Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - [решено] Усложнение политики паролей в AD

Ответить
Настройки темы
2008 R2 - [решено] Усложнение политики паролей в AD

Аватара для Elven

Ветеран


Сообщения: 992
Благодарности: 268

Профиль | Сайт | Отправить PM | Цитировать


Доброе время суток.
Пришло нам славное распоряжение о требованиях к паролям пользователей, что послужило причиной некоторой мозголомки:

Цитата:
1. длина пароля должна быть не менее 6 символов;
2. в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
3. пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС и т.п.);
4. при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях;
И если первые два пункта без особых проблем задаются через групповые политики, то как подступиться к пп. 3 и 4 я даже не могу предположить.
Прошу излагать идеи, или, если кто уже делал, - решения.

Отправлено: 13:17, 28-02-2014

 

Ветеран


Сообщения: 27449
Благодарности: 8086

Профиль | Отправить PM | Цитировать


Цитата Elven:
Iska, хэш или пароль - в текущей ситуации имхо не существенно. »
Существенно. Достаточно хранить хэши от нескольких предыдущих паролей, вычислить хэш нового пароля и сравнить его с сохранёнными. Доступа к собственно паролям у администратора нет. Как Вы будете исполнять в таком случае п.4? Я лично не знаю.

Цитата WindowsNT:
Последние три пункта встроенными техническими средствами невыполнимы. »
Разве п.2 не покрывается (с излишним запасом) требованием сложности пароля?

Цитата Elven:
Уточните, пожалуйста, что подразумевается под фильтром, или пример, может, под рукой есть? »
Под рукой нет и не было, я давно уже не программист. Танцуйте отсюда: Фильтр доменных паролей.

Отправлено: 18:53, 28-02-2014 | #11



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.

exo exo вне форума

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать


Цитата WindowsNT:
Последние три »
как это невыполнимо?
Цитата Elven:
2. в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.); »
или вы имели ввиду последние два пункта?

-------
Вежливый клиент всегда прав!


Отправлено: 18:54, 28-02-2014 | #12


Аватара для Elven

Ветеран


Сообщения: 992
Благодарности: 268

Профиль | Сайт | Отправить PM | Цитировать


exo, Iska, второй пункт стандартной настройкой перекрывается не полностью, для винды достаточно какой-нибудь одной буквы, требования к верхнему-нижнему регистру она уже не волокёт
В целом ситация ясна... Будем ухищряться.

Отправлено: 19:47, 28-02-2014 | #13


Ветеран


Сообщения: 27449
Благодарности: 8086

Профиль | Отправить PM | Цитировать


Цитата Elven:
exo, Iska, второй пункт стандартной настройкой перекрывается не полностью, для винды достаточно какой-нибудь одной буквы, требования к верхнему-нижнему регистру она уже не волокёт »
Я чего-то не понимаю?
Цитата:
Пароль должен отвечать требованиям сложности

Этот параметр безопасности определяет требования сложности для паролей.

Если эта политика включена, пароли должны удовлетворять следующим минимальным требованиям:

Пароль не должен содержать имя учетной записи пользователя или фрагменты имени пользователя длиной больше двух символов.
Пароль должен состоять не менее чем из шести символов.
Пароль должен содержать символы, относящиеся к трем из следующих четырех категорий:
латинские заглавные буквы (A - Z);
латинские строчные буквы (a - z);

цифры (0 - 9);
отличные от букв и цифр символы (например, !, $, #, %).
Проверка соблюдения этих требований выполняется при изменении или создании паролей.



По умолчанию:

Включен на контроллерах домена.
Отключен на автономных серверах.

Отправлено: 19:58, 28-02-2014 | #14


Ветеран


Сообщения: 1496
Благодарности: 384

Профиль | Отправить PM | Цитировать


Да, нужно понимать отличие "3" от "4". Windows принимает три (3) категории знаков из возможных пяти (5). В выдвинутых требованиях — четыре (4).

-------
Microsoft Certified Trainer; Cisco Certified Systems Instructor; Certified EC-Council Instructor; Certified Ethical Hacker v8.


Отправлено: 15:53, 02-03-2014 | #15


Ветеран


Сообщения: 27449
Благодарности: 8086

Профиль | Отправить PM | Цитировать


WindowsNT, свой фильтр. Всё, что мог, я уже написал вопрошавшему:
Цитата Iska:
я давно уже не программист. Танцуйте отсюда: Фильтр доменных паролей. »
При всём желании из меня больше извлечь нечего .

Но на мой взгляд, в требованиях просто бред. Видится так: один приказал, другой назначил исполнителя, тот где-то слышал звон, пролистал Google и «скопипастил» подряд всё найденное. Причём криво. И пошла писать губерния. А отдуваться за это придётся, понятно, коллеге Elven'у. Ровно как пишутся книги в «этих наших» университетах: автором — ректор, задание по цепочке — проректор, декан/завкафедрой. Пишут аспиранты. Полученный в итоге бред учат и сдают студенты.

Цитата WindowsNT:
из возможных пяти (5) »
А какой пятый?

Отправлено: 16:58, 02-03-2014 | #16


ИО Капитана Очевидности


Contributor


Сообщения: 5382
Благодарности: 1105

Профиль | Отправить PM | Цитировать


Цитата Iska:
Но на мой взгляд, в требованиях просто бред. Видится так: один приказал, другой назначил исполнителя, тот где-то слышал звон, пролистал Google и «скопипастил» подряд всё найденное. Причём криво. И пошла писать губерния. А отдуваться за это придётся, понятно, коллеге Elven'у. »
Искомое реализовано (за исключением п.3) в программах класса Dallas Lock, которые поверх системных функций безопасности добавляют свои собственные.

Коллеге Elven'у могу посоветовать одно.
Поискать в гугле разработчиков таких программ, запросить от них коммерческие предложения на over 9000 лицензий, отправить "наверх" запрос на выделение требуемой суммы "для исполнения распоряжения такого-то начальника от такого-то письма".
Результатом будет либо выделение указанной суммы либо отзыв данного распоряжения.

-------
Самое совершенное оружие, которым забиты арсеналы богатых и процветающих наций, может легко уничтожить необразованного, больного, бедного и голодного. Но оно не может уничтожить невежество, болезнь, нищету и голод. (Фидель Кастро)

Почему всех осужденных за измену Родине при Сталине реабилитировали при Горбачёве по отсутствию состава преступления? Потому что при Горбачёве измену Родине перестали считать преступлением.

Это сообщение посчитали полезным следующие участники:

Отправлено: 05:14, 03-03-2014 | #17


Аватара для Elven

Ветеран


Сообщения: 992
Благодарности: 268

Профиль | Сайт | Отправить PM | Цитировать


Iska, про студентов и декана точно подмечено.
El Scorpio, пожалуй так и поступлю.
Всем спасибо.

Отправлено: 13:00, 03-03-2014 | #18


Ветеран


Сообщения: 1496
Благодарности: 384

Профиль | Отправить PM | Цитировать


Iska: http://technet.microsoft.com/en-us/l.../cc875839.aspx

-------
Microsoft Certified Trainer; Cisco Certified Systems Instructor; Certified EC-Council Instructor; Certified Ethical Hacker v8.


Отправлено: 13:46, 04-03-2014 | #19


Новый участник


Сообщения: 1
Благодарности: 0

Профиль | Отправить PM | Цитировать


Я для себя нашел сервис, где можно сгенерировать надежный пароль, с кучей настроек http://pswrd.getcode.xyz

Отправлено: 09:24, 25-09-2018 | #20



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - [решено] Усложнение политики паролей в AD

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Доступ - [решено] Нет доступа в сетевую шару после изменения политики паролей в домене dimonprodigy Microsoft Windows 2000/XP 2 26-01-2013 18:33
Доступ - Изменение политики паролей локально. Kamerin Microsoft Windows 2000/XP 0 23-02-2012 23:19
[решено] Политики учетных записей-политика паролей DOCznet Microsoft Windows NT/2000/2003 13 08-02-2012 12:11
2008 - изменение политики паролей в AD на windows 2008 polsok Windows Server 2008/2008 R2 14 15-03-2011 11:57
2008 R2 - не отключаются политики пустых паролей Ingolder Windows Server 2008/2008 R2 2 24-02-2010 00:34




 
Переход