Запрет смены пароля ОС для предотвращения устаревания снимков и неиспользуемых ВМ


???????????? ? ??????????? ? ?????????, ????? ?????? ?????????? ? ????????? ????????? ?????? ????????????? ? ???????. ??? ?????????? ??? ??? ?????????????? ??????? ?????? (snapshot) ??????????? ??????, ??? ? ?????? ??? ??????? ???????? ??????, ??????? ?? ?????????? ????????? ???????. ??????????? ?????? ?????? ????????????? ??????, ??? ???????????? ??????? ?? ?? ?????? ? ????????? ??????????????.


?????????? ?????? ???????? ?????? ?? ??????? ? ??????????????. ???? ?? ?????????? ????? ???????? ????????? ?????, ??? ?? 60 ????, ?? ??? ????????? ?? ????? ???? ?? ?????? ???????????? ? ???? ??????? ? ??? ????????? «?????????? ???????» (secure channel). ???? ?? ?? ??????????? ?????? ? ??????????? ???????, ?? ? ??????? 30 ???? ? ??????? ???????? ?????? ????????? ?????? ??????? ???? ?????? ? ??????, ????? ????, ???????? ??????, ?? ??? ?? ??????? ????? ? ?????. ??????? ?? ?????????? ??? ???????? ? ??????? ?? ???????.


?????? ????????? ???????????? ?????? ?????? ????? ????????? ??????? ??????. ??????? ????????, ??? ???????? ??????? ?? ???????? ???????? ?? ??????????? ?? ?????? ???????? ???? «?????????» ?? ?????????. ?????????? ?????????? ????? ?????? ?????? ???? (? ?????? ????). ?? ????????? ??? ?????????? ??? ? ?????, ?? ???? ???? ????? ???????? ????? ???????? ? ??????? ????? MaximumPasswordAge ??? ??????????? ????????, ??????? ????????? ?? ??????:



Computer Configuration\windows Settings\Security settings\Local Policies\Security Options - Domain member: Disable machine account Password changes


???? ??????????? ?????? ??????? ?? ?????? ??????? ??????? ??????? ??????????? ??????.


??? ?? ?????????? ????????? ????? ???????? ??? ?????? ?????? NetLogon ???????????? Workstation Scavenger. ???? ?????? ????????? ??????? ?????? ??? ?????? ??? ???????? MaximumPasswordAge, ?? Scavenger ?????????? ????????? ? ??????????? ?????? ? ???????? ????? ??????. ???? ?????????? ??????????, ??? ???????? ??????? ?? ?????? ? ????? ??????, ?? Scavenger ?????? ????????? ? ??????????? ????? ???????? ??????? (? ???????), ????????? ? ????? ScavengeInterval. ???? ?? ?????? ?????? NetLogon ?????? ??? ?? ???????, ?? Scavenger ????????? ? ??????????? ?? ?????? ?????? ??? ??? ? ?????? ??? ???????????. ?? ????????? ??? Windows NT 4.0 ScavengeInterval ??? ????? 7 ????, ? ??????? ? Windows 2000 ???????? ?? 30 ????. ???? ???????? ????? ???????? ????????? ?????????:



Computer Configuration\Administrative Templates\System\Netlogon\Scavenge Interval


???? ?? ?????? ????????? ???? ??????????? ?????? ?????? ??????, ?? ????? ?? ???????????? ?????? ??????? ???? RefusePasswordChange. ??????????? ?????????? ???????? ?? ??????? Scavenger ?? ????? ??????.


???????, ?? ?????? ?????????? ?????????? ????? ??????? ???? ??????? DisablePasswordChange, ???????? ??????? ? ???????, ?? ????????? ????, ??? ?????? ????????? ?? ????? ?????? ?????? ????? ????????? ??????? ??????. ??????????????, ?? ?? «???????» ?? ??????, ???? ???? ?? ??? ?? ???????? ????????? ???, ??? ????????? ?????? ?????? ????????? ???????. ??? ????? ????? ????????? ???????? ?????????:



Computer Configuration\windows Settings\Security settings\Local Policies\Security Options - Domain member: Disable machine account Password changes


????????, ??? ??? ????????????? ????????? ? ?? Windows, — ??? ?? ?????????? ????????????, ??? ? ? ?????????????, ?????? ?? ?????? Hyper-V, ?? ? ????????? ???????????.

Comments (5)

  1. Alex A says:

    Очевидно, что на каждого хитреца со стороны рабочей станции, есть более мудрая голова администратора домена.

    Хороший пример, - наш корпоративный домен в Microsoft. У нас на контроддерах домена настроено не открывать канал безопасности (secure channel) со станциями, пароль которых превысил MaximumPasswordAge.

    В таком случае имеем тот же симптом, - ошибку NetLogon/3210 и неработу с доменом.

    Лечится при помощи сброса канала безопасности - netdom reset (нужны права и на станции, и в домене).

  2. Alex A says:

    Я не вижу потенциальных уязвимостей в запрете смены пароля.

    Даже предполагая худшее, - успешный перебор пароля компьютерной учетной записи, - это не даст злоумышленнику абсолютно ничего (если речь не о контроллере домена, конечно, - но наврядли мы станем делать такое с боевым контроллером).

  3. ivan says:

    Непонятно одно. Если рабочая станция САМА инициирует смену пароля при старте службы netlogon и контролер домена сам не меняет пароль, как рабочая станция может потерять пароль?

    Если виртуалка не работала месяц, то исходя из вышенаписанного она при включении отправит запрос на смену пароля и сменит его.

  4. Ann-fireball says:

    Скорее всего на контроллере домена происходит устаревание пароля компьютера-рабочей странции, поэтому рабочая станция при включении пытается сменить пароль, но контроллер домена ей уже не доверяет, поэтому процедура смены не может быть завершена. Отсюда и одно из решений: вывести рабочую станцию из домена и ввести в домен снова.

  5. igolovin says:

    Не влияет-ли Запрет смены пароля компьютера на безопасность?

Skip to main content