如果您希望提升Windows系统的账户安全性,防止弱密码滥用和暴力破解攻击,则需要通过本地安全策略配置密码策略与账户锁定规则。以下是实现该目标的具体操作步骤:
一、通过本地安全策略控制台配置
此方法适用于Windows专业版、企业版或教育版,直接调用内置的本地安全策略管理器,无需第三方工具,所有设置仅影响本机用户账户。
1、按下Win + R组合键,打开“运行”对话框。
2、输入secpol.msc并按回车,启动本地安全策略控制台。
3、在左窗格中依次展开账户策略 → 密码策略,双击各项策略进行配置:
4、将密码必须符合复杂性要求设为“已启用”,强制密码包含大写字母、小写字母、数字及特殊字符中的至少三类。
5、将最小密码长度设为“8”或更高(推荐12)。
6、将密码最长使用期限设为“30”至“90”天之间,避免长期不更替。
7、将密码最短使用期限设为“1”,防止用户立即重设以绕过历史记录限制。
8、将强制密码历史设为“5”或以上,确保用户无法重复使用最近5个旧密码。
9、切换至账户策略 → 账户锁定策略,双击配置以下三项:
10、将账户锁定阈值设为“5”,即连续5次错误登录后触发锁定。
11、将账户锁定时间设为“30”,单位为分钟,表示锁定持续时长。
12、将重置账户锁定计数器设为“30”,表示30分钟内错误尝试次数归零。
二、通过组策略编辑器深度配置
该方式支持更细粒度策略项,且可覆盖本地安全策略未提供的部分设置,例如对域加入设备生效的扩展策略,同时兼容所有支持gpedit.msc的Windows版本。
1、按下Win + R,输入gpedit.msc并回车,启动组策略编辑器。
2、导航至路径:计算机配置 → Windows 设置 → 安全设置 → 账户策略 → 密码策略。
3、逐项双击启用或修改:密码必须符合复杂性要求、最小密码长度、密码最长使用期限、密码最短使用期限、强制密码历史。
4、进入账户策略 → 账户锁定策略,配置账户锁定阈值、账户锁定时间、重置账户锁定计数器三项参数。
5、若需增强防护,可进一步展开本地策略 → 安全选项,启用交互式登录: 不显示最后的用户名与网络访问: 不允许SAM账户的匿名枚举。
6、全部配置完成后,关闭窗口,无需重启——多数策略将在下次用户登录时即时生效。
三、通过注册表手动注入策略参数
当系统受限无法运行图形化策略工具(如精简版或某些LTSC环境),或需批量部署时,可通过注册表直接写入底层策略值,但须严格遵循键值类型与数据格式。
1、按下Win + R,输入regedit并回车,以管理员身份运行注册表编辑器。
2、定位到注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters。
3、在右侧空白处右键,选择“新建 → DWORD (32位)值”,依次创建并设置以下键值:
4、新建键名MaximumPasswordAge,数值数据设为2592000(30天,单位秒)。
5、新建键名MinimumPasswordAge,数值数据设为86400(1天,单位秒)。
6、新建键名MinimumPasswordLength,数值数据设为12(最小长度12位)。
7、新建键名PasswordComplexity,数值数据设为1(启用复杂性要求)。
8、新建键名PasswordHistorySize,数值数据设为5(记住5个旧密码)。
9、对于账户锁定策略,需转至路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon。
10、新建DWORD值LockoutBadCount,设为5;新建ResetLockoutCount,设为1800(30分钟,单位秒);新建LockoutDuration,设为1800。
11、全部修改完毕后,重启计算机使注册表策略完全加载生效。
评论(0)