密碼到期檢查

密碼到期 SSA 檢查可判斷是否有任何本機帳戶擁有不會到期的密碼。您應該定期定期變更密碼以協助阻止密碼攻擊。

具有 [密碼永久有效] 設定的本機帳戶可覆寫 [原則群組] 之 [密碼原則] 中的 [密碼最長有效期] 設定,讓使用者能永久保存相同的密碼。

此外,[密碼永久有效] 設定也會覆寫 [使用者必須在下次登入時變更密碼] 設定。當系統管理員或服務台人員指派給使用者新密碼時,最好設定 [使用者必須在下次登入時變更密碼] 選項,確保使用者設定新密碼。

建議您檢查 SSA 相關報表顯示的所有本機帳戶,找出是否存在不會到期的密碼。判斷將帳戶設定成擁有不會到期密碼的理由。如果得到的答案不符您組織的安全性標準,請將帳戶設定成擁有到期的密碼,並考慮立即變更帳戶密碼。

這項檢查也有例外。請勿移除下列帳戶的 [密碼永久有效] 設定,因為這麼做可能會中斷應用程式和伺服器功能:

  • IUSR_*
  • IWAM_*
  • SUPPORT_*
  • SMSCli*
  • ACTUser
  • ASPNET
  • SQLDebugger
  • HelpAssistant
  • TSInternetUser

這項檢查會產生兩個層級的分數:

  • 整體
  • 每個帳戶

整體評分

下表顯示 Client Security 如何評估掃描電腦上帳戶的密碼到期設定,從所得的結果判定整體分數。

分數 得到「中」分數的帳戶數 得到「資訊」分數的帳戶數 得到「低」分數的帳戶數 電腦是網域控制站 結果訊息

至少 1

0 或更高

0 或更高

含永久有效密碼的使用者帳戶數:數量 [中分數帳戶]。使用者帳戶總數:數量

資訊

0

至少 1,已停用但未豁免

0 或更高

含永久有效密碼的已停用使用者帳戶數:數量 [資訊分數帳戶]。使用者帳戶總數:數量

 

0

至少 1,在豁免清單上

0 或更高

包含永久有效密碼的所有帳戶都在豁免清單中。

 

不適用

不適用

不適用

網域控制站不支援這項檢查。

0

0

至少 1

這台電腦的所有帳戶密碼已到期。

每個帳戶評分

下表顯示 Client Security 如何評估特定使用者帳戶的密碼到期設定,從所得的結果判定分數。

分數 密碼到期 帳戶已停用 豁免清單中的帳戶 結果訊息

此帳戶的密碼永遠不會到期:使用者名稱

資訊

此帳戶的密碼永遠不會到期:使用者名稱。但是帳戶已停用。

 

是或否

此帳戶的密碼永遠不會到期:使用者名稱。但是,此帳戶位於不需進行密碼到期檢查的帳戶清單中。

不適用

不適用

此帳戶的密碼到期:使用者名稱

顯示: