Windows 7 home срок действия пароля
Prokurors.ru

Юридический портал

Windows 7 home срок действия пароля

Настройте политику паролей в Windows 10/8/7

На некоторых веб-сайтах вы могли видеть, что для регистрации вам потребуется ввести пароль, который соответствует критерию, установленному веб-сайтом (например, пароль должен содержать не менее 8 символов, должен содержать буквы нижнего и верхнего регистра и т. д.) , Вы также можете реализовать эту функцию в Windows 10/8/7, используя либо локальную политику безопасности для Windows, либо используя командную строку с повышенными привилегиями для пользователей с другими выпусками Windows 10/8/7.

Изменить политику паролей Windows

Использование локальной политики безопасности.

Введите Local Security Policy в меню «Пуск» и нажмите Enter. Откроется окно LSP. Теперь на левой панели выберите Политика паролей в разделе Политики учетной записи. Теперь на правой стороне будут перечислены шесть вариантов.

Детали каждого из этих вариантов перечислены ниже.

Принудительное использование истории паролей . Этот параметр безопасности определяет количество уникальных новых паролей, которые необходимо связать с учетной записью пользователя, прежде чем старый пароль можно будет повторно использовать. Значение должно быть от 0 до 24 паролей. Эта политика позволяет администраторам повышать безопасность, обеспечивая постоянное повторное использование старых паролей.

Максимальный срок действия пароля: . Этот параметр безопасности определяет период времени (в днях), в течение которого пароль может использоваться, прежде чем система потребует от пользователя его изменения. Вы можете установить срок действия паролей через несколько дней от 1 до 999, или вы можете указать, что срок действия паролей никогда не истечет, установив число дней равным 0. Если максимальный срок действия пароля составляет от 1 до 999 дней, минимальный срок действия пароля должен быть меньше, чем максимальный срок действия пароля. Если максимальный срок действия пароля установлен равным 0, минимальный срок действия пароля может быть любым значением от 0 до 998 дней.

Минимальный срок действия пароля: . Этот параметр безопасности определяет период времени (в днях), в течение которого пароль должен использоваться, прежде чем пользователь сможет его изменить. Вы можете установить значение от 1 до 998 дней или разрешить немедленные изменения, задав число дней равным 0. Минимальный срок действия пароля должен быть меньше, чем Максимальный срок действия пароля, если только максимальный срок действия пароля не установлен равным 0, указывая что пароли никогда не истекают. Если максимальный срок действия пароля установлен на 0, минимальный срок действия пароля может быть установлен на любое значение от 0 до 998.

Минимальная длина пароля: Этот параметр безопасности определяет наименьшее количество символов, которое может содержать пароль для учетной записи пользователя. Вы можете установить значение от 1 до 14 символов или установить, что пароль не требуется, установив количество символов в 0.

Пароль должен соответствовать требованиям сложности. Этот параметр безопасности определяет, должны ли пароли соответствовать требованиям сложности. Если эта политика включена, пароли должны соответствовать следующим минимальным требованиям:

— Не содержать имя учетной записи пользователя или части полного имени пользователя, которые превышают два последовательных символа
— Длина не менее шести символов
— Содержат символы из трех следующих четырех категорий:

  • Английские заглавные буквы (от A до Z)
  • Английские строчные буквы (от a до z)
  • Базовые 10 цифр (от 0 до 9)
  • Не алфавитные символы (например. $, #,%)

Требования к сложности применяются при изменении или создании паролей.

Хранить пароль с использованием обратимого шифрования: Этот параметр безопасности определяет, будет ли операционная система хранить пароли с использованием обратимого шифрования. Эта политика обеспечивает поддержку приложений, которые используют протоколы, которые требуют знания пароля пользователя в целях аутентификации. Хранение паролей с использованием обратимого шифрования по существу аналогично хранению незашифрованных версий паролей. По этой причине эту политику никогда не следует включать, если только требования приложения не перевешивают необходимость защиты информации о пароле.

Чтобы изменить любой или все эти параметры, просто дважды щелкните параметр, выберите соответствующий вариант и нажмите ОК .

Использование расширенной командной строки.

Введите cmd в меню «Пуск». В разделе «Программы» щелкните правой кнопкой мыши cmd и выберите Запуск от имени администратора .

Команды и их пояснения приведены ниже.

net account/minpwlen: length — устанавливает минимальное количество символов, которое должен содержать пароль. Замените слово length на желаемое количество символов. Диапазон 0-14.

пример: чистые аккаунты/minpwlen: 7

net account/maxpwage: days — . Устанавливает максимальное количество дней, после которых пользователь должен будет сменить пароль.Замените days на желаемое значение. Диапазон от 1-999. Если используется unlimited , ограничение не устанавливается. Значение maxpwage всегда должно быть больше, чем minpwage .

пример: чистые аккаунты/maxpwage: 30

net account/minpwage: days — Задает минимальное количество дней, которое должно пройти, прежде чем пароль можно будет изменить. Замените days на желаемое значение. Диапазон от 1-999.

пример: чистые аккаунты/minpwage: 10

net account/uniquepw: number — Задает количество раз, после которого пароль может быть снова использован. Замените число на желаемое значение. Максимальное значение 24.

пример: чистые аккаунты/uniquepw: 8

Чтобы использовать команду, просто введите ее в командной строке, как показано, и нажмите клавишу ввода.

Чтобы просмотреть настройки, введите net account в cmd и нажмите enter.

Как установить срок действия пароля Windows 10

По умолчанию, пароль учетной записи Windows 10, как аккаунта Майкрософт, так и локальной учетной записи, не ограничен по времени. Однако, при необходимости, вы можете задать срок действия пароля, по истечении которого вам автоматически будет предложено его изменить.

В этой инструкции подробно о том, как установить срок действия пароля для учетной записи Майкрософт и автономной учетной записи Windows 10 несколькими способами. Также может быть интересным: Как ограничить количество попыток ввода пароля, Как всё запретить и заблокировать в Windows 10.

Как настроить срок действия пароля для локальной учетной записи Windows 10

Установка срока действия пароля локальной учетной записи Windows 10 состоит из двух этапов. На первом требуется отключить неограниченный срок действия:

  1. Нажмите клавиши Win+R на клавиатуре, введите lusrmgr.msc и нажмите Enter.
  2. В открывшемся окне управления локальными пользователями выберите своего пользователя, нажмите по нему правой кнопкой мыши и откройте «Свойства».
  3. Снимите отметку «Срок действия пароля не ограничен» и примените настройки.

Готово. Теперь срок действия пароля существует и по умолчанию он равен 42 дням, однако вы можете изменить этот период. Если на вашем компьютере установлена Windows 10 Pro или Enterprise, можно использовать редактор локальной групповой политики:

  1. Нажмите клавиши Win+R, введите gpedit.msc и нажмите Enter.
  2. Перейдите к разделу Конфигурация компьютера — Параметры безопасности — Политики учетных записей — Политики паролей.
  3. Дважды нажмите по параметру «Максимальный срок действия пароля», задайте новое значение и примените настройки.

В Windows 10 Домашняя (как и в других редакциях ОС) для установки конкретного срока действия можно использовать PowerShell:

  1. Запустите Windows PowerShell от имени Администратора (это можно сделать нажав правой кнопкой мыши по кнопке «Пуск» и выбрав соответствующий пункт контекстного меню, есть и другие способы — Как запустить Windows PowerShell).
  2. Введите команду
  3. Для того, чтобы просмотреть установленные политики паролей, включая срок действия, можно использовать команду net accounts, как на скриншоте выше.

Как ограничить срок пароля для учетной записи Майкрософт

Если вы используете учетную запись Майкрософт, вы можете включить обязательную смену пароля раз в 72 дня. Срок для такой онлайн-аккаунта не меняется. Шаги для этого будут следующими:

  1. Зайдите в параметры вашей учетной записи Майкрософт: для этого можно напрямую зайти на сайт под своей учетной записью или открыть Параметры — Учетные записи — Ваши данные — Управление учетной записью Майкрософт.
  2. На странице управления учетной записью нажмите по «Дополнительные действия», а затем — «Изменить пароль».
  3. На следующем этапе задать новый пароль и установить отметку «Менять пароль через каждые 72 дня».

После сохранения изменений пароль будет действовать лишь указанные 72 дня, после чего вам будет предложено изменить его на новый.

А вдруг и это будет интересно:

Почему бы не подписаться?

Рассылка новых, иногда интересных и полезных, материалов сайта remontka.pro. Никакой рекламы и бесплатная компьютерная помощь подписчикам от автора. Другие способы подписки (ВК, Одноклассники, Телеграм, Facebook, Twitter, Youtube, Яндекс.Дзен)

26.12.2019 в 22:49

Исправьте lusmgr.msc на lusrmgr.msc.
=
Статья будет полна если хоть пару слов сказать кому и для чего это нужно. Сколько живу мне бы даже в голову не пришло задуматься об этом и даже от большого количества пользователей с которыми работаю ни разу даже намека не слышал. Даже придумать не могу где такое может пригодится.
ИМХО

27.12.2019 в 14:38

Исправил, спасибо.
А насчет кому нужно… тут как: на мой сайт ведь через поиск приходят обычно. Соответственно, кто искал (а ищут — это точно) как ограничить срок действия пароля, найдут и, вероятно, им известно зачем.
Вообще в организациях практикуется на всё пароли регулярно менять принудительно.

Читать еще:  Как оспорить независимую экспертизу ущерба при затоплении?

29.12.2019 в 15:22

В организациях может быть, но лично для меня это была новая информация о чём я говорил.
Спасибо Вам за труды!
Повторюсь, когда уведомления на ответы будут у Вас на сайте и прикрепление файлов в комментариях и личный кабинет бы не помешало где можно было бы найти все свои подписки и комментарии.

30.12.2019 в 13:44

Василий, к сожалению, уведомлений и прикрепления файлов реализовать по ряду объективных причин у меня не получится, прошу извинить.

Примечание: после отправки комментария он не появляется на странице сразу. Всё в порядке — ваше сообщение получено. Ответы на комментарии и их публикация выполняются ежедневно днём, иногда чаще. Возвращайтесь.

Windows 7 home срок действия пароля

как отменить принудительную смену пароля в windows 7?

как отменить принудительную смену пароля в windows 7 home premium?

Сведения о вопросе

Это помогло устранить вашу проблему?

К сожалению, это не помогло.

Великолепно! Спасибо, что пометили это как ответ.

Насколько Вы удовлетворены этим ответом?

Благодарим за отзыв, он поможет улучшить наш сайт.

Периодическая замена паролей в Windows 10

При создании Windows 10 разработчики Microsoft уделили немало внимания безопасности системы. Чего только стоит биометрическая аутентификация Windows Hello или улучшенный Windows Defender. Но сегодня я хочу рассказать о менее известной функции, которая, по сути, заставляет пользователей Windows 10 периодически менять свои пароли. В принципе, это и так можно делать в любое время, но дополнительная дисциплина, когда речь идет о безопасности, еще никому не помешала.

Сделать это можно тремя способами, исходя из того, какая версия Windows 10 у вас установлена, и используете ли вы аккаунт Microsoft. К примеру, если у вас Windows 10 Pro, Enterprise или Education, можно воспользоваться редактором локальной групповой политики.

Первым делом нужно открыть gpedit.msc (нажать Win + R и ввести gpedit.msc) и перейти по следующему пути: Конфигурация Windows → Параметры безопасности → Политика учетных записей → Политика паролей

В открывшемся окне нужно выбрать параметр «Максимальный срок действия пароля» и указать по истечению какого срока система попросит вас изменить пароль. Неким стандартом считается 72 дня, но вы можете выбрать количество дней на свое усмотрение.

Также в пункте «Политика паролей» можно выбрать минимальную длину пароля, минимальный срок его действия, а также активировать архив паролей (чтобы пользователи не могли указать в качестве нового пароля тот, который уже использовался ранее).

А вот в Windows 10 Home редактор локальной групповой политики отсутствует, поэтому владельцем этой версии операционной системы придется воспользоваться уже командной строкой.

Первым делом необходимо открыть командную строку с правами администратора (это обязательное условие), а затем просто ввести команду «wmic UserAccount set PasswordExpires=True». После обновление свойств пропишите еще одну команду: «net accounts /maxpwage:72». Вместо 72 можете подставить необходимое вам количество дней.

Если вы хотите настроить срок действия пароля только для какой-то определенной учетной записи на компьютере, можете использовать команду «wmic UserAccount where Name=’Имя Пользователя’ set PasswordExpires=True».

Но если вы используете учетную запись Microsoft, эти два способа у вас работать не будут. Правда, включить такую опцию все-таки можно. Для этого необходимо зайти в свой аккаунт на сайте Microsoft, найти там пункт «Смена пароля» и поставить галочку напротив «Менять пароль каждые 72 дня».

В данном случае изменения коснутся не только пароля к вашей учетной записи Windows 10, но и OneDrive, Outlook.com, Skype и других сервисов.

Кстати, данное руководство также подойдет для Windows 7, Windows 8 и Windows 8.1. Если этот материал был вам полезен, поставьте лайк. И, если уж пошла такая жара, можете даже подписаться на нашу группу ВКонтакте (вдруг вы этого еще не сделали).

Windows 7 home срок действия пароля

Если я не ошибаюсь, то это скорее всего GPO.

Посмотрите вот тут:

Политика GPO — Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Политики учетных записей — Политика паролей — Минимальный срок действия пароля — Выставите 0 дней.

Если я не ошибаюсь, то это скорее всего GPO.

Посмотрите вот тут:

Политика GPO — Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Политики учетных записей — Политика паролей — Минимальный срок действия пароля — Выставите 0 дней.

Как раз таки это политика GPO(Минимальный срок действия пароля) должно быть включен. Оно сейчас отключен(0 дней) для временного решение.

Может быть такое, что пользователь попытался сменить пароль позже установленного срока политикой Минимальный срок действия пароля?

После установки Минимальный срок действия пароля=0 пользователи могут самостоятельно сменить пароль?

Может быть такое, что пользователь попытался сменить пароль позже установленного срока политикой Минимальный срок действия пароля?

После установки Минимальный срок действия пароля=0 пользователи могут самостоятельно сменить пароль?

Добрый день! Нет. Это у всех так происходить где windows 7 pro и самостоятельное смена пароля не проверял, так как это не интересует. Надо, что бы, когда автоматом политика просить сменить пароль.

Windows 7 home срок действия пароля

Следите за своим паролем как за зубной щеткой.

Не делитесь им ни с кем и меняйте каждые полгода.

В редакциях Windows 7 Professional и Ultimate есть функция, которая периодически заставляет вас менять пароль. Для того чтобы включить ее, откройте диспетчер Локальные пользователи и группы (Local Users and Groups) (в поле поиска меню Пуск введите lusrmgr.msc) и выберите папку Пользователи (Users). Дважды щелкните на своем имени пользователя, сбросьте флажок Срок действия пароля не ограничен (Password never expires) и нажмите ОК. (Если необходимо, выполните то же самое для других учетных записей.) Когда закончите, закройте диспетчер Локальные пользователи и группы (Local Users and Groups),

Теперь откройте редактор Локальная политика безопасности (Local Security Policy) (в поле поиска меню Пуск введите secpol .msc) и разверните ветвь Политики учетных записейПолитика паролей (Account PoliciesPassword Policy). В правой панели щелкните на пункте Максимальный срок действия пароля (Maximum password аде) и введите срок действия пароля в днях (если следовать совету Столла, то 182 дня). Закройте редактор Локальная политика безопасности (Local Security Policy); изменения вступят в силу при следующем входе в систему.

Windows 7 home срок действия пароля

Сообщения: 727
Благодарности: 150

если ваш компьютер в домене:
откройте справку и прочтите о порядке применения групповых политик
сразу все станет ясно (не стало? google > lsdou)
также не забываем на каком уровне применяются политики учетных записей

если ваш компьютер не в домене или был выведен из домена:
1) возможно у вас не хватае прав для просмотра
2) некорректный вывод из домена или хвосты от «разрешений» (How to fix it?)

Как в Windows 10 отключить срок действия пароля учетной записи?

Здравствуйте. Подскажите, пожалуйста. У меня выскакивает уведомление, что срок действия моего пароля закончится через несколько дней. Я не хочу менять пароль. Как это выключить? У меня Windows 10 Home Single — Language 64 бит.

Всё решено. Вам всего то надо было мне написать пару команд для командной строки, ребята.

net accounts /minpwage:0 в идеале

или хотя бы так

net accounts /maxpwage:unlimited

Большое спасибо за помощь, бесполезный ресурс.

Как отключить срок действия учетной записи Windows 7 home premium

Как включить BranchCache в Windows 7 Home Premium?
Доброго времени суток всем! Наивный “детский” вопрос: есть ли возможность.

Как поменять язык интерфейса Windows 7 Home Premium?
Купил ноутбук и случайно был установлен язык интерфейса украйнский, скажите.

Как при загрузке отключить выбор учетной записи?
Ув . Знатоки,помогите пожалуйста в следующем вопросе,при загрузке системы.

Windows 7 home premium
windows 7 home premium на испанском как быть?не хочу потерять лицензию.

Лицензионная windows 7 home premium
У меня на задней крышке ноута лицензионный ключ в win7 , если я установлю вин 7.

Windows 7 home срок действия пароля

Сообщения: 1496
Благодарности: 383

——-
Microsoft Certified Trainer; Cisco Certified Systems Instructor; Certified EC-Council Instructor; Certified Ethical Hacker v8.

Сообщения: 15
Благодарности:

Сообщения: 250
Благодарности: 37

Сообщения: 15
Благодарности:

Сообщения: 12412
Благодарности: 1442

у меня на английском. так же хочу напомнить, что политика паролей начиная с 2008 сервера может назначаться в любом новом GPO (как на скрине), а не только в имеющемся Default Domain Policy.

Сообщения: 15
Благодарности:

Сообщения: 3712
Благодарности: 739

Рекомендации Microsoft по отключению срока действия паролей: следствия и выводы

Как вам уже известно, Microsoft поменял своё руководство по политикам срока действия паролей. В мае 2019 года они разместили пост в своем блоге с пояснениями этого решения.
Эксперты в сфере кибербезопасности знают, что среднестатистический человек имеет пароль, который удобно вводить, и поэтому его легко подобрать компьютеру. При этом необходимость его смены раз в несколько месяцев не меняет того факта, что такие пароли легко подобрать. Мощность современных компьютеров позволяет подобрать перебором пароль длиной в 8 цифробуквенных символов за несколько часов. Смена одного или двух символов из этих восьми не сделает задачу сложнее.

Читать еще:  Как выписаться из квартиры и не ухудшить жилищные условия?

С момента выхода рекомендаций Microsoft прошло уже достаточно много времени и самое время сделать выводы, стоит ли совсем избавиться от срока действия паролей? На самом деле не всё так просто.

Политика срока действия паролей является всего лишь одним из кирпичиков в стене кибербезопасности. Не стоит доставать один из кирпичей стены, если у вас нет других методов защиты для компенсации такого действия. Поэтому лучше всё же сконцентрировать внимание на самых крупных факторах риска в организации и проработать стратегию кибербезопасности таким образом, чтобы сократить именно их.

Зачем избавляться от политик срока действия паролей?

Аргументация Microsoft по этому вопросу заключается в том, что политики срока действия паролей несут малую ценность с точки зрения информационной безопасности. В результате они больше не рекомендуют их применение и исключили этот элемент из структуры фундаментального уровня кибербезопасности от Microsoft.

Но Microsoft не просит отключить все ваши политики паролей сиюминутно. Они лишь информируют, что вашей стратегии ИБ нужно что-то большее, чем просто истечение срока действия паролей.

Стоит ли удалять политику паролей?

Большинству организаций следует оставить политику срока действия паролей без изменений. Подумайте над следующим простым вопросом: что будет, если у пользователя украдут пароль?
Политики паролей помогают снизить напор атакующего, заблокировав его жизненно важный канал доступа внутрь сети. Чем короче срок действия пароля, тем меньше остаётся времени на компрометацию системы и вывод данных (если только атакующий не воспользовался другой точкой входа). Microsoft считает, что всё те же политики, нацеленные изначально на исключение скомпрометированных паролей из ротации, по факту только поощряют плохую практику – например, повторное использование и слабую итерацию (vesna2019, leto2019, zima2019) паролей, шпаргалки на мониторах и т.д.

Словом, в Microsoft верят, что риск от плохих практик использования паролей на самом деле выше, чем выгода от внедрения политик по сроку действия. Мы в Varonis отчасти с этим согласны, но на самом деле существует сильное недопонимание того, что требуется компании для готовности к отказу от таких политик.

Данное изменение сильно повышает удобство работы пользователям и его легко внедрить, но в итоге есть вероятность только увеличить общие риски, если вы не следуете другим лучшим практикам в индустрии, таким как:

  • cекретные фразы: форсирование длинных (16 и более символов) и комплексных паролей повышает сложность их взлома. Старый стандарт в минимум 8 символов взламывается за несколько часов на современных ПК.
  • модель минимально необходимого доступа: в мире, где постоянство никогда не нарушается, критично знать, что пользователь имеет доступ лишь к минимально необходимому объёму данных.
  • отслеживание поведения: вам необходимо уметь детектировать компрометацию аккаунта на основе отклонений от нормального входа в систему и нестандартного использования данных. Один лишь анализ статистики в данном случае не поможет.
  • многофакторная аутентификация: даже если атакующий знает имя пользователя и пароль, многофакторная аутентификация является серьёзным препятствием для среднестатистического злоумышленника.

Пароли наконец-то отмирают?

В этом и заключается основной вопрос, не так ли?

Есть несколько технологий, стремящихся заменить пароли как протокола аутентификации де факто. FIDO2 хранит идентификационные данные на физическом устройстве. Биометрия, несмотря на сомнения касательно «уникальности, но отсутствия конфиденциальности», также является потенциальным вариантом.

Новая парадигма заключается в поиске методов аутентификации, которые нельзя случайно передать или легко украсть. Но пока что такие технологии не пробились из корпоративного
сектора в мейнстрим. До этих пор, Varonis рекомендует оставить ваши политики срока действия паролей без изменений, а неудобство пользователей считать небольшим во имя общего блага.

Как Varonis помогает защититься от кражи учётных данных

Varonis предоставляет дополнительную защиту для усиления ваших политик паролей. Мы отслеживаем файловую активность, события в Active Directory, телеметрию периметра и другие ресурсы для построение базовой модели поведения пользователей. Затем сравниваем её с текущим поведением на базе встроенных моделей угроз чтобы понять, не скомпрометирован ли аккаунт. Дэшборд Active Directory показывает учётные записи, которые подвержены риску компрометации, такие как сервисные учетные записи с административными привилегиями, паролем без срока действия или вообще не требующих соответствия заданным в политиках требованиям. Модели угроз также выявляют различные варианты аномалий входа в систему, таких как вход в нестандартное время суток, вход с нового устройства, потенциальная брутфорс- или ticket harvesting атака.

До этих пор, лучше всё же оставить ваши политики срока действия паролей на месте.

А если вы захотите посмотреть Varonis в действии, запишитесь на нашу живую демонстрацию кибератак. Мы покажем, как проводить атаку, и продемонстрируем способы обнаружения и расследования таких инцидентов на базе нашей платформы.

Локальная политика безопасности. Часть 2: Политики учетных записей

В предыдущей части статьи о локальных политиках безопасности вы узнали о методах использования локальных политик безопасности, при помощи которых можно управлять настройками, имеющими отношение к безопасности, как вашего домашнего компьютера, так и компьютеров, расположенных в доменной среде организации. Начиная с этой статьи, будут подробно рассматриваться все категории политик, которые относятся к обеспечению безопасности ваших компьютеров. В этой статье вы узнаете об управлении проверки подлинности пользовательских учетных записей, а именно об узле “Политики учетных записей” . Применение этих политик распространено в предприятиях с доменной средой. Для обеспечения безопасности ваших компьютеров, применение политик этой группы на компьютерах, не входящих в доменную среду (например, использование политик на вашем домашнем компьютере) поможет вам существенно повысить безопасности компьютера.

Без сомнения, корпоративные учетные записи представляют огромный интерес для хакеров, которых может заинтересовать хищение корпоративной информации, а также получение доступа к компьютерам вашего предприятия. Поэтому, одним из решений, позволяющих существенно обезопасить инфраструктуру предприятия, является использование безопасных сложных паролей для снижения возможности проникновения злоумышленниками. Также не стоит забывать о том, что злоумышленники могут находиться гораздо ближе, чем вы себе представляете. Я настоятельно рекомендую заставить пользователей использовать сложные пароли, включая буквы разных регистров, цифры, а также специальные символы для паролей к своим учетным записям и ни в коем случае не оставлять свои пароли у всех на виду. Я имею в виду не записывать их на бумагу и не размещать на своем рабочем месте, рядом с компьютером, а тем более – не закреплять их на своих мониторах (что встречается довольно таки часто). Также пользователи обязаны менять свои пароли по истечению срока, который вы установите. Например, указав срок действия пароля в 30 дней, по его истечению перед входом пользователя в свою учетную запись, отобразится диалог с требованием изменения текущего пароля.

Для того чтобы найти политики, предназначенные для управления учётными записями, в редакторе управления групповыми политиками откройте узел Конфигурация компьютераПараметры безопасностиПолитики учетных записей . Рассмотрим подробно каждую политику безопасности, которая применяется для управления паролями и блокировкой учетных записей пользователей.

Политика паролей

При помощи этого узла вы можете изменять настройки паролей учетных записей пользователей, которые состоят как в домене, так и в рабочих группах. В организациях вы можете применять одинаковые политики паролей для всех пользователей, входящих в домен или только для отдельных групп при помощи оснастки “Консоль управления групповыми политиками” . В узле “Политика паролей” вы можете использовать до шести политик безопасности, при помощи которых можно указать наиболее важные параметры безопасности, применяемые для управления паролями учетных записей. Настоятельно рекомендую не игнорировать данные политики. Даже если вы уговорите своих пользователей использовать сложные пароли, не факт, что они действительно будут это делать. Если вы правильно настроите все шесть политик безопасности, расположенных в этом узле, безопасность паролей пользователей вашей организации значительно повысится. Применив все политики, пользователям действительно придется создавать безопасные пароли, в отличие от тех, которые они считают “сложными”. Доступны следующие политики безопасности:

Рис. 1 Узел “Политика паролей”

Вести журнал паролей . Насколько не был бы ваш пароль безопасным, злоумышленник рано или поздно сможет его подобрать. Поэтому необходимо периодически изменять пароли учетных записей. При помощи этой политики вы можете указать количество новых паролей, которые назначаются для учетных записей до повторного использования старого пароля. После того как эта политика будет настроена, контроллер домена будет проверять кэш предыдущих хэш-кодов пользователей, чтобы в качестве нового пароля пользователи не могли использовать старый. Число паролей может варьироваться от 0 до 24. Т.е., если вы указали в качестве параметра число 24, то пользователь сможет использовать старый пароль с 25-ого раза.

Читать еще:  Как в данной ситуации можно оформить дарственную?

Максимальные срок действия пароля . Эта политика указывает период времени, в течение которого пользователь может использовать свой пароль до последующего изменения. По окончанию установленного срока пользователь обязан изменить свой пароль, так как без изменения пароля войти в систему ему не удастся. Доступные значения могут быть установлены в промежутке от 0 до 999 дней. Если установлено значения равное 0, срок действия пароля неограничен. В связи с мерами безопасности желательно отказаться от такого выбора. Если значения максимального срока действия пароля варьируется от 1 до 999 дней, значение минимального срока должно быть меньше максимального. Лучше всего использовать значения от 30 до 45 дней.

Минимальная длина пароля . При помощи этой политики вы можете указать минимальное количество знаков, которое должно содержаться в пароле. Если активировать этот параметр, то при вводе нового пароля количество знаков будет сравниваться с тем, которое установлено в этой политике. Если количество знаков будет меньше указанного, то придется изменить пароль в соответствии с политикой безопасности. Можно указать значение политики от 1 до 14 знаков. Оптимальным значением для количества знаков для пароля пользователей является 8, а для серверов от 10 до 12.

Минимальные срок действия пароля . Многие пользователи не захотят утруждать себя запоминанием нового сложного пароля и могут попробовать сразу изменить ввести такое количество новых паролей, чтобы использовать свой хорошо известный первоначальный пароль. Для предотвращения подобных действий была разработана текущая политика безопасности. Вы можете указать минимальное количество дней, в течение которого пользователь должен использовать свой новый пароль. Доступные значения этой политики устанавливаются в промежутке от 0 до 998 дней. Установив значение равное 0 дней, пользователь сможет изменить пароль сразу после создания нового. Необходимо обратить внимание на то, что минимальный срок действия нового пароля не должен превышать значение максимального срока действия.

Пароль должен отвечать требованиям сложности . Это одна из самых важных политик паролей, которая отвечает за то, должен ли пароль соответствовать требованиям сложности при создании или изменении пароля. В связи с этими требованиями, пароли должны:

  • содержать буквы верхнего и нижнего регистра одновременно;
  • содержать цифры от 0 до 9;
  • содержать символы, которые отличаются от букв и цифр (например, !, @, #, $, *);
  • Не содержать имени учетной записи пользователя или частей полного имени пользователя длиной более двух рядом стоящих знаков.

В том случае, если пользователь создал или изменил пароль, который соответствует требованиям, то пароль пропускается через математический алгоритм, преобразовывающий его в хэш-код (также называемый односторонней функцией), о котором шла речь в политике “Вести журнал паролей”.

Хранить пароли, используя обратимое шифрование . Для того чтобы пароли невозможно было перехватить при помощи приложений, Active Directory хранит только хэш-код. Но если перед вами встанет необходимость поддержки приложений, использующих протоколы, требующие знание пароля пользователя для проверки подлинности, вы можете использовать текущую политику. Обратимое шифрование по умолчанию отключено, так как, используя эту политику, уровень безопасности паролей и всего домена в частности значительно понижается. Использование этой функции аналогично хранению пароля в открытом виде.

Политика блокировки учетной записи

Даже после создания сложного пароля и правильной настройки политик безопасности, учетные записи ваших пользователей все еще могут быть подвергнуты атакам недоброжелателей. Например, если вы установили минимальный срок действия пароля в 20 дней, у хакера достаточно времени для подбора пароля к учетной записи. Узнать имя учетной записи не является проблемой для хакеров, так как, зачастую имена учетных записей пользователей совпадает с именем адреса почтового ящика. А если будет известно имя, то для подбора пароля просто понадобится какие две-три недели.

Групповые политики безопасности Windows могут противостоять таким действиям, используя набор политик узла “Политика блокировки учетной записи” . При помощи данного набора политик, у вас есть возможность ограничения количества некорректных попыток входа пользователя в систему. Разумеется, для ваших пользователей это может быть проблемой, так как не у всех получится ввести пароль за указанное количество попыток, но зато безопасность учетных записей перейдет на “новый уровень”. Для этого узла доступны только три политики, которые рассматриваются ниже.

Рис. 2 “Политика блокировки учетной записи”

Время до сброса счетчиков блокировки . Active Directory и групповые политики позволяют автоматически разблокировать учетную запись, количество попыток входа в которую превышает установленное вами пороговое значение. При помощи этой политики устанавливается количество минут, которые должны пройти после неудачной попытки для автоматической разблокировки. Вы можете установить значение от одной минуты до 99999. Это значение должно быть меньше значения политики “Продолжительность блокировки учетной записи” .

Пороговое значение блокировки . Используя эту политику, вы можете указать количество некорректных попыток входа, после чего учетная запись будет заблокирована. Окончание периода блокировки учетной записи задается политикой “Продолжительность блокировки учетной записи” или администратор может разблокировать учетную запись вручную. Количество неудачных попыток входа может варьироваться от 0 до 999. Я рекомендую устанавливать допустимое количество от трех до семи попыток.

Продолжительность блокировки учетной записи . При помощи этого параметра вы можете указать время, в течение которого учетная запись будет заблокирована до ее автоматической разблокировки. Вы можете установить значение от 0 до 99999 минут. В том случае, если значение этой политики будет равно 0, учетная запись будет заблокирована до тех пор, пока администратор не разблокирует ее вручную.

Политика Kerberos

В доменах Active Directory для проверки подлинности учетных записей пользователей и компьютеров домена используется протокол Kerberos. Сразу после аутентификации пользователя или компьютера, этот протокол проверяет подлинность указанных реквизитов, а затем выдает особый пакет данных, который называется “Билет предоставления билета (TGT – Ticket Granting Ticket)” . Перед подключением пользователя к серверу для запроса документа на контроллер домена пересылается запрос вместе с билетом TGT, который идентифицирует пользователя, прошедшего проверку подлинности Kerberos. После этого контроллер домена передает пользователю еще один пакет данных, называемый билетом доступа к службе. Пользователь предоставляет билет на доступ службе на сервере, который принимает его как подтверждение прохождения проверки подлинности.

Данный узел вы можете обнаружить только на контроллерах домена. Доступны следующие пять политик безопасности:

Рис. 3. “Политика Kerberos”

Максимальная погрешность синхронизации часов компьютера . Для предотвращения “атак повторной передачи пакетов” существует текущая политика безопасности, которая определяет максимальную разность времени, допускающую Kerberos между временем клиента и временем на контроллере домена для обеспечения проверки подлинности. В случае установки данной политики, на обоих часах должны быть установлены одинаковые дата и время. Подлинной считается та отметка времени, которая используется на обоих компьютерах, если разница между часами клиентского компьютера и контроллера домена меньше максимальной разницы времени, определенной этой политикой.

Максимальный срок жизни билета пользователя . При помощи текущей политики вы можете указать максимальный интервал времени, в течение которого может быть использован билет представления билета (TGT). По истечении срока действия билета TGT необходимо возобновить существующий билет или запросить новый.

Максимальный срок жизни билета службы . Используя эту политику безопасности, сервер будет выдавать сообщение об ошибке в том случае, если клиент, запрашивающий подключение к серверу, предъявляет просроченный билет сеанса. Вы можете определить максимальное количество минут, в течение которого полученный билет сеанса разрешается использовать для доступа к конкретной службе. Билеты сеансов применяются только для проверки подлинности на новых подключениях к серверам. После того как подключение пройдет проверку подлинности, срок действия билета теряет смысл.

Максимальный срок жизни для возобновления билета пользователя . С помощью данной политики вы можете установить количество дней, в течение которых может быть восстановлен билет предоставления билета.

Принудительные ограничения входа пользователей . Эта политика позволяет определить, должен ли центр распределения ключей Kerberos проверять каждый запрос билета сеанса на соответствие политике прав, действующей для учетных записей пользователей.

Заключение

В наше время все чаще приходится заботиться о безопасности учетных записей, как для клиентских рабочих мест вашей организации, так и домашних компьютеров. Недоброжелателями, которые хотят получить доступ над вашим компьютером могут быть не только хакеры, расположенные в тысячах и сотнях тысяч километров от вас, но и ваши сотрудники. Защитить свои учетные записи помогают политики учетных записей. В этой статье подробно рассказывается обо всех политиках, которые имеют отношение к паролям ваших учетных записей, блокировке учетной записи при попытке подбора пароля, а также политикам Kerberos – протокола, используемого для проверки подлинности учетных записей пользователей и компьютеров домена. В следующей статье вы узнаете о политиках аудита.

Ссылка на основную публикацию
Adblock
detector