账户策略中包括密码策略和账户锁定策略两种安全设置。密码策略为密码复杂程度和密码规则的修改提供了一种标准的手段，以便满足高安全性环境中对密码的要求。账户锁定策略可以跟踪失败的登录，并且在必要时可以锁定相应账户。
进入"控制面板→系统和安全→管理工具→本地安全策略"，打开本地安全策略窗口，如图 7-14 所示。


(1)密码策略
密码策略包含 6 种与密码特征相关的设置，分别是"密码必须符合复杂性要求"、"密码长度最小值"、"密码最长使用期限"、"密码最短使用期限"、"强制密码历史"和"用可还原的加密来储存密码"。
进入"控制面板→系统和安全→管理工具→本地安全策略→账户策略→密码策略飞如图 7-15 所示。通过双击具体策略进行设置。

密码必须符合复杂性要求:启用该项后，将对所有的新密码进行检查，确保满足密码复杂性的基本要求。
如果启用此策略，密码必须符合下列最低要求:不能包含用户的账户名，不能包含用户姓名中超过两个连续字符的部分，至少有六个字符长，包含以下四类字符中的三类字符:英文大写字母(A 到 Z)、英文小写字母(a 到 z)、 10 个基本数字(0 至IJ 9)、非字母字符(例如!、$、#、%)。
如图 7-16 所示，通过双击具体策略进行设置，可以选择是否启动"密码必须符合复杂性要求策略"。

密码长度最小值:设置密码最少包含有多少个字符。该值介于 O 和 14 个字符之间。如果设置为 0，则允许用户使用空白密码。
密码最长使用期限:此安全设置确定在系统要求用户更改某个密码之前可以使用该密码的期间(以天为单位)。可以将密码设置为在某些天数(介于 1 到 999 之间)后到期，或者将天数设置为 0，指定密码永不过期。如果密码最长使用期限介于 1 和 999 天之间，密码最短使用期限必须小于密码最长使用期限。如果将密码最长使用期限设置为 0，则可以将密码最短使用期限设置为介于 O 和 998 天之间的任何值。安全最佳操作是将密码设置为 30 到 90 天后过期，具体取决于您的环境。这样，攻击者用来破解用户密码以及访问网络资源的时间将受到限制。
密码最短使用期限:此安全设置确定在用户更改某个密码之前必须使用该密码一段时间(以天为单位)。可以设置一个介于 1 和 998 天之间的值，或者将天数设置为 0，允许立即更改密码。密码最短使用期限必须小于密码最长使用期限，除非将密码最长使用期限设置为 0，指明密码永不过期。如果将密码最长使用期限设置为 0，则可以将密码最短使用期限设置为介于 O 和 998 之间的任何值。如果希望"强制密码历史"有效，则需要将密码最短使用期限设置为大于 O 的值。如果没有设置密码最短使用期限，用户则可以循环选择密码，直到获得期望的 18密码。
强制密码历史:设置互不相同的新密码的个数，在重新使用旧密码之前，用户必须使用过这么多的密码，此设置值可介于 0 和 24 之间。该策略通过确保旧密码不能继续使用，从而使管理员能够增强安全性。
用可还原的加密来储存密码:指密码的存储方式，是否用可以还原的加密方式存储，默认情况下，存储的密码只有操作系统能够访问，如果某些应用程序需要直接访问某个账户的密码，则必须将此策略启用，此策略的应用会使安全性降低，所以一般不启用。
(2) 账户锁定策略
账户锁定策略是指当用户输入错误密码的次数达到一个设定值时，就将此账户锁定，锁定的账户暂时不能登录，只有等超过指定时间自动解除锁定或由管理员手动解除锁定。
进入"控制面板→系统和安全→管理工具→本地安全策略→账户策略→账户锁定策略"如图 7-17 所示，可以通过双击具体策略进行设置。

账户锁定时间:一个账户在解除锁定并允许用户重新登录之前必须经过的时间，即被锁定的用户不能进行登录操作的时间，单位为分钟，如果将时间设置为 0，将会永远锁定该账户，直到管理员解除账户的锁定。
账户锁定阙值:允许账户登录失败的次数。除非管理员进行了重新设置或该账户的锁定期己满，才能重新使用账户。该次数可设置为 1 到 999 之间的值，如果设置为 0 ，则始终不锁定该账户，如图 7-18 所示。

重置账户锁定计数器:指用户输入密码错误开始计数时，计数器保持的时间，当该时间过后，