Меню

Сервер настройка политика пароля



Настройте политику паролей в Windows 10/8/7

На некоторых веб-сайтах вы могли видеть, что для регистрации вам потребуется ввести пароль, который соответствует критерию, установленному веб-сайтом (например, пароль должен содержать не менее 8 символов, должен содержать буквы нижнего и верхнего регистра и т. д.) , Вы также можете реализовать эту функцию в Windows 10/8/7, используя либо локальную политику безопасности для Windows, либо используя командную строку с повышенными привилегиями для пользователей с другими выпусками Windows 10/8/7.

Изменить политику паролей Windows

Использование локальной политики безопасности.

Введите Local Security Policy в меню «Пуск» и нажмите Enter. Откроется окно LSP. Теперь на левой панели выберите Политика паролей в разделе Политики учетной записи. Теперь на правой стороне будут перечислены шесть вариантов.

Детали каждого из этих вариантов перечислены ниже.

Принудительное использование истории паролей . Этот параметр безопасности определяет количество уникальных новых паролей, которые необходимо связать с учетной записью пользователя, прежде чем старый пароль можно будет повторно использовать. Значение должно быть от 0 до 24 паролей. Эта политика позволяет администраторам повышать безопасность, обеспечивая постоянное повторное использование старых паролей.

Максимальный срок действия пароля: . Этот параметр безопасности определяет период времени (в днях), в течение которого пароль может использоваться, прежде чем система потребует от пользователя его изменения. Вы можете установить срок действия паролей через несколько дней от 1 до 999, или вы можете указать, что срок действия паролей никогда не истечет, установив число дней равным 0. Если максимальный срок действия пароля составляет от 1 до 999 дней, минимальный срок действия пароля должен быть меньше, чем максимальный срок действия пароля. Если максимальный срок действия пароля установлен равным 0, минимальный срок действия пароля может быть любым значением от 0 до 998 дней.

Минимальный срок действия пароля: . Этот параметр безопасности определяет период времени (в днях), в течение которого пароль должен использоваться, прежде чем пользователь сможет его изменить. Вы можете установить значение от 1 до 998 дней или разрешить немедленные изменения, задав число дней равным 0. Минимальный срок действия пароля должен быть меньше, чем Максимальный срок действия пароля, если только максимальный срок действия пароля не установлен равным 0, указывая что пароли никогда не истекают. Если максимальный срок действия пароля установлен на 0, минимальный срок действия пароля может быть установлен на любое значение от 0 до 998.

Минимальная длина пароля: Этот параметр безопасности определяет наименьшее количество символов, которое может содержать пароль для учетной записи пользователя. Вы можете установить значение от 1 до 14 символов или установить, что пароль не требуется, установив количество символов в 0.

Пароль должен соответствовать требованиям сложности. Этот параметр безопасности определяет, должны ли пароли соответствовать требованиям сложности. Если эта политика включена, пароли должны соответствовать следующим минимальным требованиям:

— Не содержать имя учетной записи пользователя или части полного имени пользователя, которые превышают два последовательных символа
— Длина не менее шести символов
— Содержат символы из трех следующих четырех категорий:

  • Английские заглавные буквы (от A до Z)
  • Английские строчные буквы (от a до z)
  • Базовые 10 цифр (от 0 до 9)
  • Не алфавитные символы (например. $, #,%)

Требования к сложности применяются при изменении или создании паролей.

Хранить пароль с использованием обратимого шифрования: Этот параметр безопасности определяет, будет ли операционная система хранить пароли с использованием обратимого шифрования. Эта политика обеспечивает поддержку приложений, которые используют протоколы, которые требуют знания пароля пользователя в целях аутентификации. Хранение паролей с использованием обратимого шифрования по существу аналогично хранению незашифрованных версий паролей. По этой причине эту политику никогда не следует включать, если только требования приложения не перевешивают необходимость защиты информации о пароле.

Чтобы изменить любой или все эти параметры, просто дважды щелкните параметр, выберите соответствующий вариант и нажмите ОК .

Использование расширенной командной строки.

Введите cmd в меню «Пуск». В разделе «Программы» щелкните правой кнопкой мыши cmd и выберите Запуск от имени администратора .

Команды и их пояснения приведены ниже.

net account/minpwlen: length — устанавливает минимальное количество символов, которое должен содержать пароль. Замените слово length на желаемое количество символов. Диапазон 0-14.

Читайте также:  Выделенный сервер настройка выделенного сервера

пример: чистые аккаунты/minpwlen: 7

net account/maxpwage: days — . Устанавливает максимальное количество дней, после которых пользователь должен будет сменить пароль.Замените days на желаемое значение. Диапазон от 1-999. Если используется unlimited , ограничение не устанавливается. Значение maxpwage всегда должно быть больше, чем minpwage .

пример: чистые аккаунты/maxpwage: 30

net account/minpwage: days — Задает минимальное количество дней, которое должно пройти, прежде чем пароль можно будет изменить. Замените days на желаемое значение. Диапазон от 1-999.

пример: чистые аккаунты/minpwage: 10

net account/uniquepw: number — Задает количество раз, после которого пароль может быть снова использован. Замените число на желаемое значение. Максимальное значение 24.

пример: чистые аккаунты/uniquepw: 8

Чтобы использовать команду, просто введите ее в командной строке, как показано, и нажмите клавишу ввода.

Чтобы просмотреть настройки, введите net account в cmd и нажмите enter.

Источник

Политика паролей учетных записей в Active Directory

Для обеспечения высокого уровня безопасности учетных записей в домене Active Directory администратору необходимо настроить и внедрить политику паролей, обеспечивающей достаточную сложность, длину пароля и частоту смены пароля пользователей и сервисных учетных записей. Тем самым можно усложнить злоумышленнику возможность подбора или перехвата паролей пользователей.

По-умолчанию в домене AD настройка единых требований к паролям пользователей осуществляется с помощью групповых политик. Политика паролей учетных записей домена настраивается в политике Default Domain Policy.

  1. Чтобы настроить политику паролей, откройте консоль управления доменными GPO (Group Policy Management console – gpmc.msc).
  2. Разверните ваш домен и найдите политику Default Domain Policy. Щелкните по ней ПКМ и выберите Edit.
  3. Политики паролей находятся в следующем разделе редактора GPO: Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики учетных записей -> Политика паролей (Computer configuration-> Windows Settings->Security Settings -> Account Policies -> Password Policy).
  4. Чтобы отредактировать настройки нужной политики, дважды щелкните по ней. Чтобы включить политику, отметьте галку Define this policy settings и укажите необходимую настройку (в примере на скриншоте я задал минимальную длину пароля пользователя 8 символов). Сохраните изменения.
  5. Новые настройки парольной политики будут применены ко все компьютерам домена в фоновом режиме в течении некоторого времени (90 минут), при загрузке компьютера, либо можно применить параметры немедленно, выполнив команду gpupdate /force.

Теперь рассмотрим все доступные для настройки параметров управления паролями. Всего имеются шесть политик паролей:

  • Вести журнал паролей (Enforce password history) – определяет количество старых паролей, которые хранятся в AD, запрещая пользователю повторно использовать старый пароль.
  • Максимальный срок действия пароля (Maximum password age) – определяет срок действия пароля в днях. После истечения срока дейсвтвия пароля система потребует у пользователя сменить пароль. Обеспечивает регулярность смены пароля пользователями.
  • Минимальный срок жизни пароля (Minimum password age) – как часто пользователи могут менять пароль. Этот параметр не позволит пользователю несколько раз подряд сменить пароль, чтобы вернуться к любимому старому паролю, перезатерев пароли в журнале Password History. Как правило тут стоит оставить 1 день, чтобы предоставить пользователю самому сменить пароль в случае его компрометации (иначе менять пароль пользователю придется администратору).
  • Минимальная длина пароля (Minimum password length) – не рекомендуется делать пароль короче, чем 8 символов (если указать тут 0 – значит пароль не требуется).
  • Пароль должен отвечать требование сложности (Password must meet complexity requirements) – при включении этой политики пользователю запрещено использовать имя своей учетной записи в пароле (не более чем два символа подряд из username или Firstname), также в пароле должны использоваться 3 типа символов из следующего списка: цифры (0 – 9), символы в верхнем регистре, символы в нижнем регистре, спец символы ($, #, % и т.д.). Кроме того, для исключения использования простых паролей (из словаря популярных паролей) рекомендуется периодически выполнять аудит паролей учетных записей домена.
  • Хранить пароли, использую обратимое шифрование (Store passwords using reversible encryption) – пароли пользователей в базе AD хранятся в зашифрованном виде, но в некоторых случаях некоторым приложениям нужно предоставить доступ к паролям в домене. При включении этой политики пароли хранятся в менее защищенной виде (по сути открытом виде), что небезопасно (можно получить доступ к базе паролей при компрометации DC, в качестве одной из мер защиты можно использовать RODC).
Читайте также:  Настройки radmin server реестр

Кроме того, нужно отдельно выделить настройки в разделе GPO: Политика блокировки учетной записи (Account Lockout Password):

  • Пороговое значение блокировки (Account Lockout Threshold) – как много попыток набрать неверный пароль может сделать пользователь перед тем, как его учетная запись будет заблокирована.
  • Продолжительность блокировки учетной записи (Account Lockout Duration) – на какое время нужно блокировать учетную запись (запретить вход), если пользователь ввел несколько раз неверный пароль.
  • Время до сброса счетчика блокировки (Reset account lockout counter after) – через сколько минут после последнего ввода неверного пароля счетчик неверных паролей (Account Lockout Threshold) будет сброшен.

Настройки парольных политик домена AD по-умолчанию перечислены в таблице:

Политика Значение по-умолчанию
Enforce password history 24 пароля
Maximum password age 42 дня
Minimum password age 1 день
Minimum password length 7
Password must meet complexity requirements Включено
Store passwords using reversible encryption Отключено
Account lockout duration Не определено
Account lockout threshold
Reset account lockout counter after Не определено

В домене может быть только одна подобная политика паролей, которая применяется на корень домена (есть, конечно, нюансы, но о них ниже). Если применить политику паролей на OU, ее настройки будут игнорированы. За управление доменной парольной политики отвечает контроллер домена, владелец FSMO роли PDC Emulator. Политика применяется к компьютерам домена, а не пользователям. Для редактирования настроек Default Domain Policy необходимы права администратора домена.

Параметры групповой политики управления паролями действуют на всех пользователей и компьютеры домена. Если нужно создать отдельные политики паролей для различных групп пользователей, вам нужно использовать функционал раздельных политик паролей Fine-Grained Password Policies, которые появились в версии AD Windows Server 2008. Гранулированные политики паролей позволяют, например, указать повышенную длину или сложность паролей для учетных записей администраторов (см. статью о защите административных учетных записей в AD), или наоборот упростить (отключить) пароль для каких-то учетных записей.

Источник

Политика паролей Password Policy

Применимо к: Applies to: SQL Server SQL Server (все поддерживаемые версии) SQL Server SQL Server (all supported versions) Применимо к: Applies to: SQL Server SQL Server (все поддерживаемые версии) SQL Server SQL Server (all supported versions)

SQL Server SQL Server поддерживается использование механизмов политики паролей Windows. can use Windows password policy mechanisms. Политика паролей применяется к имени входа, которое использует проверку подлинности SQL Server SQL Server , и к пользователю автономной базы данных с паролем. The password policy applies to a login that uses SQL Server SQL Server authentication, and to a contained database user with password.

SQL Server SQL Server могут применяться политики сложности и истечения срока действия, которые применяются в Windows к паролям, используемым в SQL Server SQL Server . can apply the same complexity and expiration policies used in Windows to passwords used inside SQL Server SQL Server . Эти возможности построены на API-интерфейсе NetValidatePasswordPolicy . This functionality depends on the NetValidatePasswordPolicy API.

База данных SQL SQL Database принудительно применяет сложность пароля. enforces password complexity. Разделы истечения срока действия и принудительного применения политики паролей не применяются к База данных SQL SQL Database . The password expiration and policy enforcement sections do not apply to База данных SQL SQL Database .

Сложность пароля Password Complexity

Политика сложности паролей позволяет отражать атаки, использующие простой перебор, путем увеличения числа возможных паролей. Password complexity policies are designed to deter brute force attacks by increasing the number of possible passwords. Если применяется политика сложности паролей, новые пароли должны удовлетворять следующим требованиям. When password complexity policy is enforced, new passwords must meet the following guidelines:

Пароль не содержит имя учетной записи пользователя. The password does not contain the account name of the user.

Длина пароля составляет не менее восьми символов. The password is at least eight characters long.

Пароль содержит символы, соответствующие трем из следующих четырех категорий: The password contains characters from three of the following four categories:

прописные латинские буквы (А-Z) Latin uppercase letters (A through Z)

строчные латинские буквы (a-z) Latin lowercase letters (a through z)

цифры (0-9) Base 10 digits (0 through 9)

Символы, отличные от буквенно-цифровых: восклицательный знак (!), знак доллара ($), решетка (#) или знак процента (%). Non-alphanumeric characters such as: exclamation point (!), dollar sign ($), number sign (#), or percent (%).

Пароли могут иметь длину до 128 символов. Passwords can be up to 128 characters long. Рекомендуется использовать максимально длинные и сложные пароли. Use passwords that are as long and complex as possible.

Истечение срока действия пароля Password Expiration

Политика истечения срока действия паролей используется для управления продолжительностью действия пароля. Password expiration policies are used to manage the lifespan of a password. Когда SQL Server SQL Server применяет политику истечения срока действия паролей, пользователи получают уведомления о необходимости изменения старых паролей, а учетные записи с истекшим сроком действия пароля отключаются. When SQL Server SQL Server enforces password expiration policy, users are reminded to change old passwords, and accounts that have expired passwords are disabled.

Применение политики Policy Enforcement

Применение политики паролей можно настроить отдельно для каждого имени входа SQL Server. The enforcement of password policy can be configured separately for each SQL Server login. Чтобы настроить параметры политики паролей для имени входа SQL Server, выполните инструкцию ALTER LOGIN (Transact-SQL) . Use ALTER LOGIN (Transact-SQL) to configure the password policy options of a SQL Server login. Для настройки принудительного применения политики паролей действуют следующие правила. The following rules apply to the configuration of password policy enforcement:

При переключении параметра CHECK_POLICY на значение ON происходит следующее: When CHECK_POLICY is changed to ON, the following behaviors occur:

параметр CHECK_EXPIRATION также изменяется на ON, если он не будет прямо изменен на OFF; CHECK_EXPIRATION is also set to ON unless it is explicitly set to OFF.

Журнал паролей инициализируется значением хэша текущего пароля. The password history is initialized with the value of the current password hash.

Включены также параметрыпродолжительность существования блокировки учетной записи, пороговое значение блокировки учетной записии сброс счетчика блокировки учетной записи после . Account lockout duration, account lockout threshold, and reset account lockout counter after are also enabled.

При переключении параметра CHECK_POLICY в значение OFF происходит следующее: When CHECK_POLICY is changed to OFF, the following behaviors occur:

Параметр CHECK_EXPIRATION также получает значение OFF. CHECK_EXPIRATION is also set to OFF.

Журнал паролей очищается. The password history is cleared.

Значение параметра lockout_time сбрасывается. The value of lockout_time is reset.

Некоторые сочетания параметров политик не поддерживаются. Some combinations of policy options are not supported.

Если задан параметр MUST_CHANGE, то параметры CHECK_EXPIRATION и CHECK_POLICY должны иметь значение ON. If MUST_CHANGE is specified, CHECK_EXPIRATION and CHECK_POLICY must be set to ON. В противном случае выполнение инструкции приведет к ошибке. Otherwise, the statement fails.

Если значение параметра CHECK_POLICY установлено равным OFF, то параметр CHECK_EXPIRATION не может иметь значения ON. If CHECK_POLICY is set to OFF, CHECK_EXPIRATION cannot be set to ON. Выполнение инструкции ALTER LOGIN с таким сочетанием параметров завершится ошибкой. An ALTER LOGIN statement that has this combination of options will fail.

При установке параметра CHECK_POLICY = ON блокируется создание следующих паролей: Setting CHECK_POLICY = ON prevents the creation of passwords that are:

пустых или неопределенных; Null or empty

совпадающих с именем компьютера или именем входа; Same as name of computer or login

представляющих собой любую из следующих строк: «password», «admin», «administrator», «sa», «sysadmin». Any of the following: «password», «admin», «administrator», «sa», «sysadmin»

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector