» Требования сложности паролей групповой политики

В групповой политике AD можно включить политику "Пароль должен отвечать требованиям сложности", в данном случае пароль должен:

* Пароль не может содержать имя учетной записи пользователя или какую-либо его часть.
* Пароль должен состоять не менее чем из шести символов.
* В пароле должны присутствовать символы трех категорий из числа следующих четырех:
прописные буквы английского алфавита от A до Z;
строчные буквы английского алфавита от a до z;
десятичные цифры (от 0 до 9);
неалфавитные символы (например, !, $, #, %)

Я слышал, что эту политику можно изменить, но было это давно и в тот момент не придал этому значения. Сейчас очень надо. Как изменить политику так, чтобы в пароле должны были присутствовать символы двух категорий?

crazysword

Цитата:

Я слышал, что эту политику можно изменить, но было это давно и в тот момент не придал этому значения. Сейчас очень надо. Как изменить политику так, чтобы в пароле должны были присутствовать символы двух категорий?

Не получится. Либо данная политика включена, и тогда пароль должен соответствовать перечисленным Вами требованиям, либо выключена, и пароль может быть любым. А так, чтобы требовались 2, а не 3 категории символов - не выйдет. Не знаю, где уж Вы это слышали...

Я слышал, что это делается через административные шаблоны, но как, я не в курсе. Пишется другая политика, которая требует наличие двух символов.

crazysword
Шаблоны в свою очередь лежат в папке "C:\WINDOWS\security\templates"
Название шаблонов говорит само за себя:
DC - это контроллеры
WS - ворстейшены
S - серваки

Тебе нужен файл securews.inf.
В нем:
PasswordComplexity = 1 - в разделе ;Account Policies - Password Policy

Если я не ошибаюсь - то это именно то, что тебе нужно.

adjuster

Я очень неопытный системный админ, и долго работать по этой профессии не собираюсь, знаний в этом направлении у меня не много и совершенствую я их крайне неохотно. Я почти ничего не понял... Пожалуйста опиши решение данного вопроса более подробно. Зарание огромное спасибо.

crazysword
Все, что можно поправить шаблонами - лежит в шаблонах. Политика безопасности в другой ветке. Это видно чисто графически. Делайте логические выводы.
Кроме того, неалфавитные символы вовсе не обязаны присутствовать в "сложном" пароле.

Ici Chacal

Цитата:

Все, что можно поправить шаблонами - лежит в шаблонах.

Насколько я понимаю, шаблоны можно создавать самому, как захотел, так и создал...


Цитата:

Кроме того, неалфавитные символы вовсе не обязаны присутствовать в "сложном" пароле

А как мне юзера заставить использовать пароль не 123456, и не 147258, а какой-то другой?

crazysword

Цитата:

Насколько я понимаю, шаблоны можно создавать самому, как захотел, так и создал...

Безусловно. И создавать новые и править имеющиеся. Только все шаблоны через политики просто правят системный реестр. А если в реестре просто сделать бессмысленную запись, то она никоим образом не повлияет на работу системы. Чтобы шаблон был работоспособным, необходимы соответствующие работающие ключи/параметры реестра. Повторюсь, то, что запрашиваете Вы - стандартными методами неосуществимо, поскольку и правкой реестра ничего не добиться (т. к. такого параметра, который бы это позволял, просто нету). Не знаю, может есть какие-нить подходящие хакерские средства... Да и то, вряд ли.

crazysword

Цитата:

Насколько я понимаю, шаблоны можно создавать самому, как захотел, так и создал...

Можно. Можно установить сложность во "вкл", а можно в "выкл" Правда это делается в шаблонах безопасности, а не в адм шаблонах... Шаблон это что такое? Просто настройки политики записанные в файл. Для удобства. Точно так же можно настроить политику ручками без всяких шаблонов. На алгоритм сложности ни то ни другое не влияют.

BVV63

Цитата:

Не знаю, может есть какие-нить подходящие хакерские средства...

Действительно врядли, а потом не советовал бы ломать политику безопасности никому, бо черевато. А уж тем более неопытному админу.

Ici Chacal


Цитата:

Можно установить сложность во "вкл", а можно в "выкл" Правда это делается в шаблонах безопасности

Это я прекрасно знаю...


Цитата:

Действительно врядли, а потом не советовал бы ломать политику безопасности никому, бо черевато. А уж тем более неопытному админу.

Поэтому я тут и спрашиваю мнение опытных...

BVV63


Цитата:

Не знаю, может есть какие-нить подходящие хакерские средства...

Придется ждать пока знающий человек не отпишется в теме. Не может быть, что никто не сталкивался в такой проблеммой... В этой теме описана проблема парольной защиты в российских компаниях.

crazysword
Прочитал статью, но не понял, в чём она противоречит моим словам. Может быть, Вы имеете ввиду Таблицу 5 (п. 8.5.11)? Но там же имеются ввиду не Виндузные пароли. Там про платёжные карты, у них своя парольная защита.

crazysword

Цитата:

Придется ждать пока знающий человек не отпишется в теме

Пока ты будешь ждать этого чела , включи сложность и используй подходы формирования сложного, но достаточно легко запоминаемого пароля (чтоб юзверям было не так тяжко и мучительно). Либо просто увеличь минимальную длину пароля без включения сложности пароля.

crazysword
Думаю, что требования строго прописаны в lsass.exe и ломать этот файл не советую. niichavo правильно пишет, можно поставить длину пароля, можно научить пользователей писать русские слова в лат раскладке и т.п...
Только почему-то начинает казаться, что дело не в юзерах.

niichavo

Цитата:

Либо просто увеличь минимальную длину пароля без включения сложности пароля.

Это я уже пробывал, вводят обычно от 1 до конца по очереди и постепенно меняют на подобные пароли (123456, 234567, 345678). Причем обычно у целого кабинета один и тот же пароль (приходят на работу, политика требует сменить пароль, меняют, не пропускает сложность пароля, в итоге пользователь, который первый прочитал требования пароля, сменил свой, говорит всем, что он ввел и все ставят такой же...)

Цитата:

используй подходы формирования сложного, но достаточно легко запоминаемого пароля (чтоб юзверям было не так тяжко и мучительно)

Уже написал всем письмо по exchange, подожду еще день, чтоб точно все прочитали, завтра попробую...

Сам отвечаю на свой вопрос:
Есть специальная прога, процедура применения проги расписана в оригинальной статье
http://www.devx.com/security/Article/21522/0/page/1

dll я уже сделал, если кому надо, пишите в личку, отошлю на мыло.

crazysword

Цитата:

dll я уже сделал, если кому надо, пишите в личку, отошлю на мыло.

Гыыы!!! Это ты имеешь в виду ту dll, которую я тебе прислал? Вместе со ссылкой на статью? Скромен ты, однако!

vlary

Цитата:

Гыыы!!! Это ты имеешь в виду ту dll, которую я тебе прислал? Вместе со ссылкой на статью? Скромен ты, однако!

За статью еще раз огромное спасибо, очень помогла. А вот dll я твою не брал, слишком щепитильный момент, тем более ты сам ее не проверял...