户更改密码呢?如果您知道密码已被盗,您可以立即更改它,而不是等待它过期。相反,您应该专注于配置和启用其他密码策略。密码最低年龄。此策略可防止用户在创建新密码后过快地更改密码。在某些方面,这是密码历史设置的后续。目的是防止用户回收所有旧密码,除非找到策略允许的密码。它还旨在阻止可能获得现有密码然后将其重置为他们选择的密码的黑客。您可以将其设置为在1到998天后更改密码(图C)。图C最小密码长度:该策略指定Windows密码所需的最少字符数。您可以将长度设置为1到20个字符(图D)。密码越长,黑客就越难通过暴力破解等方式猜出。许多专家建议密码的最小长度为12个字符,但在为您的用户选择正确的密码长度时不要忘记考虑其他密码策略和方法。图D密码必须满足复杂性要求。该政策决定了用户密码中允许和需要的字符类型(图E)。如果启用,用户密码必须:包含不超过两个连续字符的用户帐户名或用户全名。长度至少为六个字符。包含来自以下四个类别中的三个类别的字符:英文大写字母(A到Z)英文小写字母(a到z)10个基本数字(0到9)非字母字符(例如!、$、#和%)将策略与最小密码长度一起设置时,应努力在安全性和易用性之间取得适当的平衡。复杂的Windows密码可提供更好的保护,但用户可能需要记住它以及他们可能使用的所有其他密码。如果您确实设置了最小密码长度和密码复杂性,请告诉用户如何创建更容易记住和使用的安全密码。图E使用可逆加密来存储密码。此策略使用可逆加密来存储强密码,这可能是需要知道用户密码以进行身份??验证的应用程序所需要的。但是,这会使您的密码面临更大的风险,因此除非绝对必要,否则请禁用此策略(图F)。图F这些是核心密码策略,但您可以在组策略中找到其他与密码相关的设置,包括本地策略下的帐户锁定策略和安全选项。另请记住,通过组策略提供的密码策略是有限的。在一篇介绍密码过期政策的博文中,就连微软也承认“我们必须重申,我们强烈建议采取额外的保护措施”。因此,您需要采取更高级、更复杂的方法来补充组策略设置,以确保用户密码尽可能安全。可能是安全和受保护的。原标题:Howtomanageyourusers'WindowspasswordswithGroupPolicy,作者:LanceWhitney
