- Настройте политику паролей в Windows 10/8/7
- Изменить политику паролей Windows
- Минимальный срок действия пароля Minimum password age
- Справочные материалы Reference
- Возможные значения Possible values
- Рекомендации Best practices
- Местонахождение Location
- Значения по умолчанию Default values
- Управление политикой Policy management
- Необходимость перезапуска Restart requirement
- Вопросы безопасности Security considerations
- Уязвимость Vulnerability
- Противодействие Countermeasure
- Возможное влияние Potential impact
Настройте политику паролей в Windows 10/8/7
На некоторых веб-сайтах вы могли видеть, что для регистрации вам потребуется ввести пароль, который соответствует критерию, установленному веб-сайтом (например, пароль должен содержать не менее 8 символов, должен содержать буквы нижнего и верхнего регистра и т. д.) , Вы также можете реализовать эту функцию в Windows 10/8/7, используя либо локальную политику безопасности для Windows, либо используя командную строку с повышенными привилегиями для пользователей с другими выпусками Windows 10/8/7.
Изменить политику паролей Windows
Использование локальной политики безопасности.
Введите Local Security Policy в меню «Пуск» и нажмите Enter. Откроется окно LSP. Теперь на левой панели выберите Политика паролей в разделе Политики учетной записи. Теперь на правой стороне будут перечислены шесть вариантов.
Детали каждого из этих вариантов перечислены ниже.
Принудительное использование истории паролей . Этот параметр безопасности определяет количество уникальных новых паролей, которые необходимо связать с учетной записью пользователя, прежде чем старый пароль можно будет повторно использовать. Значение должно быть от 0 до 24 паролей. Эта политика позволяет администраторам повышать безопасность, обеспечивая постоянное повторное использование старых паролей.
Максимальный срок действия пароля: . Этот параметр безопасности определяет период времени (в днях), в течение которого пароль может использоваться, прежде чем система потребует от пользователя его изменения. Вы можете установить срок действия паролей через несколько дней от 1 до 999, или вы можете указать, что срок действия паролей никогда не истечет, установив число дней равным 0. Если максимальный срок действия пароля составляет от 1 до 999 дней, минимальный срок действия пароля должен быть меньше, чем максимальный срок действия пароля. Если максимальный срок действия пароля установлен равным 0, минимальный срок действия пароля может быть любым значением от 0 до 998 дней.
Минимальный срок действия пароля: . Этот параметр безопасности определяет период времени (в днях), в течение которого пароль должен использоваться, прежде чем пользователь сможет его изменить. Вы можете установить значение от 1 до 998 дней или разрешить немедленные изменения, задав число дней равным 0. Минимальный срок действия пароля должен быть меньше, чем Максимальный срок действия пароля, если только максимальный срок действия пароля не установлен равным 0, указывая что пароли никогда не истекают. Если максимальный срок действия пароля установлен на 0, минимальный срок действия пароля может быть установлен на любое значение от 0 до 998.
Минимальная длина пароля: Этот параметр безопасности определяет наименьшее количество символов, которое может содержать пароль для учетной записи пользователя. Вы можете установить значение от 1 до 14 символов или установить, что пароль не требуется, установив количество символов в 0.
Пароль должен соответствовать требованиям сложности. Этот параметр безопасности определяет, должны ли пароли соответствовать требованиям сложности. Если эта политика включена, пароли должны соответствовать следующим минимальным требованиям:
– Не содержать имя учетной записи пользователя или части полного имени пользователя, которые превышают два последовательных символа
– Длина не менее шести символов
– Содержат символы из трех следующих четырех категорий:
- Английские заглавные буквы (от A до Z)
- Английские строчные буквы (от a до z)
- Базовые 10 цифр (от 0 до 9)
- Не алфавитные символы (например. $, #,%)
Требования к сложности применяются при изменении или создании паролей.
Хранить пароль с использованием обратимого шифрования: Этот параметр безопасности определяет, будет ли операционная система хранить пароли с использованием обратимого шифрования. Эта политика обеспечивает поддержку приложений, которые используют протоколы, которые требуют знания пароля пользователя в целях аутентификации. Хранение паролей с использованием обратимого шифрования по существу аналогично хранению незашифрованных версий паролей. По этой причине эту политику никогда не следует включать, если только требования приложения не перевешивают необходимость защиты информации о пароле.
Чтобы изменить любой или все эти параметры, просто дважды щелкните параметр, выберите соответствующий вариант и нажмите ОК .
Использование расширенной командной строки.
Введите cmd в меню «Пуск». В разделе «Программы» щелкните правой кнопкой мыши cmd и выберите Запуск от имени администратора .
Команды и их пояснения приведены ниже.
net account/minpwlen: length – устанавливает минимальное количество символов, которое должен содержать пароль. Замените слово length на желаемое количество символов. Диапазон 0-14.
пример: чистые аккаунты/minpwlen: 7
net account/maxpwage: days – . Устанавливает максимальное количество дней, после которых пользователь должен будет сменить пароль.Замените days на желаемое значение. Диапазон от 1-999. Если используется unlimited , ограничение не устанавливается. Значение maxpwage всегда должно быть больше, чем minpwage .
пример: чистые аккаунты/maxpwage: 30
net account/minpwage: days – Задает минимальное количество дней, которое должно пройти, прежде чем пароль можно будет изменить. Замените days на желаемое значение. Диапазон от 1-999.
пример: чистые аккаунты/minpwage: 10
net account/uniquepw: number – Задает количество раз, после которого пароль может быть снова использован. Замените число на желаемое значение. Максимальное значение 24.
пример: чистые аккаунты/uniquepw: 8
Чтобы использовать команду, просто введите ее в командной строке, как показано, и нажмите клавишу ввода.
Чтобы просмотреть настройки, введите net account в cmd и нажмите enter.
Минимальный срок действия пароля Minimum password age
Относится к: Applies to
Описывает лучшие практики, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности минимального возраста пароля. Describes the best practices, location, values, policy management, and security considerations for the Minimum password age security policy setting.
Справочные материалы Reference
Параметр Политики минимального возраста паролей определяет период времени (в днях), который необходимо использовать, прежде чем пользователь сможет его изменить. The Minimum password age policy setting determines the period of time (in days) that a password must be used before the user can change it. Вы можете установить значение от 1 до 998 дней, или вы можете разрешить изменения пароля немедленно, установив количество дней до 0. You can set a value between 1 and 998 days, or you can allow password changes immediately by setting the number of days to 0. Минимальный возраст пароля должен быть меньше максимального возраста пароля, если максимальный возраст пароля не установлен до 0, что указывает на то, что срок действия паролей никогда не истекает. The minimum password age must be less than the Maximum password age, unless the maximum password age is set to 0, indicating that passwords will never expire. Если максимальный возраст пароля установлен до 0, минимальный возраст пароля может быть установлен для любого значения от 0 до 998. If the maximum password age is set to 0, the minimum password age can be set to any value between 0 and 998.
Возможные значения Possible values
- Указанное пользователем количество дней от 0 до 998 User-specified number of days between 0 and 998
- Не определено Not defined
Рекомендации Best practices
Базовые показатели безопасности Windows рекомендуют установить минимальный возраст пароля до одного дня. Windows security baselines recommend setting Minimum password age to one day.
Настройка числа дней до 0 позволяет немедленно изменить пароль. Setting the number of days to 0 allows immediate password changes. Этот параметр не рекомендуется. This setting is not recommended. Сочетание немедленных изменений пароля с историей паролей позволяет кому-то повторно менять пароль до тех пор, пока не будет выполнены требования по истории паролей и повторного восстановления исходного пароля. Combining immediate password changes with password history allows someone to change a password repeatedly until the password history requirement is met and re-establish the original password again. Например, предположим, что пароль — это «День Ra1ny!». For example, suppose a password is «Ra1ny day!» и требование к истории — 24. and the history requirement is 24. Если минимальный возраст пароля — 0, пароль можно изменить 24 раза подряд, пока окончательно не будет изменен на «День Ra1ny!». If the minimum password age is 0, the password can be changed 24 times in a row until finally changed back to «Ra1ny day!». Минимальный возраст пароля в 1 день предотвращает это. The minimum password age of 1 day prevents that.
Если вы установите пароль для пользователя и хотите, чтобы этот пользователь изменил пароль, определенный администратором, необходимо выбрать, чтобы пользователь изменил пароль в следующем чековом окне logon. If you set a password for a user and you want that user to change the administrator-defined password, you must select the User must change password at next logon check box. В противном случае пользователь не сможет изменить пароль до тех пор, пока не будет указано количество дней, указанных в минимальном возрасте пароля. Otherwise, the user will not be able to change the password until the number of days specified by Minimum password age.
Местонахождение Location
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетной записи\Политика паролей Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy
Значения по умолчанию Default values
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. The following table lists the actual and effective default policy values. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.
| Тип сервера или объект групповой политики (GPO) Server type or Group Policy Object (GPO) | Значение по умолчанию Default value |
|---|---|
| Политика домена по умолчанию Default domain policy | 1 день; 1 day |
| Политика контроллера домена по умолчанию Default domain controller policy | Не определено Not defined |
| Параметры по умолчанию отдельного сервера Stand-alone server default settings | 0 дней 0 days |
| Эффективные параметры контроллера домена по умолчанию Domain controller effective default settings | 1 день; 1 day |
| Параметры сервера-участника по умолчанию Member server effective default settings | 1 день; 1 day |
| Эффективные параметры по умолчанию GPO на клиентских компьютерах Effective GPO default settings on client computers | 1 день; 1 day |
Управление политикой Policy management
В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой. This section describes features, tools, and guidance to help you manage this policy.
Необходимость перезапуска Restart requirement
Нет. None. Изменения в этой политике становятся эффективными без перезапуска компьютера при локальном сбережении или распространении через групповую политику. Changes to this policy become effective without a computer restart when they are saved locally or distributed through Group Policy.
Вопросы безопасности Security considerations
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.
Уязвимость Vulnerability
У пользователей могут быть любимые пароли, которые им нравится использовать, так как их легко запомнить, и они считают, что их выбор пароля защищен от компромисса. Users may have favorite passwords that they like to use because they are easy to remember and they believe that their password choice is secure from compromise. К сожалению, пароли могут быть скомпрометированы, и если злоумышленник нацелен на определенную учетную запись пользователя, с знанием данных об этом пользователе, повторное использование старых паролей может привести к нарушению безопасности. Unfortunately, passwords can be compromised and if an attacker is targeting a specific individual user account, with knowledge of data about that user, reuse of old passwords can cause a security breach.
Чтобы решить проблему повторного использования пароля, необходимо использовать сочетание параметров безопасности. To address password reuse, you must use a combination of security settings. Использование этого параметра политики с помощью параметра «Применение политики истории паролей» предотвращает легкое повторное использование старых паролей. Using this policy setting with the Enforce password history policy setting prevents the easy reuse of old passwords. Например, если вы настроите параметр Политики обеспечения соблюдения политики в отношении истории паролей, чтобы убедиться, **** что пользователи не могут повторно использовать ни один из последних 12 паролей, но вы не настроите параметр минимального возраста пароля на номер, который превышает 0, пользователи могут изменить пароль 13 раз за несколько минут и повторно использовать исходный пароль. For example, if you configure the Enforce password history policy setting to ensure that users cannot reuse any of their last 12 passwords, but you do not configure the Minimum password age policy setting to a number that is greater than 0, users could change their password 13 times in a few minutes and reuse their original password. Настройте этот параметр политики на номер, который превышает 0, чтобы параметр Политики обеспечения безопасности для истории паролей был эффективным. Configure this policy setting to a number that is greater than 0 for the Enforce password history policy setting to be effective.
Противодействие Countermeasure
Настройка параметра минимальной возрастной политики пароля до значения 1 день. Configure the Minimum password age policy setting to a value of 1 day. Пользователи должны знать об этом ограничении и обращаться в службу поддержки, чтобы быстрее изменить пароль. Users should know about this limitation and contact the Help Desk to change a password sooner. Если вы настроили количество дней до 0, будут разрешены немедленные изменения пароля, которые мы не рекомендуем. If you configure the number of days to 0, immediate password changes would be allowed, which we do not recommend.
Возможное влияние Potential impact
Если вы установите пароль для пользователя, но хотите, чтобы этот пользователь изменил пароль при первом входе пользователя, администратор должен выбрать, что пользователь должен изменить пароль в следующем чековом окне logon, или пользователь не может изменить пароль до следующего дня. If you set a password for a user but want that user to change the password when the user first logs on, the administrator must select the User must change password at next logon check box, or the user cannot change the password until the next day.
