Как узнать срок действия пароля windows

steklo mokryj svet 199817 1280x720 Windows
Содержание
  1. Когда истекает пароль пользователя в AD, оповещаем пользователей о необходимости сменить пароль
  2. Как узнать срок действия пароля пользователя в Active Directory?
  3. Отключить срок действия пароля для учетной записи
  4. Политика оповещения об окончании срока действия пароля
  5. PowerShell скрипт для email-уведомления об истечении срока действия пароля
  6. Максимальный срок действия пароля Maximum password age
  7. Справочные материалы Reference
  8. Возможные значения Possible values
  9. Рекомендации Best practices
  10. Расположение Location
  11. Значения по умолчанию Default values
  12. Управление политикой Policy management
  13. Необходимость перезапуска Restart requirement
  14. Вопросы безопасности Security considerations
  15. Уязвимость Vulnerability
  16. Вопросы Considerations
  17. Возможное влияние Potential impact
  18. Как установить срок действия пароля Windows 10
  19. Как настроить срок действия пароля для локальной учетной записи Windows 10
  20. Как ограничить срок пароля для учетной записи Майкрософт
  21. Когда истекает пароль пользователя в AD, оповещаем пользователей о необходимости сменить пароль
  22. Когда истекает пароль пользователя в AD, оповещаем пользователей о необходимости сменить пароль
  23. Как узнать срок действия пароля пользователя в Active Directory?
  24. Отключить срок действия пароля для учетной записи
  25. Политика оповещения об окончании срока действия пароля
  26. PowerShell скрипт для email-уведомления об истечении срока действия пароля

Когда истекает пароль пользователя в AD, оповещаем пользователей о необходимости сменить пароль

В этой статье мы покажем, как с помощью PowerShell узнать, когда истекает пароль учетной записи пользователя в Active Directory, установить бессрочный пароль для учетной записи (PasswordNeverExpires = True) и заблаговременно оповестить пользователей о необходимости сменить пароль.

Если срок действия пароля пользователя в домене истек, учетная запись не блокируется, но не может использоваться для доступа к доменным ресурсам до тех пор, пока пользователь не сменит свой истекший пароль на новый. Чаще всего проблемы с истекшими паролями возникает у удаленных пользователей, которые не могут сменить свой пароль стандартными средствами.

Текущие настройки политики срока действия паролей в домене можно получить с помощью команды PowerShell

В нашем примере максимальный срок действия пароля пользователя в домене – 60 дней.

get addefaultdomainpasswordpolicy srok dejstviya pa

Как узнать срок действия пароля пользователя в Active Directory?

Можно узнать срок действия пароля и дату его последней смены из командной строки с помощь команды Net user:

net user aaivanov /domain

net user poluchit srok dejstviya parolya

Необходимые данные присутствуют в значениях:

Для получения параметров учетных записей в AD мы будем использовать специальный модуль PowerShell для Active Directory, который позволяет получить значения различных атрибутов объектов AD (см. как установить и импортировать модуль AD PowerShell в Windows 10 и Windows Server 2012 R2/2016).

С помощью командлета Get-AdUser можно получить время последней смены пароля пользователя и проверить, установлена ли опция бессрочного пароля (PasswordNeverExpires):

get aduser passwordlastset vremya poslednej smeny

Но как вы видите, в оснастке указана только время смены пароля. Когда истекает срок действия пароля — непонятно.

pwdlastset v svojtsvah polzovatelya

Чтобы получить не время последней смены пароля, а дату окончания его срока действия, нужно использовать специальный constructed-атрибут msDS-UserPasswordExpiryTimeComputed. Значение атрибута msDS-UserPasswordExpiryTimeComputed автоматически вычисляется на основании времени последней смены пароля и парольной политики домена

Параметр UserPasswordExpiryTimeComputed возвращает время в формате TimeStamp и для преобразования его в человеко-понятный вид я использую функцию FromFileTime:

Таким образом мы получили время истечения срока действия пароля пользователя.

atribut userpasswordexpirytimecomputed vremya ist

Чтобы получить срок действия паролей для всех пользователей их определенного контейнера (OU) AD, можно воспользоваться таким скриптом PowerShell:

В результате появилась табличка со списком активных пользователей, сроком действия и временем последней смены пароля.

vremya dejstviya parolej polzovatelej v domene

Можно вывести только список пользователей, чей пароль уже истек:

Отключить срок действия пароля для учетной записи

Если вам нужно сделать срок действия пароля определенной учетной записи неограниченным, нужно включить опцию Password Never Expires в свойствах пользователя в AD (это одно из битовых значений атрибута UserAccountControl).

password never

Либо вы можете включить эту опцию через PowerShell:

Можно установить флаг Password Never Expires сразу для нескольких пользователей, список которых содержится в текстовом файле:

Можно вывести список всех пользователей, для которых отключено требование регулярной смены пароля:

Политика оповещения об окончании срока действия пароля

В Windows есть отдельный параметр групповой политики, позволяющий оповещать пользователей о необходимости сменить пароль.

По умолчанию эту политика включена на уровне локальных настроек Windows и уведомления начинают появляться за 5 дней до истечения срока действия пароля. Вы можете изменить количество дней, в течении которых должно появляться уведомление о смене пароля.

politika uvedomleniya o neohodimosti smeny parolya i

После включения этой политики, если пароль пользователя истекает, то при входе в систему в трее будет появляться уведомление о необходимости сменить пароль.

consider changing your password

Также вы можете использовать простой PowerShel скрипт, который автоматически вызывает диалоговое окно со предложением сменить пароль, если он истекает менее чем через 5 дней:

Если пользователь нажимает ДА, появляется диалоговое окно Windows Security, которое вы видите при нажатии Ctrl+Alt+Del или Ctrl+Alt+End (при RDP подключении).

Данный скрипт нужно поместить в автозагрузку или запускать как logon скрипт групповых политик.

PowerShell скрипт для email-уведомления об истечении срока действия пароля

Если вы хотите индивидуально рассылать пользователям письма о том, что срок действия их паролей скоро истечет, можно использовать такой PowerShell скрипт.

Скрипт проверяет всех активных пользователей домена с истекающими паролями. За 7 дней до истечения пароля пользователю начинают отправляться письма на email адрес, указанный в AD. Письма отправляются до тех пор, пока пароль не будет изменен или просрочен.

Читайте также:  Как перезагрузить компьютер через клавиатуру windows

Данный PowerShell скрипт нужно запускать регулярно на любом компьютере/сервере домена (проще всего через Task Scheduler). Естественно, нужно на вашем SMTP сервере добавить IP адрес хоста, с которого рассылаются письма, в разрешенные отправители без аутентификации.

Источник

Максимальный срок действия пароля Maximum password age

Область применения Applies to

В этой статье описываются лучшие методики, расположение, значения, **** управление политиками и вопросы безопасности для параметра политики безопасности «Максимальный срок действия пароля». Describes the best practices, location, values, policy management, and security considerations for the Maximum password age security policy setting.

Справочные материалы Reference

Параметр политики «Максимальный срок действия пароля» определяет период времени (в днях), в течение который можно использовать пароль, прежде чем система потребует от пользователя его изменить. The Maximum password age policy setting determines the period of time (in days) that a password can be used before the system requires the user to change it. Вы можете задать срок действия паролей через несколько дней от 1 до 999 или указать, что срок действия паролей никогда не истечет, установив для этого числа 0 дней. You can set passwords to expire after a number of days between 1 and 999, or you can specify that passwords never expire by setting the number of days to 0. Если максимальный возраст пароля составляет от 1 до 999 дней, минимальный возраст пароля должен быть меньше максимального. If Maximum password age is between 1 and 999 days, the minimum password age must be less than the maximum password age. Если для максимального возраста пароля установлено значение 0, минимальный срок может быть любым значением от 0 до 998 дней. If Maximum password age is set to 0, Minimum password age can be any value between 0 and 998 days.

Возможные значения Possible values

Рекомендации Best practices

Установите максимальный срок пароля в 30-90 дней в зависимости от среды. Set Maximum password age to a value between 30 and 90 days, depending on your environment. Таким образом, злоумышленнику достаточно времени, чтобы скомпрометировать пароль пользователя и получить доступ к сетевым ресурсам. This way, an attacker has a limited amount of time in which to compromise a user’s password and have access to your network resources.

Рекомендуемый корпорацией Майкрософт базовый уровень безопасности не содержит политику истечения срока действия паролей, так как она менее эффективна, чем современные меры защиты. The security baseline recommended by Microsoft doesn’t contain the password-expiration policy, as it is less effective than modern mitigations. Однако компании, которые не реализовали защиту паролем Azure AD, многофакторную проверку подлинности или другие современные средства защиты от атак с угадать пароли, должны оставить эту политику в силе. However, companies that didn’t implement Azure AD Password Protection, multifactor authentication, or other modern mitigations of password-guessing attacks, should leave this policy in effect.

Расположение Location

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика паролей Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy

Значения по умолчанию Default values

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. The following table lists the actual and effective default policy values. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики (GPO) Server type or Group Policy Object (GPO) Значение по умолчанию Default value
Политика домена по умолчанию Default domain policy 42 дня 42 days
Политика контроллера домена по умолчанию Default domain controller policy Не определено Not defined
Параметры по умолчанию для отдельного сервера Stand-alone server default settings 42 дня 42 days
Параметры по умолчанию для контроллера домена Domain controller effective default settings 42 дня 42 days
Эффективные параметры по умолчанию для серверов-членов Member server effective default settings 42 дня 42 days
Эффективные параметры GPO по умолчанию на клиентских компьютерах Effective GPO default settings on client computers 42 дня 42 days

Управление политикой Policy management

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой. This section describes features, tools, and guidance to help you manage this policy.

Необходимость перезапуска Restart requirement

Нет. None. Изменения этой политики становятся эффективными без перезапуска компьютера, если они сохраняются локально или распространяются с помощью групповой политики. Changes to this policy become effective without a computer restart when they are saved locally or distributed through Group Policy.

Вопросы безопасности Security considerations

В этом разделе описывается, как злоумышленник может использовать функцию или ее конфигурацию, как реализовать меры противодействия, а также возможные отрицательные последствия реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of implementation.

Уязвимость Vulnerability

Чем дольше пароль существует, тем выше вероятность того, что он будет скомпрометирован атакой с использованием атак злоумышленника, которые получают общие сведения о пользователе или когда пользователь делится паролем. The longer a password exists, the higher the likelihood that it will be compromised by a brute force attack, by an attacker gaining general knowledge about the user, or by the user sharing the password. Если установить **** для параметра политики «Максимальный срок действия пароля» значение 0, чтобы пользователям никогда не требовалось изменять свои пароли, злоумышленник может использовать скомпрометированную пароль, если допустимый пользователь имеет авторизованный доступ. Configuring the Maximum password age policy setting to 0 so that users are never required to change their passwords allows a compromised password to be used by the malicious user for as long as the valid user is authorized access.

Вопросы Considerations

Обязательное изменение паролей является долгосрочной практикой обеспечения безопасности, но текущие исследования настоятельно указывают на отрицательное влияние истечения срока действия пароля. Mandated password changes are a long-standing security practice, but current research strongly indicates that password expiration has a negative effect. Дополнительные сведения см. в руководстве по паролям Майкрософт. See Microsoft Password Guidance for further information.

Настройте для параметра политики «Максимальный срок использования пароля» значение, подходящее для бизнес-требований организации. Configure the Maximum password age policy setting to a value that is suitable for your organization’s business requirements. Например, многие организации имеют нормативные или страховые требования, требующие короткого срока действия паролей. For example, many organisations have compliance or insurance mandates requiring a short lifespan on passwords. Если такое требование существует, параметр политики максимального возраста паролей можно использовать для удовлетворения бизнес-требований. Where such a requirement exists, the Maximum password age policy setting can be used to meet business requirements.

Возможное влияние Potential impact

Если параметр политики максимального возраста паролей слишком низкий, пользователям приходится очень часто менять свои пароли. If the Maximum password age policy setting is too low, users are required to change their passwords very often. Такая конфигурация может снизить безопасность в организации, так как пользователи могут хранить свои пароли в незащиченном расположении или потерять их. Such a configuration can reduce security in the organization because users might keep their passwords in an unsecured location or lose them. Если значение этого параметра политики слишком высокое, уровень безопасности в организации снижается, так как он позволяет потенциальным злоумышленникам больше времени для обнаружения паролей пользователей или использования скомпрометных учетных записей. If the value for this policy setting is too high, the level of security within an organization is reduced because it allows potential attackers more time in which to discover user passwords or to use compromised accounts.

Источник

Как установить срок действия пароля Windows 10

set password expiration time windows 10По умолчанию, пароль учетной записи Windows 10, как аккаунта Майкрософт, так и локальной учетной записи, не ограничен по времени. Однако, при необходимости, вы можете задать срок действия пароля, по истечении которого вам автоматически будет предложено его изменить.

В этой инструкции подробно о том, как установить срок действия пароля для учетной записи Майкрософт и автономной учетной записи Windows 10 несколькими способами. Также может быть интересным: Как ограничить количество попыток ввода пароля, Как всё запретить и заблокировать в Windows 10.

Как настроить срок действия пароля для локальной учетной записи Windows 10

Установка срока действия пароля локальной учетной записи Windows 10 состоит из двух этапов. На первом требуется отключить неограниченный срок действия:

Готово. Теперь срок действия пароля существует и по умолчанию он равен 42 дням, однако вы можете изменить этот период. Если на вашем компьютере установлена Windows 10 Pro или Enterprise, можно использовать редактор локальной групповой политики:

В Windows 10 Домашняя (как и в других редакциях ОС) для установки конкретного срока действия можно использовать PowerShell:

Как ограничить срок пароля для учетной записи Майкрософт

Если вы используете учетную запись Майкрософт, вы можете включить обязательную смену пароля раз в 72 дня. Срок для такой онлайн-аккаунта не меняется. Шаги для этого будут следующими:

После сохранения изменений пароль будет действовать лишь указанные 72 дня, после чего вам будет предложено изменить его на новый.

А вдруг и это будет интересно:

Почему бы не подписаться?

Рассылка новых, иногда интересных и полезных, материалов сайта remontka.pro. Никакой рекламы и бесплатная компьютерная помощь подписчикам от автора. Другие способы подписки (ВК, Одноклассники, Телеграм, Facebook, Twitter, Youtube, Яндекс.Дзен)

Исправьте lusmgr.msc на lusrmgr.msc.
=
Статья будет полна если хоть пару слов сказать кому и для чего это нужно. Сколько живу мне бы даже в голову не пришло задуматься об этом и даже от большого количества пользователей с которыми работаю ни разу даже намека не слышал. Даже придумать не могу где такое может пригодится.
ИМХО

Исправил, спасибо.
А насчет кому нужно… тут как: на мой сайт ведь через поиск приходят обычно. Соответственно, кто искал (а ищут — это точно) как ограничить срок действия пароля, найдут и, вероятно, им известно зачем.
Вообще в организациях практикуется на всё пароли регулярно менять принудительно.

В организациях может быть, но лично для меня это была новая информация о чём я говорил.
Спасибо Вам за труды!
Повторюсь, когда уведомления на ответы будут у Вас на сайте и прикрепление файлов в комментариях и личный кабинет бы не помешало где можно было бы найти все свои подписки и комментарии.

Василий, к сожалению, уведомлений и прикрепления файлов реализовать по ряду объективных причин у меня не получится, прошу извинить.

Статья очень полезна. Считаю комментарии Василия странными, т.к. устал уже всем знакомым уведомления отключать о смене пароля…

Источник

Когда истекает пароль пользователя в AD, оповещаем пользователей о необходимости сменить пароль

password never

Когда истекает пароль пользователя в AD, оповещаем пользователей о необходимости сменить пароль

В этой статье мы покажем, как с помощью PowerShell узнать, когда истекает пароль учетной записи пользователя в Active Directory, установить бессрочный пароль для учетной записи (PasswordNeverExpires = True) и заблаговременно оповестить пользователей о необходимости сменить пароль.

Если срок действия пароля пользователя в домене истек, учетная запись не блокируется, но не может использоваться для доступа к доменным ресурсам до тех пор, пока пользователь не сменит свой истекший пароль на новый. Чаще всего проблемы с истекшими паролями возникает у удаленных пользователей, которые не могут сменить свой пароль стандартными средствами.

Срок действия пароля пользователя в домене, частота его смены и требования к сложности и др. определяются настройками политикой паролей в AD. Это могут быть настройки Default Domain Policy или гранулированными политиками паролей (Fine-Grained Password Policy).

Текущие настройки политики срока действия паролей в домене можно получить с помощью команды PowerShell

В нашем примере максимальный срок действия пароля пользователя в домене – 60 дней.

get addefaultdomainpasswordpolicy srok dejstviya pa

Как узнать срок действия пароля пользователя в Active Directory?

Можно узнать срок действия пароля и дату его последней смены из командной строки с помощь команды Net user:

net user aaivanov /domain

net user poluchit srok dejstviya parolya

Необходимые данные присутствуют в значениях:

Для получения параметров учетных записей в AD мы будем использовать специальный модуль PowerShell для Active Directory, который позволяет получить значения различных атрибутов объектов AD (см. как установить и импортировать модуль AD PowerShell в Windows 10 и Windows Server 2012 R2/2016).

С помощью командлета Get-AdUser можно получить время последней смены пароля пользователя и проверить, установлена ли опция бессрочного пароля (PasswordNeverExpires):

get aduser passwordlastset vremya poslednej smeny

Можно проверить время последней смены пароля из графической оснастки Active Directory Users & Computers (dsa.msc). Для этого откройте свойства пользователя, перейдите на вкладку Редактор атрибутов, проверьте значение атрибута pwdLastSet.

Но как вы видите, в оснастке указана только время смены пароля. Когда истекает срок действия пароля — непонятно.

pwdlastset v svojtsvah polzovatelya

Чтобы получить не время последней смены пароля, а дату окончания его срока действия, нужно использовать специальный constructed-атрибут msDS-UserPasswordExpiryTimeComputed. Значение атрибута msDS-UserPasswordExpiryTimeComputed автоматически вычисляется на основании времени последней смены пароля и парольной политики домена

Параметр UserPasswordExpiryTimeComputed возвращает время в формате TimeStamp и для преобразования его в человеко-понятный вид я использую функцию FromFileTime:

Таким образом мы получили время истечения срока действия пароля пользователя.

atribut userpasswordexpirytimecomputed vremya ist

Чтобы получить срок действия паролей для всех пользователей их определенного контейнера (OU) AD, можно воспользоваться таким скриптом PowerShell:

В результате появилась табличка со списком активных пользователей, сроком действия и временем последней смены пароля.

vremya dejstviya parolej polzovatelej v domene

Можно вывести только список пользователей, чей пароль уже истек:

Отключить срок действия пароля для учетной записи

Если вам нужно сделать срок действия пароля определенной учетной записи неограниченным, нужно включить опцию Password Never Expires в свойствах пользователя в AD (это одно из битовых значений атрибута UserAccountControl).

password never

Либо вы можете включить эту опцию через PowerShell:

Можно установить флаг Password Never Expires сразу для нескольких пользователей, список которых содержится в текстовом файле:

Можно вывести список всех пользователей, для которых отключено требование регулярной смены пароля:

Политика оповещения об окончании срока действия пароля

В Windows есть отдельный параметр групповой политики, позволяющий оповещать пользователей о необходимости сменить пароль.

По умолчанию эту политика включена на уровне локальных настроек Windows и уведомления начинают появляться за 5 дней до истечения срока действия пароля. Вы можете изменить количество дней, в течении которых должно появляться уведомление о смене пароля.

politika uvedomleniya o neohodimosti smeny parolya i 1

После включения этой политики, если пароль пользователя истекает, то при входе в систему в трее будет появляться уведомление о необходимости сменить пароль.

consider changing your password

Также вы можете использовать простой PowerShel скрипт, который автоматически вызывает диалоговое окно со предложением сменить пароль, если он истекает менее чем через 5 дней:

Если пользователь нажимает ДА, появляется диалоговое окно Windows Security, которое вы видите при нажатии Ctrl+Alt+Del или Ctrl+Alt+End (при RDP подключении).

Данный скрипт нужно поместить в автозагрузку или запускать как logon скрипт групповых политик.

PowerShell скрипт для email-уведомления об истечении срока действия пароля

Если вы хотите индивидуально рассылать пользователям письма о том, что срок действия их паролей скоро истечет, можно использовать такой PowerShell скрипт.

Скрипт проверяет всех активных пользователей домена с истекающими паролями. За 7 дней до истечения пароля пользователю начинают отправляться письма на email адрес, указанный в AD. Письма отправляются до тех пор, пока пароль не будет изменен или просрочен.

Данный PowerShell скрипт нужно запускать регулярно на любом компьютере/сервере домена (проще всего через Task Scheduler). Естественно, нужно на вашем SMTP сервере добавить IP адрес хоста, с которого рассылаются письма, в разрешенные отправители без аутентификации.

Источник

Оцените статью
Как сделать в домашних условиях
Adblock
detector