規劃 Office 2013 的密碼複雜性設定
適用版本: Office 365 ProPlus
上次修改主題的時間: 2016-12-16
摘要 說明如何使用 Office 2013 密碼設定強制要求密碼。
對象: IT 專業人員
Excel 2013、PowerPoint 2013 和 Word 2013 的 [以密碼加密] 功能包含讓您設定強式密碼的設定,例如密碼長度和複雜性規則。使用這些設定之後,您可以要求 Office 2013 應用程式強制執行群組原則的密碼原則設定中指定的本機密碼要求或網域型要求。
重要事項: |
---|
本文為適用於 IT 專業人員的<Office 2013 身分識別、驗證及授權的藍圖>的一部分。請以藍圖做為起點來取得文章、下載檔、海報及影片,以協助您評估 Office 2013 身分識別。 您在尋找有關個別 Office 2013 應用程式的說明嗎?在 Office.com 上進行搜尋,即可找到此資訊。 |
本文內容:
關於規劃密碼長度和複雜性設定
強制執行密碼長度和複雜性
相關的密碼長度和複雜性設定
關於規劃密碼長度和複雜性設定
對於 [以密碼加密] 功能預設沒有密碼長度或密碼複雜性的限制,這表示使用者可以不指定密碼就直接加密文件、簡報或活頁簿。但是,我們建議組織變更這項預設設定,並強制執行密碼常戶和複雜性,以便確保 [以密碼加密] 功能使用強式密碼。
許多組織使用網域型群組原則,對登入和驗證強制執行強式密碼。如果是這種情況,建議組織在以密碼加密功能使用相同的密碼長度和複雜性要求。如需強式密碼的詳細資訊,包括決定密碼長度和複雜性的建議,請參閱建立強式密碼原則。
注意: |
---|
當您建立密碼原則時,您必須平衡密碼原則實施便利性的需求與強式安全性的需求。如果忘記密碼或員工離職卻未提供儲存和加密資料所用的密碼,則必須取得將資料解密的正確密碼,才能存取資料。 |
強制執行密碼長度和複雜性
配置 Office 2013 提供的密碼設定來強制執行密碼長度和複雜性時,您可以選擇使用 Office 2013 提供的設定,或搭配使用網域型群組原則物件提供的密碼設定。如果您已經對網域登入和驗證強制執行強式密碼,建議您為 Office 2013 配置密碼長度和複雜性設定,方法和為網域的密碼原則群組原則物件 (GPO) 設定一樣。
Office 2013 包含下列密碼設定:
設定密碼長度下限
設定密碼規則層級
設定密碼規則網域逾時
您可以使用 Office 自訂工具 (OCT) 或本機或網域型群組原則的 Office 2013 系統管理範本,配置 Office 2013 密碼設定。如需如何在 OCT 和 Office 2013 系統管理範本中配置安全性設定的詳細資訊,請參閱使用 OCT 或群組原則設定 Office 2013 的安全性。
下列密碼設定可用於密碼原則 GPO:
強制密碼歷程記錄
密碼最長使用期限
密碼最短使用期限
密碼長度下限
密碼必須符合複雜性需求
使用可還原的加密來存放密碼
您可以使用群組原則配置網域型密碼原則設定。如需詳細資訊,請參閱 Windows 和 Windows Server 的群組原則設定。
Office 2013 中的 [設定密碼規則層級] 設定可決定密碼複雜性需求,以及是否使用網域的密碼原則群組原則物件。
若要對 [以密碼加密] 功能強制執行密碼長度和複雜性,請決定下列各項:
要在本機強制執行的密碼長度下限。
密碼規則層級。
網域型密碼強制執行的密碼逾時值。這是選用的工作。下列兩者同時成立時,您應該考慮設定密碼逾時:
網路控制站已安裝自訂的密碼篩選
聯繫網域控制站花費的時間超過預設的 4 秒
決定密碼長度需求下限
若要強制執行密碼長度和複雜性,首先必須決定本機強制執行的密碼長度下限。[設定密碼長度下限] 設定可以讓您這麼做。啟用此設定時,您可以指定介於 0 到 255 之間的密碼長度。但是,指定密碼長度並不會強制執行密碼長度。若要強制執行密碼長度或複雜性,必須變更 [設定密碼規則層級] 設定,下一節將進行討論。
注意: |
---|
當您建立密碼原則時,您必須平衡密碼原則實施便利性的需求與強式安全性的需求。如果忘記密碼或員工離職卻未提供儲存和加密資料所用的密碼,則必須取得將資料解密的正確密碼,才能存取資料。 |
決定密碼規則層級
設定本機強制執行的密碼長度下限後,您必須決定強制執行密碼長度和複雜性的規則。[設定密碼規則層級] 設定可以讓您這麼做。您啟用此設定時,即可選取下列四個層級的其中一個:
[不檢查密碼] 不強制執行密碼長度和複雜性。這和預設設定相同。
[本機長度檢查] 強制執行密碼長度,而不強制執行密碼複雜性。此外,僅按照 [設定密碼長度下限] 設定中指定的密碼長度要求在本機強制執行密碼長度。
[本機長度及複雜性檢查] 按照 [設定密碼長度下限] 設定中指定的密碼長度要求在本機強制執行密碼長度。也在本機強制執行密碼複雜性,這表示密碼必須包含下列字元集的至少三個字元:
小寫 a–z
大寫 A–Z
數字 0–9
非字母字元
在 [設定密碼長度下限] 設定中指定至少六個字元的密碼長度時,此設定才有效。
[本機長度、本機複雜性,以及網域原則檢查] 按照群組原則中設定的網域型密碼原則設定,強制執行密碼長度和複雜性。如果電腦離線或無法聯繫網域控制站,將按照 [本機長度及複雜性檢查] 設定所述確實強制執行本機密碼長度和複雜性要求。
如果您要使用網域型設定來強制執行密碼長度和密碼複雜性,必須在群組原則中設定密碼原則設定。網域型強制執行有幾個優於本機強制執行的優點。其中的優點包括:
用於登入和驗證的密碼長度和複雜性需求與 [以密碼加密] 功能中的需求相同。
可以在組織中強制執行相同的密碼長度和複雜性需求。
可以按照組織單位、站台和網域強制執行不同的密碼長度和複雜性需求。
若要深入瞭解使用網域型群組原則強制執行密碼長度和複雜性,請參閱<在整個組織強制執行強式密碼>。
決定網域逾時值
如果您使用網域型群組原則設定來強制執行 [以密碼加密] 功能的密碼長度和複雜性,而且在網域控制站上安裝自訂的密碼篩選,則您可能必須配置 [設定密碼規則網域逾時] 設定。網域逾時值可決定 Office 2013 應用程式等候網域控制站回應的時間長度,經過這段時間後,將強制執行本機密碼長度和複雜性設定。您可以使用 [設定密碼規則網域逾時] 設定變更網域逾時值。逾時值預設為 4000 毫秒 (4 秒),這表示,如果網域控制站未在 4000 毫秒內回應,Office 2013 應用程式將強制執行本機密碼長度和複雜性設定。
附註: |
---|
除非您啟用 [設定密碼長度下限] 設定、啟用 [設定密碼規則層級] 設定,然後選取 [本機長度、本機複雜性,以及網域原則檢查] 選項,否則網域逾時值不會生效。 |
相關的密碼長度和複雜性設定
組織強制執行密碼長度和複雜性時,通常使用下列設定:
- 加密彈性設定 這些設定可讓您指定用來加密文件、簡報和活頁簿的密碼編譯提供者和演算法。
附註: |
---|
如需原則設定的最新資訊,請參閱<Office 2013 系統管理範本檔案 (ADMX/ADML) 和 Office 自訂工具>TechNet 文章。 |
另請參閱
Office 2013 身分識別、驗證及授權的藍圖
Office 2013 安全性概觀
使用 OCT 或群組原則設定 Office 2013 的安全性