У меня только что был пользователь, который не смог изменить свой пароль в домене Windows 2008. Это давало ему загадочное сообщение о требованиях к сложности, хотя он был уверен, что выбранный им пароль им соответствует. Сам тестировал и подтвердил.
Похоже, что его последний пароль был установлен слишком недавно из-за рекомендованного Microsoft значения по умолчанию, равного примерно 10 дням, если я помню.
Он задал мне очень хороший вопрос, на который я не мог ответить: почему может быть минимум возраст пароля? Как это могло принести пользу безопасности? Он также указал, что в течение этого 10-дневного периода можно обнаружить, что их пароль был взломан, и его нельзя будет изменить!
Будет ли какая-либо веская причина для обеспечения минимум возраст пароля?
Во-первых, технический ответ:
Настройте минимальный срок действия пароля более 0, если вы хотите, чтобы история паролей была эффективной. Без минимального возраста пароля пользователи могут циклически перебирать пароли, пока не доберутся до старого любимого.
http://technet.microsoft.com/en-us/library/cc779758(v=ws.10).aspx (Сервер 2003) http://technet.microsoft.com/en-us/library/hh994570(v=ws.10).aspx (Server 2008 / Windows Vista и более поздние версии)
Так что это хорошая причина, чтобы не было 0. Кроме того, согласно этим статьям:
По умолчанию
1 на контроллерах домена.
0 на автономных серверах.
Таким образом, другими словами, значение по умолчанию - это минимум, который вам необходим для принудительного использования истории паролей.
Лично я не думаю, что есть веская причина безопасности для обеспечения минимального возраста пароля. но могут быть какие-то практические / человеческие причины. Например, вы можете ограничить количество смен пароля, чтобы сократить количество звонков «Я забыл пароль». Возможно, я видел, что это будет практично для старшеклассников.
Наконец, стоит иметь в виду, что эти ограничения не распространяются на сброс пароля вручную из Active Directory - пользователи и компьютеры. Таким образом, пользователь всегда может обратиться за помощью к системному администратору, если ему действительно нужно изменить свой пароль.
Обоснование минимального срока действия пароля состоит в том, чтобы не дать пользователям вернуться к своему старому паролю сразу после принудительной смены пароля. Эту политику лучше всего использовать вместе с политикой «истории паролей» (не позволять пользователям повторно использовать свои последние X предыдущих паролей).
Минимальный возраст пароля также может служить мерой безопасности. Что, если хакер изменил пароль сразу после взлома компьютера?