首頁 > 資訊安全指導中心

企業強制執行強性密碼

更新日期:
本頁內容
簡介簡介
開始之前開始之前
實行密碼原則設定逐步教學實行密碼原則設定逐步教學
相關資訊相關資訊

簡介

大多數使用者在登入本機電腦及遠端電腦時,使用鍵盤鍵入使用者名稱及密碼組合。雖然有其他驗證替代技術可供大眾化作業系統使用,例如指紋辨識、智慧卡、動態性密碼,大多數企業仍依賴傳統密碼,未來幾年也會持續使用。因此,企業的當務之急是定義並實施電腦的密碼原則,包括授權使用強性密碼。符合數種複雜性需求,包括長度及字元類別的強性密碼,可以增加攻擊者在破解密碼上的難度。建立企業的強性密碼原則,可以協助防止攻擊者假扮成一般使用者,從而進一步協助避免敏感性資訊的遺失、曝露或毀損。本文件會說明在執行 Microsoft® Windows® 2000、Windows XP 及 Windows Server™ 2003 作業系統的電腦上,如何實行強性密碼原則。

實行強性密碼原則時,根據電腦在企業中的角色是 Active Directory 網域成員、獨立電腦,或兩者兼具,您需要執行下列其中一項或全部工作:

在 Active Directory 網域中設定密碼原則設定。

在獨立電腦上設定密碼原則設定。

一旦完成適當的密碼原則設定之後,企業中的使用者就可以建立新密碼。但新密碼必須符合強性密碼的長度及複雜性需求,否則使用者不可以立即變更新密碼。

重要:本文件中所有逐步操作指示,是由「開始]」功能表展開,依預設,「開始」功能表會在作業系統安裝完成後出現。如果您曾經修改「開始」功能表,操作步驟可能會有些微不同。

回到頁首回到頁首

開始之前

在開始設定網路電腦的密碼原則之前,您必須識別設定的重要性、決定您要使用的設定值,並瞭解 Windows 如何儲存密碼原則設定資訊。

注意:Windows 95、Windows 98 及 Windows Millennium Edition 等作業系統,不支援像是密碼原則這類的進階安全性功能。如果網路中的獨立電腦 (不屬於網域) 執行這些作業系統,就無法在這些電腦上實施密碼原則。如果網路中執行這些作業系統的電腦,是 Active Directory® 目錄服務網域的成員,您就可以實施網域層密碼原則。

識別密碼原則的相關設定

針對 Windows 2000、Windows XP 及 Windows Server 2003,總共有五項與密碼特性相關的設定:強制執行密碼歷程記錄密碼最長有效期密碼最短有效期最小密碼長度,以及密碼必須符合複雜性需求

強制執行密碼歷程記錄 決定重複使用舊密碼前,使用者必須使用的唯一新密碼數目。這個設定的值可以是 0 到 24 之間的任何值;如果設定為 0,表示停用強制執行密碼歷程記錄。對於大多數企業來說,可以將這個值設定為 24 個密碼。

密碼最長有效期決定在要求使用者變更密碼之前,密碼可以使用的天數。這個設定的值介於 0 到 999 之間;如果設定為 0,表示密碼永遠有效。如果這個值設定太低,會讓使用者因為需要經常變更密碼而感到不便;如果這個值設定太高甚至停用,會讓潛在攻擊者有破解密碼的充裕時間。對大多數位企業來說,可以將這個值設定為 42 天。

密碼最短有效期決定使用者變更密碼之前,密碼必須使用的天數。這個設定是設計用來與 [強制執行密碼歷程記錄] 設定搭配使用,以防止使用者立即重設密碼所需數目,然後變更回舊密碼。這個設定的值介於 0 到 999 之間;如果設定為 0,表示使用者可以立即變更新密碼。建議您將這個值設定為 2 天。

最小密碼長度決定密碼的最少字元數。雖然 Windows 2000、Windows XP 及 Windows Server 2003 支援最多 28 個字元的密碼,這個設定的值只能介於 0 到 14 個字元。如果設定為 0,表示使用者不需要使用密碼,因此您不應該將這個值設定為 0。建議您將這個值設定為 8 個字元。

密碼必須符合複雜性需求 決定密碼是否必須符合複雜性需求。如果啟用這個設定,使用者密碼必須符合下列需求:

密碼長度至少為 6 個字元。

組成密碼的字元必須包含下列五種類別中的三種:

英文大寫字元 (A - Z)

英文小寫字元 (a - z)

10 個基本數字 (0 - 9)

非英數字元 (例如:!、$、#、%)

Unicode 字元

密碼不能包含與使用者帳戶名稱三個或以上的相同字元。

如果帳戶名稱長度少於三個字元,則不會執行此項檢查,因為密碼被拒絕的機率太高。在檢查使用者的完整名稱時,有些字元會被當作是將名稱分離為單獨標記的分隔符號:逗號、句號、破折號/連字號、底線符號、空格符號、井字符號,以及定位點符號。如果密碼變更遭到拒絕,就會搜尋密碼中的標記,每個標記的長度是三或四個字元。例如,Erin M. Hagens 這個名稱會劃分為三個標記:Erin、M、Hagens。因為第二個標記只有一個字元長度,所以會忽略它。因此,這位使用者的密碼,不可以在任何位置包含 erin 或 hagens 的子字串。這些檢查不區分大小寫。

變更密碼或建立新密碼時,會強制執行這些複雜性需求。建議您啟用這項設定。

瞭解 Windows 作業系統如何儲存密碼原則設定資訊

在企業中實行密碼原則之前,您必須瞭解 Windows 2000、Windows XP 及 Windows Server 2003 如何儲存密碼原則設定資訊。因為儲存密碼原則的機制,會限制您可實行不同密碼原則的數目,並影響您使用密碼原則設定的方法。

每個帳戶資料庫可以只使用單一密碼原則。可以將 Active Directory 網域視為單一帳戶資料庫,就像獨立電腦上的本機帳戶資料庫。網域成員電腦也可以擁有本機帳戶資料庫,但大多數已部署 Active Directory 網域的企業,會要求使用者使用網域帳戶來登入電腦及網路。因此,如果您指定網域的最小密碼長度是 14 個字元,則網域中所有使用者在建立新密碼時,必須使用 14 個或 14 個以上字元的密碼。如果要為特定使用者群組建立不同的密碼需求,您必須為它們的帳戶建立新的網域。

Active Directory 網域使用「群組原則物件 (GPO)」來儲存各種不同的設定資訊,包括密碼原則設定。雖然 Active Directory 是階層式目錄服務,可以支援多重層級的組織單位 (OU) 及多個 GPO,但網域的密碼原則設定必須在網域的根容器中定義。在新的 Active Directory 網域建立第一個網域控制站時,會自動建立兩個 GPO:「預設網域原則 GPO」及「預設網域控制站原則 GPO」。預設網域原則會連結到根容器。它包含一些適用整個網域的設定,例如預設密碼原則設定。預設網域控制站原則會連結到網域控制站 OU,並且包含網域控制站的初始安全性設定。

這是避免修改內建 GPO 的最佳實務,如果您需要使用與預設設定不同的密碼原則設定,您應該建立新的 GPO,並將它連結到網域的根容器或網域控制站 OU,然後指派高於內建 GPO 的優先順序:如果兩個互相衝突的 GPO 連結到同一個容器,則具有較高優先順序的 GPO 會取得優先權。

回到頁首回到頁首

實行密碼原則設定逐步教學

本節提供下列逐步操作指示,透過在企業電腦上實行密碼原則設定來加強安全性。

在 Active Directory 網域中設定密碼原則設定。

在獨立電腦上設定密碼原則設定。

在 Active Directory 網域中設定密碼原則設定

需求

認證:您必須以 Domain Admins 群組成員登入。

工具:Active Directory 使用者及電腦。

若要在隸屬 Active Directory 網域的電腦系統上實行密碼原則

1.

依序按一下 [開始]、[控制台],按兩下 [系統管理工具],然後按兩下 [Active Directory 使用者及電腦]。

2.

在網域的根容器上按一下滑鼠右鍵:
Active Directory 使用者及電腦

注意: 本文件中的螢幕擷取畫面取自於測試環境,因此顯示的資訊可能與您螢幕上實際顯示的資訊會有些微不同。

3.

選取功能表上的 [內容]:
Active Directory 使用者及電腦

4.

在網域的內容對話方塊中,按一下 [群組原則] 索引標籤,然後按一下 [新增],在根容器中建立新的群組原則物件。鍵入「網域原則」作為新原則的名稱,然後按一下 [關閉]。

注意: Microsoft 建議您建立新的群組原則物件,而不要編輯名為「預設網域原則」的內建群組原則物件,因為在發生嚴重的安全性設定問題時,可以容易地復原。如果新的安全性設定發生問題,您可以暫時停用新的群組原則物件,直到您隔離發生問題的設定。

5.

在網域的根容器上按一下滑鼠右鍵,然後按一下 [內容]。

6.

在內容對話方塊中,按一下 [群組原則] 索引標籤,然後選取 [網域原則]。

7.

按一下 [上移],將新的群組原則物件移動到清單的頂端,然後按一下 [編輯],開啟「群組原則物件編輯器」來編輯您剛才建立的群組原則物件。

8.

在 [電腦設定] 之下,瀏覽到 Windows 設定\安全性設定\帳戶原則\密碼原則資料夾。
群組原則物件編輯器

9.

在詳細資料窗格中,按兩下 [強制執行密碼歷程記錄],選取 [定義這個原則設定] 核取方塊,將 [密碼記錄的保留期] 的值設定為 24,然後按一下 [確定]。
強制執行密碼歷程記錄內容

10.

在詳細資料窗格中,按兩下 [密碼最長有效期],選取 [定義這個原則設定] 核取方塊,將 [密碼過期日] 的值設定為 42,按一下 [確定],然後按一下 [確定] 關閉出現的 [建議的值變更] 視窗。
密碼最長有效期內容

11.

在詳細資料窗格中,按兩下 [密碼最短有效期],選取 [定義這個原則設定] 核取方塊,將 [允許密碼變更於] 的值設定為 2,然後按一下 [確定]。
密碼最短有效期內容

12.

在詳細資料窗格中,按兩下 [最小密碼長度],選取 [定義這個原則設定] 核取方塊,將 [密碼最少必須是] 的值設定為 8,然後按一下 [確定]。
最小密碼長度內容

13.

在詳細資料窗格中,按兩下 [密碼必須符合複雜性需求],選取 [定義範本內的這個原則設定] 核取方塊,選取 [啟用],然後按一下 [確定]。
密碼必須符合複雜性需求內容

14.

關閉「群組原則物件編輯器」,按一下 [確定],關閉網域內容對話方塊,然後結束 [Active Directory 使用者及電腦]。

驗證新設定

使用下列程序來驗證適當的密碼原則,已在網域原則 GPO 中使用並且生效。驗證設定及設定的作業,以確保網域中的所有使用者都使用正確的密碼原則。

需求

認證:您必須以 Domain Admins 群組成員登入。

工具:Active Directory 使用者及電腦。

若要驗證 Active Directory 網域的密碼原則設定

1.

開啟 [Active Directory 使用者及電腦],在網域上按一下滑鼠右鍵,然後按一下 [內容]。

2.

在網域的內容對話方塊中,按一下 [群組原則] 索引標籤,選取 [網域原則] 群組原則物件,然後按一下 [編輯],開啟「群組原則物件編輯器」。

3.

在 [電腦設定] 之下,前往 Windows 設定\安全性設定\帳戶原則\密碼原則資料夾,然後確認您的設定與下列顯示的相符:
群組原則物件編輯器

4.

關閉「群組原則物件編輯器」,按一下 [確定],關閉網域的內容對話方塊,然後結束 [Active Directory 使用者及電腦]。

5.

驗證使用者無法指定少於 8 個字元的密碼、無法建立非複雜性密碼,以及無法立即變更他們的新密碼。

在獨立電腦上設定密碼原則設定

認證:您必須以 Administrators 群組成員登入。

工具:本機安全性原則。

若要在不屬於 Active Directory 網域的電腦系統上實行密碼原則

1.

依序按一下 [開始]、[控制台],按兩下 [系統管理工具],然後按兩下 [本機安全性原則]。

2.

瀏覽到帳戶原則\密碼原則資料夾。

3.

在詳細資料窗格中,按兩下 [強制執行密碼歷程記錄],將 [密碼記錄的保留期] 的值設定為 24,然後按一下 [確定]。

4.

在詳細資料窗格中,按兩下 [密碼最長有效期],將 [密碼過期日] 的值設定為 42,然後按一下 [確定]。

5.

在詳細資料窗格中,按兩下 [密碼最短有效期],將 [允許密碼變更於] 的值設定為 2,然後按一下 [確定]。

6.

在詳細資料窗格中,按兩下 [最小密碼長度],將 [密碼最少必須是] 的值設定為 8,然後按一下 [確定]。

7.

在詳細資料窗格中,按兩下 [密碼必須符合複雜性需求],選取 [啟用],然後按一下 [確定]。

8.

關閉 [本機安全性原則]。

驗證新設定

使用下列程序來驗證適當的密碼原則,已在企業中的獨立電腦上設定並且生效。驗證設定及設定的作業,以確保這些電腦都使用正確的密碼原則。

需求

認證:您必須以 Administrators 群組成員登入。

工具:本機安全性原則。

若要驗證不屬於 Active Directory 網域的電腦系統的密碼原則

1.

開啟 [本機安全性原則],瀏覽到帳戶原則\密碼原則資料夾,然後確認您的設定與下列顯示的相符:
群組原則物件編輯器

2.

關閉 [本機安全性原則]。

3.

驗證使用者無法指定少於 8 個字元的密碼、無法建立非複雜性密碼,以及無法立即變更他們的新密碼。

回到頁首回到頁首

相關資訊

如需關於 Windows 中密碼原則及密碼相關功能的詳細資訊,請參閱:

TechNet 網站上的《Account Passwords and Policies (英文)》,網址是 http://go.microsoft.com/fwlink/?LinkId=22208


回到頁首回到頁首