规划 Office 2013 密码复杂性设置

  • 项目

 

适用于: Office 365 ProPlus

上一次修改主题: 2016-12-16

摘要  说明如何使用 Office 2013 密码设置强制实施密码要求。

目标用户: IT 专业人员

Excel 2013、PowerPoint 2013 和 Word 2013 中的“用密码进行加密”功能包含让您能够强制实施强密码的设置,例如密码长度和复杂性规则。通过使用这些设置,您可以要求 Office 2013 应用程序强制实施组策略中密码策略设置中指定的本地密码要求或基于域的要求。

重要说明重要说明:
本文是面向 IT 专业人员的对于 Office 2013 标识、身份验证和授权的路线图的一部分。可以使用此路线图作为起点来获取可帮助您评估 Office 2013 标识的文章、下载、海报和视频。
您是否要查找有关单独 Office 2013 应用程序的帮助信息?您可以搜索 Office.com 以查找此信息。

本文内容:

  • 有关规划密码长度和复杂性的设置

  • 强制实施密码长度和复杂性

  • 相关密码长度和复杂性设置

关于规划密码长度和复杂性设置

默认情况下,对“用密码进行加密”功能的密码长度或密码复杂性没有限制,这就意味着用户无需指定密码即可对文档、演示文稿或者工作簿加密。但是,我们建议组织更改此默认设置,并强制实施密码长度和复杂性,以帮助确保“用密码进行加密”功能使用强密码。

很多组织通过使用基于域的组策略强制使用强密码进行登录和身份验证。如果是这种情况,我们建议组织对“用密码进行加密”功能使用相同的密码长度和复杂性要求。有关强密码的详细信息,包括确定密码长度和复杂性的建议,请参阅创建强密码策略

小心小心:
建立密码策略时,您必须在强安全性的需要和密码策略易于用户实施的需要之间进行平衡。如果忘记密码,或者员工在离开组织之前没有提供用于保存和加密数据的密码,数据将无法访问,直到找回正确密码,解密数据。

强制实施密码长度和复杂性

配置 Office 2013 用于强制实施密码长度和复杂性的密码设置时,您可以选择使用包含在 Office 2013 中的设置或者与基于域的组策略对象中提供的密码设置相结合的设置。如果您已经对域登录和身份验证强制实施强密码,我们建议您为 Office 2013 配置的密码长度和复杂性与为域的密码策略组策略对象 (GPO) 配置的相同。

以下密码设置包含在 Office 2013 中:

  • 设置密码最短长度

  • 设置密码规则等级

  • 设置密码规则域超时

您可以使用本地或基于域的组策略的 Office 自定义工具 (OCT) 或 Office 2013 管理模板配置 Office 2013 密码设置。有关如何配置 OCT 中安全设置和 Office 2013 管理模板的信息,请参阅使用 OCT 或组策略为 Office 2013 配置安全性

以下密码设置适用于密码策略 GPO:

  • 强制实施密码历史记录

  • 密码最长期限

  • 最短密码期限

  • 最短密码长度

  • 密码必须符合复杂性要求

  • 用可还原的加密来储存密码

可以使用组策略来配置基于域的密码策略设置。有关详细信息,请参阅 Windows 和 Windows Server 的组策略设置引用

Office 2013 中的“设置密码规则等级”设置决定密码复杂性要求和是否使用域的密码策略组策略对象。

若要对“用密码进行加密”功能强制实施密码长度和复杂性,请确定以下项:

  • 您要本地强制实施的最短密码长度。

  • 密码规则等级。

  • 基于域的密码强制实施的密码超时值。这是可选任务。如果满足以下两个条件,您应该考虑设置密码超时:

    • 您的域控制器中安装有自定义密码筛选器

    • 联系域控制器的时间超过默认的 4 秒

确定密码最短长度要求

若要强制实施密码长度和复杂性,请首先确定您要本地强制实施的最短密码长度。“设置密码最短长度”设置可以实现此目的。启用此设置时,您可以在 0 到 255 之间指定一个密码长度。但是,指定最短密码长度不会强制实施密码长度。若要强制实施密码长度或复杂性,您必须更改“设置密码规则等级”设置,这将在以下部分讨论。

小心小心:
建立密码策略时,您必须在强安全性的需要和密码策略易于用户实施的需要之间进行平衡。如果忘记密码,或者员工在离开组织之前没有提供用于保存和加密数据的密码,数据将无法访问,直到找回正确密码,解密数据。

确定密码规则等级

为本地强制实施设置密码最短长度之后,您必须确定强制实施密码长度和复杂性的规则。“设置密码规则等级”设置可以实现此目的。启用此设置时,您可以选择以下四个等级之一:

  • “无密码检查”不实施密码长度和复杂性。这与默认配置相同。

  • 本地长度检查   强制实施密码长度,但没有强制实施密码复杂性。此外,密码长度只在本地基础上强制实施,根据“设置密码最短长度”中指定的密码长度要求强制实施。

  • 本地长度和复杂性检查   密码长度在本地基础上强制实施,根据“设置密码最短长度”中指定的密码长度要求强制实施。密码复杂性也在本地基础上强制实施,这就意味着密码必须包含来自以下至少三个字符集的字符:

    • 小写 a–z

    • 大写 A–Z

    • 数字 0-9

    • 非字母字符

    此设置只有在“设置密码最短长度”设置中指定了密码长度为至少六个字符时才适用。

  • 本地长度、本地复杂性和域策略检查   密码长度和复杂性根据在组策略中设置的基于域的密码策略设置强制实施。如果计算机脱机或无法联系域控制器,本地密码长度和复杂性要求会完全根据“本地长度和复杂性检查”设置中的描述强制实施。

如果您想使用基于域的设置强制实施密码长度和密码复杂性,您必须配置组策略中的密码策略设置。与本地强制实施相比,基于域的强制实施有几个优势。其中包括以下优势:

  • 登录和身份验证的密码长度和复杂性要求与“用密码进行加密”功能相同。

  • 整个组织中密码长度和复杂性要求的强制实施方式相同。

  • 根据组织的单元、网站和域,可以使用不同方式强制实施密码长度和复杂性要求。

要了解有关使用基于域的组策略强制实施密码长度和复杂性的更多信息,请参阅 Enforcing strong password usage throughout your organization(在整个组织中强制实施强密码)。

确定域超时值

如果您使用基于域的组策略设置对“用密码进行加密”功能强制实施密码长度和复杂性,并且您的域控制器上安装了自定义密码筛选器,您可能需要配置“设置密码规则域超时”设置。域超时值决定在使用本地密码长度和复杂性设置之前,Office 2013 应用程序等待来自域控制器响应的时间。您可以使用“设置密码规则域超时”设置更改域超时值。默认情况下,超时值为 4000 毫秒(4 秒),这意味着如果域控制器没有在 4000 毫秒内响应,Office 2013 应用程序将使用本地密码长度和复杂性设置。

注意注意:
除非您启用“设置密码最短长度”设置,启用“设置密码规则等级”设置,然后选择“本地长度、本地复杂性和域策略检查”选项,否则域超时值不会起作用。

相关密码长度和复杂性设置

组织强制实施密码长度和复杂性时通常使用以下设置:

  • 加密灵活性设置   这些设置让您能够指定用于加密文档、演示文稿和工作簿的加密提供程序和算法。
注意注意:
有关策略设置的最新信息,请参阅 Office 2013 管理模板文件 (ADMX/ADML) 和 Office 自定义工具 TechNet 文章。

另请参阅

对于 Office 2013 标识、身份验证和授权的路线图
Office 2013 中的安全概述
使用 OCT 或组策略为 Office 2013 配置安全性