Windows 7 запрет смены пароля

Обновлено: 06.07.2024

Человек, как известно, существо ленивое. А тем более, когда касается вопроса выбора устойчивого пароля.

Думаю, каждый из администраторов когда-либо сталкивался с проблемой использования легких и стандартных паролей. Такое явление часто встречается среди верхних эшелонов руководства компании. Да-да, именно среди тех, кто имеет доступ к секретной или коммерческой информации и крайне нежелательно было бы устранять последствия утечки/взлома пароля и дальнейших инцидентов.

В моей практике был случай, когда в домене Active Directory с включенной парольной политикой люди бухгалтеры самостоятельно дошли до идеи того, что пароль вида «Pas$w0rd1234» отлично прокатывает под требования политики. Следствием стало повсеместной использование данного пароля везде и всюду. Отличался он иногда лишь набором цифр.

Очень захотелось иметь возможность не только включать парольную политику и определять набор символов, а еще и фильтровать по словарю. Чтобы исключить возможность использования подобного рода паролей.

Компания Microsoft любезно сообщает нам по ссылке, что всякий, кто умеет держать правильно в руках компилятор, IDE и умеет правильно произносить C++, способен сам себе библиотеку нужную скомпилировать и использовать по своему разумению. Ваш покорный слуга на такое не способен, вот и пришлось искать готовое решение.

После длительного часа поиска взору были явлены два варианта решения проблемы. Я, конечно, говорю об OpenSource решении. Ведь платных вариантов — от и до.

Коммитов нет уже как года 2. Родной инсталлятор работает через раз, приходится подправлять руками. Создает свою отдельную службу. При обновлении файла паролей DLL-ка автоматически не подхватывает измененное содержимое, нужно останавливать службу, выжидать таймаут, редактировать файл, запускать службу.

Проект активен, жив и даже не надо пинать хладное тело.

Установка фильтра заключается в копировании двух файлов и создании нескольких записей реестра. Файл паролей не в локе, то есть — доступен для редактирования и, согласно задумке автора проекта, он просто вычитывается раз в минуту. Также при помощи дополнительных записей реестра можно произвести дополнительную настройку как самого фильтра, так и даже нюансов парольной политики.

Итак.
Дано: домен Active Directory test.local
тестовая рабочая станция Windows 8.1 (для условия задачи — несущественно)
фильтр паролей PassFiltEx

• Скачиваем по ссылке последний релиз PassFiltEx
• Копируем PassFiltEx.dll в C:\Windows\System32 (или %SystemRoot%\System32).
  Копируем PassFiltExBlacklist.txt в C:\Windows\System32 (или %SystemRoot%\System32). При необходимости дополняем его своими шаблонами

Раздел: HKLM\SOFTWARE\PassFiltEx — создается автоматически.

HKLM\SOFTWARE\PassFiltEx\BlacklistFileName, REG_SZ, Default: PassFiltExBlacklist.txt

RequireCharClasses — позволяет расширить требования к паролям по сравнению со стандартными требованиями сложности паролей ActiveDirectory. Встроенные требования сложности требуют 3 из 5 возможных различных видов символов: Верхний регистр, Нижний регистр, Цифра, Специальный и Unicode. При помощи данной записи реестра можно установить свои требования к сложности паролей. Значение, которое можно указать, — это набор битов, каждый из которых — соответствующая степень двойки.

То есть — 1 = нижний регистр, 2 = верхний регистр, 4 = цифра, 8 = спец символ, and 16 = символ Unicode.

Таким образом, при значении 7 требования будут “Верхний регистр AND нижний регистра AND цифра ”, а при значении 31 — “Верхний регистр AND нижний регистр AND цифра AND спец символ AND символ Unicode”.

• Шаблоны регистронезависимы. Следовательно, запись в файле starwars и StarWarS будет определяться как одинаковое значение.
• Файл блеклиста перечитывается каждые 60 секунд, таким образом можно спокойно его редактировать, через минуту новые данные уже будут использоваться фильтром.
• На данный момент нет поддержки Unicode для проверки по шаблону. То есть, использовать Unicode символы в паролях можно, но фильтр не сработает. Это не есть критично, потому что не видел я пользователей, которые пароли в юникоде используют.
• Желательно не допускать пустых строк в файле шаблонов. В дебаге потом видно ошибку, когда происходит подгрузка данных из файла. Фильтр работает, но зачем лишние эксепшены?

Данный фильтр паролей использует Event Tracing for Windows.

ETW провайдер для этого фильтра паролей — 07d83223-7594-4852-babc-784803fdf6c5. Так, например, можно настроить трассировку событий после следующей перезгрузки:

Трассировка будет запущена после следующей перезагрузки системы. Чтобы остановить:
logman stop PassFiltEx -ets && logman delete autosession\PassFiltEx -ets
Все эти команды указаны в скриптах StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.

Для разовой проверки работы фильтра можно использовать StartTracing.cmd и StopTracing.cmd.

Для того, чтобы удобно читать выхлоп дебага данного фильтра в Microsoft Message Analyzer рекомендуется использовать следующие настройки:

При остановке лога и разбора в Microsoft Message Analyzer выглядит все примерно вот таким образом:

Здесь видно, что была попытка установить пароль для пользователя — об этом нам говорит волшебное слово SET в дебаге. И пароль был отклонен ввиду наличия его в файле шаблонов и более чем 30% соответствии в вводимом тексте.

При удачной попытке смены пароля видим следующее:

Поэтому будьте готовы к звонкам и крикам: «Я ввела пароль как надо, а оно не работает.»

Данная библиотека позволяет запретить использование простых или стандартных паролей в домене Active Directory. Скажем «Нет!» паролям вида: «P@ssw0rd»,«Qwerty123», «ADm1n098».
Да, безусловно, пользователи полюбят вас еще больше за такую заботу об их безопасности и необходимости придумывать зубодробительные пароли. И, возможно, количество звонков и просьб помочь с паролем у Вас добавится. Но за безопасность приходится платить.

Возможно, вам захочется ограничить или запретить пользователям изменять пароль в Windows 10/8 . Причин может быть много - возможно, у вас есть два пользователя, использующих одну и ту же учетную запись для входа в Windows, и вы не меняете пароль напрямую. Или вы просто не хотите, чтобы какой-либо пользователь менял свой пароль. В таких случаях вы можете запретить обычным пользователям изменять свой пароль в Windows 10/8/7 с помощью «Управление компьютером», «Групповая политика» и «Редактор реестра».

Предотвратить изменение пользователем пароля

Использование управления компьютером

От в меню WinX Windows, откройте «Управление компьютером». На левой панели прокрутите вниз до «Служебные»> «Локальные пользователи и группы»> «Пользователи».

В средней панели вы увидите список учетных записей пользователей на вашем компьютере под управлением Windows. Щелкните правой кнопкой мыши имя пользователя, на которое вы хотите применить это ограничение, и выберите «Свойства». Откроется следующее окно.

Здесь проверьте Пользователь не может изменить пароль и нажмите «Применить».

Использование редактора групповой политики

В меню WinX откройте окно «Выполнить», введите gpedit.msc и нажмите «Ввод», чтобы открыть редактор групповой политики.

Перейдите к следующему параметру:

Конфигурация пользователя> Административные шаблоны> Система> Параметры Ctrl + Alt + Del

На правой панели дважды щелкните по Удалить пароль изменения и выберите Включено .

Этот параметр политики запрещает пользователям изменять свой пароль Windows по требованию. Если вы включите этот параметр политики, кнопка «Изменить пароль» в диалоговом окне «Безопасность Windows» не появится, когда вы нажмете Ctrl + Alt + Del. Тем не менее, пользователи по-прежнему могут изменять свой пароль при запросе системы. Система запрашивает у пользователей новый пароль, когда администратор требует, чтобы новый пароль или их пароль истекали.

Нажмите «Применить» и выйдите.

Использование редактора реестра

Если ваша версия Windows не имеет групповой политики, используйте редактор реестра.

Запустите regedit , чтобы открыть редактор реестра и перейти к следующему разделу реестра:

HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies

Теперь в правой , щелкните правой кнопкой мыши и выберите DWORD (32-бит), чтобы создать ключ. Назовите новый DWORD, DisableChangePassword . Дважды щелкните по нему, чтобы изменить его значение. Теперь дайте ему данные значения, 1 .

Возможно, вам потребуется перезагрузить компьютер под Windows.

Теперь узнайте, как вы можете закрепить политику паролей Windows.

Как предотвратить изменение звуковой схемы в Windows 7/8/10

Узнайте, как ограничить или запретить пользователям изменять Sound Scheme в Windows 7/8/10, вот как вы можете это сделать с помощью редактора реестра или редактора групповой политики.

Восстановление пароля Windows: восстановление потерянного, забытого пароля

Бесплатное ПО восстановления пароля Windows, восстановление пароля и редактор реестра могут восстанавливать, stollen password & reset Windows Logon Password.

Использовать подсказку пароля и сброс пароля в Windows 10/8/7

В этой статье описывается, как администратор может отключить изменения пароля учетной записи автоматических компьютеров.

Применяется к: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ: 154501

Сводка

Пароли учетных записей машин регулярно меняются в целях безопасности. По умолчанию на Windows NT компьютеров пароль учетной записи машины автоматически меняется каждые семь дней. Начиная с Windows 2000 компьютеров, пароль учетной записи машины автоматически изменяется каждые 30 дней.

Если отключать изменения пароля учетной записи компьютера, существуют риски безопасности, так как канал безопасности используется для сквозной проверки подлинности. Если кто-то обнаружит пароль, он может потенциально выполнить сквозную проверку подлинности контроллеру домена.

Дополнительная информация

Может потребоваться отключить изменения пароля учетной записи автоматической учетной записи по умолчанию по одной из следующих причин:

Необходимо уменьшить количество случаев репликации. В качестве побного эффекта изменения пароля учетной записи автоматических компьютеров домен с большим количеством клиентских компьютеров и контроллеров домена может вызывать частое повторение. Вы можете отключить автоматические изменения пароля учетной записи компьютера, чтобы уменьшить количество случаев репликации.

У вас есть две отдельные установки Windows NT или Windows 2000 на одном компьютере в конфигурации с двумя загрузками. В этом случае единственным способом обмена одной и той же учетной записью компьютера между двумя установками Windows NT или Windows 2000 года является использование пароля учетной записи компьютера по умолчанию, созданного при вступив в домен.

Если вы часто делаете чистую установку Windows NT или Windows 2000, необходимо иметь администратора в домене, который может создать учетную запись машины в домене. Если это проблема, пароль учетной записи машины можно оставить по умолчанию.

Вы можете отключить изменения пароля учетной записи компьютера на рабочей станции, установив запись реестра DisablePasswordChange со значением 1. Для этого выполните следующие действия.

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в дополнительныхсведениях о том, как создать и восстановить реестр в Windows.

Начните редактор реестра. Для этого выберите Начните, выберите Выполнить, введите regedit в поле Открыть, а затем выберите ОК.

Найдите и выберите следующий подкай реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

В правой области выберите запись DisablePasswordChange.

В меню Изменить выберите Изменение.

В поле Значение данных введите значение 1, а затем выберите ОК.

Quit Registry Editor.

В Windows NT версии 4.0 и Windows 2000, Windows Server 2003, Windows Server 2008 и Windows Server 2008 R2 можно отключить изменение пароля учетной записи машины, установив запись реестра RefusePasswordChange со значением 1 на всех контроллерах домена в домене, а не на всех рабочих станциях. Для этого выполните следующие действия.

В Windows NT контроллеры домена 4.0 необходимо изменить запись реестра RefusePasswordChange на значение 1 для всех контроллеров домена резервного копирования (BDCs) в домене, прежде чем внести изменения в основной контроллер домена (PDC). Несоблюдение этого порядка приведет к в журналу событий PDC для входа в ИД события 5722.

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в дополнительныхсведениях о том, как создать и восстановить реестр в Windows.

Откройте редактор реестра. Для этого выберите Начните, выберите Выполнить, введите regedit в поле Открыть, а затем выберите ОК.

Найдите и выберите следующий подкай реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

В меню Редактирование указать значение New, а затем выберите значение DWORD.

Введите RefusePasswordChange в качестве имени записи реестра и нажмите кнопку ENTER.

В меню Изменить выберите Изменение.

В поле Данные значения введите значение 1, а затем выберите ОК.

Закройте редактор реестра.

Запись реестра RefusePasswordChange заставляет контроллер домена отказывать в запросах на изменение пароля только с рабочих станций или серверов членов, которые работают Windows NT версии 4.0 или более поздней версии.

Если вы задаёте запись реестра RefusePasswordChange значение 1, после того как рабочей станции или серверу-члену сначала попытается изменить пароль учетной записи компьютера, будут предотвращены дальнейшие попытки изменить пароль (возвращая определенный код состояния). Компьютер Windows NT на основе 4.0 будет пытаться изменить пароль учетной записи компьютера через семь дней, а Windows 2000 — через 30 дней. Если вы установите запись реестра RefusePasswordChange со значением 1, трафик репликации остановится, но не клиентский трафик. Если вы установите запись реестра DisablePasswordChange со значением 1, трафик клиента и репликации остановится.

Если отключать изменения пароля учетной записи автоматических компьютеров, можно настроить две (или более) установки Windows NT или Windows 2000 на том же компьютере, который использует ту же учетную запись компьютера. Другим возможным использованием для этого объекта являются виртуальные гости, в которых вы возвращаете старые снимки или изображения дисков, и вам не нужно возвращать машину в домен.

Если используется, чтобы позволить другим людям использовать пользователь Ваш на ОС Windowи, конечно, не хотите, чтобы эти люди могли изменить пароль пользователя. Кроме того, если другие пользователи одни и те же пользователя на компьютере (кроме вашего имени), вы, скорее всего, хотят Предотвратить изменение пароля пользователя вопрос одного из своих пользователей. Для таких ситуаций есть под рукой три способа запретить пользователю Windows изменить пароль доступа пользователь, то есть первый Управление компьютером, Редактор групповой политики si Редактор реестра.

Как мы можем запретить пользователю изменять свой пароль доступа на Windows?

1. Управление компьютером

• открытый Управление компьютером щелкните правой кнопкой мыши на Компьютер и выбора Управление меню, которое отображается
• в левой панели, перейдите к System Инструменты> Локальные пользователи и группы> Пользователи
• Тогда, в средней панели, щелкните правой кнопкой мыши на пользователь , для которого вы хотите Предотвратить изменение пароля доступа и выберите Свойства меню

• в собственности соответствующего пользователя установите флажок Пользователь не может изменить парольЗатем нажмите на кнопку Apply si OK

2. Редактор групповой политики

После внесения этого изменения, опция Пароль исчезнет с экрана Безопасность Windows которые могут быть доступны с помощью сочетания клавиш Ctrl+ Alt + Del.

3. Редактор реестра

• открытый Редактор реестра набрав regedit в Run, а затем дать Enter
• перейти к ключевой сайт HKEY_CURRENT_USER \ Software \ Microsoft \Windows\ CurrentVersion \ Policies
• ниже Налоги и сборыВ правой части окна, создайте запись типа DWORD DisableChangePassword и дать ему свое значение 1

• затем закройте редактор реестра и restartу вас есть система

После этого изменить реестр, Системные пользователи Windows что не сможет изменить пароли системы.

Примечание: Прежде чем вносить изменения в реестр или системные файлы, создать точку восстановления этой системы, чтобы избежать возможных неприятных последствий (например, ошибка в системе или неисправности).

STEALTH SETTINGS - Как запретить пользователям менять пароль в Windows

Читайте также:

  
• Как отключить аппаратную виртуализацию в virtualbox linux
  
• Включить full duplex linux
  
• Создать администратора для подключения к домену windows server 2012 r2
  
• Компьютеру не был назначен сетевой адрес windows xp что делать
  
• Сталкер возвращение в зону не запускается на виндовс 10