在開始菜單的搜索框輸入"secpol.msc"命令即可啓動本地安全策略編輯器。在本地安全策略編輯器左側選擇“賬戶策略→密碼策略”項目。現在右側可以看到列出的所有的Win7的密碼策略條目了(如圖1)。
本地安全策略窗口可以設置密碼策略
以下是每個列出的密碼策略的詳細介紹:
密碼必須符合複雜性要求。
此安全設置確定密碼是否必須符合複雜性要求。
如果啓用此策略,密碼必須符合下列最低要求:
不能包含用戶的帳戶名,不能包含用戶姓名中超過兩個連續字符的部分
至少有六個字符長
包含以下四類字符中的三類字符:
英文大寫字母(A 到 Z)
英文小寫字母(a 到 z)
10 個基本數字(0 到 9)
非字母字符(例如 !、$、#、%)
在更改或創建密碼時執行複雜性要求。
最短密碼長度
此安全設置確定用戶帳戶密碼包含的最少字符數。可以將值設置爲介於 1 和 14 個字符之間,或者將字符數設置爲 0 以確定不需要密碼。
密碼最短使用期限
此安全設置確定在用戶更改某個密碼之前必須使用該密碼一段時間(以天爲單位)。可以設置一個介於 1 和 998 天之間的值,或者將天數設置爲 0,允許立即更改密碼。
密碼最短使用期限必須小於密碼最長使用期限,除非將密碼最長使用期限設置爲 0,指明密碼永不過期。如果將密碼最長使用期限設置爲 0,則可以將密碼最短使用期限設置爲介於 0 和 998 之間的任何值。
如果希望“強制密碼歷史”有效,則需要將密碼最短使用期限設置爲大於 0 的值。如果沒有設置密碼最短使用期限,用戶則可以循環選擇密碼,直到獲得期望的舊密碼。默認設置沒有遵從此建議,以便管理員能夠爲用戶指定密碼,然後要求用戶在登錄時更改管理員定義的密碼。如果將密碼歷史設置爲 0,用戶將不必選擇新密碼。因此,默認情況下將“強制密碼歷史”設置爲 1。
密碼最長使用期限
此安全設置確定在系統要求用戶更改某個密碼之前可以使用該密碼的期間(以天爲單位)。可以將密碼設置爲在某些天數(介於 1 到 999 之間)後到期,或者將天數設置爲 0,指定密碼永不過期。如果密碼最長使用期限介於 1 和 999 天之間,密碼最短使用期限必須小於密碼最長使用期限。如果將密碼最長使用期限設置爲 0,則可以將密碼最短使用期限設置爲介於 0 和 998 天之間的任何值。
注意: 安全最佳操作是將密碼設置爲 30 到 90 天后過期,具體取決於您的環境。這樣,***者用來破解用戶密碼以及訪問網絡資源的時間將受到限制。
強制密碼歷史
此安全設置確定再次使用某個舊密碼之前必須與某個用戶帳戶關聯的唯一新密碼數。該值必須介於 0 個和 24 個密碼之間。
此策略使管理員能夠通過確保舊密碼不被連續重新使用來增強安全性。
用可還原的加密來儲存密碼
此安全設置確定操作系統是否使用可還原的加密來儲存密碼。
此策略爲某些應用程序提供支持,這些應用程序使用的協議需要用戶密碼來進行身份驗證。使用可還原的加密儲存密碼與儲存純文本密碼在本質上是相同的。因此,除非應用程序需求比保護密碼信息更重要,否則絕不要啓用此策略。
通過遠程訪問或 Internet 身份驗證服務(IAS)使用質詢握手身份驗證協議(CHAP)驗證時需要設置此策略。在 Internet 信息服務(IIS)中使用摘要式身份驗證時也需要設置此策略。