Главная » Linux

Политика сложности пароля windows

Содержание
  1. Настройте политику паролей в Windows 10/8/7
  2. Изменить политику паролей Windows
  3. Политика паролей Password Policy
  4. Пароль должен соответствовать требованиям к сложности Password must meet complexity requirements
  5. Справочные материалы Reference
  6. Возможные значения Possible values
  7. Рекомендации Best practices
  8. Расположение Location
  9. Значения по умолчанию Default values
  10. Вопросы безопасности Security considerations
  11. Уязвимость Vulnerability
  12. Противодействие Countermeasure
  13. Возможное влияние Potential impact

Настройте политику паролей в Windows 10/8/7

На некоторых веб-сайтах вы могли видеть, что для регистрации вам потребуется ввести пароль, который соответствует критерию, установленному веб-сайтом (например, пароль должен содержать не менее 8 символов, должен содержать буквы нижнего и верхнего регистра и т. д.) , Вы также можете реализовать эту функцию в Windows 10/8/7, используя либо локальную политику безопасности для Windows, либо используя командную строку с повышенными привилегиями для пользователей с другими выпусками Windows 10/8/7.

Изменить политику паролей Windows

Использование локальной политики безопасности.

Введите Local Security Policy в меню «Пуск» и нажмите Enter. Откроется окно LSP. Теперь на левой панели выберите Политика паролей в разделе Политики учетной записи. Теперь на правой стороне будут перечислены шесть вариантов.

Детали каждого из этих вариантов перечислены ниже.

Принудительное использование истории паролей . Этот параметр безопасности определяет количество уникальных новых паролей, которые необходимо связать с учетной записью пользователя, прежде чем старый пароль можно будет повторно использовать. Значение должно быть от 0 до 24 паролей. Эта политика позволяет администраторам повышать безопасность, обеспечивая постоянное повторное использование старых паролей.

Максимальный срок действия пароля: . Этот параметр безопасности определяет период времени (в днях), в течение которого пароль может использоваться, прежде чем система потребует от пользователя его изменения. Вы можете установить срок действия паролей через несколько дней от 1 до 999, или вы можете указать, что срок действия паролей никогда не истечет, установив число дней равным 0. Если максимальный срок действия пароля составляет от 1 до 999 дней, минимальный срок действия пароля должен быть меньше, чем максимальный срок действия пароля. Если максимальный срок действия пароля установлен равным 0, минимальный срок действия пароля может быть любым значением от 0 до 998 дней.

Минимальный срок действия пароля: . Этот параметр безопасности определяет период времени (в днях), в течение которого пароль должен использоваться, прежде чем пользователь сможет его изменить. Вы можете установить значение от 1 до 998 дней или разрешить немедленные изменения, задав число дней равным 0. Минимальный срок действия пароля должен быть меньше, чем Максимальный срок действия пароля, если только максимальный срок действия пароля не установлен равным 0, указывая что пароли никогда не истекают. Если максимальный срок действия пароля установлен на 0, минимальный срок действия пароля может быть установлен на любое значение от 0 до 998.

Минимальная длина пароля: Этот параметр безопасности определяет наименьшее количество символов, которое может содержать пароль для учетной записи пользователя. Вы можете установить значение от 1 до 14 символов или установить, что пароль не требуется, установив количество символов в 0.

Пароль должен соответствовать требованиям сложности. Этот параметр безопасности определяет, должны ли пароли соответствовать требованиям сложности. Если эта политика включена, пароли должны соответствовать следующим минимальным требованиям:

– Не содержать имя учетной записи пользователя или части полного имени пользователя, которые превышают два последовательных символа
– Длина не менее шести символов
– Содержат символы из трех следующих четырех категорий:

  • Английские заглавные буквы (от A до Z)
  • Английские строчные буквы (от a до z)
  • Базовые 10 цифр (от 0 до 9)
  • Не алфавитные символы (например. $, #,%)

Требования к сложности применяются при изменении или создании паролей.

Хранить пароль с использованием обратимого шифрования: Этот параметр безопасности определяет, будет ли операционная система хранить пароли с использованием обратимого шифрования. Эта политика обеспечивает поддержку приложений, которые используют протоколы, которые требуют знания пароля пользователя в целях аутентификации. Хранение паролей с использованием обратимого шифрования по существу аналогично хранению незашифрованных версий паролей. По этой причине эту политику никогда не следует включать, если только требования приложения не перевешивают необходимость защиты информации о пароле.

Чтобы изменить любой или все эти параметры, просто дважды щелкните параметр, выберите соответствующий вариант и нажмите ОК .

Использование расширенной командной строки.

Введите cmd в меню «Пуск». В разделе «Программы» щелкните правой кнопкой мыши cmd и выберите Запуск от имени администратора .

Команды и их пояснения приведены ниже.

net account/minpwlen: length – устанавливает минимальное количество символов, которое должен содержать пароль. Замените слово length на желаемое количество символов. Диапазон 0-14.

пример: чистые аккаунты/minpwlen: 7

net account/maxpwage: days – . Устанавливает максимальное количество дней, после которых пользователь должен будет сменить пароль.Замените days на желаемое значение. Диапазон от 1-999. Если используется unlimited , ограничение не устанавливается. Значение maxpwage всегда должно быть больше, чем minpwage .

пример: чистые аккаунты/maxpwage: 30

net account/minpwage: days – Задает минимальное количество дней, которое должно пройти, прежде чем пароль можно будет изменить. Замените days на желаемое значение. Диапазон от 1-999.

пример: чистые аккаунты/minpwage: 10

net account/uniquepw: number – Задает количество раз, после которого пароль может быть снова использован. Замените число на желаемое значение. Максимальное значение 24.

пример: чистые аккаунты/uniquepw: 8

Чтобы использовать команду, просто введите ее в командной строке, как показано, и нажмите клавишу ввода.

Чтобы просмотреть настройки, введите net account в cmd и нажмите enter.

Политика паролей Password Policy

Относится к: Applies to

Обзор политик паролей для Windows и ссылки на сведения для каждого параметра политики. An overview of password policies for Windows and links to information for each policy setting.

Во многих операционных системах самым распространенным методом проверки подлинности пользователя является использование секретной passphrase или пароля. In many operating systems, the most common method to authenticate a user’s identity is to use a secret passphrase or password. Для безопасной сетевой среды всем пользователям необходимо использовать надежные пароли, которые имеют по крайней мере восемь символов и включают сочетание букв, номеров и символов. A secure network environment requires all users to use strong passwords, which have at least eight characters and include a combination of letters, numbers, and symbols. Эти пароли помогают предотвратить компрометации учетных записей пользователей и административных учетных записей несанкционированными пользователями, которые используют методы вручную или автоматические средства для угадать слабые пароли. These passwords help prevent the compromise of user accounts and administrative accounts by unauthorized users who use manual methods or automated tools to guess weak passwords. Надежные пароли, которые регулярно меняются, уменьшают вероятность успешной атаки пароля. Strong passwords that are changed regularly reduce the likelihood of a successful password attack.

Читайте также:  Не могу восстановить образ mac os

Windows, представленная Windows Server 2008 R2 Windows Server 2008, поддерживает политики точного пароля. Introduced in Windows Server 2008 R2 and Windows Server 2008, Windows supports fine-grained password policies. Эта функция позволяет организациям определять различные политики блокировки паролей и учетных записей для различных наборов пользователей в домене. This feature provides organizations with a way to define different password and account lockout policies for different sets of users in a domain. Мелкозернистые политики паролей применяются только к объектам пользователей (или объектам inetOrgPerson, если они используются вместо объектов пользователей) и глобальным группам безопасности. Fine-grained password policies apply only to user objects (or inetOrgPerson objects if they are used instead of user objects) and global security groups. Дополнительные сведения см. в руководстве AD DS Fine-Grained пароль и политика блокировки учетных записей пошаговая. For more details, see AD DS Fine-Grained Password and Account Lockout Policy Step-by-Step Guide.

Чтобы применить политику точного пароля к пользователям OU, можно использовать группу теней. To apply a fine-grained password policy to users of an OU, you can use a shadow group. Теневая группа — это глобальная группа безопасности, которая логически соедуется с OU для применения политики точного пароля. A shadow group is a global security group that is logically mapped to an OU to enforce a fine-grained password policy. Вы добавляете пользователей OU в состав недавно созданной теневой группы, а затем применяйте политику точного пароля к этой теневой группе. You add users of the OU as members of the newly created shadow group and then apply the fine-grained password policy to this shadow group. При необходимости можно создать дополнительные группы теней для других OUs. You can create additional shadow groups for other OUs as needed. При переходе пользователя из одного OU в другой необходимо обновить членство соответствующих теневых групп. If you move a user from one OU to another, you must update the membership of the corresponding shadow groups.

Мелкозернистые политики паролей включают атрибуты для всех параметров, которые можно определить в политике домена по умолчанию (кроме параметров Kerberos) в дополнение к настройкам блокировки учетной записи. Fine-grained password policies include attributes for all the settings that can be defined in the default domain policy (except Kerberos settings) in addition to account lockout settings. При указании политики точного пароля необходимо указать все эти параметры. When you specify a fine-grained password policy, you must specify all of these settings. По умолчанию политики паролей могут устанавливаться только членами группы администраторов домена. By default, only members of the Domain Admins group can set fine-grained password policies. Однако вы также можете делегировать возможность устанавливать эти политики другим пользователям. However, you can also delegate the ability to set these policies to other users. Домен должен работать по крайней мере Windows Server 2008 R2 Windows Server 2008, чтобы использовать мелкозернистые политики паролей. The domain must be running at least Windows Server 2008 R2 or Windows Server 2008 to use fine-grained password policies. Политики точного пароля не могут применяться непосредственно к организационному подразделению (OU). Fine-grained password policies cannot be applied to an organizational unit (OU) directly.

Использование надежных паролей можно применять с помощью соответствующей политики паролей. You can enforce the use of strong passwords through an appropriate password policy. Существуют параметры политики паролей, которые контролируют сложность и **** срок службы паролей, например, пароли должны соответствовать требованиям политики сложности. There are password policy settings that control the complexity and lifetime of passwords, such as the Passwords must meet complexity requirements policy setting.

Параметры политики паролей можно настроить в следующем расположении с помощью консоли управления групповой политикой: You can configure the password policy settings in the following location by using the Group Policy Management Console:

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетной записи\Политика паролей Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy

Эта политика группы применяется на уровне домена. This group policy is applied on the domain level. Если отдельным группам требуются отдельные политики паролей, рассмотрите возможность использования мелкозернистой политики паролей, как описано выше. If individual groups require distinct password policies, consider using fine-grained password policies, as described above.

В следующих темах рассматриваются соображения реализации политики паролей и наилучшей практики, расположение политики, значения по умолчанию для типа сервера или GPO, соответствующие различия в версиях операционной системы, соображения безопасности (в том числе возможные уязвимости каждого параметра), меры противодействия, которые можно принять, а также возможные последствия для каждого параметра. The following topics provide a discussion of password policy implementation and best practices considerations, policy location, default values for the server type or GPO, relevant differences in operating system versions, security considerations (including the possible vulnerabilities of each setting), countermeasures that you can take, and the potential impact for each setting.

Пароль должен соответствовать требованиям к сложности Password must meet complexity requirements

Область применения Applies to

В этой статье описываются лучшие методики, расположение, **** значения и вопросы безопасности для пароля, которые должны соответствовать требованиям к сложности настройки политики безопасности. Describes the best practices, location, values, and security considerations for the Password must meet complexity requirements security policy setting.

Справочные материалы Reference

Параметр политики «Пароли должны соответствовать требованиям к сложности» определяет, должны ли пароли соответствовать ряду рекомендаций по надежных паролям. The Passwords must meet complexity requirements policy setting determines whether passwords must meet a series of strong-password guidelines. Если этот параметр включен, пароли необходимы для удовлетворения следующих требований: When enabled, this setting requires passwords to meet the following requirements:

Пароли могут не содержать значение samAccountName пользователя (имя учетной записи) или полное значение displayName (полное имя). Passwords may not contain the user’s samAccountName (Account Name) value or entire displayName (Full Name value). В обеих проверках не занося чувствительность к делу. Both checks are not case-sensitive.

Читайте также:  Starting apache on windows

SamAccountName проверяется полностью, только чтобы определить, является ли он частью пароля. The samAccountName is checked in its entirety only to determine whether it is part of the password. Если samAccountName имеет длину менее трех символов, эта проверка пропускается. If the samAccountName is fewer than three characters long, this check is skipped. DisplayName разберется для разных знаков: запятых, токенов, дефис или дефис, подчеркивая, пробелы, знаки с запятой и вкладки. The displayName is parsed for delimiters: commas, periods, dashes or hyphens, underscores, spaces, pound signs, and tabs. При обнаружении какого-либо из этих разделов displayName разделяется, и все разделы (маркеры) для различения подтверждаются, что они не включены в пароль. If any of these delimiters are found, the displayName is split and all parsed sections (tokens) are confirmed not to be included in the password. Маркеры меньше трех символов игнорируются, а подстроки маркеров не проверяются. Tokens that are shorter than three characters are ignored, and substrings of the tokens are not checked. Например, имя «Erin M. Hagens» разделено на три маркера: «Erin», «M» и «Havens». For example, the name «Erin M. Hagens» is split into three tokens: «Erin», «M», and «Havens». Так как второй маркер имеет только один символ, он игнорируется. Because the second token is only one character long, it is ignored. Таким образом, у этого пользователя не может быть пароля, включающий «erin» или «havens» в качестве подстроки в любом месте пароля. Therefore, this user could not have a password that included either «erin» or «havens» as a substring anywhere in the password.

Пароль содержит символы из трех из следующих категорий: The password contains characters from three of the following categories:

  • Буквы в верхнем регистре для европейских языков (от A до Z с диакритическими знаками, греческими и кириллическими знаками) Uppercase letters of European languages (A through Z, with diacritic marks, Greek and Cyrillic characters)
  • Буквы в нижнем регистре европейских языков (от a до z, с диакритическими знаками, греческими и кириллическими знаками) Lowercase letters of European languages (a through z, sharp-s, with diacritic marks, Greek and Cyrillic characters)
  • 10 базовых цифр (от 0 до 9) Base 10 digits (0 through 9)
  • Не буквы и цифры (специальные символы): (

!@#$%^&*-+=’|\() <> []:;»‘ <>. /) Символы валюты, такие как «Евро» или «Английские символы», не считаются специальными символами для этого параметра политики. Non-alphanumeric characters (special characters): (

!@#$%^&*-+=`|\()<>[]:;»‘<>. /) Currency symbols such as the Euro or British Pound aren’t counted as special characters for this policy setting.

  • Любой символ Юникода, классифицируемый в алфавитном порядке, но не в верхнем или нижнем регистре. Any Unicode character that’s categorized as an alphabetic character but isn’t uppercase or lowercase. Эта группа включает символы Юникода из азиатских языков. This group includes Unicode characters from Asian languages.

    • Требования к сложности применяются при смене или создании паролей. Complexity requirements are enforced when passwords are changed or created.

    Правила, включенные в требования к сложности паролей Windows Server, входят в Passfilt.dll и не могут быть изменены напрямую. The rules that are included in the Windows Server password complexity requirements are part of Passfilt.dll, and they cannot be directly modified.

    Если эта возможность включена, Passfilt.dll вызвать дополнительные вызовы службы поддержки для заблокированных учетных записей, так как пользователи не используются для паролей, содержащих символы, которые не включены в алфавит. When enabled, the default Passfilt.dll may cause some additional Help Desk calls for locked-out accounts because users aren’t used to passwords that contain characters that aren’t in the alphabet. Но этот параметр политики достаточно уныл, чтобы все пользователи к этому привыкли. But this policy setting is liberal enough that all users should get used to it.

    Дополнительные параметры, которые можно включить в настраиваемую Passfilt.dll, — это использование символов, не включаемые в верхние строки. Additional settings that can be included in a custom Passfilt.dll are the use of non–upper-row characters. Чтобы ввести символы верхнего ряда, удерживайте клавишу SHIFT и нажимаете одну из клавиш в строке номеров клавиатуры (от 1 до 9 и 0). To type upper-row characters, you hold the SHIFT key and press one of any of the keys on the number row of the keyboard (from 1 through 9 and 0).

    Возможные значения Possible values

    • Enabled Enabled
    • Отключено Disabled
    • Не определено Not defined

    Рекомендации Best practices

    Последние рекомендации см. в руководстве по паролям. For the latest best practices, see Password Guidance.

    Настройка паролей должна соответствовать требованиям к сложности для «Включено». Set Passwords must meet complexity requirements to Enabled. Этот параметр политики в сочетании с минимальной длиной пароля 8 обеспечивает не менее 218 340 105 584 896 разных возможностей для одного пароля. This policy setting, combined with a minimum password length of 8, ensures that there are at least 218,340,105,584,896 different possibilities for a single password. Этот параметр делает атаку с атакой с перехунышом, но по-прежнему не является невозможной. This setting makes a brute force attack difficult, but still not impossible.

    Использование сочетаний клавиш ALT может значительно повысить сложность пароля. The use of ALT key character combinations can greatly enhance the complexity of a password. Однако требование, чтобы все пользователи в организации соблюдали такие строгие требования к паролям, может привести к неумеяющим пользователям и неработающей службе поддержки. However, requiring all users in an organization to adhere to such stringent password requirements can result in unhappy users and an over-worked Help Desk. Рассмотрите возможность реализации требования в организации использовать символы ALT в диапазоне от 0128 до 0159 в составе всех паролей администратора. Consider implementing a requirement in your organization to use ALT characters in the range from 0128 through 0159 as part of all administrator passwords. (Символы ALT вне этого диапазона могут представлять стандартные буквы и цифры, которые не усложняют пароль.) (ALT characters outside of that range can represent standard alphanumeric characters that do not add additional complexity to the password.)

    Пароли, содержащие только буквы и цифры, легко скомпрометировать с помощью общедоступных средств. Passwords that contain only alphanumeric characters are easy to compromise by using publicly available tools. Во избежание этого пароли должны содержать дополнительные символы и соответствовать требованиям к сложности. To prevent this, passwords should contain additional characters and meet complexity requirements.

    Расположение Location

    Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика паролей Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy

    Значения по умолчанию Default values

    В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. The following table lists the actual and effective default policy values. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

    Тип сервера или объект групповой политики (GPO) Server type or Group Policy Object (GPO) Значение по умолчанию Default value
    Политика домена по умолчанию Default domain policy Включено Enabled
    Политика контроллера домена по умолчанию Default domain controller policy Включено Enabled
    Параметры по умолчанию для отдельного сервера Stand-alone server default settings Отключено Disabled
    Параметры по умолчанию для контроллера домена Domain controller effective default settings Включено Enabled
    Эффективные параметры по умолчанию для серверов-членов Member server effective default settings Включено Enabled
    Эффективные параметры GPO по умолчанию на клиентских компьютерах Effective GPO default settings on client computers Отключено Disabled

    Вопросы безопасности Security considerations

    В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

    Уязвимость Vulnerability

    Пароли, содержащие только буквы и цифры, очень просты в обнаружении с помощью нескольких общедоступных средств. Passwords that contain only alphanumeric characters are extremely easy to discover with several publicly available tools.

    Противодействие Countermeasure

    Настройка паролей должна соответствовать параметру политики сложности «Включено» и порекомендовать пользователям использовать различные символы в паролях. Configure the Passwords must meet complexity requirements policy setting to Enabled and advise users to use a variety of characters in their passwords.

    В сочетании с минимальной длиной пароля 8 этот параметр политики гарантирует, что количество различных возможностей для одного пароля настолько велико, что успешное (но не невозможно) успешное атака с помощью атак с помощью атак с атакой с помощью атак перехимки будет трудно (но не невозможно). When combined with a Minimum password length of 8, this policy setting ensures that the number of different possibilities for a single password is so great that it is difficult (but not impossible) for a brute force attack to succeed. (При увеличении параметра политики минимальной длины пароля также увеличивается среднее время, необходимое для успешной атаки.) (If the Minimum password length policy setting is increased, the average amount of time necessary for a successful attack also increases.)

    Возможное влияние Potential impact

    Если конфигурация сложности паролей по умолчанию сохранена, могут возникнуть дополнительные вызовы службы поддержки для заблокированных учетных записей, так как пользователи могут не привыкли к паролям, которые содержат не алфавитные символы, или могут возникнуть проблемы с вводом паролей, содержащих знаки или символы с акцентами на клавиатурах с разными макетами. If the default password complexity configuration is retained, additional Help Desk calls for locked-out accounts could occur because users might not be accustomed to passwords that contain non-alphabetical characters, or they might have problems entering passwords that contain accented characters or symbols on keyboards with different layouts. Однако все пользователи должны соответствовать требованию сложности с минимальными сложностами. However, all users should be able to comply with the complexity requirement with minimal difficulty.

    Если в организации предъявляются более строгие требования к безопасности, можно создать настраиваемую версию файла Passfilt.dll, которая позволяет использовать произвольно сложные правила обеспечения безопасности паролей. If your organization has more stringent security requirements, you can create a custom version of the Passfilt.dll file that allows the use of arbitrarily complex password strength rules. Например, для пользовательского фильтра паролей может потребоваться использовать символы, не верхней строки. For example, a custom password filter might require the use of non-upper-row symbols. (Символы верхнего ряда — это символы, которые требуют нажатия и удержания клавиши SHIFT, а затем нажатия клавиш в строке номеров клавиатуры от 1 до 9 и 0.) Настраиваемый фильтр паролей также может выполнить проверку словаря, чтобы убедиться, что предложенный пароль не содержит общих слов словаря или фрагментов. (Upper-row symbols are those that require you to press and hold the SHIFT key and then press any of the keys on the number row of the keyboard, from 1 through 9 and 0.) A custom password filter might also perform a dictionary check to verify that the proposed password does not contain common dictionary words or fragments.

    Использование сочетаний клавиш ALT может значительно повысить сложность пароля. The use of ALT key character combinations can greatly enhance the complexity of a password. Однако такие строгие требования к паролям могут привести к дополнительным запросам службы поддержки. However, such stringent password requirements can result in additional Help Desk requests. Кроме того, ваша организация может рассмотреть требование для всех паролей администратора использовать символы ALT в диапазоне от 0128 до 0159. Alternatively, your organization could consider a requirement for all administrator passwords to use ALT characters in the 0128–0159 range. (Символы ALT за пределами этого диапазона могут представлять стандартные буквы и цифры, которые не усложняют пароль.) (ALT characters outside of this range can represent standard alphanumeric characters that would not add additional complexity to the password.)

    Оцените статью
    © 2024 Советы по настройке компьютера