Гид по технологиям

Как включить и отключить срок действия пароля в Windows

8 min read Windows Обновлено 03 Dec 2025
Срок действия пароля в Windows: включение и настройка
Срок действия пароля в Windows: включение и настройка

Экран входа в Windows 11

Срок действия пароля (password expiration) позволяет задать максимальный возраст пароля для учётных записей на компьютере. По умолчанию эта функция отключена для всех пользователей и доступна в редакциях Windows Pro, Education и Enterprise для Windows 10 и 11. Для локальных учётных записей и для Microsoft‑аккаунтов шаги разные; в статье перечислены все рабочие способы включения и отключения.

Важно: изменения влияют только на политику смены пароля. Это не заменяет многофакторную аутентификацию (MFA) и другие современные меры защиты.

Как настроить срок действия пароля для учётной записи Microsoft

Настройка для Microsoft‑аккаунта выполняется в веб‑интерфейсе учётной записи Microsoft. Опция называется «Make me change my password every 72 days» — после включения текущий пароль истекает через 72 дня и потребует смены для доступа к сервисам Microsoft.

Выполните шаги:

  1. Откройте страницу безопасности Microsoft: https://account.microsoft.com/security и войдите под своей учётной записью.
  2. Перейдите в раздел «Password security» (Безопасность пароля).

Раздел безопасности учётной записи Microsoft — пароль

  1. При необходимости подтвердите старый пароль.
  2. Введите новый пароль в поля «Password» и «Reenter password».
  3. Установите флажок «Make me change my password every 72 days».

Включение срока действия пароля для учётной записи Microsoft в онлайн‑настройках

  1. Нажмите «Save». После этого пароль будет требовать смены через 72 дня.

Отключение:

  1. Вернитесь в Microsoft account > Security > Change password.
  2. Заполните поля нового пароля и снимите галочку «Make me change my password every 72 days».
  3. Сохраните изменения.

Примечание: чтобы включить срок действия пароля, сначала нужно задать действующий пароль. Если учётная запись использует альтернативную аутентификацию (например, Windows Hello), отключите её временно при необходимости.

Как включить срок действия пароля для локальных учётных записей через «Локальные пользователи и группы»

Инструмент «Локальные пользователи и группы» (lusrmgr.msc) доступен в Windows Pro / Education / Enterprise. Он позволяет управлять отдельными локальными учётными записями.

Шаги для редактирования конкретного пользователя:

  1. Нажмите Win + R, введите lusrmgr.msc и нажмите Enter.
  2. В левой панели выберите «Users» (Пользователи).

Окно «Локальные пользователи и группы» — список пользователей

  1. Дважды щёлкните по нужной локальной учётной записи, чтобы открыть свойства.

Свойства локальной учётной записи — снятие флага «Пароль никогда не истекает»

  1. На вкладке «General» или в нижней части окна снимите флажок «Password never expires» (Пароль никогда не истекает).
  2. Нажмите OK.

Если у вас Windows 11 Home

Windows Home не содержит lusrmgr.msc по умолчанию. Возможные подходы:

  • Включить поддержку «Локальные пользователи и группы» через инструкции для Home (требует прав администратора и внесения системных изменений). Следуйте проверенному руководству по включению lusrmgr в Home.
  • Или используйте Командную строку и групповые политики, описанные ниже.

Пример для Home (после включения lusrmgr):

  1. Запустите lusrmgr.exe.
  2. Выберите «Users», дважды щёлкните по записи.

Редактирование учётной записи в lusrmgr.exe

  1. Перейдите на вкладку «Password».

Вкладка «Пароль» в свойствах учётной записи (Windows 11 Home)

  1. Снимите отметку «Password never expires».
  2. Нажмите Apply и OK.

Важно: по умолчанию Windows запрашивает смену пароля через 42 дня. Это значение можно изменить через Групповую политику или net accounts (см. ниже).

Установка максимального возраста пароля через Редактор локальной групповой политики

Редактор локальной групповой политики (gpedit.msc) позволяет задать «Maximum password age» для политики паролей.

Шаги:

  1. Нажмите Win + R, введите gpedit.msc и нажмите Enter.
  2. Перейдите: Computer Configuration > Windows Settings > Security Settings > Account Policies > Password Policy.

В правой панели найдите «Maximum password age», откройте его свойства.

Редактор локальной групповой политики — параметр «Максимальный возраст пароля»

В диалоге вы увидите значение по умолчанию — 42 дня. Измените его на нужное (от 0 до 999 дней). 0 означает, что пароль никогда не истекает.

Свойства «Максимального возраста пароля» — изменение дней

Нажмите Apply и OK. После этого пользователи будут получать уведомления о необходимости смены пароля по новой частоте.

Как включать и отключать срок действия пароля через Командную строку

Если вы часто меняете параметры вручную или скриптуете настройки, используйте командную строку и WMIC.

Командная строка — включение срока действия пароля для локальной учётной записи

Команды:

  • Включить срок действия пароля для указанной локальной учётной записи:
wmic UserAccount where Name="имя_учётной_записи" set PasswordExpires=True
  • Отключить срок действия пароля для указанной учётной записи:
wmic UserAccount where Name="имя_учётной_записи" set PasswordExpires=False
  • Отключить срок действия пароля для всех локальных учётных записей:
wmic UserAccount set PasswordExpires=False
  • Установить максимальный возраст пароля (в днях):
net accounts /maxpwage:##

Замените имя_учётной_записи и ## на соответствующие значения. Команды нужно выполнять от имени администратора.

Совет: используйте net accounts в скриптах для массового задания политики на нескольких компьютерах.

Практические рекомендации по безопасности и альтернативные подходы

Короткая сводка: смена паролей по расписанию — полезная, но не единственная мера. Она снижает риск длочного использования скомпрометированного пароля, но не защищает от фишинга или кражи сессии.

Рекомендации:

  • Комбинируйте срок действия пароля с многофакторной аутентификацией (MFA). MFA надежнее, чем только частая смена пароля.
  • Используйте длинные фразы‑пароли (passphrases) вместо коротких сложных паролей. Длина зачастую важнее сложности.
  • Внедрите менеджер паролей, чтобы пользователи могли иметь уникальные пароли для разных сервисов.
  • Включите Windows Hello / биометрию там, где это допустимо, как дополнительный фактор.
  • Настройте политику блокировки учётных записей при множественных ошибках входа.

Когда срок действия пароля неэффективен:

  • Если злоумышленник уже получил постоянный доступ (например, через расширенные права администратора), смена пароля пользователя не решит проблему — требуется расследование и отзыв сессий.
  • При использовании одноразовых токенов или ключей API срок действия пароля пользователя не влияет на безопасность сервисов.

Альтернативы и дополнения:

  • Нулевая доверительная политика (Zero Trust): минимизируйте длительные сессии и требуйте повторной аутентификации при критичных операциях.
  • Использование аппаратных ключей (FIDO2 / YubiKey) для важных аккаунтов.
  • Автоматизированный мониторинг утечек паролей и принудительная смена при обнаружении компрометации.

Факт‑бокс: ключевые числа

  • Значение по умолчанию (локально): 42 дня.
  • Для Microsoft‑аккаунтов в веб‑интерфейсе: 72 дня (опция по выбору).
  • Максимум в gpedit.msc: до 999 дней.

Важно: эти числа отражают настройки Windows и Microsoft, а не универсальные правила безопасности. Оцените риски вашей организации.

Чек‑лист для администратора и для пользователя

Чек‑лист для администратора:

  • Определить политику: желаемый максимальный возраст пароля (в днях).
  • Решить: централизованно через Group Policy или локально через lusrmgr/WMIC.
  • Внедрить MFA и уведомить пользователей.
  • Настроить уведомления о предстоящей смене пароля.
  • Протестировать изменение на тестовой машине и зафиксировать последствия (скрипты, службы, задачи).
  • Обновить документацию и инструкции для пользователей.

Чек‑лист для пользователя:

  • Сохраняйте пароль в менеджере паролей.
  • При получении уведомления о необходимости смены пароля — смените пароль до истечения срока.
  • Используйте длинные фразы и избегайте повторного использования паролей.
  • Включите MFA, если доступно.

Мини‑методология внедрения политики смены паролей (5 шагов)

  1. Оценка: проанализируйте текущие политики и риски.
  2. Дизайн: выберите период смены пароля и сопутствующие настройки (MFA, блокировки).
  3. Тестирование: внесите изменения на пилотных машинах/группах пользователей.
  4. Внедрение: распространите политику централизовано через GPO или локально.
  5. Мониторинг: отслеживайте успешность, обращения в поддержку и инциденты.

Критерии приёмки

  • Политика применяется к целевым компьютерам и учётным записям.
  • Пользователи получают уведомление о предстоящей смене пароля.
  • При наступлении срока пароль действительно требует смены при следующем входе.
  • Службы и запланированные задания работают корректно после смены пароля (особенно учётные записи сервисов).

Быстрая шпаргалка команд

wmic UserAccount where Name="имя_учётной_записи" set PasswordExpires=True
wmic UserAccount where Name="имя_учётной_записи" set PasswordExpires=False
wmic UserAccount set PasswordExpires=False
net accounts /maxpwage:42   # установить 42 дня
net accounts /maxpwage:0    # отключить истечение пароля (никогда не истекает)

Типичные ошибки и способы их устранения

  • Пользователь жалуется, что пароль не истек: проверьте, не стоит ли у учётной записи флажок «Password never expires» и не переопределена ли политика на уровне домена или локального GPO.
  • После смены пароля службы перестали работать: проверьте, не использует ли служба учётные данные пользователя (замените на Managed Service Account или обновите пароль у службы).
  • Команда net accounts не изменила политику: убедитесь, что вы запускаете командную строку от имени администратора.

Decision flow (простое дерево для выбора метода)

flowchart TD
  A[Нужно настроить срок действия пароля?] --> B{Тип учётной записи}
  B -->|Microsoft| C[Изменить на account.microsoft.com: включить 72 дня]
  B -->|Локальная| D{Имеется ли gpedit.msc?}
  D -->|Да| E[Использовать gpedit.msc для правила Password Policy]
  D -->|Нет| F{Доступен ли lusrmgr?}
  F -->|Да| G[Открыть lusrmgr.msc и снять флажок «Password never expires»]
  F -->|Нет| H[Использовать WMIC / net accounts в командной строке]

Часто задаваемые вопросы

Q: Что произойдёт с зашифрованными файлами при смене пароля?

A: Если вы используете EFS (шифрование файловой системы) и сменили локальный пароль, ключи EFS остаются связанными с профилем пользователя. Рекомендуется создать резервную копию ключей перед массовой сменой паролей.

Q: Можно ли задать разные правила для отдельных пользователей?

A: Да. Через lusrmgr.msc можно управлять флагом «Password never expires» для конкретных локальных учётных записей. Групповая политика задаёт параметры на уровне компьютера или домена.

Q: Какие значения безопасны для максимального возраста пароля?

A: Microsoft рекомендует рассматривать диапазон 30–90 дней вместе с другими мерами защиты. Для многих организаций оптимальным будет сочетание длинных паролей и MFA, а не очень частая принудительная смена.

Итог

  • Срок действия пароля можно включать для Microsoft‑аккаунтов (онлайн) и для локальных учётных записей (lusrmgr, gpedit, командная строка).
  • По умолчанию локальные пароли истекают каждые 42 дня; Microsoft‑аккаунты — при включении опции через 72 дня.
  • Комбинируйте политику смены паролей с MFA, менеджерами паролей и мониторингом утечек.

Краткое резюме:

  • Установите политику и протестируйте её на пилотной группе.
  • Используйте централизацию через GPO для масштабируемости.
  • Предусмотрите инструкции для пользователей и резервные механизмы для сервисных учётных записей.
Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

Как узнать GPU на Mac
Mac

Как узнать GPU на Mac

Как войти в Facebook без генератора кодов 2FA
Безопасность

Как войти в Facebook без генератора кодов 2FA

Как создать облачный ПК и снизить задержку
Cloud

Как создать облачный ПК и снизить задержку

Как стать звукорежиссёром — навыки и путь
Карьера

Как стать звукорежиссёром — навыки и путь

Как подключить Google Drive и Gmail к Outlook
Инструкции

Как подключить Google Drive и Gmail к Outlook

Сделать Nova Launcher похожим на Pixel Launcher
Android.

Сделать Nova Launcher похожим на Pixel Launcher