Политика паролей

Обзор политик паролей для Windows и ссылки на сведения по каждому параметру политики.

Во многих операционных системах проверка личности пользователя чаще всего выполняется посредством парольной фразы или пароля. В целях безопасности сетевой среды все пользователи должны иметь надежные пароли, содержащие по меньшей мере восемь символов, включая буквы, цифры и специальные знаки. Такие пароли помогают предотвратить доступ к учетным записям пользователей и администраторов со стороны неуполномоченных лиц, которые могут подобрать ненадежный пароль с помощью ручных или автоматизированных средств. Регулярно обновляемые, надежные пароли уменьшают вероятность взлома.

Начиная с версий Windows Server 2008 R2 и Windows Server 2008, в системе Windows поддерживается применение детальных политик паролей. Эта функция позволяет организациям настроить индивидуальные политики паролей и блокировки учетных записей для различных групп пользователей в домене. Детальные политики паролей применяются только к объектам-пользователям (или к объектам inetOrgPerson, если они используются вместо объектов-пользователей) и глобальным группам безопасности.

Чтобы применить детальную политику паролей к пользователям отдельного подразделения, можно воспользоваться теневой группой. Теневая группа — это глобальная группа безопасности, логически сопоставленная с подразделением с целью применения детальной политики паролей. Вам необходимо добавить пользователей подразделения во вновь созданную теневую группу, а затем применить к этой группе детальную политику паролей. При необходимости можно создать теневые группы для других подразделений. Если пользователь перемещается из одного подразделения в другое, следует обновить данные об участниках соответствующих теневых групп.

Помимо параметров блокировки учетных записей, детальные политики паролей содержат атрибуты для всех параметров, которые могут быть заданы в политике домена по умолчанию (кроме параметров Kerberos). Когда вы задаете детальную политику паролей, вы должны задать значения для всех этих параметров. По умолчанию настраивать детальные политики паролей могут только участники группы «Администраторы домена». Однако это право можно делегировать и другим пользователям. Для применения детальных политик паролей в домене должна использоваться как минимум версия системы Windows Server 2008 R2 или Windows Server 2008. Детальные политики паролей не могут применяться к подразделениям напрямую.

Посредством соответствующей политики можно обеспечить принудительное использование надежных паролей. Есть параметры политики паролей, контролирующие сложность и срок действия паролей, например параметр Пароль должен соответствовать требованиям к сложности.

Вы можете настроить параметры политики паролей в указанном ниже расположении с помощью консоли управления групповыми политиками.

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика паролей

Если для конкретных групп необходимы особые политики паролей, эти группы следует выделить в отдельный домен или лес, основываясь на соответствующих требованиях.

В следующих разделах описывается реализация политики паролей, приводятся рекомендации, расположение политики, значения по умолчанию для различных типов сервера или объектов групповой политики, различия в зависимости от версии ОС, примечания о безопасности (в том числе о возможной уязвимости для каждого параметра), возможные меры противодействия и потенциальные последствия для каждого параметра.

В этом разделе

Связанные разделы

Настройка параметров политики безопасности