Срок действия пароля истек

Содержание

Интерактивный вход в систему с запросом на изменение пароля до окончания срока действия (Windows 10) – Windows security

Срок действия пароля истек

  • 04/19/2017
  • Чтение занимает 2 мин
    • D

Относится к:Applies to

В этой статье описаны советы и рекомендации, сведения о расположении, значениях, управлении политиками и безопасности для интерактивного входа в систему: запрос на изменение пароля до окончания срока действия параметров политики безопасности.This article describes the best practices, location, values, policy management, and security considerations for the Interactive logon: Prompt user to change password before expiration security policy setting.

Справочные материалыReference

Этот параметр политики определяет, когда пользователи предупреждаются о том, что срок действия паролей истекает.This policy setting determines when users are warned that their passwords are about to expire.

Это предупреждение дает пользователям возможность выбрать надежный пароль до истечения срока действия текущего пароля, чтобы избежать потери системного доступа.

This warning gives users time to select a strong password before their current password expires to avoid losing system access.

Возможные значенияPossible values

  • Определенное пользователем количество дней от 0 до 999A user-defined number of days from 0 through 999
  • Не определеноNot defined

РекомендацииBest practices

  • Настройка срока действия паролей пользователей.Configure user passwords to expire periodically. Пользователям требуется предупреждение о том, что срок действия пароля истекает или они могут быть заблокированы системой.Users need warning that their password is going to expire, or they might get locked the system.
  • Параметр Интерактивный вход: запрос на изменение пароля до истечения пяти дней.Set Interactive logon: Prompt user to change password before expiration to five days. Если время окончания срока действия пароля превышает 5 и меньше дней, пользователи будут видеть диалоговое окно каждый раз при входе в домен.When their password expiration date is five or fewer days away, users will see a dialog box each time that they log on to the domain.
  • Если для политики задано значение 0, при входе пользователя в систему не появляется предупреждение об истечении срока действия пароля.When you set the policy to zero, there is no password expiration warning when the user logs on. В течение длительного сеанса входа в систему вы получаете предупреждение в том случае, если срок действия пароля истек или истек срок его действия.During a long-running logon session, you would get the warning on the day the password expires or when it already has expired.

НазначениеLocation

Параметры компьютера Configuration\Policies\Windows Settings\Security Settings\Local Policies\SecurityComputer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options

Значения по умолчаниюDefault values

В приведенной ниже таблице перечислены значения по умолчанию для этой политики.The following table lists the default values for this policy. Значения по умолчанию также можно найти на странице свойств политики.Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политикиServer type or Group Policy ObjectЗначение по умолчаниюDefault value
Default Domain PolicyDefault Domain PolicyНе определеноNot defined
Политика контроллера домена по умолчаниюDefault Domain Controller PolicyНе определеноNot defined
Параметры по умолчанию для автономного сервераStand-Alone Server Default SettingsПять днейFive days
Параметры по умолчанию, действующие на контроллере доменаDC Effective Default SettingsПять днейFive days
Действующие параметры по умолчанию для рядового сервераMember Server Effective Default SettingsПять днейFive days
Действующие параметры по умолчанию для клиентского компьютераClient Computer Effective Default SettingsПять днейFive days

Управление политикойPolicy management

В этом разделе описаны возможности и инструменты, которые можно использовать для управления этой политикой.This section describes features and tools that you can use to manage this policy.

Необходимость перезапускаRestart requirement

Нет.None. Изменения этой политики вступают в силу без перезапуска устройства, когда они хранятся на локальном компьютере или распределены с помощью групповой политики.Changes to this policy become effective without a device restart when they're saved locally or distributed through Group Policy.

Нет.None.

Групповая политикаGroup Policy

Настройте этот параметр политики с помощью консоли управления групповыми политиками (GPMC) для распространения с помощью объектов групповой политики (GPO).Configure this policy setting by using the Group Policy Management Console (GPMC) to be distributed through Group Policy Objects (GPOs).

Если эта политика не содержится в распределенном объекте групповой политики, ее можно настроить на локальном компьютере с помощью оснастки локальной политики безопасности.

If this policy isn't contained in a distributed GPO, it can be configured on the local computer through the Local Security Policy snap-in.

В этом разделе объясняется, как злоумышленник может использовать функцию или ее конфигурацию, реализовывать контрмеры и возможные негативные последствия для контрмеры.This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and possible negative consequences of the countermeasure.

УязвимостьVulnerability

Если срок действия паролей пользователей в вашей организации истекает периодически, пользователи должны предупреждать о них до истечения срока действия.

If user passwords are configured to expire periodically in your organization, users need to be warned before expiration. В противном случае они могут непреднамеренно блокировать устройства.

Otherwise, they may get locked the devices inadvertently.

ПротиводействиеCountermeasure

Настройте Интерактивный вход в систему: запрос на изменение пароля до окончания срока действия 5 дней.Configure the Interactive logon: Prompt user to change password before expiration setting to five days.

Возможное влияниеPotential impact

Пользователи видят диалоговое окно с запросом на изменение пароля при каждом входе в домен, если срок действия пароля истекает не менее 5 дней.Users see a dialog-box that prompts them to change their password each time that they log on to the domain when their password is configured to expire in 5 or fewer days.

  • Параметры безопасностиSecurity options

Источник: https://docs.microsoft.com/ru-ru/windows/security/threat-protection/security-policy-settings/interactive-logon-prompt-user-to-change-password-before-expiration

Способы смены пароля учётной записи пользователя в RDP-сессии

Срок действия пароля истек

При использовании удалённого подключения к операционным системам Microsoft Windows/Windows Server по протоколу RDP в некоторых случаях может возникать потребность в смене пароля учётной записи пользователя.

При этом инициатором смены пароля в разных ситуациях может выступать как сам пользователь, так и администратор Windows-системы. В  некоторых сценариях может получиться так, что, казалось бы, несложная задача смены пароля может стать не такой уж и простой.

Поэтому в данной записи я попробую собрать информацию о самых разнообразных способах смены пароля учётной записи пользователя в RDP-сессии.

Способ №1 – “Горячие” клавиши

В случае, если пользователю Windows необходимо самостоятельно изменить пароль своей учётной записи, то в стандартной Windows-сессии пользователем может использоваться всем известное сочетание “горячих” клавиш Ctrl-Alt-Del. Это сочетание клавиш вызывает специальный экран Безопасности Windows (Windows Security), с которого доступна функция изменения пароля:

Если же речь заходит об использовании горячих клавиш в RDP-сессиях, то стоит заметить то, что во избежание перехвата некоторых сочетаний клавиш локальной клиентской системой (системой, с которой запускается RDP-клиент), перенаправление сочетаний клавиш Windows должно быть явно разрешено в свойствах RDP-клиента. Например в клиенте mstsc.exe, встроенном в Windows, данную опцию можно включить на закладке управления локальными ресурсам.

В стандартной первичной RDP-сессии для вызова специального экрана Безопасности Windows с функцией изменения пароля используется сочетание клавиш: CtrlAltEnd

В случае использования вложенных RDP-сессий (второго и последующего уровней), то есть когда из одной RDP-сессии открывается другая RDP-сессия, стандартное сочетание клавиш работать не будет.

В разных источниках в интернете можно найти информацию об использовании более сложных сочетаний клавиш, таких как CtrlAltShift-End или Shift-Ctrl-Alt-End.

Однако мои эксперименты с Windows 10/Windows Server 2012 R2 показали, что данные сочетания клавиш попросту не работают (возможно они работали в ранних версиях ОС Windows). В этом случае на выручку нам может прийти следующий способ.

Способ №2 – Экранная клавиатура

В составе Windows имеется приложение “Экранная клавиатура” (On-Screen Keyboard), расположенное по умолчанию в %SystemRoot%\System32\osk.exe. Используя это приложение, мы можем решить проблему использования “горячих” клавиш во вложенных RDP-сессиях.

Находясь во вложенной RDP-сессии, вызовем окно запуска приложений. Вызвать его можно разными способами, например, через контекстное меню по кнопке Windows, или через Диспетчер задач (Task Manager):

Либо можно использовать сочетание клавиш Win-R.

В окне запуска приложений выполним запуск исполняемого файла osk.exe

После того, как откроется приложение “Экранная клавиатура”, нажмём на физической клавиатуре сочетание клавиш CtrlAlt, так, чтобы это отобразилось на экранной клавиатуре и затем, удерживая это сочетание клавиш, на экранной клавиатуре мышкой нажмём кнопку Del.

Таким образом мы отправим в удалённую RDP-сессию сочетание клавиш Ctrl-Alt-Del, в следствие чего откроется специальный экран Безопасности Windows с функцией изменений пароля пользователя.

Способ №3 – Ярлык на VBS-скрипт или Powershell

Вызов экрана Безопасности Windows можно выполнить не только интерактивными способами, но и программными, например, с помощью скриптов.

Создадим VBS-скрипт, например, с именем Windows Security.vbs. Наполним скрипт следующим содержимым:

Set objShell = CreateObject(“Shell.Application”)objShell.WindowsSecurity

Разместим скрипт в месте, доступном на чтение (но не для редактирования) для всех пользователей удалённого рабочего стола, например в каталоге %SystemRoot% (C:\Windows). А ярлык на запуск скрипта можно разместить в любом доступном пользователям месте, например, в каталоге общего профиля %SystemDrive%\Users\Public\Desktop\

При запуске данного ярлыка у пользователя будет открываться экран Безопасности Windows с возможностью изменения пароля.

Для любителей PowerShell приведённый VBS-скрипт можно заменить PS-скриптом следующего вида:

$ShellObject = New-Object -ComObject Shell.Application$ShellObject.WindowsSecurity()

Либо запускать из ярлыка команду вида:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -noprofile -nologo -noninteractive -command “(new-object -ComObject shell.application).WindowsSecurity()”

Однако стоит отметить тот факт, что запуск варианта с PowerShell будет происходить медленней, чем варианта с VBS-скриптом.

Описанные здесь способы с запуском ярлыка, ссылающегося на скрипт, может попросту не сработать, так как в некоторых окружениях серверов служб удалённых рабочих столов может быть заблокирована возможность выполнения скриптов. В таком случае, можно воспользоваться следующим способом.

Способ №4 – Ярлык оболочки Windows Explorer

Если говорить о создании ярлыка запуска экрана Безопасности Windows, то имеется ещё один вариант создания такого ярлыка. Создаётся ярлык со ссылкой на расширение оболочки Windows Explorer следующего вида:

C:\Windows\explorer.exe shell:::{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}

Опять же, при запуске такого ярлыка у пользователя будет открываться экран Безопасности Windows с возможностью изменения пароля. Этот способ одинаково хорошо работает на Windows 10 и на Windows Server 2012 R2.

Способ №5 – Панель управления Windows (локальные учётные записи)

Данный способ относится лишь к локальным учётным записям пользователей. Изменить пароль учётной записи рядового локального пользователя можно через Панель управления Windows.

В Windows 10 из раздела Панели управления “Учётные записи пользователей” доступен вызов окна “Параметры компьютера“, в котором имеется функция изменения пароля текущего локального пользователя.

Такие методы вызова апплета управления учётными записями пользователей Панели управления Windows, как, например команда “control userpasswords2“, в качестве отдельного способа мы выделять не будем, так как подобные действия требуют административных прав в удалённой системе. То же самое касается и таких CLI-утилит Windows, как net.exe (%SystemRoot%\System32et.exe) (пример команды “net user username newpassword“), так как они тоже требуют повышения уровня прав пользователя.

Ремарка

Отдельно хочется отметить обстоятельство, про которое порой забывают администраторы, и это может приводить к разным курьёзным ситуациям.

Попытки смены пароля, инициированные самим пользователем, могут оказаться безуспешными в случае, если пароль был недавно изменён и на удалённую Windows систему действует политика безопасности, определяющая минимальный срок действия пароля.

Как правило, это настраивается на уровне стандартных доменных групповых политик Active Directory и/или механизмов Password Settings objects (PSOs).

Повторюсь, что повлиять на ситуацию эта политика может только в случаях, когда пользователь самостоятельно инициирует процедуру смены пароля.

Далее мы поговорим о сценарии, при котором требование смены пароля включается для учётной записи пользователя форсировано администратором сервера (для локальных учётных записей), либо администратором службы каталогов Active Directory (для доменных учётных записей).

Практика показывает, что как только администратором включено требование смены пароля пользователя при следующем входе в систему, у пользователя могут возникнуть проблемы с подключением по протоколу RDP, если на стороне RDS сервера (а в некоторых случаях и на стороне RDS клиента) предварительно не предпринято никаких действий по специальной настройке обработки таких ситуаций. Далее мы рассмотрим пару примеров такой настройки.

Способ №6 – Remote Desktop Web Access

Клиентский доступ к службам Windows Server RDS может быть организован через веб-интерфейс серверной роли Remote Desktop Web Access (RDWA). В функционале этой роли имеется выключенная по умолчанию возможность смены пароля пользователя в процессе аутентификации на веб-странице RDWA.

Сразу стоит отметить то, что данный способ смены пароля будет доступен только в том случае, если на веб-узлах RDWA используется аутентификация на основе формы (Forms Authentication), а этот тип аутентификации несовместим с типом Windows Authentication, о подключении которого мы говорили ранее.

Чтобы включить данную возможность в Windows Server 2012/2012 R2 откроем консоль управления Internet Information Services (IIS) Manager, выберем сайт RDWA, развернём RDWeb >Pages и в разделе настроек ASP.NET выберем настройку опций веб-приложения Application Settings:

В перечне опций находим PasswordChangeEnabled и меняем установленное по умолчанию значение false на true:

Если серверов RDWA несколько и они работают в пуле за балансировщиком, например Windows NLB, то не забываем выполнить данное изменение на всех других серверах пула.

Теперь попытаемся от имени пользователя, у которого в свойствах учётной записи установлено требование смены пароля при следующем входе, аутентифицироваться на веб-странице RDWA:

После ввода учётных данных пользователя появится сообщение о том, что пароль пользователя требует замены и ссылка на страницу с функцией смены пароля (https:///RDWeb/Pages/ru-RU/password.aspx):

На этой отдельной странице пользователь сможет ввести свои текущие учётные данные и новый пароль:

В случае успешной смены пароля пользователь получит соответствующее сообщение:

При необходимости ссылку на страницу смены пароля можно сделать доступной не только тем пользователям, у которых после аутентификации возникает требование смены пароля, но и всем остальным пользователям, чтобы они могли самостоятельно выполнять смену пароля по собственной инициативе через веб-страницу RDWA. Для этого можно будет внедрить ссылку на страницу password.aspx на странице входа login.aspx (по умолчанию страницы расположены в каталоге %windir%\Web\RDWeb\Pages\ru-RU)

Если же говорить про Windows Server 2008 R2, то в этой ОС для использования функции смены пароля в RDWA может потребоваться установка обновления KB2648402 – You cannot change an expired user account password in a remote desktop session that connects to a Windows Server 2008 R2-based RD Session Host server in a VDI environment.

Способ №7 – Специальный RDP-файл

Если пользователь выполняет подключение к удалённому рабочему столу на базе Windows Server 2012/2012 R2 через прямой запуск стандартного клиента mstsc.

exe, то в ситуации с включенным признаком требования смены пароля, попытка подключения может быть завершена с ошибкой “You must change your password before logging on the first time.

Please update your password or contact your system administrator or technical support”.

Если ситуация требует того, чтобы пользователь самостоятельно изменил свой пароль при первом входе в систему, то это потребует некоторого изменения уровня безопасности настроек протокола RDP на стороне RDS сервера и подготовки специального RDP-файла на стороне клиента.  

Сначала на клиентской стороне откроем mstsc.exe, настроим все нужные параметры подключения к серверу RDS и используя кнопку Сохранить как, создадим RDP-файл.

После этого откроем RDP-файл в текстовом редакторе и добавим в конец файла строку “enablecredsspsupport:i:0

Добавление данного параметра в свойствах RDP-подключения позволит клиенту успешно установить RDP-сессию с удалённой системой и сменить пароль до получения доступа к удалённому рабочему столу.

Однако этот параметр понизит уровень безопасности RDP-подключения, так как клиент не сможет использовать проверку подлинности на уровне сети – Network Level Authentication (NLA).

И если на стороне RDS сервера включена обязательная проверка NLA, то пользователь всё равно не сможет подключиться и получит соответствующую ошибку “The remote computer requires Network Level Authentication, which your computer does not support…”.

Разрешить эту ситуацию можно только понизив уровень безопасности RDP на стороне RDS сервера, отключив обязательное требование проверки подлинности на уровне сети (NLA). Изменить эту настройку можно в свойствах системы на закладке Удалённый доступ:

В английской версии Windows название опции звучит как “Allow connections only from computers running Remote Desktop with Network Level Authentication (recommended)”

Если NLA нужно отключить на уровне коллекции серверов Windows Server 2012 R2, то сделать этом можно в свойствах коллекции сеансов, например через оснастку Server Manager:

После того, как отключено требование NLA на стороне RDS сервера, клиент с помощью специального RDP-файла, о котором мы сказали выше, должен успешно установить RDP-сессию и уже в ней получить сообщение о необходимости смены пароля:

И после этого пользователю будет показан экран, на котором он сможет задать новый пароль:

После успешной смены пароля последующие подключения по протоколу RDP будут проходить в штатном режиме без лишних запросов.

Заключение

Приведённый здесь перечень способов смены пароля при использовании протокола RDP не претендует на какую-то полноту и исключительность, а лишь отражает ту информацию, которую мне удалось найти в разных источниках по этому поводу.

На мой взгляд, ни один из перечисленных способов нельзя считать наиболее удобным или универсальным, так как каждый из способов может применяться в определённых ограниченных сценариях и имеет, как преимущества, так и недостатки по сравнению с другими способами.

Дополнительные источники информации:

Похожее

Источник: https://blog.it-kb.ru/2017/12/24/ways-to-change-or-reset-user-account-password-in-the-rdp-session/

​​​Как установить срок действия пароля в Windows 10

Срок действия пароля истек

В Windows есть функция, которая заставляет пользователя изменить пароль по истечению определенного строка.

По умолчанию, если данная функция включена, пароль нужно менять через каждые 42 дня, вы же можете изменить данный строк и задать количество дней от 0 до 999.

В целях поддержки безопасности в интернете, рекомендуется периодически менять пароль вашего компьютера. В Windows 10 есть возможность установки пароля с ограниченным сроком действия.

Если ваша копия Windows связана с учётной записью Microsoft, то пароль изменять нужно именно на ней:

1. Перейдите по ссылке https://account.microsoft.com/security/ и авторизуйтесь.2. В верхней части страницы нажмите на “Изменить пароль”, затем на “Изменить”.3. Заполните форму.4. Поставьте галочку на “Make me change my password every 72 days”.

5. Нажмите “Сохранить”.

Срок действия пароля для вашей учётной записи истечет через 72 дня. Вам будет предложено изменить его после следующего входа в систему.

Включение или отключение срока действия пароля для локальных учетных записей в “Локальные пользователи и группы”

Инструмент “Локальные пользователи и группы”, который мы будем использовать,  есть только в Windows 10 Pro, Enterprise и Education.

1.В строке поиска или в меню выполнить (выполнить вызывается клавишами Win+r) напишите lusrmgr.msc и нажмите Enter.

2.В левой колонке выберите «Пользователи», в правой колонке нажмите правой клавишей мыши на пользователя, которому нужно включить или отключить срок действия пароля  => из открывшегося меню выберите «Свойства».

3. Поставьте или уберите галочку с поля “Срок действия пароля не ограничен”. Как уже говорилось выше, если ее убрать – по умолчанию, пользователя каждые 42 дня будет просить сменить пароль. Нажмите “ОК” и закройте окно.

Что происходит, когда истекает срок действия пароля?

Когда срок действия пароля к вашей учетной записи истекает, вы не сможете войти в ОС, пока не установите новый пароль.

Вы не заблокированы в своем аккаунте.

Ваш старый пароль будет работать настолько долго, чтобы позволить вам сменить пароль.

Если эта опция включена, вы не можете откладывать изменение пароля Windows.

Эта опция обычно включена, если вы подключены к домену.

Это инструмент, который используют сетевые администраторы, чтобы заставить всех в домене обеспечивать безопасность своих учетных записей.

Если ваш сетевой администратор включил его, вы не сможете его отключить.

Вы можете отключить его, только если на вашем домашнем компьютере установлена Windows 10 Pro и вы являетесь администратором.

Через командную строку

Откройте командную строку с правами администратора (это обязательное условие), а затем просто ввести команду «wmic UserAccount set PasswordExpires=True». После обновления свойств пропишите еще одну команду: «net accounts /maxpwage:72». Вместо 72 можете подставить необходимое вам количество дней.

Если вы хотите настроить срок действия пароля только для какой-то определенной учетной записи на компьютере, можете использовать команду «wmic UserAccount where Name=’Имя Пользователя’ set PasswordExpires=True».

Но если вы используете учетную запись Microsoft, эти два способа у вас работать не будут. Правда, включить такую опцию все-таки можно. Для этого необходимо зайти в свой аккаунт на сайте Microsoft, найти там пункт «Смена пароля» и поставить галочку напротив «Менять пароль каждые 72 дня».

Отказ от ответственности: Автор или издатель не публиковали эту статью для вредоносных целей. Вся размещенная информация была взята из открытых источников и представлена исключительно в ознакомительных целях а также не несет призыва к действию. Создано лишь в образовательных и развлекательных целях. Вся информация направлена на то, чтобы уберечь читателей от противозаконных действий. Все причиненные возможные убытки посетитель берет на себя. Автор проделывает все действия лишь на собственном оборудовании и в собственной сети. Не повторяйте ничего из прочитанного в реальной жизни. | Так же, если вы являетесь правообладателем размещенного на страницах портала материала, просьба написать нам через контактную форму жалобу на удаление определенной страницы, а также ознакомиться с инструкцией для правообладателей материалов. Спасибо за понимание.

Источник: https://RuCore.net/%E2%80%8B%E2%80%8B%E2%80%8Bkak-ustanovit-srok-dejstviya-parolya-v-windows-10/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.