Поделиться через


Обновления файлов административных шаблонов (ADM, ADMX, ADML) Office 2007 и центра развертывания Office

 

Применимо к: Office 2010

Последнее изменение раздела: 2011-07-08

В Microsoft Office 2010 представлены параметры, позволяющие принудительно применять надежные пароли на основе правил, определяющих длину и сложность паролей, при использовании компонента Зашифровать паролем в Microsoft Excel 2010, Microsoft PowerPoint 2010 и Microsoft Word 2010. С помощью этих параметров можно реализовать принудительное применение в приложениях Office 2010 локальных паролей или требований на уровне домена, которые задаются в параметрах политики паролей групповой политики.

Содержание:

  • Планирование параметров длины и сложности паролей

  • Принудительное применение параметров длины и сложности паролей

  • Связанные параметры длины и сложности паролей

Планирование параметров длины и сложности паролей

По умолчанию для компонента Зашифровать паролем не установлены ограничения на длину и сложность пароля. Это означает, что пользователи могут шифровать документы, презентации и рабочие книги без указания пароля. Тем не менее, рекомендуется изменять эту установленную по умолчанию настройку и принудительно задавать длину и сложность пароля, чтобы гарантировать использование надежных паролей в компоненте Зашифровать паролем.

В большинстве организаций надежные пароли для входа в систему и проверки подлинности принудительно применяются с использованием групповой политики домена. В этом случае рекомендуется устанавливать единые требования к длине и сложности пароля для компонента Зашифровать паролем на уровне всей организации. Дополнительные сведения о надежных паролях, в том числе рекомендации по определению длины и сложности паролей, см. в статье Создание политики надежных паролей (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=166269\&clcid=0x419) (Возможно, на английском языке).

Предупреждение

При задании политик паролей необходимо найти компромисс между безопасностью и простотой реализации политики для пользователей. Если сотрудник забудет пароль или уволится из организации, не сообщив пароли для сохранения и шифрования данных, соответствующие данные будут недоступны до тех пор, пока не будет введен правильный пароль.

Принудительное применение параметров длины и сложности паролей

При настройке параметров, принудительно задающих длину и сложность паролей, в Office 2010 можно использовать параметры в составе Office 2010 отдельно или в сочетании с параметрами паролей, доступными в объекте групповой политики домена. Если для входа в систему и проверки подлинности в домене уже применяются надежные пароли, рекомендуется настроить параметры длины и сложности паролей для Office 2010, аналогичные установленным для объекта групповой политики паролей для домена.

В Office 2010 представлены следующие параметры паролей:

  • Задать минимальную длину пароля

  • Задать уровень правил для паролей

  • Задать время ожидания домена для проверки правил для паролей

Для настройки параметров паролей Office 2010 можно использовать центр развертывания Office или административные шаблоны Office 2010 для локальных или доменных групповых политик. Дополнительные сведения о настройке параметров безопасности с помощью центра развертывания Office и административных шаблонов Office 2010 см. в статье Настройка безопасности Office 2010.

Для объекта групповой политики паролей домена доступны следующие параметры паролей:

  • Вести журнал паролей

  • Максимальный срок действия пароля

  • Минимальный срок действия пароля

  • Минимальная длина пароля

  • Пароль должен отвечать требованиям сложности

  • Хранить пароли, используя обратимое шифрование

Для настройки параметров политики паролей домена можно использовать редактор объектов групповой политики (Объект групповой политики | Конфигурация компьютера | Политики | Параметры Windows | Параметры безопасности | Политики учетной записи | Политика паролей). Дополнительные сведения см. в статье Технический справочник по редактору объектов групповой политики (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=188682\&clcid=0x419) (Возможно, на английском языке).

Параметр Задать уровень правил для паролей в Office 2010 определяет требования к сложности паролей, а также необходимость использования объекта групповой политики паролей для домена.

Для принудительного применения параметров длины и сложности паролей для компонента Зашифровать паролем выполните следующие действия:

  • Определите минимальную длину пароля, которую требуется применять локально.

  • Определите уровень правил для паролей.

  • Определите значение времени ожидания для принудительного применения параметров паролей домена. Этот шаг является необязательным. Настройка этого значения может потребоваться в том случае, если на контроллере домена установлен настраиваемый фильтр паролей, и установленного по умолчанию времени ожидания для подключения к контроллеру домена (4 секунды) недостаточно.

Определение требований к минимальной длине пароля

Для принудительного применения параметров длины и сложности паролей сначала необходимо определить минимальную длину пароля, которую требуется применять локально. Для этого используется параметр Задать минимальную длину пароля. Если этот параметр включен, можно задать длину пароля в диапазоне от 0 до 255. Обратите внимание, что установка минимальной длины пароля не влечет за собой принудительного ограничения длины. Чтобы принудительно применять параметры длины или сложности паролей, необходимо изменить значение параметра Задать уровень правил для паролей, который описывается в следующем разделе.

Предупреждение

При задании политик паролей необходимо найти компромисс между безопасностью и простотой реализации политики для пользователей. Если сотрудник забудет пароль или уволится из организации, не сообщив пароли для сохранения и шифрования данных, соответствующие данные будут недоступны до тех пор, пока не будет введен правильный пароль.

Определение уровня правил для паролей

После установки минимальной длины пароля для локального применения необходимо определить правила, по которым применяются параметры длины и сложности паролей. Для этого используется параметр Задать уровень правил для паролей. Если этот параметр включен, можно выбрать один из следующих четырех уровней правил:

  • Не выполнять проверку паролей   Параметры длины и сложности паролей не применяются. Этот уровень соответствует конфигурации по умолчанию.

  • Локальная проверка длины   Применение параметра длины паролей без ограничения сложности. Кроме того, параметр длины паролей применяется только на локальном уровне в соответствии с ограничениями, заданными в параметре Задать минимальную длину пароля.

  • Локальная проверка длины и сложности   Параметр длины паролей применяется на локальном уровне в соответствии с ограничениями, заданными в параметре Задать минимальную длину пароля. Параметр сложности пароля применяется также на локальном уровне (пароль должен содержать, по крайней мере, три из следующих категорий знаков:

    • Строчные буквы a-z

    • Прописные буквы A-Z

    • Цифры 0–9

    • Прочие знаки, не являющиеся буквами и цифрами

    Этот параметр действует только в том случае, если в параметре Задать минимальную длину пароля установлена длина пароля не менее шести знаков.

  • Локальная проверка длины и сложности, а также политика домена   Параметры длины и сложности пароля применяются в соответствии с параметрами политики паролей домена, установленными в групповой политике. Если компьютер находится в автономном режиме, и отсутствует подключение к контроллеру домена, применяются локальные параметры длины и сложности, как показано в описании параметра Локальная проверка длины и сложности.

Чтобы принудительно применять параметры длины и сложности паролей на основе параметров домена, необходимо настроить параметры политики паролей в групповой политике. Применение параметров домена имеет ряд преимуществ по сравнению с локальными параметрами, в том числе следующие:

  • Требования к длине и сложности паролей для входа в систему и проверки подлинности соответствуют аналогичным требованиям для компонента Зашифровать паролем.

  • Требования к длине и сложности паролей устанавливаются одинаковыми на уровне всей организации.

  • Требования к длине и сложности паролей могут применяться отдельно к подразделениям, сайтам и доменам организации.

Дополнительные сведения о принудительном применении параметров длины и сложности паролей с использованием групповой политики домена см. в статье Принудительное применение надежных паролей на уровне организации (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=166262\&clcid=0x419) (Возможно, на английском языке).

Определение значения времени ожидания для домена

Если для применения параметров длины и сложности паролей для компонента Зашифровать паролем используются параметры групповой политики домена, и на контроллере домена установлен настраиваемый фильтр паролей, может понадобиться настройка параметра Задать время ожидания домена для проверки правил для паролей. Это значение определяет время ожидания приложением Office 2010 ответа от контроллера домена, по истечении которого будут принудительно применены локальные правила длины и сложности паролей. Чтобы изменить установленное для домена значение, можно установить соответствующее значение параметра Задать время ожидания домена для проверки правил для паролей. По умолчанию установлено время ожидания 4000 мс (4 с). Это означает, что если контроллер домена не отвечает в течение 4 секунд, приложение Office 2010 принудительно применяет локальные параметры длины и сложности паролей.

Примечание

Значение времени ожидания домена действует только в том случае, если включены параметры Задать минимальную длину пароля, Задать уровень правил для паролей и выбран параметр Локальная проверка длины и сложности, а также политика домена.

Связанные параметры длины и сложности паролей

В случае принудительного применения параметров длины и сложности паролей в организации часто используются следующие дополнительные параметры:


  • Параметры криптографической гибкости   С помощью этих параметров можно задать поставщики и алгоритмы шифрования, которые будут использоваться для шифрования документов, презентаций и рабочих книг.

Примечание

Последние сведения о параметрах политики см. в книге Microsoft Excel 2010 Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе Файлы, включенные в данную загрузку страницы загрузки Файлы административных шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно, на английском языке).