域成员: 计算机帐户密码最长使用期限
05/29/2020
本文内容
适用范围
Windows 10
介绍域成员的最佳方案、位置、值和安全注意事项: 最大 计算机帐户密码使用时间安全策略设置。
参考
" 域成员: 最大计算机帐户密码使用 时间"策略设置确定域成员何时提交密码更改。
在基于 Active Directory 的域中,每台设备都有一个帐户和密码。 默认情况下,域成员每 30 天提交一次密码更改。 可以延长或缩短此间隔。 此外,可以使用域成员 :禁用计算机帐户密码更改 策略来完全禁用密码更改要求。 但是,在考虑此选项之前,请查看域成员:禁用计算机帐户密码更改 中所述的含义。
重要
显著增加密码更改间隔 (或禁用密码) 为攻击者提供了更多的时间对其中一个计算机帐户进行暴力密码猜测攻击。
有关详细信息,请参阅计算机 帐户密码进程。
可能值
用户定义的 1 到 999 之间的天数(包含 1 和 999)
未定义
最佳做法
建议将域成员 :最大计算机帐户密码使用时间设置为 大约 30 天。 将该值设置为更少天数会增加复制并影响域控制器。 例如,在Windows NT域中,每 7 天更改一次计算机密码。 额外的复制改动将影响具有多台计算机或站点间链接较慢的大型组织的域控制器。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出了此策略的实际和有效默认值。 默认值也会列在策略的属性页上。
服务器类型或 GPO
默认值
默认域策略
未定义
默认域控制器策略
未定义
Stand-Alone服务器默认设置
30 天
DC 有效默认设置
30 天
成员服务器有效默认设置
30 天
客户端计算机有效默认设置
30 天
策略管理
本节介绍可帮助您管理此策略的功能和工具。
重启要求
无。 在本地保存或通过组策略分发更改时,更改将在不重新启动计算机的情况下生效。
安全注意事项
本部分介绍攻击者如何利用一项功能或其配置,如何实施对策,以及对策实施可能产生的负面后果。
漏洞
默认情况下,域成员每 30 天提交一次密码更改。 如果显著增加此间隔以便计算机不再提交密码更改,攻击者将有更多的时间来进行暴力攻击来猜测一个或多个计算机帐户的密码。
对策
将" 域成员: 最大计算机帐户密码使用 时间"设置配置为 30 天。
潜在影响
无。 这是默认配置。
相关主题