Разное

Перед первым входом в систему пользователь должен сменить свой пароль: Админу на заметку — 23. Перед первым входом в систему необходимо сменить пароль. Как это сделать через RDP?

Содержание

Админу на заметку — 23. Перед первым входом в систему необходимо сменить пароль. Как это сделать через RDP?

Иногда, казалось бы, простые ситуации ставят в тупик и заставляют искать нестандартные решения. Ну что такого в истекшем пароле? Попросит поменять при следующем входе… Но не все так просто, если у вас есть только удаленный доступ, то ситуация обещает стать интересной. В этой короткой заметке мы не будем делать теоретических отступлений, да и отступать тут некуда, сама по себе проблема проста и понятна, только вот необычное сочетание условий заставило искать обходное решение, которое оказалось не менее простым.

Итак, в один не очень прекрасный вечер потребовалось нам поработать на одном удаленном сервере, который находился в одном из подразделений клиента, физически расположенным более чем в 500 км. Сервер новый, привычно подключаемся и что это?

Понятно, забыли установить неограниченный срок действия пароля Администратора, хотя, с другой стороны, может и правильно его эпизодически менять, но только вот чтобы поменять его нужно как-то попасть в систему…

Ну хорошо, подключимся простым пользователем, с этим проблемы нет, и запустим оснастку управления компьютером с повышением прав. Однако и тут нас постигло фиаско…

Ситуация начала становиться неприятной, мало того, что работу сегодня выполнить не удастся, так еще завтра придется искать местного приходящего админа и уже с его помощью менять пароль. Или…

Беглый поиск показал, что проблема известна, с чем именно связана — до конца непонятно, но решения в виде поставить патч явно здесь не подходят, по факту мы потеряли админский доступ в удаленную систему и прежде всего надо думать, как его вернуть.

А если попробовать так? Нажимаем Ctrl + Alt + End (аналог Ctrl + Alt + Del для удаленного сеанса) в сеансе обычного пользователя (куда доступ у нас есть).

Нажимаем Изменить пароль и вместо имени пользователя в нужном поле вписываем имя Администратора, затем указываем старый пароль, новый пароль…

И у нас все получилось, после чего мы снова смогли войти в систему с учетной записью Администратора. Решение оказалось неожиданно простым.

Выводы здесь тоже будут короткими, перед тем как опускать руки, попробуйте все варианты, даже неочевидные. Ну кто мог подумать, что из-под учетной записи пользователя можно поменять пароль администратора? Однако мы попробовали и у нас все получилось.

Изменение пароля учетной записи по RDP

Одной из хороших привычек любого пользователя ПК, а тем более системного администратора, является периодическая смена паролей учетных записей. Главное потом его не забыть.

Remote DesktopРабота с Windows по RDPот429 руб/месяцПопробовать

В операционных системах семейства Microsoft Windows Server, для смены пароля, привычно использовать сочетание клавиш Ctrl + Alt + Del. проблема в том, что “три кнопки” нельзя использовать через “Подключение к удаленному рабочему столу”. Рассмотрим как все таки изменить пароль.

Смена пароля в ОС Windows Server 2008

В ОС Windows Server 2008 это можно сделать из меню Пуск, кликнув по “Безопасность Windows”.

Скриншот №1. Смена пароля через меню «Пуск»

На обновлённом экране выбираем экране выбираем “Сменить пароль”.

Скриншот №2. Сменить пароль

Вводим старый пароль и новый и его подтверждение.

Скриншот №3. Выбор нового пароля

Смена пароля в ОС Windows Server 2012 и Windows Server 2012 R2

В ОС Windows Server 2012 и Windows Server 2012 R2 несколько усложнилась задача.

Открываем блокнот и пишем две строки:

set objShell = CreateObject("shell.application")
objshell.WindowsSecurity

Скриншот №4. Блокнот

Сохраняем файл с расширением *.vbs (пишем вручную.). Для этого выбираем Файл -> Сохранить как …

В новом окне выбираем директорию для сохранения файла, например, Рабочий стол. В Тип файла выбираем Все файлы, а в Имя файла указываем произвольное имя, например, 1.vbs.

Скриншот №5. Выбор директории

После сохранения файла, он уже готов к исполнению. Двойной клик левой кнопкой мыши вызовет экран, в которым следует выбрать “Сменить пароль”.

Скриншот №6. Смена пароля

Далее все привычно.

Скриншот №7. Подтверждение действия

Заполняем поля со старым паролем, указываем новый пароль и его подтверждение. Кликаем по иконке стрелки.

Скриншот №8. Ввод нового пароля

Смена пароля в ОС Windows Server 2016

ОС Windows Server 2016 радует своим расположением к пользователю, но чтобы изменить удаленно пароль, все равно нужно поискать этот пункт.

Открываем меню Пуск и кликаем по значку пользователя, в открывшемся меню выбираем “Изменить параметры учетной записи”.

Скриншот №9. Меню пуск в Windows 16

В открывшемся окне “Параметры” выбираем “Параметры входа”, а в секции Пароль кликаем по кнопке Изменить.

Скриншот №10. Пункт «Параметры входа»

В новом окне, указываем текущий пароль и кликаем по кнопке Далее.

Скриншот №11. Ведение текущего пароля

Окно обновится и запросит новый пароль, его подтверждение, а также подсказку к паролю. Кликаем по кнопке далее. В итоге, кликаем по кнопке Готово. Следующий вход в систему будет происходить под новым паролем.

Скриншот №12. Введение нового пароля

Альтернативный способ

Этот способ применим как для изменения пароля к своей учетной записи, так и к учетным записям других пользователей.

В меню Пуск, выбираем Администрирование (“Средства администрирования” в Windows Server 2016).

Скриншот №13. Альтернативный метод через пункт «Администрирование»

В новом окне двойным кликом мыши открываем “Управление компьютером”.

Скриншот №14. Управление компьютером

В левой части открывшегося окна раскрываем ветку “Локальные пользователи и группы” и открываем папку Пользователи. В основной части окна, кликаем правой кнопкой мыши по пользователю и в контекстном меню выбираем “Задать пароль…”.

Скриншот №15. Задать пароль для пользователя

Система выдаст предупреждение. Внимательно прочитав которое и осознав все риски кликаем по кнопке “Продолжить”. В противном случае — “Отмена”.

Скриншот №16. Предупреждение системы

В новом окне указываем новый пароль и его подтверждение. По окончании кликаем по кнопке OK.

Скриншот №17. Введение нового пароля

Средняя оценка: 4.0
Оценили: 4

191028
Санкт-Петербург
Литейный пр., д. 26, Лит. А

+7 (812) 443-85-60

700
300

ООО «ИТГЛОБАЛКОМ ЛАБС»

191028
Санкт-Петербург
Литейный пр., д. 26, Лит. А

+7 (812) 443-85-60

700
300

ООО «ИТГЛОБАЛКОМ ЛАБС»

700
300

Способы смены пароля учётной записи пользователя в RDP-сессии

При использовании удалённого подключения к операционным системам Microsoft Windows/Windows Server по протоколу RDP в некоторых случаях может возникать потребность в смене пароля учётной записи пользователя. При этом инициатором смены пароля в разных ситуациях может выступать как сам пользователь, так и администратор Windows-системы. В  некоторых сценариях может получиться так, что, казалось бы, несложная задача смены пароля может стать не такой уж и простой. Поэтому в данной записи я попробую собрать информацию о самых разнообразных способах смены пароля учётной записи пользователя в RDP-сессии.

 

Способ №1 — «Горячие» клавиши

В случае, если пользователю Windows необходимо самостоятельно изменить пароль своей учётной записи, то в стандартной Windows-сессии пользователем может использоваться всем известное сочетание «горячих» клавиш Ctrl-Alt-Del. Это сочетание клавиш вызывает специальный экран Безопасности Windows (Windows Security), с которого доступна функция изменения пароля:

Если же речь заходит об использовании горячих клавиш в RDP-сессиях, то стоит заметить то, что во избежание перехвата некоторых сочетаний клавиш локальной клиентской системой (системой, с которой запускается RDP-клиент), перенаправление сочетаний клавиш Windows должно быть явно разрешено в свойствах RDP-клиента. Например в клиенте mstsc.exe, встроенном в Windows, данную опцию можно включить на закладке управления локальными ресурсам.

В стандартной первичной RDP-сессии для вызова специального экрана Безопасности Windows с функцией изменения пароля используется сочетание клавиш: CtrlAltEnd

В случае использования вложенных RDP-сессий (второго и последующего уровней), то есть когда из одной RDP-сессии открывается другая RDP-сессия, стандартное сочетание клавиш работать не будет. В разных источниках в интернете можно найти информацию об использовании более сложных сочетаний клавиш, таких как CtrlAltShift-End или Shift-Ctrl-Alt-End. Однако мои эксперименты с Windows 10/Windows Server 2012 R2 показали, что данные сочетания клавиш попросту не работают (возможно они работали в ранних версиях ОС Windows). В этом случае на выручку нам может прийти следующий способ.

 

Способ №2 — Экранная клавиатура

В составе Windows имеется приложение «Экранная клавиатура» (On-Screen Keyboard), расположенное по умолчанию в %SystemRoot%\System32\osk.exe. Используя это приложение, мы можем решить проблему использования «горячих» клавиш во вложенных RDP-сессиях.

Находясь во вложенной RDP-сессии, вызовем окно запуска приложений. Вызвать его можно разными способами, например, через контекстное меню по кнопке Windows, или через Диспетчер задач (Task Manager):

Либо можно использовать сочетание клавиш Win-R.

В окне запуска приложений выполним запуск исполняемого файла osk.exe

После того, как откроется приложение «Экранная клавиатура», нажмём на физической клавиатуре сочетание клавиш CtrlAlt, так, чтобы это отобразилось на экранной клавиатуре и затем, удерживая это сочетание клавиш, на экранной клавиатуре мышкой нажмём кнопку Del.

Таким образом мы отправим в удалённую RDP-сессию сочетание клавиш Ctrl-Alt-Del, в следствие чего откроется специальный экран Безопасности Windows с функцией изменений пароля пользователя.

 

Способ №3 – Ярлык на VBS-скрипт или Powershell

Вызов экрана Безопасности Windows можно выполнить не только интерактивными способами, но и программными, например, с помощью скриптов.

Создадим VBS-скрипт, например, с именем Windows Security.vbs. Наполним скрипт следующим содержимым:

Set objShell = CreateObject("Shell.Application")
objShell.WindowsSecurity

Разместим скрипт в месте, доступном на чтение (но не для редактирования) для всех пользователей удалённого рабочего стола, например в каталоге %SystemRoot% (C:\Windows). А ярлык на запуск скрипта можно разместить в любом доступном пользователям месте, например, в каталоге общего профиля %SystemDrive%\Users\Public\Desktop\

При запуске данного ярлыка у пользователя будет открываться экран Безопасности Windows с возможностью изменения пароля.

Для любителей PowerShell приведённый VBS-скрипт можно заменить PS-скриптом следующего вида:

$ShellObject = New-Object -ComObject Shell.Application
$ShellObject.WindowsSecurity()

Либо запускать из ярлыка команду вида:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -noprofile -nologo -noninteractive -command "(new-object -ComObject shell.application).WindowsSecurity()"

Однако стоит отметить тот факт, что запуск варианта с PowerShell будет происходить медленней, чем варианта с VBS-скриптом.

Описанные здесь способы с запуском ярлыка, ссылающегося на скрипт, может попросту не сработать, так как в некоторых окружениях серверов служб удалённых рабочих столов может быть заблокирована возможность выполнения скриптов. В таком случае, можно воспользоваться следующим способом.

 

 

Способ №4 – Ярлык оболочки Windows Explorer

Если говорить о создании ярлыка запуска экрана Безопасности Windows, то имеется ещё один вариант создания такого ярлыка. Создаётся ярлык со ссылкой на расширение оболочки Windows Explorer следующего вида:

C:\Windows\explorer.exe shell:::{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}

Опять же, при запуске такого ярлыка у пользователя будет открываться экран Безопасности Windows с возможностью изменения пароля. Этот способ одинаково хорошо работает на Windows 10 и на Windows Server 2012 R2.

 

Способ №5 – Панель управления Windows (локальные учётные записи)

Данный способ относится лишь к локальным учётным записям пользователей. Изменить пароль учётной записи рядового локального пользователя можно через Панель управления Windows. В Windows 10 из раздела Панели управления «Учётные записи пользователей» доступен вызов окна «Параметры компьютера«, в котором имеется функция изменения пароля текущего локального пользователя.

Такие методы вызова апплета управления учётными записями пользователей Панели управления Windows, как, например команда «control userpasswords2«, в качестве отдельного способа мы выделять не будем, так как подобные действия требуют административных прав в удалённой системе. То же самое касается и таких CLI-утилит Windows, как net.exe (%SystemRoot%\System32\net.exe) (пример команды «net user username newpassword«), так как они тоже требуют повышения уровня прав пользователя.

 

Ремарка

Отдельно хочется отметить обстоятельство, про которое порой забывают администраторы, и это может приводить к разным курьёзным ситуациям.

Попытки смены пароля, инициированные самим пользователем, могут оказаться безуспешными в случае, если пароль был недавно изменён и на удалённую Windows систему действует политика безопасности, определяющая минимальный срок действия пароля.

Как правило, это настраивается на уровне стандартных доменных групповых политик Active Directory и/или механизмов Password Settings objects (PSOs).

Повторюсь, что повлиять на ситуацию эта политика может только в случаях, когда пользователь самостоятельно инициирует процедуру смены пароля.

Далее мы поговорим о сценарии, при котором требование смены пароля включается для учётной записи пользователя форсировано администратором сервера (для локальных учётных записей), либо администратором службы каталогов Active Directory (для доменных учётных записей).

Практика показывает, что как только администратором включено требование смены пароля пользователя при следующем входе в систему, у пользователя могут возникнуть проблемы с подключением по протоколу RDP, если на стороне RDS сервера (а в некоторых случаях и на стороне RDS клиента) предварительно не предпринято никаких действий по специальной настройке обработки таких ситуаций. Далее мы рассмотрим пару примеров такой настройки.

 

Способ №6 — Remote Desktop Web Access

Клиентский доступ к службам Windows Server RDS может быть организован через веб-интерфейс серверной роли Remote Desktop Web Access (RDWA). В функционале этой роли имеется выключенная по умолчанию возможность смены пароля пользователя в процессе аутентификации на веб-странице RDWA.

Сразу стоит отметить то, что данный способ смены пароля будет доступен только в том случае, если на веб-узлах RDWA используется аутентификация на основе формы (Forms Authentication), а этот тип аутентификации несовместим с типом Windows Authentication, о подключении которого мы говорили ранее.

Чтобы включить данную возможность в Windows Server 2012/2012 R2 откроем консоль управления Internet Information Services (IIS) Manager, выберем сайт RDWA, развернём RDWeb > Pages и в разделе настроек ASP.NET выберем настройку опций веб-приложения Application Settings:

В перечне опций находим PasswordChangeEnabled и меняем установленное по умолчанию значение false на true:

Если серверов RDWA несколько и они работают в пуле за балансировщиком, например Windows NLB, то не забываем выполнить данное изменение на всех других серверах пула.

Теперь попытаемся от имени пользователя, у которого в свойствах учётной записи установлено требование смены пароля при следующем входе, аутентифицироваться на веб-странице RDWA:

После ввода учётных данных пользователя появится сообщение о том, что пароль пользователя требует замены и ссылка на страницу с функцией смены пароля (https://<RDWA FQDN>/RDWeb/Pages/ru-RU/password.aspx):

На этой отдельной странице пользователь сможет ввести свои текущие учётные данные и новый пароль:

В случае успешной смены пароля пользователь получит соответствующее сообщение:

При необходимости ссылку на страницу смены пароля можно сделать доступной не только тем пользователям, у которых после аутентификации возникает требование смены пароля, но и всем остальным пользователям, чтобы они могли самостоятельно выполнять смену пароля по собственной инициативе через веб-страницу RDWA. Для этого можно будет внедрить ссылку на страницу password.aspx на странице входа login.aspx (по умолчанию страницы расположены в каталоге %windir%\Web\RDWeb\Pages\ru-RU)

Если же говорить про Windows Server 2008 R2, то в этой ОС для использования функции смены пароля в RDWA может потребоваться установка обновления KB2648402 — You cannot change an expired user account password in a remote desktop session that connects to a Windows Server 2008 R2-based RD Session Host server in a VDI environment.

 

 

Способ №7 – Специальный RDP-файл

Если пользователь выполняет подключение к удалённому рабочему столу на базе Windows Server 2012/2012 R2 через прямой запуск стандартного клиента mstsc.exe, то в ситуации с включенным признаком требования смены пароля, попытка подключения может быть завершена с ошибкой «You must change your password before logging on the first time. Please update your password or contact your system administrator or technical support».

Если ситуация требует того, чтобы пользователь самостоятельно изменил свой пароль при первом входе в систему, то это потребует некоторого изменения уровня безопасности настроек протокола RDP на стороне RDS сервера и подготовки специального RDP-файла на стороне клиента.  

Сначала на клиентской стороне откроем mstsc.exe, настроим все нужные параметры подключения к серверу RDS и используя кнопку Сохранить как, создадим RDP-файл.

После этого откроем RDP-файл в текстовом редакторе и добавим в конец файла строку «enablecredsspsupport:i:0«

Добавление данного параметра в свойствах RDP-подключения позволит клиенту успешно установить RDP-сессию с удалённой системой и сменить пароль до получения доступа к удалённому рабочему столу. Однако этот параметр понизит уровень безопасности RDP-подключения, так как клиент не сможет использовать проверку подлинности на уровне сети — Network Level Authentication (NLA). И если на стороне RDS сервера включена обязательная проверка NLA, то пользователь всё равно не сможет подключиться и получит соответствующую ошибку «The remote computer requires Network Level Authentication, which your computer does not support…».

Разрешить эту ситуацию можно только понизив уровень безопасности RDP на стороне RDS сервера, отключив обязательное требование проверки подлинности на уровне сети (NLA). Изменить эту настройку можно в свойствах системы на закладке Удалённый доступ:

В английской версии Windows название опции звучит как «Allow connections only from computers running Remote Desktop with Network Level Authentication (recommended)»

Если NLA нужно отключить на уровне коллекции серверов Windows Server 2012 R2, то сделать этом можно в свойствах коллекции сеансов, например через оснастку Server Manager:

После того, как отключено требование NLA на стороне RDS сервера, клиент с помощью специального RDP-файла, о котором мы сказали выше, должен успешно установить RDP-сессию и уже в ней получить сообщение о необходимости смены пароля:

И после этого пользователю будет показан экран, на котором он сможет задать новый пароль:

После успешной смены пароля последующие подключения по протоколу RDP будут проходить в штатном режиме без лишних запросов.

 

Заключение

Приведённый здесь перечень способов смены пароля при использовании протокола RDP не претендует на какую-то полноту и исключительность, а лишь отражает ту информацию, которую мне удалось найти в разных источниках по этому поводу. На мой взгляд, ни один из перечисленных способов нельзя считать наиболее удобным или универсальным, так как каждый из способов может применяться в определённых ограниченных сценариях и имеет, как преимущества, так и недостатки по сравнению с другими способами.

 

Дополнительные источники информации:

Поделиться ссылкой на эту запись:

Похожее

Как заставить локальную учетную запись сменить пароль при следующем входе в Windows 10

В некоторых случаях возникает надобность заставить определенную локальную учетную запись изменить свой пароль при следующем входе в систему.  Сделать это не сложно для любой локальной учетной записи, если ваша учетная запись имеет права администратора.

Инструмент «Локальные пользователи и группы», который мы будем использовать,  есть только в Windows 10 Pro, Enterprise и Education.

1.В строке поиска или в меню выполнить (выполнить вызывается клавишами Win+r) напишите lusrmgr.msc и нажмите Enter.

2.В левой колонке выберите «Пользователи», в правой колонке нажмите правой клавишей мыши на пользователя, которого нужно заставить изменить пароль при следующем входе => из открывшегося меню выберите «Свойства».

3. Поставьте галочку в поле «Требовать смены пароля при следующем входе в систему» и нажмите «ОК».

Закройте окно «Локальный пользователи и группы», теперь пользователь для которого вы производили настройки при входе в систему увидит надпись «Пароль пользователя необходимо изменить перед входом в систему».

На сегодня всё, если вы знаете другие способы или у вас есть дополнения — пишите комментарии! Удачи Вам 🙂

Иллюстрированный самоучитель по администрированию Windows 2000/2003 › Управление существующими учетными записями пользователей и групп › Установка параметров и ограничений учетной записи [страница — 122] | Самоучители по операционным системам

Установка параметров и ограничений учетной записи

Настройка параметров безопасности учетной записи

На вкладке Учетная запись (Account) диалогового окна Свойства пользователя (Properties) имеется множество параметров, позволяющих поддерживать сетевое окружение в безопасности. Применяйте эти параметры для контроля использования учетных записей и возможностей, которые им предоставляются. Имеются следующие параметры:

  • Потребовать смену пароля при следующем входе в систему (User Must Change Password At Next Logon). Установка данного параметра приведет к тому, что пользователь должен будет самостоятельно сменить пароль при следующем входе в систему.
  • Запретить смену пароля пользователем (User Cannot Change Password). Установка данного параметра запрещает пользователю изменять пароль учетной записи.
  • Срок действия пароля не ограничен (Password Never Expires). Установка данного параметра гарантирует, что пароль будет действителен всегда, тем самым снимаются ограничения обычного срока действия пароля.

    Внимание
    Установка данного параметра может поставить под угрозу безопасность сети. Возможно, Вы захотите использовать параметр Срок действия пароля не ограничен (Password Never Expires) для учетных записей администраторов, но в большинстве случаев не следует использовать ее для учетных записей обычных пользователей
    .

  • Хранить пароль, используя обратимое шифрование (Store The Password Using Reversible Encryption). Установка данного параметра позволяет хранить пароль в виде зашифрованного открытого текста.
  • Учетная запись отключена (Account Is Disabled).Установка данного параметра приводит к отключению учетной записи, что предотвращает возможность доступа пользователя к сети и входа в систему.
  • Для интерактивного входа в сеть нужна смарт-карта (Smart Card Is Required For Interactive Logon).Установка данного параметра требует от пользователя наличия смарт-карты для входа в систему. При этом пользователь не сможет выполнить вход на рабочей станции введя имя пользователя и пароль на клавиатуре.
  • Учетная запись доверена для делегирования (Account Is Trusted For Delegation). Установка данного параметра определяет, что пользователю, возможно, необходимы будут права на управление объектами в Active Directory, и что пользователю доверено выполнять любые разрешенные действия над теми объектами, в соответствии с предоставленными пользователю полномочиями.

    Примечание
    Для большинства пользователей этот параметр не нужен. Предоставлять это разрешение можно только для пользователей со специальными правами или в целях управления Active Directory
    .

  • Учетная запись важна и не может быть делегирована (Account Is Sensitive And Cannot Be Delegated).Установка этого параметра определяет, что пользователю нельзя доверять делегирование полномочий. Возможно, Вы захотите использовать этот параметр для всех обычных учетных записей пользователей, чтобы предотвратить возможность манипуляции объектами Active Directory, кроме тех случаев, когда Вы или другие авторизованные администраторы специально это разрешили.
  • Использовать тип шифрования DES для этой учетной записи (Use DES Encryption Types For This Account).Установка этого параметра определяет, что для этой учетной записи пользователя будет использоваться шифрование DES (Data Encryption Standard).
  • Без предварительной проверки подлинности Kerberos (Do Not Require Kerberos Preauthentication).Установка этого параметра определяет, что для доступа к ресурсам сети не нужно предварительно проверять подлинность с помощью протокола Kerberos. Предварительная проверка подлинности является частью процедуры обеспечения безопасности протокола Kerberos версии 5. Возможность входа без этой проверки оставлена для возможности использования старых клиентов, использующих старые или нестандартные реализации протокола Kerberos.

Материал взят из книги «Windows 2000. Руководство администратора». Автор Уильям Р. Станек. © Корпорация Microsoft, 1999.

Автор: Александр Пришляк aka Alexander_Grig
Материалы взяты с сайта OSzone.net.

Невозможно сменить пароль при входе на терминальный сервер MS Windows 2012 R2.

При развертывании терминальных служб на сервере MS Windows 2012 R2, при настройках по-умолчанию, возникла проблема с невозможностью смены пароля при подключении к удаленному рабочему столу.

Пользователь не может сменить пароль, если он подключается с ПК, который не в домене. При подключении появляется предупреждение:

При нажатии «ОК» для пользователя ничего не происходит.

Для того, чтобы пользователь смог изменить пароль необходимо изменить настройки безопасности

Запускаем оснастку «Службы удаленных рабочих столов»

Выбираем QuickSesionCollection -> Свойства коллекции -> Задачи -> Изменить свойства

Выбираем Безопасность -> Уровень безопасности -> Согласование -> Уровень безопасности RDP

После этих изменений, пользователь может спокойно поменять пароль:

Периодическая смена паролей — устаревшая практика, пришло время от неё отказаться / Блог компании GlobalSign / Хабр

Во многих IT-системах действует обязательное правило периодической смены паролей. Это, пожалуй, самое ненавистное и самое бесполезное требование систем безопасности. Некоторые пользователи в качестве лайфхака просто меняют цифру в конце.

Такая практика вызывала массу неудобств. Однако людям приходилось терпеть, ведь это ради безопасности. Теперь этот совет совершенно не актуален. В мае 2019 года даже компания Microsoft наконец-то убрала требование периодической смены паролей из базового уровня требований безопасности для персональных и серверных версий Windows 10: вот официальное заявление в блоге со списком изменений к версии Windows 10 v 1903 (обратите внимание на фразу Dropping the password-expiration policies that require periodic password changes). Сами правила и системные политики Windows 10 Version 1903 and Windows Server 2019 Security Baseline внесены в комплект Microsoft Security Compliance Toolkit 1.0.

Можете показать эти документы начальству и сказать: времена изменились. Обязательная смена паролей — архаизм, теперь практически официально. Даже аудит безопасности теперь не будет проверять это требование (если он ориентируется на официальные правила по базовой защите компьютеров под Windows).

Фрагмент списка с базовыми политиками безопасности Windows 10 v1809 и изменения в 1903, где соответствующие политики по времени действия паролей уже не применяются. Кстати, в новой версии по умолчанию также отменяются администраторский и гостевой аккаунты

Microsoft популярно объясняет в блоге, почему отказалась от правила обязательной смены пароля: «Периодическое истечение срока действия пароля является защитой только от вероятности того, что пароль (или хэш) будет украден в течение его срока действия и будет использоваться неавторизованным лицом. Если пароль не украден, нет смысла его менять. И если у вас есть доказательства того, что пароль украден, вы, очевидно, захотите действовать немедленно, а не ждать истечения срока действия, чтобы устранить проблему».

Далее Microsoft объясняет, что в современных условиях неправильно защищаться от кражи паролей таким методом: «Если известно, что пароль, вероятно, будет украден, сколько дней является приемлемым периодом времени, чтобы позволить вору использовать этот украденный пароль? Значение по умолчанию — 42 дня. Разве это не кажется смехотворно долгим временем? Действительно, это очень долго, и всё же наш текущий базовый показатель был установлен на 60 дней — а раньше на 90 дней — потому что форсирование частого истечения вводит свои собственные проблемы. И если пароль не обязательно будет украден, то вы приобретаете эти проблемы без пользы. Кроме того, если ваши пользователи готовы обменять пароль на конфетку, никакая политика истечения срока действия паролей не поможет».

Microsoft пишет, что её базовые политики безопасности предназначены для использования хорошо управляемыми, заботящимися о безопасности предприятиями. Они также призваны служить руководством для аудиторов. Если такая организация внедрила списки запрещённых паролей, многофакторную аутентификацию, обнаружение атак с брутфорсом паролей и обнаружение аномальных попыток входа в систему, требуется ли периодическое истечение срока действия пароля? А если они не внедрили современные средства защиты, то поможет ли им истечение срока действия пароля?

Логика Microsoft на удивление убедительна. У нас два варианта:

  1. Компания внедрила современные меры защиты.
  2. Компания не внедрила современные меры защиты.

В первом случае периодическая смена пароля не даёт дополнительных преимуществ.

Во втором случае периодическая смена пароля бесполезна.

Таким образом, вместо срока действия пароля нужно использовать, в первую очередь, многофакторную аутентификацию. Дополнительные меры защиты перечислены выше: списки запрещённых паролей, обнаружение брутфорса и других аномальных попыток входа в систему.

«Периодическое истечение срока действия пароля является древней и устаревшей мерой защиты, — подводит итог Microsoft, — и мы не считаем, что для нашего уровня базовой защиты стоит применять какое-либо конкретное значение. Удаляя его из нашего базового уровня, организации могут выбирать то, что наилучшим образом соответствует их предполагаемым потребностям, не противореча нашим рекомендациям».

Если компания сегодня заставляет пользователей периодически менять пароли, что может подумать сторонний наблюдатель?

  1. Дано: компания использует архаичный защитный механизм.
  2. Предположение: компания не внедрила современные защитные механизмы.
  3. Вывод: эти пароли проще достать и использовать.

Получается, что периодическая смена паролей делает компанию более привлекательной мишенью для атак.


Windows Server 2016 RDP. Перед первым входом в систему необходимо изменить пароль

Windows Server 2016 RDP — перед первым входом в систему необходимо изменить пароль

Когда я начал развертывать Windows Server 2016 для замены серверов RDP Windows Server 2008 R2, я столкнулся с проблемами, которых просто не было в Server 2008 R2. Сегодняшняя проблема заключается в том, что по умолчанию, если создается новая учетная запись пользователя или истекает срок действия пароля пользователя, или если администратор просто проверяет свойство Active Directory «Пользователь должен сменить пароль при следующем входе в систему», когда пользователь пытается подключиться через RDP вместо запроса на смену пароля они видят ошибку:

Заголовок: Подключение к удаленному рабочему столу

Вы должны изменить свой пароль перед первым входом в систему.Обновите свой пароль или обратитесь к системному администратору или в службу технической поддержки.

Это имеет необычный эффект: пользователь не может изменить свой пароль самостоятельно, оставляя администратору один из двух нежелательных вариантов:

  • Отключите свойство «Пользователь должен сменить пароль при следующем входе в систему».
    или
  • Измените пароль на другой пароль самостоятельно, а также убедитесь, что свойство не установлено.

В любом случае подразумевается, что какой-то человек, кроме этого пользователя, теперь знает пароль этого пользователя.

Как решить проблему — изменить уровень безопасности RDP

Чтобы решить эту проблему, вам необходимо отредактировать параметры Session Collection, Security, Configure Security, а затем изменить настройку Security Layer с Auto-Negotiate на RDP Security Layer .

После применения этого изменения удаленные пользователи RDP вернутся к возможности устанавливать новый пароль.

В качестве дополнительного бонуса этот уровень безопасности RDP на самом деле более безопасен, а также соответствует требованиям PCI (по крайней мере, на момент написания этой статьи).

Нравится:

Нравится Загрузка …

Связанные

.

Принудительная смена пароля при следующем входе в систему и RDP

Если в вашей учетной записи AD включена опция « Пользователь должен сменить пароль при следующем входе в систему »:

, и вы пытаетесь войти в сеанс RDP (с правильными учетными данными):

, вы можете увидеть это сообщение об ошибке:


«Вы должны сменить пароль перед первым входом в систему. Обновите свой пароль или обратитесь к системному администратору или в службу технической поддержки.”

Это классический улов 22: вам нужно войти в систему, чтобы изменить пароль, но вы не можете войти в систему, пока не измените свой пароль.

Если у вас есть доступ к «обычному» клиенту Windows, подключенному к сети, вы можете изменить пароль таким образом, но что, если у вас есть доступ только по протоколу RDP?

Клиентская сторона

Что ж, если сервер позволяет это, вы можете временно отключить «Credential Security Support Provider (CredSSP)» в клиенте RPD. Это отключает аутентификацию сетевого уровня, аутентификацию до RPD-соединения и, следовательно, позволяет вам изменить свой пароль через RDP.CredSSP включен по умолчанию в клиенте RDP в Windows Vista и далее.

Нет возможности отключить CredSSP в клиенте RDP, поэтому вот как это нужно сделать:

  • Запустить mstsc.exe
  • Нажмите Показать параметры
  • Нажмите Сохранить как
  • Назовите его ChangePassword.rpd (или как угодно, но избегайте имени Default.rdp)
  • Откройте сохраненный ChangePassword.rpd в Блокнот
  • Добавьте новую строку в конце со следующим текстом:
    enablecredsspsupport: i: 0
  • Сохраните файл rdp
  • Дважды щелкните файл rdp
  • Введите имя / IP-адрес подключенного к домену компьютера с включенным RDP.

Вместо локального запроса безопасности Windows (второе изображение в сообщении блога) вы должны увидеть экран входа в Windows на удаленном компьютере (если нет, все равно прочтите):

Если для учетной записи, с которой вы входите в этот момент, включена опция « Пользователь должен сменить пароль при следующем входе в систему », вы получите уведомление об этом:

Нажав ОК, вы получаете возможность изменить пароль (ура!):

После смены пароля вы получите подтверждение об изменении:

´

При нажатии OK выполняется вход.

На самом деле вам не нужно иметь доступ для входа через RDP, в этом случае он появляется, но только после вы успешно изменили свой пароль:

Удалите файл ChangePassword.rdp , когда вы закончите (или, по крайней мере, не используйте его, пока вам не придется снова сменить пароль), поскольку отключение CredSSP снижает безопасность подключений RDP.

Если серверу требуется CredSSP

Если сервер не позволяет отключить поставщика поддержки безопасности учетных данных, вы получите это сообщение об ошибке при подключении:

В этом случае попробуйте подключиться, используя полное доменное имя (DC01.tomdemo.se, а не только DC01) или подключитесь к другим серверам, которые могут позволить вам отключить CredSSP. Как я уже упоминал выше, вам не обязательно иметь доступ для входа на сервер.

Сторона сервера

Вы также можете отключить CredSSP на стороне сервера, но, поскольку это снижает безопасность всех подключений RDP к этому серверу, это не рекомендуется.

Если вы все равно решили это сделать, вы можете сделать это, сняв флажок « Разрешить подключения только с компьютеров, на которых запущен удаленный рабочий стол с аутентификацией на уровне сети (рекомендуется) » в свойствах системы:

Или, если вы запустите роль сервера терминалов:

  • Открыть Конфигурация сервера терминалов
  • Открыть страницу конфигурации RDP-Tcp
  • На вкладке General установите Security Layer на RDP Security Layer

Обратите внимание, что если у вас уже есть существующий доступ к серверу (с учетной записью, с которой вам нужно изменить пароль), вы можете просто изменить свой пароль в этом сеансе, нажав Ctrl-Alt-Del (или Ctrl-Alt- Завершите в RDP-соединении) и выбрав Изменить пароль :

Надеюсь, этот пост помог.

Нравится:

Нравится Загрузка …

Связанные

.

RDP Connection и запрос «Вы должны сменить пароль перед первым входом в систему» ​​

Что ж, похоже, что есть ошибка в способе подключения RDP-соединения к серверу при запросе на изменение пароля. Короче говоря, нельзя! Что ж, я думаю, что это ошибка, но у Microsoft, вероятно, была веская причина поступить так.

Но есть решение, которое сработало — по крайней мере у меня.

Вот шаги:

Войдите на свой терминальный / многоточечный сервер с учетными данными администратора

Нажмите «Пуск», затем «Выполнить».Введите tsconfig.msc и нажмите Enter.

Под окном отображения соединений дважды щелкните соединение RDP-Tcp

Появится это окно свойств.

Измените настройки, как показано выше. Единственный вариант, который мне нужно было изменить, — это вариант уровня безопасности с «Согласовать» на «Уровень безопасности RDP».

Щелкните ОК.

Теперь вы можете закрыть диалоговое окно Конфигурация узла сеанса удаленного рабочего стола.

Если вы сейчас попытаетесь подключить пользователя через RDP-клиент, которому необходимо изменить свой пароль при входе в систему, он предложит вам это сделать.

Кредит: http://www.sanderstechnology.com/2012/changing-the-remote-desktop-security-layer/10998/

Нравится:

Нравится Загрузка …

Связанные

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *