Член домена: отключить изменение пароля учетных записей компьютера

Описаны рекомендации, расположение, значения и соображения безопасности для параметра политики безопасности Член домена: отключить изменение пароля учетных записей компьютера.

Справка

Параметр политики Член домена: отключить изменение пароля учетных записей компьютера определяет, следует ли члену домена периодически изменять свой пароль учетной записи устройства. Если вы зададите для этого параметра значение Включено, члену домена будет запрещено изменять пароль учетной записи устройства. Если вы зададите для параметра значение Отключено, то члену домена будет разрешено изменять пароль учетной записи устройства с периодичностью, заданной значением параметра политики Член домена: максимальный срок действия пароля учетных записей компьютера, которое по умолчанию составляет 30 дней.

По умолчанию от устройств, принадлежащих к домену, каждые 30 дней требуется автоматически изменять пароли их учетных записей. Устройства, которые больше не могут автоматически изменять пароли своих учетных записей, подвергаются риску, при котором пользователь-злоумышленник может подобрать пароль для учетной записи домена системы.

Убедитесь, что параметр Член домена: отключить изменение пароля учетных записей компьютера имеет значение Отключено.

Возможные значения

• Включено

• Отключено

Рекомендации

1. Не включайте этот параметр политики. Пароли учетных записей компьютера используются для создания безопасного канала связи между членами и контроллерами домена, а также между контроллерами домена. После создания безопасного канала через него передается конфиденциальная информация, необходимая для принятия решений по проверке подлинности и авторизации.

2. Не используйте этот параметр политики для поддержки сценариев двойной загрузки, в которых используется одна и та же учетная запись компьютера. Если вы хотите использовать двойную загрузку для установленных систем, присоединенных к одному и тому же домену, задайте для обеих систем разные имена компьютеров. Этот параметр политики был добавлен в ОС Windows, чтобы упростить работу организациям, создающим запасы предварительно настроенных компьютеров, которые планируется ввести в эксплуатацию через несколько месяцев. Такие устройства не придется снова присоединять к домену.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

Значения по умолчанию

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Управление политикой

В данном разделе описываются компоненты и средства, доступные для управления этой политикой.

Необходимость перезагрузки

Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

По умолчанию устройства под управлением Windows Server, принадлежащие к домену, автоматически меняют пароли своих учетных записей с определенной периодичностью, обычно равной 30 дням. Если отключить этот параметр политики, то устройства, работающие под управлением ОС Windows Server, будут продолжать использовать старые пароли учетных записей компьютеров. Устройства, которые не могут автоматически изменять пароли своих учетных записей, подвергаются риску, при котором злоумышленник может подобрать пароль учетной записи домена компьютера.

Меры противодействия

Убедитесь, что параметр Член домена: отключить изменение пароля учетных записей компьютера имеет значение Отключено.

Возможные последствия

Нет. Это конфигурация по умолчанию.

Связанные разделы

Параметры безопасности