Wymuszanie zmiany hasła

W systemach operacyjnych Microsoft Windows na ich domowych (osobistych) wersjach Home czasem brak możliwości ustalenia w panelu sterowania (ustawieniach) polityki automatycznego wymuszania zmiany haseł co jakiś okres czasu (np. miesiąc lub 30 dni). Rozwiązanie nie jest idealne, ale można to obejść konsolą wiersza poleceń. Aby ją uruchomić, poprzez skrót klawiaturowy Win+R wpisujemy cmd i wciskamy enter lub klikamy OK:

Uruchamianie wiersza poleceń

Uruchamianie wiersza poleceń

Wiersz poleceń Microsoft Windows

Wiersz poleceń Microsoft Windows

Tam zaś wpisać kolejno:

net accounts /maxpwage:30
net accounts /minpwage:25
wmic UserAccount where Name=’X’ set PasswordExpires=True

gdzie X we fragmencie Name=’X’ oznacza nazwę (login) użytkownika Windows; maxpwage:30 oznacza liczbę dni, po których hasło wygasa; minpwage:25 — minimalną liczbę dni, po której można zmienić hasło. Aby zmienić dla kont wszystkich użytkowników, należy pominąć fragment where Name=’X’.

Hasła zgodnie z politykami (systemu = zarządzania systemem) bezpieczeństwa informacji (SZBI/SBI) muszą bowiem być zmieniane i spełniać wymagania co do złożoności. W świetle obowiązującego przed 25.05.2018 pkt A.IV.2 oraz pkt B.VIII załącznika (czyli najczęściej stosowane w świetle pkt B.XI i C.XIV załącznika i § 6 ust. 4 rozporządzenia, wobec połączenia z siecią publiczną czyli internetem) do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), zmiana hasła następuje nie rzadziej niż co 30 dni oraz powinno się ono składać co najmniej z 8 znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne. Nowe unijne ogólne (bowiem są dwa! jest jeszcze karne dotyczące skazań) rozporządzenie o ochronie danych, potocznie „RODO”, czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1) nie wskazuje konkretnych wymagań wobec haseł. Należy samemu dokonać analizy ryzyka i podjąć odpowiednie środki organizacyjno-techniczne. Wskazane jest dodatkowo, by przy wymuszaniu zmiany hasła, nie można było nadawać ponownie takiego samego hasła (żeby zmiana nie była pozorna), a przy najmniej, aby tak było przez określoną ilość jego zmian, np. jeśli w styczniu hasło brzmiało abc123+, to w lutym nie będzie można wpisać ponownie abc123+ jako nowego hasła. Nie znalazłem jak wymusić zawartość hasła (litera mała, wielka, cyfra, znak specjalny), natomiast w tej samej konsoli można wymusić określoną długość (ilość znaków) hasła oraz ilość powtórzeń, która jest pamiętana:

net accounts /uniquepw:6
net accounts /minpwlen:8

gdzie minpwlen:8 oznacza minimalną liczbę znaków, a uniquepw:6 — liczbę ostatnio zmienianych haseł wstecz, które są czasowo pamiętane, tak aby kolejne hasło nie zostało z nimi powtórzone (6 to mniej więcej pół roku).

Można jeszcze wymusić wylogowanie po określonym czasie używania komputera (pracy):

net accounts /forcelogoff:540

gdzie forcelogoff:540 oznacza liczbę minut od zalogowaniu, po których nastąpi wylogowanie (nawet jeśli użytkownik wciąż aktywnie działa, i tak zostanie wylogowany). 540 minut to 9 godzin. Razem brzmi to:

net accounts /maxpwage:30
net accounts /minpwage:25
net accounts /uniquepw:6
net accounts /minpwlen:8
net accounts /forcelogoff:540
wmic UserAccount set PasswordExpires=True

 

Wypada jeszcze wymuszać automatyczne wylogowanie (blokadę ekranu) po nieaktywności użytkownika po minimum określonym czasie (liczbie minut):

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *