Политика паролейPassword Policy

Относится к:Applies to

  • Windows 10;Windows 10

Обзор политик паролей для Windows и ссылки на сведения для каждого параметра политики.An overview of password policies for Windows and links to information for each policy setting.

Во многих операционных системах чаще всего для проверки подлинности удостоверения пользователя используется секретная пароль.In many operating systems, the most common method to authenticate a user's identity is to use a secret passphrase or password. Для безопасной сетевой среды все пользователи должны использовать надежные пароли, которые содержат не менее восьми символов и содержат сочетание букв, цифр и символов.A secure network environment requires all users to use strong passwords, which have at least eight characters and include a combination of letters, numbers, and symbols. Эти пароли помогают предотвратить компрометации учетных записей пользователей и административных учетных записей несанкционированными пользователями, которые используют ручные методы или автоматизированные средства для угадать слабые пароли.These passwords help prevent the compromise of user accounts and administrative accounts by unauthorized users who use manual methods or automated tools to guess weak passwords. Надежные пароли, которые регулярно меняются, снижают вероятность успешной атаки паролем.Strong passwords that are changed regularly reduce the likelihood of a successful password attack.

Впервые в Windows Server 2008 R2 и Windows Server 2008 Windows поддерживает тонкая политика паролей.Introduced in Windows Server 2008 R2 and Windows Server 2008, Windows supports fine-grained password policies. Эта функция позволяет организациям определять разные политики блокировки паролей и учетных записей для разных наборов пользователей в домене.This feature provides organizations with a way to define different password and account lockout policies for different sets of users in a domain. Политики точного пароля применяются только к объектам пользователей (или объектам inetOrgPerson, если они используются вместо объектов пользователей) и глобальным группам безопасности.Fine-grained password policies apply only to user objects (or inetOrgPerson objects if they are used instead of user objects) and global security groups. Дополнительные сведения см. в пошаговом руководстве по Fine-Grained политики блокировки паролей и учетных записей AD DS.For more details, see AD DS Fine-Grained Password and Account Lockout Policy Step-by-Step Guide.

Чтобы применить тонкая политика паролей к пользователям в OU, можно использовать теневую группу.To apply a fine-grained password policy to users of an OU, you can use a shadow group. Теневая группа — это глобальная группа безопасности, логически соеданная с OU для применения точной политики паролей.A shadow group is a global security group that is logically mapped to an OU to enforce a fine-grained password policy. Вы добавляете пользователей этого OU в качестве членов созданной теневой группы, а затем применяйте к этой теневой группе тонкая политика паролей.You add users of the OU as members of the newly created shadow group and then apply the fine-grained password policy to this shadow group. При необходимости можно создать дополнительные теневые группы для других OUS.You can create additional shadow groups for other OUs as needed. При переходе пользователя из одного OU в другое необходимо обновить членство в соответствующих теневых группах.If you move a user from one OU to another, you must update the membership of the corresponding shadow groups.

Политики точного пароля включают атрибуты для всех параметров, которые можно определить в политике домена по умолчанию (за исключением параметров Kerberos) в дополнение к настройкам блокировки учетной записи.Fine-grained password policies include attributes for all the settings that can be defined in the default domain policy (except Kerberos settings) in addition to account lockout settings. При указании точной политики паролей необходимо указать все эти параметры.When you specify a fine-grained password policy, you must specify all of these settings. По умолчанию только члены группы "Администраторы домена" могут устанавливать политики точного пароля.By default, only members of the Domain Admins group can set fine-grained password policies. Однако вы также можете делегировать возможность устанавливать эти политики другим пользователям.However, you can also delegate the ability to set these policies to other users. Домен должен работать по крайней мере Windows Server 2008 R2 windows Server 2008 для использования политик точного пароля.The domain must be running at least Windows Server 2008 R2 or Windows Server 2008 to use fine-grained password policies. К подразделению нельзя применять политики точного пароля напрямую.Fine-grained password policies cannot be applied to an organizational unit (OU) directly.

Вы можете принудительно использовать надежные пароли с помощью соответствующей политики паролей.You can enforce the use of strong passwords through an appropriate password policy. Существуют параметры политики паролей, которые контролируют сложность и время существования паролей, например пароли должны соответствовать параметру политики "Требования к сложности".There are password policy settings that control the complexity and lifetime of passwords, such as the Passwords must meet complexity requirements policy setting.

Параметры политики паролей можно настроить в следующем расположении с помощью консоли управления групповыми политиками:You can configure the password policy settings in the following location by using the Group Policy Management Console:

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика паролейComputer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy

Эта групповая политика применяется на уровне домена.This group policy is applied on the domain level. Если отдельным группам требуются отдельные политики паролей, рассмотрите возможность использования политик точного пароля, как описано выше.If individual groups require distinct password policies, consider using fine-grained password policies, as described above.

В следующих темах рассматривается реализация политики паролей и советы, расположение политики, значения по умолчанию для типа сервера или GPO, соответствующие различия в версиях операционной системы, вопросы безопасности (включая возможные уязвимости каждого параметра), возможные меры противодействия и потенциальное влияние на каждый параметр.The following topics provide a discussion of password policy implementation and best practices considerations, policy location, default values for the server type or GPO, relevant differences in operating system versions, security considerations (including the possible vulnerabilities of each setting), countermeasures that you can take, and the potential impact for each setting.

В этом разделеIn this section

СтатьяTopic ОписаниеDescription
Вести журнал паролейEnforce password history В этой статье описываются лучшие методики, расположение, значения, **** управление политиками и вопросы безопасности для параметра политики безопасности "Применить историю паролей".Describes the best practices, location, values, policy management, and security considerations for the Enforce password history security policy setting.
Максимальный срок действия пароляMaximum password age В этой статье описываются лучшие методики, расположение, значения, **** управление политиками и вопросы безопасности для параметра политики безопасности "Максимальный срок действия пароля".Describes the best practices, location, values, policy management, and security considerations for the Maximum password age security policy setting.
Минимальный срок действия пароляMinimum password age В этой статье описываются лучшие методики, расположение, значения, **** управление политиками и вопросы безопасности для параметра политики безопасности "Минимальный срок действия пароля".Describes the best practices, location, values, policy management, and security considerations for the Minimum password age security policy setting.
Минимальная длина пароляMinimum password length В этой статье описываются лучшие методики, расположение, значения, **** управление политиками и вопросы безопасности для параметра политики безопасности "Минимальная длина пароля".Describes the best practices, location, values, policy management, and security considerations for the Minimum password length security policy setting.
Пароль должен соответствовать требованиям к сложностиPassword must meet complexity requirements В этой статье описываются лучшие методики, расположение, **** значения и вопросы безопасности для пароля, которые должны соответствовать требованиям к сложности настройки политики безопасности.Describes the best practices, location, values, and security considerations for the Password must meet complexity requirements security policy setting.
Хранить пароли, используя обратимое шифрованиеStore passwords using reversible encryption В этой статье описываются лучшие методики, расположение, **** значения и вопросы безопасности для паролей Магазина с использованием обратимого параметра политики безопасности шифрования.Describes the best practices, location, values, and security considerations for the Store passwords using reversible encryption security policy setting.

Статьи по темеRelated topics