| В этой статье отобраны системные политики управляющие временем жизни паролей. Регулярная смена паролей для учетных записей - один факторов для повышения уровня безопасности в любой компьютерной системе разграничения доступа. |
Запрет автоматического изменения пароля |
| Эта системная политика работает в Windows версий 3.51, 4.0, 2000 и XP для рабочих станций. Находясь в активном состоянии, она предовращает, через заданный интервал, как автоматическое изменение паролей для учетных записей самим компьютером, так и вручную или с помощью программы для администрирования. |
| Состояние этой политики хранится в целочисленном DWORD-параметре "DisablePasswordChange", который находится в ключе "SYSTEM\CurrentControlSet\Services\Netlogon\Parameters", в разделе HKEY_LOCAL_MACHINE системного реестра Windows. И ее действие затрагивает не только Текущего Пользователя, но всех пользователей системы. За состояние политики отвечают два булевых значения: "1" - активное состояние, "0" - неактивное. Состояние "по умолчанию" у этой политики: "0" - политика не задействована в системе. |
| "По умолчанию" Windows NT и 2000 пытается автоматически изменять пароли через регулярный временной интервал, заданный в параметре "MaximumPasswordAge". Подробное описание этого параметра будет приведено ниже. Если задать параметру "DisablePasswordChange" значение "1" и, тем самым, задействовать политики, то этим можно запретить изменение пароля вручную или с помощью программы для системного администрирования. Кроме этого, если политика активна, измененный пароль не посылается контроллеру домена. |
Отказ в автоматическом изменении пароля |
| Эта системная политика применима для Windows версий NT 4.0, 2000, работающим как контроллер домена. Когда она находится в активном состоянии, то контроллеры домена, где она задействована, отвергают попытки рабочих станций изменить пароли для учетных записей. В том числе, в результате процедуры автоматического обновления. |
| За состояние этой политики отвечает целочисленном параметр "RefusePasswordChange", который хранится в ключе "SYSTEM\CurrentControlSet\Services\Netlogon\Parameters", в разделе HKEY_LOCAL_MACHINE системного реестра Windows. Состояние политики представляют два булевых значения: "1" и "0" (отсутствие параметра в реестре). "Активное" и "неактивное" состояние соответственно. "По умолчанию" политика не задействована в системе. Windows 2000 не добавляет этот параметр в системный реестр, его необходимо добавить вручную, например, с помощью редактор реестра, или с помощью программы для системного администирования. |
| Если сеть работает нестабильно, то, в этом случае, имеет смысл привести эту политику в активное состоняние и отменить периодическую смену паролей. |
| Следует обязательно упомянуть о порядке установки ключа "RefusePasswordChange" для этой политки в нескольких контроллерах домена. Сначала нужно привести политику в активноен состояние во всех резервных контроллерах, и, лишь затем, в первичном контроллере домена. |
| Установка в "1" параметра "DisablePasswordChange" снижает нагрузку сети со стороны клиента, а параметра "RefusePasswordChange" - со стороны контроллера домена, отказывающего проводить репликацию учетной записи. |
| С точки зрения системной безопасности приведение этой двух политик в активное состояние делает Windows более уязвимой к атакам злоумышленика. |
Максимальное время жизни пароля |
| Эта системная политика применима для Windows версий NT 4.0, 2000, XP, работающих как рабочие станции и как резервные контролеры домена. Эта системная политика определяет, через какой период времени в днях система будет иницировать смену паролей для учетных записей. Она игнорируется если вышеупомянутая политика "Запрета автоматического изменения пароля" находится в активном состоянии и система не сконфигурирована для автоматического обновления паролей. |
| Состояние этой политики хранится в целочисленном параметре "MaximumPasswordAge", который должен быть в ключе "SYSTEM\CurrentControlSet\Services\Netlogon\Parameters", в разделе HKEY_LOCAL_MACHINE системного реестра. Эффект от установки ее распространяется не только Текущего Пользователя, но всех пользователей системы. Диапазон значений для этого параметра от 1 до 1000000. |
| Максимальный период жизни паролей, это же есть и значение "по умолчанию" для параметра "MaximumPasswordAge": в Windows NT - 7 дней, в Windows 2000 - 30 дней. |
| Если рабочая станция входит в домен, где присутствуют и резервные контроллеры домена, то эта политика, и с теми же значениями, должна быть продублирована и на них. |
| Как и предыдущий, Windows 2000 не добавляет этот параметр в системный реестр, для его установки придется добавить вручную, используя редактор реестра, или с помощью програмы. |
| Для корректной работы этой системной политики в Windows NT рекомендовано установить 4 сервисный пакет обновления. |
Время для предупреждения о смене пароля |
| Эта системная политика отвечает за временной интервал, когда система выдаст сообщение о том, что через указанный период времени пароль подлежит изменению. Она применима для Windows NT 4.0 и выше. |
| Состояние этой политики хранится в DWORD-параметре "PasswordExpiryWarning", который должен быть в ключе "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon", в разделе HKEY_LOCAL_MACHINE. Действие системной политики распространяется на всю систему в целом. |
| Диапазон занчений для параметра от "0" до "4294967295" (FFFFFFFF). Значение "по умолчанию" у этой системной политики - 14 дней. |
| В Windows NT 3.x значение периода для предупреждения о смене пароля жестко задано - 14 дней. Поддержка этого параметра и возможность его редактирования появилась в Windows NT 4. Windows 2000 не добавляет этот параметр в системный реестр, его необходимо создавать и установливать вручную, или с помощью програмы, скрипта и т.п. |
Запрет изменения пароля |
| Эта политика запрещает пользователям изменять пароль для учетной записи по своему желанию, путем вызова диалога по нажатии CTRL+ALT+DEL. Эта политика применима в Windows NT 4, после установки 4 сервисного пакета обновления, в Windows 2000 и XP. |
| Ее состояние хранится в целочисленном параметре "DisableChangePassword", находящемся в ключе "Software\Microsoft\Windows\CurrentVersion\Policies\System", в разделе HKEY_CURRENT_USER. Действие ее распространяется на Текущего пользователя. Состояние политики представляют одно из двух булевых значений: "1" - политика активна, "0" - политика неактивна. "По умолчанию" в системе политика - не задействована. Отсутствие параметра в системном реестре, когда политика "не сконфигурирована", приводит ее в неактивное состояние. |
| Если политика задействована, то в диалоге, вызваемом по CTRL+ALT+DEL кнопка смены паролей затенена. Это показывает пользователю, что возможность смены паролей заблокирована. Однако это состояние не запрещает смену паролей, когда действие пароля закончилось. Или, например, через период времени, хранящийся в параметре "MaximumPasswordAge", заданный политикой "Максимальное время жизни пароля". |
Valient Newman |
