Новый параметр изменяет поведение проверки подлинности сети NTLM

  • Статья

В этой статье описывается новое поведение, влияющее на изменение паролей NTLM, и способы изменения этого поведения с помощью реестра.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 906305

Введение

Начиная с Microsoft Windows Server 2003 с пакетом обновления 1 (SP1) произошло изменение поведения проверки подлинности сети NTLM. Пользователи домена могут использовать свой старый пароль для доступа к сети в течение одного часа после изменения пароля. Это изменение не влияет на существующие компоненты, предназначенные для использования Kerberos для проверки подлинности.

Цель этого изменения — разрешить выполнение фоновых процессов, таких как службы, в течение некоторого времени, пока администратор не сможет обновить учетные данные для нового пароля.

Поведение проверки подлинности сети NTLM

Чтобы обеспечить надежную поддержку сетевого доступа ntlm для проверки подлинности сети NTLM в распределенных средах, поведение проверки подлинности сети NTLM выглядит следующим образом:

  • После того как пользователь домена успешно изменяет пароль с помощью NTLM, старый пароль по-прежнему можно использовать для доступа к сети в течение определяемого пользователем периода времени. Это позволяет учетным записям, таким как учетные записи служб, которые вошли в систему на нескольких компьютерах, получать доступ к сети во время распространения изменения пароля.
  • Продление срока существования пароля применяется только к сетевому доступу с помощью NTLM. Поведение интерактивного входа в систему не изменяется. Это поведение не применяется к учетным записям, размещенным на автономных серверах или на рядовых серверах. Это поведение затрагивает только пользователей домена.
  • Период существования старого пароля можно настроить, изменив реестр на контроллере домена. Для того чтобы это изменение реестра вступило в силу, перезапуск не требуется.

Изменение периода существования старого пароля

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.

Чтобы изменить период существования старого пароля, добавьте запись DWORD с именем OldPasswordAllowedPeriod в следующий подраздел реестра на контроллере домена:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Для этого выполните следующие действия:

  1. В меню Пуск выберите пункт Выполнить, введите команду regedit и нажмите ОК.

  2. Найдите и откройте следующий подраздел реестра:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. В меню Правка выберите пункт Создать, а затем Параметр DWORD.

  4. Введите OldPasswordAllowedPeriod в качестве имени DWORD и нажмите клавишу ВВОД.

  5. Щелкните правой кнопкой мыши OldPasswordAllowedPeriod и выберите команду Изменить.

  6. В поле Данные значения введите значение в минутах, которое нужно использовать, и нажмите кнопку ОК.

    Примечание.

    Период существования задается в минутах. Если это значение реестра не задано, период существования старого пароля по умолчанию составляет 60 минут.

  7. Закройте редактор реестра.

Примечание.

Чтобы этот параметр реестра вступил в силу, перезапуск не требуется.

Это не приводит к слабости системы безопасности. Пока оба пароля знают только один пользователь, он по-прежнему проходит безопасную проверку подлинности с помощью любого из них.

Если известно, что пароль пользователя скомпрометирован, администратор должен сбросить пароль для этого пользователя. Администратор должен попросить пользователя изменить пароль при следующем входе, чтобы как можно скорее сделать старый пароль недействительным.

Чтобы сбросить пароль пользователя, выполните следующие действия:

  1. Откройте оснастку «Пользователи и компьютеры Active Directory».
  2. Найдите учетную запись пользователя, пароль которой необходимо сбросить.
  3. Щелкните правой кнопкой мыши объект пользователя и выберите команду Сбросить пароль.
  4. Введите новый пароль в поле Новый пароль и в поле Подтверждение пароля .
  5. Щелкните, чтобы выбрать поле Пользователь должен изменить пароль при следующем проверка входа, а затем нажмите кнопку ОК.

Примечание.

Поведение, описанное в этой статье, возникает только в том случае, если для действующей политики паролей на контроллерах домена задано значение Принудительное использование журнала паролей , указывающее, что будут запоминаться два или более паролей. Политика паролей должна быть задана на уровне домена. Вы можете определить, действует ли политика на контроллерах домена, с помощью оснастки Secpol.msc.