Windows系统组策略配置（密码策略 + 审计日志）步骤搭配场景说明（含windows家庭版）

场景说明

某企业要求员工电脑满足以下安全要求：

1. 账户输错密码3次后锁定30分钟；
2. 密码每90天强制修改一次；
3. 密码需符合复杂性要求（长度、字符类型）；
4. 记录所有密码修改和账户管理操作日志。

步骤 1：打开本地组策略编辑器

操作：

1. 按下 Win + R 组合键，弹出“运行”对话框；
2. 输入 gpedit.msc，点击 “确定”。

步骤 2：配置账户锁定策略（输错3次锁定）

操作：

1. 在组策略编辑器左侧导航栏依次展开：
   计算机配置 > Windows设置 > 安全设置 > 账户策略 > 账户锁定策略
2. 双击右侧 “账户锁定阈值”：
   • 勾选 “定义这个策略设置”，输入数值 3；
   • 点击 “确定”。
3. 系统弹出“建议值”提示框，直接点击 “确定”（默认锁定时间30分钟）。

步骤 3：配置密码策略（每3个月修改 + 强度要求）

3.1 密码最长使用期限（90天）

操作：

1. 展开左侧导航栏：
   计算机配置 > Windows设置 > 安全设置 > 账户策略 > 密码策略
2. 双击 “密码最长使用期限”：
   • 勾选 “定义这个策略设置”，输入数值 90（天）；
   • 点击 “确定”。

3.2 密码最短使用期限（1天，可选）

操作：

1. 双击 “密码最短使用期限”，设置为 1 天（防止用户1天内反复修改密码绕过策略）。

3.3 启用密码复杂性要求

操作：

1. 双击 “密码必须符合复杂性要求”：
   • 勾选 “已启用”；
   • 点击 “确定”。

密码复杂性规则：

• 长度 ≥ 8个字符；
• 包含以下 3类字符 中的至少3种：
  • 大写字母（A-Z）；
  • 小写字母（a-z）；
  • 数字（0-9）；
  • 特殊字符（如 !@#$%^&*）。

步骤 4：启用审计日志（记录修改操作）

操作：

1. 展开左侧导航栏：
   计算机配置 > Windows设置 > 安全设置 > 本地策略 > 审核策略
2. 双击 “审核账户管理”：
   • 勾选 “成功” 和 “失败”；
   • 点击 “确定”。

验证配置生效

1. 账户锁定测试：
   • 连续输错密码3次，观察账户是否锁定30分钟。
2. 密码过期提醒：
   • 等待90天后，检查系统是否强制要求修改密码。
3. 密码强度测试：
   • 尝试设置弱密码（如 12345678），系统应拒绝并提示需符合复杂性要求。
4. 日志查看：
   • 打开“事件查看器”（eventvwr.msc），导航至：
     Windows日志 > 安全，筛选事件ID 4723（密码修改）或 4720（账户创建）。

注意事项

1. 组策略刷新：
   • 修改后需运行 gpupdate /force 强制刷新策略，或重启电脑生效。
2. 域环境差异：
   • 如果是域控制器，需通过域组策略（gpmc.msc）统一配置。
3. 审计日志存储：
   • 定期清理安全日志，避免磁盘空间不足（可通过日志属性设置最大大小）。
4. 密码强度例外：
   • 特殊账户（如服务账户）可通过 “存储密码使用反向兼容性” 策略豁免复杂性要求（需谨慎使用）。

Windows 家庭版没有图形化的本地安全策略 / 组策略编辑器，需通过命令行（CMD/PowerShell） 和注册表实现

一、密码每 90 天强制修改（可直接执行）

net accounts /maxpwage:90

New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" -Name "PasswordComplexity" -Value 1 -PropertyType DWord -Force

net accounts /minpwlen:8

net accounts

auditpol /set /subcategory:"User Account Management" /success:enable /failure:enable