Обеспечить минимальную длину пароля 15 символов в Windows
Мне было дано требование установить минимальную длину пароля в 15 символов в моих системах на базе Windows. Предположительно, это возможно и уже делается в некоторых других системах. Однако я не могу заставить его работать.
Ключевая проблема, по-видимому, заключается в том, что политика обычно ограничивается принятием только значений от 0 до 14.
Я пробовал ставить выше, но не получается.
Как можно это обойти?
Мне нужно решение, которое будет работать как через доменный объект групповой политики, так и в автономных системах. Если возможно, мне нужно исправление, обратно совместимое до XP / 2003. Сторонние инструменты не подходят.
Да, можно, но я не верю, что это поддерживается. Вам придется изменить Active Directory с помощью ADSIEdit.msc. Если вы просмотрите атрибуты схемы AD, вы увидите Min-Pwd-Length атрибут. Измените значение этого атрибута на 15, и минимальная длина пароля будет равна 15.
Об этом подробнее здесь: https://msdn.microsoft.com/en-us/library/ms677113%28v=vs.85%29.aspx?f=255&MSPPError=-2147217396
Вы можете создать политику на основе реестра, в которой минимальная длина пароля будет 15. Здесь описан метод.
Вы можете сделать это на автономном сервере / компьютере рабочей группы:
1: Откройте regedit
2: Перейдите к «HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Network» на левой панели, затем щелкните правой кнопкой мыши запись.
3: Создайте новое значение REG_BINARY. Назовите значение «MinPwdLen» и установите минимальную длину пароля равной семи.
4: Закройте редактор реестра и перезагрузите компьютер.
Вы создаете политику, которая применяется ко всем машинам в домене (политика всего домена, убедитесь, что она не будет конфликтовать с существующими политиками, которые устанавливают минимальную длину пароля средствами политики, как вы пытались), которая будет устанавливать HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Network\MinPwdLen значение в BINARY 0x0F.
Если ваш домен - 2012 или выше, вы теперь можете настроить более длинный пароль с помощью «Детализированных политик паролей» или объекта установки пароля (PSO).
НОТА: XP \ 2003 долгое время не поддерживался. Надежные пароли не могут защитить вас. В SMB есть RCE под названием «Eternal Blue», который делает пароли для этих старых систем устаревшими. Теперь любой желающий может удаленно войти в систему без пароля.
ДЕТАЛИ: https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017/ms17-010
PSO в Windows 2012+
Настроить PSO в Windows 2012+ легко, и это не повлияет на пользователей, пока они не попытаются изменить пароль в следующий раз.
Панель управления -> Система и безопасность -> Администрирование -> Центр администрирования справочника советов
Имя домена -> Система -> Контейнер настроек пароля
Щелкните правой кнопкой мыши -> Создать -> Настройки пароля
Завершите настройки PSO и назначьте пользователя или группу пользователей. Чтобы назначить политику всем пользователям, используйте «Пользователи домена». Обратите внимание, что в этом тесте мы указали минимальную длину допустимого пароля 20 символов.
