2007 Office system 管理模板文件(ADM、ADMX、ADML)和 Office 自定义工具更新
适用于: Office 2010
上一次修改主题: 2016-11-29
在使用 Microsoft Excel 2010、Microsoft PowerPoint 2010 和 Microsoft Word 2010 中的“用密码进行加密”功能时,Microsoft Office 2010 可提供允许您强制实施强密码的相关设置,例如密码长度和复杂性规则。使用这些设置,您可以让 Office 2010 应用程序强制实施在组策略中的密码策略设置中指定的本地密码要求或基于域的要求。
本文内容:
关于密码长度和复杂性设置计划
强制实施密码长度和复杂性
相关密码长度和复杂性设置
关于密码长度和复杂性设置计划
默认情况下,对“用密码进行加密”功能的密码长度或密码复杂性设置没有任何限制,这表明用户可以加密文档、演示文稿或工作簿,而无需指定密码。但是,建议组织更改此默认设置并强制实施密码长度和复杂性,以帮助确保结合使用强密码和“用密码进行加密”功能。
许多组织都使用基于域的组策略来强制实施用于登录和身份验证的强密码。在这种情况下,建议组织在使用“用密码进行加密”功能时,使用相同的密码长度和复杂性要求。有关强密码的详细信息,包括用于确定密码长度和复杂性的相关建议,请参阅创建强密码策略(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=166269\&clcid=0x804)(该链接可能指向英文页面)。
警告
在创建密码策略时,应考虑是需要提高安全性,还是需要使密码策略易于用户实施。如果用户忘记密码或某员工离开了组织但没有提供用于保存和加密数据的密码,则无法访问该数据,除非提供正确的密码来解密数据。
强制实施密码长度和复杂性
在配置 Office 2010 提供的密码设置以强制实施密码长度和复杂性时,可以选择使用 Office 2010 中包含的设置,或者结合使用基于域的组策略对象中提供的密码设置。如果您已强制实施用于域登录和身份验证的强密码,则建议您为 Office 2010 和相应域的密码策略组策略对象配置相同的密码长度和复杂性设置。
Office 2010 中包含的密码设置如下所示:
设置密码最短长度
设置密码规则等级
设置密码规则域超时
可以使用 Office 自定义工具 (OCT) 或用于本地或基于域的组策略的 Office 2010 管理模板来配置 Office 2010 密码设置。有关如何在 OCT 和 Office 2010 管理模板中配置安全设置的信息,请参阅为 Office 2010 配置安全性。
下面列出了用于域中的密码策略组策略对象的密码设置:
强制密码历史
密码最长期限
密码最短期限
最短密码长度
密码必须符合复杂性要求
用可还原的加密来储存密码
可以使用组策略对象编辑器配置基于域的密码策略设置(“GPO”|“计算机配置”|“策略”|“Windows 设置”|“安全设置”|“帐户策略”|“密码策略”)。有关详细信息,请参阅组策略对象编辑器技术参考(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=188682\&clcid=0x804)(该链接可能指向英文页面)。
Office 2010 中的“设置密码规则等级”设置可确定密码复杂性要求以及是否使用该域的密码策略组策略对象。
若要强制实施“用密码进行加密”功能的密码长度和复杂性设置,必须执行以下操作:
确定要在本地强制实施的最短密码长度。
确定密码规则等级。
确定实施基于域的密码的密码超时值。(这是一项可选任务。如果您的域控制器上安装了自定义密码筛选器,并且等候联系域控制器的默认时间(4 秒钟)不够时,则可能需要配置该值。)
确定最短密码长度要求
若要强制实施密码长度和复杂性,必须首先确定要在本地强制实施的最短密码长度。为此,可使用“设置密码最短长度”设置。如果启用此设置,则可以指定介于 0 和 255 之间的密码长度。但是,指定最短密码长度并不会强制实施密码长度。若要强制实施密码长度或复杂性,必须更改下节中讨论的“设置密码规则等级”设置。
警告
在创建密码策略时,应考虑是需要提高安全性,还是需要使密码策略易于用户实施。如果用户忘记密码或某员工离开了组织但没有提供用于保存和加密数据的密码,则无法访问该数据,除非提供正确的密码来解密数据。
确定密码规则等级
在设置可本地实施的最短密码长度后,必须确定用于强制实施密码长度和复杂性的规则。为此,可使用“设置密码规则等级”设置。如果启用此设置,则可以选择以下四个等级中的一个等级:
无密码检查 不强制实施密码长度和复杂性。这与默认配置相同。
本地长度检查 强制实施密码长度,但不强制实施密码复杂性。此外,只根据“设置密码最短长度”设置中指定的密码长度要求,在本地强制实施密码长度。
本地长度和复杂性检查 根据“设置密码最短长度”设置中指定的密码长度要求,在本地强制实施密码长度。并且还在本地强制实施密码复杂性,这表明密码必须包含以下字符集中至少三个字符集中的字符:
小写 a–z
大写 A–Z
数字 0–9
非字母字符
此设置仅在您在“设置密码最短长度”设置中指定至少包含 6 个字符的密码长度时才有效。
本地长度、本地复杂性和域策略检查 根据在组策略中设置的基于域的密码策略设置,强制实施密码长度和复杂性。如果计算机脱机或无法联系域控制器,则会按照“本地长度和复杂性检查”设置中的描述,严格实施本地密码长度和复杂性要求。
如果希望使用基于域的设置强制实施密码长度和密码复杂性,则必须配置组策略中的密码策略设置。与本地实施相比,基于域的实施具有若干优势。下面是其中一些优势:
针对登录和身份验证的密码长度和复杂性要求与针对“用密码进行加密”功能的要求相同。
在整个组织中强制实施密码长度和复杂性要求的方式相同。
可以根据组织单位、站点和域,以不同方式强制实施密码长度和复杂性要求。
有关使用基于域的组策略强制实施密码长度和复杂性的详细信息,请参阅在整个组织中强制使用强密码(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=166262\&clcid=0x804)(该链接可能指向英文页面)。
确定域超时值
如果使用基于域的组策略设置强制实施“用密码进行加密”功能的密码长度和复杂性要求,并且您的域控制器上安装了自定义密码筛选器,则可能需要配置“设置密码规则域超时”设置。域超时值确定 Office 2010 应用程序在强制使用本地密码长度和复杂性设置之前需要等待多长时间才能获得来自域控制器的响应。可以使用“设置密码规则域超时”设置更改域超时值。默认情况下,超时值为 4000 毫秒(4 秒),这表明如果域控制器在 4000 毫秒内没有响应,Office 2010 应用程序将强制使用本地密码长度和复杂性设置。
备注
除非启用“设置密码最短长度”设置、“设置密码规则等级”设置,然后选择“本地长度、本地复杂性和域策略检查”选项,否则域超时值不起作用。
相关密码长度和复杂性设置
在组织强制实施密码长度和复杂性时会经常使用以下设置:
加密灵活性设置 您可以通过这些设置指定用于加密文档、演示文稿和工作簿的加密提供程序和算法。
备注
有关策略设置的最新信息,请参考 Microsoft Excel 2010 工作簿 Office2010GroupPolicyAndOCTSettings_Reference.xls,可从 Office 2010 管理模板文件(ADM、ADMX、ADML)和 Office 自定义工具(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x804)(该链接可能指向英文页面) 下载页上的“此下载中的文件”部分获得该工作簿。