Политики для управления временем жизни паролей

В этой статье отобраны системные политики, управляющие временем жизни паролей. Регулярная смена паролей для учетных записей - один из факторов повышения уровня безопасности в любой компьютерной системе разграничения доступа.


Запрет автоматического изменения пароля

Эта системная политика работает в Windows версий 3.51, 4.0, 2000 и XP для рабочих станций. Находясь в активном состоянии, она предотвращает, через заданный интервал, как автоматическое изменение паролей для учетных записей самим компьютером, так и вручную или с помощью программы для администрирования.

Состояние этой политики хранится в целочисленном DWORD-параметре "DisablePasswordChange", который находится в ключе "SYSTEM\CurrentControlSet\Services\Netlogon\Parameters", в разделе HKEY_LOCAL_MACHINE системного реестра Windows. И ее действие затрагивает не только текущего пользователя, но и всех пользователей системы. За состояние политики отвечают два булевых значения: "1" - активное состояние, "0" - неактивное. Состояние "по умолчанию" у этой политики: "0" - политика не задействована в системе.

"По умолчанию" Windows NT и 2000 пытаются автоматически изменять пароли через регулярный временной интервал, заданный в параметре "MaximumPasswordAge". Подробное описание этого параметра будет приведено ниже. Если задать параметру "DisablePasswordChange" значение "1" и, тем самым, задействовать политики, то можно запретить изменение пароля вручную или с помощью программы для системного администрирования. Кроме этого, если политика активна, измененный пароль не посылается контроллеру домена.


Отказ в автоматическом изменении пароля

Эта системная политика применима для Windows версий NT 4.0, 2000, работающих как контроллер домена. Когда она находится в активном состоянии, то контроллеры домена, где она задействована, отвергают попытки рабочих станций изменить пароли для учетных записей. В том числе, в результате процедуры автоматического обновления.

За состояние этой политики отвечает целочисленном параметр "RefusePasswordChange", который хранится в ключе "SYSTEM\CurrentControlSet\Services\Netlogon\Parameters", в разделе HKEY_LOCAL_MACHINE системного реестра Windows. Состояние политики представляют два булевых значения: "1" и "0" (отсутствие параметра в реестре). "Активное" и "неактивное" состояние соответственно. "По умолчанию" политика не задействована в системе. Windows 2000 не добавляет этот параметр в системный реестр, его необходимо добавить вручную, например, с помощью редактора реестра или с помощью программы для системного администрирования.

Если сеть работает нестабильно, то в этом случае имеет смысл привести политику в активное состояние и отменить периодическую смену паролей.

Следует обязательно упомянуть о порядке установки ключа "RefusePasswordChange" для этой политики в нескольких контроллерах домена. Сначала нужно привести политику в активное состояние во всех резервных контроллерах и лишь затем - в первичном контроллере домена.

Установка в "1" параметра "DisablePasswordChange" снижает нагрузку сети со стороны клиента, а параметра "RefusePasswordChange" - со стороны контроллера домена, отказывающего проводить репликацию учетной записи.

С точки зрения системной безопасности приведение этих двух политик в активное состояние делает Windows более уязвимой к атакам злоумышленника.


Максимальное время жизни пароля

Эта системная политика применима для Windows версий NT 4.0, 2000, XP, работающих как рабочие станции и как резервные контролеры домена. Эта системная политика определяет, через какой период времени в днях система будет инициировать смену паролей для учетных записей. Она игнорируется, если вышеупомянутая политика "Запрет автоматического изменения пароля" находится в активном состоянии и система не сконфигурирована для автоматического обновления паролей.

Состояние этой политики хранится в целочисленном параметре "MaximumPasswordAge", который должен быть в ключе "SYSTEM\CurrentControlSet\Services\Netlogon\Parameters", в разделе HKEY_LOCAL_MACHINE системного реестра. Эффект от установки ее распространяется не только на текущего пользователя, но и на всех пользователей системы. Диапазон значений для этого параметра - от 1 до 1000000.

Максимальный период жизни паролей, то есть и значение "по умолчанию" для параметра "MaximumPasswordAge": в Windows NT - 7 дней, в Windows 2000 - 30 дней.

Если рабочая станция входит в домен, где присутствуют и резервные контроллеры домена, то эта политика, и с теми же значениями, должна быть продублирована и на них.

Windows 2000 не добавляет этот параметр в системный реестр, его придется добавить вручную, используя редактор реестра, или с помощью программы.

Для корректной работы этой системной политики в Windows NT рекомендовано установить 4 сервисный пакет обновления.


Время для предупреждения о смене пароля

Эта системная политика отвечает за временной интервал, когда система выдаст сообщение о том, что через указанный период времени пароль подлежит изменению. Она применима для Windows NT 4.0 и выше.

Состояние этой политики хранится в DWORD-параметре "PasswordExpiryWarning", который должен быть в ключе "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" в разделе HKEY_LOCAL_MACHINE. Действие системной политики распространяется на всю систему.

Диапазон значений для параметра от "0" до "4294967295" (FFFFFFFF). Значение "по умолчанию" у этой системной политики - 14 дней.

В Windows NT 3.x значение периода для предупреждения о смене пароля жестко задано - 14 дней. Поддержка этого параметра и возможность его редактирования появилась в Windows NT 4.0. Windows 2000 не добавляет этот параметр в системный реестр, его необходимо создавать и устанавливать вручную или с помощью программы, скрипта и т.п.


Запрет изменения пароля

Эта политика запрещает пользователям изменять пароль для учетной записи по своему желанию путем вызова диалога по нажатии CTRL+ALT+DEL. Эта политика применима в Windows NT 4.0, после установки 4 сервисного пакета обновления в Windows 2000 и XP.

Ее состояние хранится в целочисленном параметре "DisableChangePassword", находящемся в ключе "Software\Microsoft\Windows\CurrentVersion\Policies\System", в разделе HKEY_CURRENT_USER. Действие ее распространяется на текущего пользователя. Состояние политики представляют одно из двух булевых значений: "1" - политика активна, "0" - политика неактивна. "По умолчанию" в системе политика не задействована. Отсутствие параметра в системном реестре, когда политика "не сконфигурирована", приводит ее в неактивное состояние.

Если политика задействована, то в диалоге, вызываемом по CTRL+ALT+DEL, кнопка смены паролей затенена. Это показывает пользователю, что возможность смены паролей заблокирована. Однако это состояние не запрещает смену паролей, когда действие пароля закончилось. Или, например, через период времени, хранящийся в параметре "MaximumPasswordAge", заданный политикой "Максимальное время жизни пароля".

Valient Newman,
www.geocities.com/werebad

Версия для печатиВерсия для печати

Номер: 

49 за 2002 год

Рубрика: 

Software
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!