在整個組織強制執行強性密碼

Overview

發佈日期: 2003 年 5 月 22 日 | 更新日期: 2006 年 4 月 13 日

本頁內容

簡介
開始之前
實行密碼原則設定逐步教學
相關資訊

簡介

大多數使用者在登入本機電腦及遠端電腦時，使用鍵盤鍵入使用者名稱及密碼組合。雖然有其他驗證替代技術可供大眾化作業系統使用，例如指紋辨識、智慧卡、動態性密碼，大多數組織仍依賴傳統密碼，未來幾年也會持續使用。因此，組織的當務之急是定義並實施電腦的密碼原則，包括授權使用強性密碼。符合數種複雜性需求，包括長度及字元類別的強性密碼，可以增加攻擊者在破解密碼上的難度。建立組織的強性密碼原則，可以協助防止攻擊者假扮成一般使用者，從而進一步協助避免敏感性資訊的遺失、曝露或毀損。本文件會說明在執行 Microsoft® Windows® 2000、Windows XP 及 Windows Server™ 2003 作業系統的電腦上，如何實行強性密碼原則。

實行強性密碼原則時，根據電腦在組織中的角色是 Active Directory 網域成員、獨立電腦，或兩者兼具，您需要執行下列其中一項或全部工作：

• 在 Active Directory 網域中設定密碼原則設定。

• 在獨立電腦上設定密碼原則設定。

一旦完成適當的密碼原則設定之後，組織中的使用者就可以建立新密碼。但新密碼必須符合強性密碼的長度及複雜性需求，否則使用者不可以立即變更新密碼。

**重要：**本文件中所有逐步操作指示，是由「開始]」功能表展開，依預設，「開始」功能表會在作業系統安裝完成後出現。如果您曾經修改「開始」功能表，操作步驟可能會有些微不同。

回到頁首

開始之前

在開始設定網路電腦的密碼原則之前，您必須識別設定的重要性、決定您要使用的設定值，並瞭解 Windows 如何儲存密碼原則設定資訊。

**注意：**Windows 95、Windows 98 及 Windows Millennium Edition 等作業系統，不支援像是密碼原則這類的進階安全性功能。如果網路中的獨立電腦 (不屬於網域) 執行這些作業系統，就無法在這些電腦上實施密碼原則。如果網路中執行這些作業系統的電腦，是 Active Directory® 目錄服務網域的成員，您就可以實施網域層密碼原則。

識別密碼原則的相關設定

針對 Windows 2000、Windows XP 及 Windows Server 2003，總共有五項與密碼特性相關的設定：強制執行密碼歷程記錄、密碼最長有效期、密碼最短有效期、最小密碼長度，以及密碼必須符合複雜性需求。如需決定符合組識商務需求設定值的說明，請參閱《Security Guidance Kit (英文)》中的＜Selecting Secure Passwords＞。

• 強制執行密碼歷程記錄 決定重複使用舊密碼前，使用者必須使用的唯一新密碼數目。這個設定的值可以是 0 到 24 之間的任何值；如果設定為 0，表示停用強制執行密碼歷程記錄。對於大多數組織來說，可以將這個值設定為 24 個密碼。

• 密碼最長有效期決定在要求使用者變更密碼之前，密碼可以使用的天數。這個設定的值介於 0 到 999 之間；如果設定為 0，表示密碼永遠有效。如果這個值設定太低，會讓使用者因為需要經常變更密碼而感到不便；如果這個值設定太高甚至停用，會讓潛在攻擊者有破解密碼的充裕時間。對大多數位組織來說，可以將這個值設定為 42 天。

• 密碼最短有效期決定使用者變更密碼之前，密碼必須使用的天數。這個設定是設計用來與 [強制執行密碼歷程記錄] 設定搭配使用，以防止使用者立即重設密碼所需數目，然後變更回舊密碼。這個設定的值介於 0 到 999 之間；如果設定為 0，表示使用者可以立即變更新密碼。建議您將這個值設定為 2 天。

• 最小密碼長度決定密碼的最少字元數。雖然 Windows 2000、Windows XP 及 Windows Server 2003 支援最多 28 個字元的密碼，這個設定的值只能介於 0 到 14 個字元。如果設定為 0，表示使用者不需要使用密碼，因此您不應該將這個值設定為 0。建議您將這個值設定為 8 個字元。

• 密碼必須符合複雜性需求 決定密碼是否必須符合複雜性需求。如果啟用這個設定，使用者密碼必須符合下列需求：

  • 密碼長度至少為 6 個字元。

  • 組成密碼的字元必須包含下列五種類別中的三種：

    • 英文大寫字元 (A - Z)

    • 英文小寫字元 (a - z)

    • 10 個基本數字 (0 - 9)

    • 非英數字元 (例如：!、$、#、%)

    • Unicode 字元

  • 密碼不能包含與使用者帳戶名稱三個或以上的相同字元。

    如果帳戶名稱長度少於三個字元，則不會執行此項檢查，因為密碼被拒絕的機率太高。在檢查使用者的完整名稱時，有些字元會被當作是將名稱分離為單獨標記的分隔符號：逗號、句號、破折號/連字號、底線符號、空格符號、井字符號，以及定位點符號。如果密碼變更遭到拒絕，就會搜尋密碼中的標記，每個標記的長度是三或四個字元。例如，Erin M. Hagens 這個名稱會劃分為三個標記：Erin、M、Hagens。因為第二個標記只有一個字元長度，所以會忽略它。因此，這位使用者的密碼，不可以在任何位置包含 erin 或 hagens 的子字串。這些檢查不區分大小寫。

    變更密碼或建立新密碼時，會強制執行這些複雜性需求。建議您啟用這項設定。

瞭解 Windows 作業系統如何儲存密碼原則設定資訊

在組織中實行密碼原則之前，您必須瞭解 Windows 2000、Windows XP 及 Windows Server 2003 如何儲存密碼原則設定資訊。因為儲存密碼原則的機制，會限制您可實行不同密碼原則的數目，並影響您使用密碼原則設定的方法。

每個帳戶資料庫可以只使用單一密碼原則。可以將 Active Directory 網域視為單一帳戶資料庫，就像獨立電腦上的本機帳戶資料庫。網域成員電腦也可以擁有本機帳戶資料庫，但大多數已部署 Active Directory 網域的組織，會要求使用者使用網域帳戶來登入電腦及網路。因此，如果您指定網域的最小密碼長度是 14 個字元，則網域中所有使用者在建立新密碼時，必須使用 14 個或 14 個以上字元的密碼。如果要為特定使用者群組建立不同的密碼需求，您必須為它們的帳戶建立新的網域。

Active Directory 網域使用「群組原則物件 (GPO)」來儲存各種不同的設定資訊，包括密碼原則設定。雖然 Active Directory 是階層式目錄服務，可以支援多重層級的組織單位 (OU) 及多個 GPO，但網域的密碼原則設定必須在網域的根容器中定義。在新的 Active Directory 網域建立第一個網域控制站時，會自動建立兩個 GPO：「預設網域原則 GPO」及「預設網域控制站原則 GPO」。預設網域原則會連結到根容器。它包含一些適用整個網域的設定，例如預設密碼原則設定。預設網域控制站原則會連結到網域控制站 OU，並且包含網域控制站的初始安全性設定。

這是避免修改內建 GPO 的最佳實務，如果您需要使用與預設設定不同的密碼原則設定，您應該建立新的 GPO，並將它連結到網域的根容器或網域控制站 OU，然後指派高於內建 GPO 的優先順序：如果兩個互相衝突的 GPO 連結到同一個容器，則具有較高優先順序的 GPO 會取得優先權。

回到頁首

實行密碼原則設定逐步教學

本節提供下列逐步操作指示，透過在組織電腦上實行密碼原則設定來加強安全性。

• 在 Active Directory 網域中設定密碼原則設定。

• 在獨立電腦上設定密碼原則設定。

在 Active Directory 網域中設定密碼原則設定

需求

• 認證：您必須以 Domain Admins 群組成員登入。

• 工具：Active Directory 使用者及電腦。

• 若要在隸屬 Active Directory 網域的電腦系統上實行密碼原則

  1. 依序按一下 [開始]、[控制台]，按兩下 [系統管理工具]，然後按兩下 [Active Directory 使用者及電腦]。

  2. 在網域的根容器上按一下滑鼠右鍵：
     

     注意： 本文件中的螢幕擷取畫面取自於測試環境，因此顯示的資訊可能與您螢幕上實際顯示的資訊會有些微不同。

  3. 選取功能表上的 [內容]：
     

  4. 在網域的內容對話方塊中，按一下 [群組原則] 索引標籤，然後按一下 [新增]，在根容器中建立新的群組原則物件。鍵入「網域原則」作為新原則的名稱，然後按一下 [關閉]。

     注意： Microsoft 建議您建立新的群組原則物件，而不要編輯名為「預設網域原則」的內建群組原則物件，因為在發生嚴重的安全性設定問題時，可以容易地復原。如果新的安全性設定發生問題，您可以暫時停用新的群組原則物件，直到您隔離發生問題的設定。

  5. 在網域的根容器上按一下滑鼠右鍵，然後按一下 [內容]。

  6. 在內容對話方塊中，按一下 [群組原則] 索引標籤，然後選取 [網域原則]。

  7. 按一下 [上移]，將新的群組原則物件移動到清單的頂端，然後按一下 [編輯]，開啟「群組原則物件編輯器」來編輯您剛才建立的群組原則物件。

  8. 在 [電腦設定] 之下，瀏覽到 Windows 設定\安全性設定\帳戶原則\密碼原則資料夾。

  9. 在詳細資料窗格中，按兩下 [強制執行密碼歷程記錄]，選取 [定義這個原則設定] 核取方塊，將 [密碼記錄的保留期] 的值設定為 24，然後按一下 [確定]。
     

  10. 在詳細資料窗格中，按兩下 [密碼最長有效期]，選取 [定義這個原則設定] 核取方塊，將 [密碼過期日] 的值設定為 42，按一下 [確定]，然後按一下 [確定] 關閉出現的 [建議的值變更] 視窗。
      

  11. 在詳細資料窗格中，按兩下 [密碼最短有效期]，選取 [定義這個原則設定] 核取方塊，將 [允許密碼變更於] 的值設定為 2，然後按一下 [確定]。
      

  12. 在詳細資料窗格中，按兩下 [最小密碼長度]，選取 [定義這個原則設定] 核取方塊，將 [密碼最少必須是] 的值設定為 8，然後按一下 [確定]。
      

  13. 在詳細資料窗格中，按兩下 [密碼必須符合複雜性需求]，選取 [定義範本內的這個原則設定] 核取方塊，選取 [啟用]，然後按一下 [確定]。
      

  14. 關閉「群組原則物件編輯器」，按一下 [確定]，關閉網域內容對話方塊，然後結束 [Active Directory 使用者及電腦]。

驗證新設定

使用下列程序來驗證適當的密碼原則，已在網域原則 GPO 中使用並且生效。驗證設定及設定的作業，以確保網域中的所有使用者都使用正確的密碼原則。

需求

• 認證：您必須以 Domain Admins 群組成員登入。

• 工具：Active Directory 使用者及電腦。

• 若要驗證 Active Directory 網域的密碼原則設定

  1. 開啟 [Active Directory 使用者及電腦]，在網域上按一下滑鼠右鍵，然後按一下 [內容]。

  2. 在網域的內容對話方塊中，按一下 [群組原則] 索引標籤，選取 [網域原則] 群組原則物件，然後按一下 [編輯]，開啟「群組原則物件編輯器」。

  3. 在 [電腦設定] 之下，前往 Windows 設定\安全性設定\帳戶原則\密碼原則資料夾，然後確認您的設定與下列顯示的相符：

  4. 關閉「群組原則物件編輯器」，按一下 [確定]，關閉網域的內容對話方塊，然後結束 [Active Directory 使用者及電腦]。

  5. 驗證使用者無法指定少於 8 個字元的密碼、無法建立非複雜性密碼，以及無法立即變更他們的新密碼。

在獨立電腦上設定密碼原則設定

• 認證：您必須以 Administrators 群組成員登入。

• 工具：本機安全性原則。

• 若要在不屬於 Active Directory 網域的電腦系統上實行密碼原則

  1. 依序按一下 [開始]、[控制台]，按兩下 [系統管理工具]，然後按兩下 [本機安全性原則]。

  2. 瀏覽到帳戶原則\密碼原則資料夾。

  3. 在詳細資料窗格中，按兩下 [強制執行密碼歷程記錄]，將 [密碼記錄的保留期] 的值設定為 24，然後按一下 [確定]。

  4. 在詳細資料窗格中，按兩下 [密碼最長有效期]，將 [密碼過期日] 的值設定為 42，然後按一下 [確定]。

  5. 在詳細資料窗格中，按兩下 [密碼最短有效期]，將 [允許密碼變更於] 的值設定為 2，然後按一下 [確定]。

  6. 在詳細資料窗格中，按兩下 [最小密碼長度]，將 [密碼最少必須是] 的值設定為 8，然後按一下 [確定]。

  7. 在詳細資料窗格中，按兩下 [密碼必須符合複雜性需求]，選取 [啟用]，然後按一下 [確定]。

  8. 關閉 [本機安全性原則]。

驗證新設定

使用下列程序來驗證適當的密碼原則，已在組織中的獨立電腦上設定並且生效。驗證設定及設定的作業，以確保這些電腦都使用正確的密碼原則。

需求

• 認證：您必須以 Administrators 群組成員登入。

• 工具：本機安全性原則。

• 若要驗證不屬於 Active Directory 網域的電腦系統的密碼原則

  1. 開啟 [本機安全性原則]，瀏覽到帳戶原則\密碼原則資料夾，然後確認您的設定與下列顯示的相符：

  2. 關閉 [本機安全性原則]。

  3. 驗證使用者無法指定少於 8 個字元的密碼、無法建立非複雜性密碼，以及無法立即變更他們的新密碼。

回到頁首

相關資訊

如需關於 Windows 中密碼原則及密碼相關功能的詳細資訊，請參閱：

• 《Security Guidance Kit (英文)》中的＜Selecting Secure Passwords＞

• TechNet 網站上的《Account Passwords and Policies (英文)》，網址是 https://go.microsoft.com/fwlink/?LinkId=22208

回到頁首