我被要求在我的 Windows 系统上强制密码长度至少为 15 个字符。据说这是可以实现的,而且其他一些系统已经实现了。但是,我似乎无法让它发挥作用。
关键问题似乎是该策略通常仅限于接受 0 到 14 的值。
我尝试将其设置得更高,但没有效果。
有谁能解决这个问题?
我需要一个既能通过基于域的 GPO 又能在独立系统上运行的解决方案。如果可能的话,我需要一个向下兼容 XP/2003 的修复程序。第三方工具不是一种选择。
答案1
是的,你可以,但我认为它不受支持。你必须使用 ADSIEdit.msc 修改 Active Directory。如果你查看 AD 架构的属性,就会发现有一个Min-Pwd-Length属性。将此属性的值更改为 15,将强制执行 15 的最小密码长度。
在这里阅读更多内容:https://msdn.microsoft.com/en-us/library/ms677113%28v=vs.85%29.aspx?f=255&MSPPError=-2147217396
答案2
您可以创建一个基于注册表的策略,将 15 作为最小密码长度的值。这里描述了一种方法。
您可以在独立服务器/工作组计算机上执行此操作:
1:打开注册表
2:在左侧窗格中导航到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Network”,然后右键单击该条目。
3:创建一个新的 REG_BINARY 值。将该值命名为“MinPwdLen”,并将最小密码长度设置为七。
4:关闭注册表编辑器然后重新启动计算机
您创建一个适用于域中所有机器的策略(域范围的策略,确保它不会与通过策略方式设置最小密码长度的现有策略冲突,正如您尝试过的那样),该策略将值设置HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Network\MinPwdLen为二进制 0x0F。
答案3
- 如果您想在未加入域的 PC 上编写此操作脚本,命令如下:
net accounts /minpwlen:15
- 组策略位置
Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy
- 注册表位置
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Network
Value Name: MinPwdLen
Data Type: REG_BINARY (Binary Value)
- 如果您的域名是 2012 或更高版本,您现在可以使用“精细密码策略”或密码设置对象 (PSO) 配置更长的密码
笔记:XP\2003 已经停止支持很长时间了。强密码无法保护你。SMB 中有一个称为“永恒之蓝”的 RCE,使这些旧系统的密码变得过时。现在任何人都可以无需密码远程登录。
细节: https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017/ms17-010
Windows 2012+ 中的 PSO
在 Windows 2012+ 中设置 PSO 很容易,并且在用户尝试下次更改密码之前不会影响用户。
控制面板 -> 系统和安全 -> 管理工具 -> Advice Directory 管理中心
域名 -> 系统 -> 密码设置容器
右键点击->新建->密码设置
完成 PSO 设置并分配用户或用户组目标。要将策略分配给所有用户,请使用“域用户”。请注意,在此测试中,我们已指定 20 个字符作为可接受密码的最小长度。
