Как изменить политику паролей windows server 2016

Для обеспечения высокого уровня безопасности учетных записей в домене Active Directory администратору необходимо настроить и внедрить доменную политику паролей. Политика паролей должна обеспечивать достаточную сложность, длину пароля, частоту смены пароля пользователей и сервисных учетных записей. Тем самым можно усложнить злоумышленнику возможность подбора или перехвата паролей пользователей.

Политика паролей в Default Domain Policy

По-умолчанию в домене AD настройка общих требований к паролям пользователей осуществляется с помощью групповых политик. Политика паролей учетных записей домена настраивается в политике Default Domain Policy. Эта политика прилинкована к корню домена и обязательно должна применяться к контролеру домена с FSMO ролью PDC эмулятор.

1. Чтобы настроить политику паролей, откройте консоль управления доменными GPO (Group Policy Management console –
   gpmc.msc
   );
2. Разверните ваш домен и найдите политику Default Domain Policy. Щелкните по ней ПКМ и выберите Edit;
3. Политики паролей находятся в следующем разделе редактора GPO: Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики учетных записей -> Политика паролей (Computer configuration -> Windows Settings -> Security Settings -> Account Policies -> Password Policy);
4. Чтобы отредактировать настройки параметра политики, дважды щелкните по ней. Чтобы включить политику, отметьте галку Define this policy settings и укажите необходимую настройку (в примере на скриншоте я задал минимальную длину пароля пользователя 8 символов). Сохраните изменения;
5. Новые настройки парольной политики будут применены ко все компьютерам домена в фоновом режиме в течении некоторого времени (90 минут), при загрузке компьютера, либо можно применить новые параметры групповых политик немедленно, выполнив команду
   gpupdate /force

Вы можете изменить настройки политики паролей из консоли управления GPO или с помощью PowerShell командлета Set-ADDefaultDomainPasswordPolicy:

Set-ADDefaultDomainPasswordPolicy -Identity winitpro.ru -MinPasswordLength 14 -LockoutThreshold 10

Основные настройки политики паролей

Рассмотрим все доступные для настройки параметры управления паролями пользователями. Всего есть шесть параметров политики паролей:

• Вести журнал паролей (Enforce password history) – определяет количество старых паролей, которые хранятся в AD, запрещая пользователю повторно использовать старый пароль (однако администратор домена или пользователь, которому делегированы права на сброс пароля в AD, может вручную задать для аккаунта старый пароль);
• Максимальный срок действия пароля (Maximum password age) – определяет срок действия пароля в днях. После истечения срока действия пароля Windows потребует у пользователя сменить пароль. Обеспечивает регулярность смены пароля пользователями;

  Вы можете узнать когда истекает пароль определенного пользователя можно получить с помощью командлета:
  Get-ADUser -Identity dbpetrov -Properties msDS-UserPasswordExpiryTimeComputed | select-object @{Name="ExpirationDate";Expression= {[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed") }}

• Минимальный срок жизни пароля (Minimum password age) – как часто пользователи могут менять пароль. Этот параметр не позволит пользователю несколько раз подряд сменить пароль, чтобы вернуться к любимому старому паролю, перезатерев пароли в журнале Password History. Как правило тут стоит оставить 1 день, чтобы предоставить пользователю самому сменить пароль в случае его компрометации (иначе менять пароль пользователю придется администратору);
• Минимальная длина пароля (Minimum password length) – не рекомендуется делать пароль короче, чем 8 символов (если указать тут 0 – значит пароль не требуется);
• Пароль должен отвечать требование сложности (Password must meet complexity requirements) – при включении этой политики пользователю запрещено использовать имя своей учетной записи в пароле (не более чем два символа подряд из
  username
  или
  Firstname
  ), также в пароле должны использоваться 3 типа символов из следующего списка: цифры (0 – 9), символы в верхнем регистре, символы в нижнем регистре, спец символы ($, #, % и т.д.). Кроме того, для исключения использования простых паролей (из словаря популярных паролей) рекомендуется периодически выполнять аудит паролей учетных записей домена.
• Хранить пароли, использую обратимое шифрование (Store passwords using reversible encryption) – пароли пользователей в базе AD хранятся в зашифрованном виде, но в иногда нужно предоставить доступ некоторым приложениям нужно к паролю пользователя в домене. При включении этой политики пароли хранятся в менее защищенной виде (по сути открытом виде), что небезопасно (можно получить доступ к базе паролей при компрометации DC, в качестве одной из мер защиты можно использовать RODC).

Если пользователь пытается сменить пароль, которые не соответствует политике паролей в домене, у него появится ошибка:

Не удается обновить пароль. Введенный пароль не обеспечивает требований домена к длине пароля, его сложности или истории обновления.

Unable to update the password. The value provided for the new password does not meet the length, complexity, or history requirements of the domain.

Кроме того, нужно отдельно выделить настройки в разделе GPO: Политика блокировки учетной записи (Account Lockout Password):

• Пороговое значение блокировки (Account Lockout Threshold) – как много попыток набрать неверный пароль может сделать пользователь перед тем, как его учетная запись будет заблокирована;
• Продолжительность блокировки учетной записи (Account Lockout Duration) – на какое время нужно заблокировать учетную запись (запретить вход), если пользователь ввел несколько раз неверный пароль;
• Время до сброса счетчика блокировки (Reset account lockout counter after) – через сколько минут после последнего ввода неверного пароля счетчик неверных паролей (Account Lockout Threshold) будет сброшен.

Если учетные записи блокируются слишком часто, вы можете найти компьютер/сервер источник блокировки так.

Настройки парольных политик домена Active Directory по-умолчанию перечислены в таблице:

Политика	Значение по-умолчанию
Enforce password history	24 пароля
Maximum password age	42 дня
Minimum password age	1 день
Minimum password length	7
Password must meet complexity requirements	Включено
Store passwords using reversible encryption	Отключено
Account lockout duration	Не определено
Account lockout threshold	0
Reset account lockout counter after	Не определено

В Security Compliance Toolkit Microsoft рекомендует использовать следующие настройки парольных политик:

• Enforce Password History: 24
• Maximum password age: not set
• Minimum password age: not set
• Minimum password length: 14
• Password must meet complexity: Enabled
• Store passwords using reversible encryption: Disabled

Что интересно, в недавних рекомендациях Security Baseline 1903 Microsoft указывает, что не нужно включать функцию истечения паролей для пользователей. Это не увеличивает безопасность и только создает ненужные проблемы (ссылка).

Просмотр текущей парольной политики в домене

Вы можете посмотреть текущие настройки политики паролей в Default Domain Policy в консоли
gpmc.msc
(вкладка Settings).

Также можно вывести информацию о политике паролей с помощью PowerShell (на компьютере должен быть установлен модуль AD PowerShell):

Get-ADDefaultDomainPasswordPolicy

ComplexityEnabled : True
DistinguishedName : DC=winitpro,DC=ru
LockoutDuration : 00:30:00
LockoutObservationWindow : 00:30:00
LockoutThreshold : 0
MaxPasswordAge : 42.00:00:00
MinPasswordAge : 1.00:00:00
MinPasswordLength : 7
objectClass : {domainDNS}
objectGuid : a5daca80-6c2c-49a6-8704-d1e4db76e851
PasswordHistoryCount : 24
ReversibleEncryptionEnabled : False

Или можно проверить текущие настройки политики паролей AD на любом компьютере домена с помощью стандартной утилиты gpresult.

Несколько парольных политик в домене Active Directory

За управление доменной парольной политики отвечает контроллер домена, владелец FSMO роли PDC Emulator. Политика применяется к компьютерам домена, а не пользователям. Для редактирования настроек Default Domain Policy необходимы права администратора домена.

В домене может быть только одна политика паролей, которая применяется на корень домена и действует на всех пользователей без исключения (есть, конечно, нюансы, но о них ниже). Даже если вы создадите новую GPO с другими парольными настройками и примените ее к OU с параметрами Enforced и Block Inheritance, она не будет применяться к пользователям.

Доменная политика паролей действует только на объекты AD типа user. Для паролей компьютеров, обеспечивающих доверительные отношения с доменом, есть собственные настройка GPO.

До версии Active Directory в Windows Server 2008 можно было настраивать только одну политику паролей для домена. В новых версиях AD вы можете создать отдельные политики паролей для различных групп пользователей с помощью гранулированных политик паролей Fine-Grained Password Policies (FGPP). Гранулированные политики паролей позволяют создавать и применять разные объекты параметров паролей (Password Settings Object — PSO). Например, вы можете создать PSO повышенной длиной или сложностью пароля для учетных записей доменных администраторов (см. статью о защите административных учетных записей в AD), или наоборот упростить (отключить) пароль для каких-то учетных записей.

В рабочей группе политики паролей придется настроить на каждом компьютере отдельно помощью редактора локальной GPO – gpedit.msc, либо вы можете перенести настройки локальных GPO между компьютерами так.

Смена пароля AD

Это руководство описывает процедуру изменения пароля для сервера со службой домена Active Directory

Для этого откройте «Пуск» -> «Средства администрирования» -> «Пользователи и компьютеры Active Directory»

В новом окне, откройте раздел c именем Вашего домена, на скриншоте это «neo.adminad.ru» и нажмите на папку «Users»
Слева появится список пользователей, выберите одного из пользователей по имени и правой кнопкой мыши откройте пункт «Смена пароля…»

В окне смена пароля,

  1. Введите новый пароль (пароль должен быть не меньше 8 символов)
  2. Установите галочку на пункте «Требовать смену пароля при следующем входе в систему» — если требуется.
  3. Разблокировать учетную запись пользователя — если пользователь был заблокирован системой.

Нажмите «ОК»

Если все данные ввели правильно то появится окно об удачной смене пароля

Готово

Срок истечения пароля AD

Теперь мы рассмотрим процедуру изменения срока пароля для сервера со службой домена Active Directory

Для этого откройте «Пуск» -> «Средства администрирования» -> «Управление групповой политикой»

Далее откроется окно «Управление групповой политикой», в блоке слева откройте дерево
«Лес: Имя Вашего домена»
   -> «Домены»
    -> «Имя Вашего домена»
     -> «Default Domain Policy»

 затем в блоке справа выберите вкладку «Параметры».

Во вкладке «Параметры» откройте вкладки «Политики» -> «Конфигурация Windows» -> «Параметры безопасности» -> «Политика учетных записей / Политика паролей»

В списке «Политика учетных записей / Политика паролей» нажмите правой кнопкой мыши на «Максимальный срок действия пароля  42 дня» и в контекстном меню выберите «Изменить»

Перед Вами откроется «Редактор управления групповыми политиками»

В этом редакторе, в блоке слева откройте дерево «Конфигурация компьютера» -> «Политики» -> «Конфигурация Windows» -> «Параметры безопасности» -> «Политики учетных записей» -> «Политика паролей»

В блоке справа откройте «Максимальный срок действия пароля 42 дня»

В открывшемся окне в значении «Срок истечения действия пароля» введите 0 или нужное Вам значение
Значение «0» — говорит системе о том что — функция «Срок истечения действия пароля» — отключена.
В таком режиме срок действия пароля — бесконечный.

И нажмите кнопку «Применить» , готово.

What is Password Policy? 

Password policy is the policy which is used to restrict some credentials on windows server 2016 and previous versions of Server 2012, 2008 and 2003.

A password policy is a set of rules designed to enhance computer security by encouraging users to employ strong passwords and use them properly. A password policy is often part of an organisation’s official regulations and may be taught as part of security awareness training. The password policy may either be advisory or mandated by technical means. Some governments have national authentication frameworks that define requirements for user authentication to government services, including requirements for passwords. So follow the under instructions to know how to configure password policy with windows server 2016. “Wikipedia”

How to Configure Password Policies with Windows Server 2016?

You can open up Group Policy Management Editor into three various ways.

First Method: press windows key and type control panel and now select administrative tools and then select local security policy. A new window will pop up, click account policies, Password Policy. Here you will see about six policies. If you don’t want to use the graphical way just type gpedit.msc on the RUN window then hit enter. Now go to this path. Computer Configuration/Windows Settings/Security Settings/Password Policy.

Second Method: If you don’t want to use the graphical way just type gpedit.msc on the RUN window then hit enter. Now go to this path. Computer Configuration>Windows Settings>Security Settings>Password Policy.

Third Method: Open Server Manager and click on Tools. Scroll down until you see the GPO (Group Policy Management). Right, click on the Domain then choose Edit. Now you will see the same window as before. Go to Computer Configuration> Windows Settings> Security Settings> Password Policy.

These were three different ways that you can apply password policy on the network computers.

What is Enforce Password History?

Enforce password history is the policy that doesn’t allow the users to use the same password for many times. For example, Once your Device password is Admin, and for the next time, you can’t use this password for login on your computer. After some months or year, it may expire. When it is expired, so you must use another password. Here I have set it to 10 times. It means that I can’t use my old password less than 10 times. In ten times, I must use a different password. After 10 times, I can use my first password. For more information, look at the chart below.

What is Maximum password Age?

This security setting determines the time in days that a password can be used before the system requires the user to change it. You can set passwords to expire after several days between 1 to 999, or you can specify that passwords never expire by setting the number of days to 0 if the maximum password age is between 1 and 999 days. The minimum password age must be less than the maximum password age if the maximum password age is set to 0. The minimum password age can be any value between 0 and 998 days.

Note: It is a security best practice to have passwords expire every 30 to 90 days, depending on your environment. This way, an attacker has a limited amount of time to crack a user’s password and have access to your network resources.

What is the Minimum Password Age?

The minimum password age must be less than the maximum password age unless the maximum password age is set to 0, indicating that passwords will never expire. If the maximum password age is set to 0, the minimum password age can be set to any value between 0 to 998. It’s vital that you have to use the minimum password age. If you don’t use, the user may cycle the password history till they get their old favourite password. If you set the minimum password age, so they will not change their password quickly.

What is the Minimum Password Length?

This is security setting determines the least number of characters that a password for a user account may contain. You can set a value of between 1 and 14 characters, or establish that no password is required by setting the number of characters to 0.  Here I have set up to 8 characters. Mostly you see this policy on websites or social accounts.

What are Password Complexity Requirements?

If this policy is enabled, passwords must meet the following minimum requirements.

1. Be at least six characters in length
2. Contain characters from three of the following four categories
3. English uppercase letters (A through Z)
4. English Lowercase letters (a through z)
5. Base 10 digit (0 through 9)
6. Non-alphabetic characters ( !,@,#,$,%&,*)

It’s beneficial and restricts vulnerabilities. You can see this policy when you create an Apple ID.

Store Passwords Using Reversible Encryption

This policy provides support for applications that use protocols that require knowledge of the user’s password for authentication purposes. Storing passwords using reversible encryption is essentially the same as storing plaintext versions of the passwords. For this reason, this policy should never be enabled unless application requirements outweigh the need to protect password information. I should tell you when you enabled this option; it will encrypt the password and no-one can access your password very easily.

It was all about how to configure password policies with windows server 2016. It does not only work on windows server 2016 but also work on later versions. Thanks for being with us.

Are you looking for a way to change the password policy in Windows Server 2016? Changing the password policy in Windows Server 2016 is an important step in ensuring the security and safety of your computer network. In this guide, we will provide step-by-step instructions for how to change the password policy in Windows Server 2016. We will explain the different settings you can adjust to create a secure password policy and help you understand why these settings are important. With the right password policy in place, you can help protect your network from unauthorized access and keep your data secure.

Overview of Windows Server 2016 Password Policy

Windows Server 2016 provides a number of password policies that can be used to protect user accounts and data. These policies include minimum password length, password complexity, and password expiration. They can be configured to meet different security needs, ensuring that user accounts remain secure. To change the password policy in Windows Server 2016, administrators must access the Local Security Policy editor and make the necessary changes.

The Local Security Policy editor stores the settings for all of the available password policies. It can be accessed through the Server Manager, the Computer Management console, or the Windows Group Policy Editor. Once the editor is opened, administrators can select the Password Policy section and make the desired changes.

Minimum Password Length

The minimum password length policy sets the minimum number of characters that must be used in a password. This policy is designed to prevent users from using simple passwords that can easily be guessed. The default setting for this policy is eight characters, but it can be increased up to 127. Increasing the minimum password length makes it more difficult for malicious users to guess passwords and gain access to user accounts.

Password Complexity

The password complexity policy requires that passwords contain a combination of different characters, such as uppercase letters, lowercase letters, numbers, and symbols. This policy is designed to prevent users from using simple passwords that can easily be guessed. The default setting for this policy is enabled, but it can be disabled if desired.

Password Expiration

The password expiration policy sets the maximum length of time that a password can be used before it must be changed. This policy is designed to prevent malicious users from using the same password for an extended period of time. The default setting for this policy is 42 days, but it can be increased up to 999 days. Increasing the password expiration period can be helpful for users who tend to forget their passwords.

Changing Password Policy in Windows Server 2016

Once the necessary changes have been made, the new password policy must be applied for the changes to take effect. This can be done by using the Command Prompt to run the gpupdate command or by using the Group Policy Management Console. The gpupdate command will apply the new policy to the local computer, while the Group Policy Management Console will apply the policy to the domain.

Using the Command Prompt

To apply the new password policy using the Command Prompt, administrators can open a Command Prompt window with elevated privileges and run the gpupdate command. This will apply the new policy to the local computer.

Using the Group Policy Management Console

To apply the new password policy using the Group Policy Management Console, administrators can open the Group Policy Management Console and select the policy they want to apply. Once the policy is selected, they can click the Apply button to apply the new policy to the domain.

Conclusion

Changing the password policy in Windows Server 2016 is a straightforward process that can be done through the Local Security Policy editor. Administrators can set a minimum password length, enable or disable password complexity, and set a password expiration period. Once the desired changes have been made, the new password policy can be applied using the Command Prompt or the Group Policy Management Console.

Frequently Asked Questions

Q1. What is a Password Policy?

A Password Policy is a security feature in Windows Server 2016 that requires users to create strong passwords that meet certain requirements. It also enables administrators to set rules for how often users are required to change their passwords, as well as how often users are allowed to reuse passwords.

Q2. How do I change the Password Policy in Windows Server 2016?

To change the Password Policy in Windows Server 2016, you will need to open the Local Security Policy editor. To do this, open the Run dialog box by pressing the Windows key + R, then type “secpol.msc” and hit enter. In the Local Security Policy window, navigate to Security Settings > Account Policies > Password Policy. Here, you can adjust the various settings such as password length, complexity, expiration, and history.

Q3. What are the different Password Policy settings?

The different Password Policy settings available in Windows Server 2016 include: Minimum Password Length, Password Complexity, Enforce Password History, Maximum Password Age, and Minimum Password Age. The Minimum Password Length setting determines the minimum number of characters that must be included in a password; the Password Complexity setting determines whether or not a password must include a combination of numbers, letters, and symbols; the Enforce Password History setting determines how many passwords are remembered and not allowed to be reused; the Maximum Password Age setting determines how often a password must be changed; and the Minimum Password Age setting determines the minimum amount of time that must pass before a user can change their password again.

Q4. What are the benefits of using a Password Policy?

The main benefit of using a Password Policy is that it helps to protect your network from security threats. By requiring users to create strong passwords and by enforcing rules for how often passwords must be changed, you can help to ensure that your data is safe and secure. Additionally, Password Policies can help to reduce the risk of users reusing passwords, which can be a major security risk.

Q5. What happens if I don’t use a Password Policy?

If you don’t use a Password Policy, then users will not be required to create strong passwords, and there will be no rules in place to prevent users from reusing passwords or changing their passwords too frequently. This can leave your network vulnerable to security threats such as brute force attacks and other malicious activities.

Q6. Are there any other security measures I should take in addition to using a Password Policy?

Yes, in addition to using a Password Policy, there are other security measures you should take to protect your network. These include using two-factor authentication, limiting user access to sensitive data, regularly scanning for malicious activity, and ensuring that you have the latest security updates installed. Additionally, you should regularly monitor user activity and account access to make sure that unauthorized access is not taking place.

How to change default password policy in server 2016

Changing your password policy in Windows Server 2016 is an important step in keeping your systems secure. By ensuring that all users have strong passwords that are changed regularly, you can protect your system from malicious activity. Additionally, implementing password complexity requirements can further protect your system from cyberattacks and data breaches. With these simple steps, you can make sure that your Windows Server 2016 is protected from cyber threats.