Член домена: максимальный срок действия пароля учетных записей компьютера

Описаны рекомендации, расположение, значения и соображения безопасности для параметра политики безопасности Член домена: максимальный срок действия пароля учетных записей компьютера.

Справка

Параметр политики Член домена: максимальный срок действия пароля учетных записей компьютера задает максимально допустимый срок использования пароля учетной записи устройства.

В доменах на основе Active Directory у каждого устройства есть учетная запись и пароль (как и у каждого пользователя). По умолчанию члены домена автоматически изменяют свои пароли каждые 30 дней. Если вы увеличите этот интервал или присвоите параметру значение 0 (после чего устройства перестанут менять свои пароли), это даст пользователю-злоумышленнику больше времени на атаку методом подбора пароля к одной из учетных записей устройства.

Возможные значения

  • Задаваемое пользователем количество дней в интервале от 0 до 999

  • Не определено.

Рекомендации

  1. Зачастую целесообразно задавать для параметра Член домена: максимальный срок действия пароля учетных записей компьютера значение примерно 30 дней.

  2. Некоторые организации подготавливают устройства, а затем хранят их для последующего использования или отправляют в удаленные расположения. Если срок действия учетной записи устройства истек, компьютер не сможет проходить проверку подлинности в домене. Устройства, которые не могут пройти проверку подлинности в домене, необходимо удалить из домена и заново присоединить к нему. По этой причине некоторым организациям может потребоваться создать особое подразделение для заранее подготовленных компьютеров и задать для этого параметра политики большее количество дней.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

Значения по умолчанию

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Не определено

Параметры автономного сервера по умолчанию

30 дней

Действующие параметры контроллера домена по умолчанию

30 дней

Действующие параметры рядового сервера по умолчанию

30 дней

Действующие параметры клиентского компьютера по умолчанию

30 дней

 

Управление политикой

В данном разделе описываются компоненты и средства, доступные для управления этой политикой.

Необходимость перезагрузки

Нет. Изменения этой политики вступают в силу без перезагрузки компьютера после их локального сохранения или распространения через групповую политику.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

В доменах на основе Active Directory у каждого устройства есть учетная запись и пароль (как и у каждого пользователя). По умолчанию члены домена автоматически изменяют свои пароли каждые 30 дней. Если вы значительно увеличите продолжительность этого интервала или сделаете ее равной 0, чтобы компьютеры больше не меняли свои пароли, то у злоумышленника будет больше времени на атаку методом подбора пароля к одной или нескольким учетным записям компьютеров.

Меры противодействия

Задайте для параметра Член домена: максимальный срок действия пароля учетных записей компьютера значение 30 дней.

Возможные последствия

Нет. Это конфигурация по умолчанию.

Связанные разделы

Параметры безопасности

 

 

Показ: