自定义Windows7密码策略加固系统防线
你可能已经看到某些需要注册的网站必须输入匹配网站设定的标准集的密码(例如一个至少8个字符的密码,还要包括小写和小写字符等等)。你也在Windows 7实现这个功能,Windows 7的专业版和旗舰版用户可以通过本地安全策略来达到目的,而其他版本的Windows 7用户则需要通过提升权限的命令行参数来完成了。
使用本地安全策略
在开始菜单的搜索框输入"secpol.msc"命令即可启动本地安全策略编辑器。在本地安全策略编辑器左侧选择“账户策略→密码策略”项目。现在右侧可以看到列出的所有的Win7的密码策略条目了(如图1)。
本地安全策略窗口可以设置密码策略
以下是每个列出的密码策略的详细介绍:
密码必须符合复杂性要求。
此安全设置确定密码是否必须符合复杂性要求。
如果启用此策略,密码必须符合下列最低要求:
不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分
至少有六个字符长
包含以下四类字符中的三类字符:
英文大写字母(A 到 Z)
英文小写字母(a 到 z)
10 个基本数字(0 到 9)
非字母字符(例如 !、$、#、%)
在更改或创建密码时执行复杂性要求。
最短密码长度
此安全设置确定用户帐户密码包含的最少字符数。可以将值设置为介于 1 和 14 个字符之间,或者将字符数设置为 0 以确定不需要密码。
密码最短使用期限
此安全设置确定在用户更改某个密码之前必须使用该密码一段时间(以天为单位)。可以设置一个介于 1 和 998 天之间的值,或者将天数设置为 0,允许立即更改密码。
密码最短使用期限必须小于密码最长使用期限,除非将密码最长使用期限设置为 0,指明密码永不过期。如果将密码最长使用期限设置为 0,则可以将密码最短使用期限设置为介于 0 和 998 之间的任何值。
如果希望“强制密码历史”有效,则需要将密码最短使用期限设置为大于 0 的值。如果没有设置密码最短使用期限,用户则可以循环选择密码,直到获得期望的旧密码。默认设置没有遵从此建议,以便管理员能够为用户指定密码,然后要求用户在登录时更改管理员定义的密码。如果将密码历史设置为 0,用户将不必选择新密码。因此,默认情况下将“强制密码历史”设置为 1。
密码最长使用期限
此安全设置确定在系统要求用户更改某个密码之前可以使用该密码的期间(以天为单位)。可以将密码设置为在某些天数(介于 1 到 999 之间)后到期,或者将天数设置为 0,指定密码永不过期。如果密码最长使用期限介于 1 和 999 天之间,密码最短使用期限必须小于密码最长使用期限。如果将密码最长使用期限设置为 0,则可以将密码最短使用期限设置为介于 0 和 998 天之间的任何值。
注意: 安全最佳操作是将密码设置为 30 到 90 天后过期,具体取决于您的环境。这样,攻击者用来破解用户密码以及访问网络资源的时间将受到限制。
强制密码历史
此安全设置确定再次使用某个旧密码之前必须与某个用户帐户关联的唯一新密码数。该值必须介于 0 个和 24 个密码之间。
此策略使管理员能够通过确保旧密码不被连续重新使用来增强安全性。
用可还原的加密来储存密码
此安全设置确定操作系统是否使用可还原的加密来储存密码。
此策略为某些应用程序提供支持,这些应用程序使用的协议需要用户密码来进行身份验证。使用可还原的加密储存密码与储存纯文本密码在本质上是相同的。因此,除非应用程序需求比保护密码信息更重要,否则绝不要启用此策略。