密码最长使用期限
介绍了有关“密码最长使用期限”安全策略设置的最佳做法、位置、值、策略管理和安全注意事项。
参考
“密码最长使用期限”****策略设置确定在系统要求用户更改密码之前可以使用该密码的时段(以天为单位)。你可以将密码的过期天数设置为 1 到 999,或者通过将该天数设置为 0 来指定密码永远不会过期。如果“密码最长使用期限”天数为 1 到 999,则密码最短使用期限必须小于密码最长使用期限。当“密码最长使用期限”****设置为 0 时,“密码最短使用期限”天数可以是介于 0 和 998 之间的任意值。
注意
将“密码最长使用期限”设置为 -1 等同于 0,这意味着密码永远不会过期。将它设置为任何其他负数等同于将其设置为“未定义”****。
可能值
用户指定的天数介于 0 到 999 之间
未定义
最佳做法
将“密码最长使用期限”天数设置为 30 到 90 之间的值,具体取决于你的环境。这样,攻击者用于破解用户密码并有权访问你的网络资源的时间量将非常有限。
位置
计算机配置\Windows 设置\安全设置\帐户策略\密码策略
默认值
下表列出实际和有效默认策略值。策略的属性页中还列出了默认值。
服务器类型或组策略对象 (GPO) | 默认值 |
---|---|
默认域策略 |
42 天 |
默认域控制器策略 |
未定义 |
独立服务器默认设置 |
42 天 |
域控制器有效默认设置 |
42 天 |
成员服务器有效默认设置 |
42 天 |
客户端计算机上的有效 GPO 默认设置 |
42 天 |
策略管理
本部分介绍用于帮助你管理此策略的功能、工具和指南。
重启要求
无。当以本地方式保存或通过组策略分发对本策略的更改时,无需重启计算机即可使这些更改生效。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
密码存在的时间越长,它受到以下威胁的可能性越高:暴力攻击、获得有关用户的一般知识的攻击者或共享密码的用户。主要风险是将“密码最长使用期限”策略设置配置为 0,以便用户永远不需要更改其密码,因为只要向有效用户授予访问权限,恶意用户就可以使用受到威胁的密码。
对策
将“密码最长使用期限”****策略设置配置为适合你的组织的业务要求的值。
潜在影响
如果“密码最长使用期限”策略设置过低,将频繁要求用户更改其密码。此类配置会降低组织的安全性,因为用户可能将其密码保存在不安全的位置或丢失它们。如果此策略设置的值过高,将降低组织内部的安全级别,因为它会使潜在攻击者有更多时间来发现用户密码或使用受到威胁的帐户。