- Член домена: максимальный срок действия пароля учетных записей компьютера Domain member: Maximum machine account password age
- Справочные материалы Reference
- Возможные значения Possible values
- Рекомендации Best practices
- Расположение Location
- Значения по умолчанию Default values
- Управление политикой Policy management
- Необходимость перезапуска Restart requirement
- Вопросы безопасности Security considerations
- Уязвимость Vulnerability
- Противодействие Countermeasure
- Возможное влияние Potential impact
- Windows Server: Отключение срока действия пароля
- Отключение ограничения по сроку действия пароля локально
- Отключение ограничения по сроку действия пароля в домене
- Как установить срок действия пароля Windows 10
- Как настроить срок действия пароля для локальной учетной записи Windows 10
- Как ограничить срок пароля для учетной записи Майкрософт
Член домена: максимальный срок действия пароля учетных записей компьютера Domain member: Maximum machine account password age
Область применения Applies to
В этой статье описываются лучшие методики, расположение, значения и вопросы безопасности для члена домена: параметр политики безопасности «Максимальный срок действия пароля учетной записи компьютера». Describes the best practices, location, values, and security considerations for the Domain member: Maximum machine account password age security policy setting.
Справочные материалы Reference
Член домена: параметр политики максимального возраста пароля учетной записи компьютера определяет, когда член домена передает смену пароля. The Domain member: Maximum machine account password age policy setting determines when a domain member submits a password change.
В доменах на основе Active Directory каждое устройство имеет учетную запись и пароль. In Active Directory–based domains, each device has an account and password. По умолчанию участники домена могут отправлять смену пароля каждые 30 дней. By default, the domain members submit a password change every 30 days. Этот интервал можно расширить или уменьшить. You can extend or reduce this interval. Кроме того, можно **** использовать политику изменения пароля учетной записи компьютера, чтобы полностью отключить требование смены пароля. Additionally, you can use the Domain member: Disable machine account password changes policy to disable the password change requirement completely. Однако перед тем как рассмотреть этот вариант, просмотрите последствия, описанные в члене домена: отключение изменения пароля учетной записи компьютера. However, before you consider this option, review the implications as described in Domain member: Disable machine account password changes.
Существенное увеличение интервала смены пароля (или отключение смены пароля) дает злоумышленнику больше времени для атаки на одну из учетных записей компьютера. Significantly increasing the password change interval (or disabling password changes) gives an attacker more time to undertake a brute-force password-guessing attack against one of the machine accounts.
Возможные значения Possible values
- Определяемая пользователем количество дней от 1 до 999 включительно User-defined number of days between 1 and 999, inclusive
- Не определено Not defined
Рекомендации Best practices
Рекомендуется установить для члена домена максимальный срок пароля учетной записи компьютера — около 30 дней. We recommend that you set Domain member: Maximum machine account password age to about 30 days. Установка меньшего числа дней может увеличить время репликации и повлиять на контроллеры домена. Setting the value to fewer days can increase replication and affect domain controllers. Например, в Windows NT доменах пароли компьютера менялись каждые 7 дней. For example, in Windows NT domains, machine passwords were changed every 7 days. Дополнительная репликация повлияет на контроллеры домена в крупных организациях с большим количеством компьютеров или медленных связей между сайтами. The additional replication churn would affect domain controllers in large organizations that have many computers or slow links between sites.
Расположение Location
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
Значения по умолчанию Default values
В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. The following table lists the actual and effective default values for this policy. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.
| Тип сервера или объект групповой политики Server type or GPO | Значение по умолчанию Default value |
|---|---|
| Default Domain Policy Default Domain Policy | Не определено Not defined |
| Политика контроллера домена по умолчанию Default Domain Controller Policy | Не определено Not defined |
| Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings | 30 дней 30 days |
| Эффективные параметры по умолчанию для DC DC Effective Default Settings | 30 дней 30 days |
| Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings | 30 дней 30 days |
| Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings | 30 дней 30 days |
Управление политикой Policy management
В этом разделе описываются функции и средства, которые помогут вам управлять этой политикой. This section describes features and tools that are available to help you manage this policy.
Необходимость перезапуска Restart requirement
Нет. None. Изменения этой политики становятся эффективными без перезапуска компьютера, если они сохраняются локально или распространяются с помощью групповой политики. Changes to this policy become effective without a computer restart when they are saved locally or distributed through Group Policy.
Вопросы безопасности Security considerations
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.
Уязвимость Vulnerability
По умолчанию участники домена могут отправлять смену пароля каждые 30 дней. By default, the domain members submit a password change every 30 days. Если этот интервал значительно увеличивается, чтобы компьютеры больше не могли отправить смену пароля, у злоумышленника будет больше времени для атаки с помощью атак, чтобы угадать пароль одной или более учетных записей компьютера. If you increase this interval significantly so that the computers no longer submit a password change, an attacker has more time to undertake a brute-force attack to guess the password of one or more computer accounts.
Противодействие Countermeasure
Настройка члена домена: максимальное значение времени для пароля учетной записи компьютера — 30 дней. Configure the Domain member: Maximum machine account password age setting to 30 days.
Возможное влияние Potential impact
Нет. None. Это конфигурация по умолчанию. This is the default configuration.
Windows Server: Отключение срока действия пароля
В целях повышения безопасности, в серверных операционных системах Windows включен срок действия пароля, по истечению которого, система будет сообщать вам о необходимости смен пароля. Если же данная функция вам не нужна, её возможно выключить через групповые политики.
Отключение ограничения по сроку действия пароля локально
Отключить данную настройку можно следующим образом:
Открываем Выполнить (Пуск — Выполнить или Win+R), после чего набираем gpedit.msc и жмем ОК.
В левой панели переходим в Конфигурация компьютера — Конфигурация windows — Параметры безопасности — Политики учетных записей — Политика паролей. Ищем пункт «Максимальный срок действия пароля». По умолчанию он равен 42 дням — ровно через столько, после установки нового пароля система сообщит вам о том, что ваш пароль устарел и его необходимо сменить.
Щелкаем два раза по этому пункту и ставим 0, чтобы отключить срок действия пароля.
Отключение ограничения по сроку действия пароля в домене
В отличии от предыдущего способа, где речь шла про редактирование локальных групповых политик, здесь нужно отредактировать групповые политики домена Active Directory. Для этого нужно удаленно зайти на сервер контроллера домена, открыть окно «Выполнить» и набрать там команду gpmc.msc , после чего нажать кнопку «ОК».
Откроется окно Управление групповой политикой. В нем находим нужную политику (по умолчанию — Default Domain Policy), и нажимаем на ней правой кнопкой мыши — и в появившемся контекстном меню выбираем «Изменить».
Откроется обычное окно редактирования групповых политик — где нужно совершить действия, описанные главой выше.
Как установить срок действия пароля Windows 10
По умолчанию, пароль учетной записи Windows 10, как аккаунта Майкрософт, так и локальной учетной записи, не ограничен по времени. Однако, при необходимости, вы можете задать срок действия пароля, по истечении которого вам автоматически будет предложено его изменить.
В этой инструкции подробно о том, как установить срок действия пароля для учетной записи Майкрософт и автономной учетной записи Windows 10 несколькими способами. Также может быть интересным: Как ограничить количество попыток ввода пароля, Как всё запретить и заблокировать в Windows 10.
Как настроить срок действия пароля для локальной учетной записи Windows 10
Установка срока действия пароля локальной учетной записи Windows 10 состоит из двух этапов. На первом требуется отключить неограниченный срок действия:
- Нажмите клавиши Win+R на клавиатуре, введите lusrmgr.msc и нажмите Enter.
- В открывшемся окне управления локальными пользователями выберите своего пользователя, нажмите по нему правой кнопкой мыши и откройте «Свойства».
- Снимите отметку «Срок действия пароля не ограничен» и примените настройки.
Готово. Теперь срок действия пароля существует и по умолчанию он равен 42 дням, однако вы можете изменить этот период. Если на вашем компьютере установлена Windows 10 Pro или Enterprise, можно использовать редактор локальной групповой политики:
- Нажмите клавиши Win+R, введите gpedit.msc и нажмите Enter.
- Перейдите к разделу Конфигурация компьютера — Параметры безопасности — Политики учетных записей — Политики паролей.
- Дважды нажмите по параметру «Максимальный срок действия пароля», задайте новое значение и примените настройки.
В Windows 10 Домашняя (как и в других редакциях ОС) для установки конкретного срока действия можно использовать PowerShell:
- Запустите Windows PowerShell от имени Администратора (это можно сделать нажав правой кнопкой мыши по кнопке «Пуск» и выбрав соответствующий пункт контекстного меню, есть и другие способы — Как запустить Windows PowerShell).
- Введите команду
- Для того, чтобы просмотреть установленные политики паролей, включая срок действия, можно использовать команду net accounts, как на скриншоте выше.
Как ограничить срок пароля для учетной записи Майкрософт
Если вы используете учетную запись Майкрософт, вы можете включить обязательную смену пароля раз в 72 дня. Срок для такой онлайн-аккаунта не меняется. Шаги для этого будут следующими:
- Зайдите в параметры вашей учетной записи Майкрософт: для этого можно напрямую зайти на сайт под своей учетной записью или открыть Параметры — Учетные записи — Ваши данные — Управление учетной записью Майкрософт.
- На странице управления учетной записью нажмите по «Дополнительные действия», а затем — «Изменить пароль».
- На следующем этапе задать новый пароль и установить отметку «Менять пароль через каждые 72 дня».
После сохранения изменений пароль будет действовать лишь указанные 72 дня, после чего вам будет предложено изменить его на новый.
А вдруг и это будет интересно:
Почему бы не подписаться?
Рассылка новых, иногда интересных и полезных, материалов сайта remontka.pro. Никакой рекламы и бесплатная компьютерная помощь подписчикам от автора. Другие способы подписки (ВК, Одноклассники, Телеграм, Facebook, Twitter, Youtube, Яндекс.Дзен)
26.12.2019 в 22:49
Исправьте lusmgr.msc на lusrmgr.msc.
=
Статья будет полна если хоть пару слов сказать кому и для чего это нужно. Сколько живу мне бы даже в голову не пришло задуматься об этом и даже от большого количества пользователей с которыми работаю ни разу даже намека не слышал. Даже придумать не могу где такое может пригодится.
ИМХО
27.12.2019 в 14:38
Исправил, спасибо.
А насчет кому нужно… тут как: на мой сайт ведь через поиск приходят обычно. Соответственно, кто искал (а ищут — это точно) как ограничить срок действия пароля, найдут и, вероятно, им известно зачем.
Вообще в организациях практикуется на всё пароли регулярно менять принудительно.
29.12.2019 в 15:22
В организациях может быть, но лично для меня это была новая информация о чём я говорил.
Спасибо Вам за труды!
Повторюсь, когда уведомления на ответы будут у Вас на сайте и прикрепление файлов в комментариях и личный кабинет бы не помешало где можно было бы найти все свои подписки и комментарии.
30.12.2019 в 13:44
Василий, к сожалению, уведомлений и прикрепления файлов реализовать по ряду объективных причин у меня не получится, прошу извинить.
25.08.2020 в 14:03
Статья очень полезна. Считаю комментарии Василия странными, т.к. устал уже всем знакомым уведомления отключать о смене пароля…
