Как современные системы Windows (например, Windows Server 2008 и 2008 R2), так и Active Directory, такие как системы Linux и Solaris, позволяют настраивать политики паролей, которые определяют длину и сложность паролей пользователей, обеспечивая первая линия защиты ваших систем. Если ваши системы Unix аутентифицируются в AD, то здесь вы можете указать все свои требования к паролям. Если Active Directory — лишь одно из многих мест, где настраиваются политики паролей, все же рекомендуется использовать надежные пароли. Наличие схожих стандартов сложности на предприятии — хорошая стратегия, поскольку это подчеркивает важность надежных паролей для обеспечения безопасности ваших систем.
Windows и Active Directory позволяют вам указать ряд параметров для обеспечения безопасности паролей. . Значения по умолчанию перечислены в таблице ниже.
Значение параметра политики по умолчанию ============== ============ ======== Обеспечить сохранение истории паролей 24 дня Максимальный срок действия пароля 42 дня Минимальный срок действия пароля 1 день Минимальная длина пароля 7 Пароль должен соответствовать требованиям сложности Enabled Хранить пароли с использованием обратимого шифрования Disabled Продолжительность блокировки учетной записи Не определено Порог блокировки учетной записи 0 Сброс счетчика блокировки учетной записи после Не определено Активировать ограничения входа пользователя в систему ВключеноМаксимальный срок службы билета на обслуживание 600 минут Максимальный срок жизни билета пользователя 10 часов Максимальный срок действия продления билета пользователя 7 дней Максимальный допуск для синхронизации часов компьютера 5 минут
История паролей — как многие пароли будут запоминаться системой. По умолчанию ни один из предыдущих 24 паролей не может быть повторно использован, когда пользователь меняет свой пароль.
Максимальный срок действия пароля — как долго пароль может использоваться до его замены. В случае изменения обычно устанавливается примерно 90 дней. Это будет означать, что ваши пароли необходимо менять каждые несколько месяцев.
Минимальный срок действия пароля — как долго ваши пользователи должны ждать, прежде чем они смогут снова сменить пароль. Если бы вы, пользователи, могли сразу же менять свои пароли, а система запомнила только некоторые из предыдущих паролей, им было бы легко восстановить свои текущие пароли, по сути, используя тот же пароль навсегда. Если вы заставляете их использовать каждый новый пароль в течение некоторого количества дней, вероятность того, что они вернутся к использованию исходного пароля, мала. Если бы ожидание составляло два дня и десять паролей запомнились, то восстановление исходного пароля заняло бы 20 дней. К тому времени даже самые умные пароли, вероятно, потеряют свою привлекательность.
Недостаток политики минимального возраста паролей состоит в том, что ваши пользователи не смогут сразу изменить свои пароли, даже если они считают, что пароли были взломаны. Об этом следует помнить, если вы выберете этот вариант и убедитесь, что горячая линия доступна для экстренной смены пароля..
Требования к сложности пароля — включает ряд требований, которые настраиваются отдельно в системах Linux и Solaris. Если этот параметр включен — как и по умолчанию, пароли должны состоять не менее чем из шести символов и содержать символы из трех из следующих: символы верхнего регистра, символы нижнего регистра, цифры (0–9), специальные символы (например,! , #, $) и символы Юникода. Кроме того, пароль не должен содержать более двух символов от имени пользователя (при условии, что имя пользователя состоит из трех или более символов).
Минимальная длина пароля — сколько символов должно быть включено в пароли пользователей. Хотя по умолчанию это 7, лучше выбрать от 8 до 12. Ваши пользователи, скорее всего, не захотят запоминать еще четыре символа, поэтому будьте готовы предложить несколько советов, как сделать более длинные пароли запоминающимися, например, добавление пары цифр на каждом конце, добавление паролей к дню рождения их лучшего друга (например, 0323) или установить пароли в виде короткой фразы, например «want2goHome!». Напомните им, что записывать пароли — всегда очень плохая идея, но записать что-нибудь, напоминающее им об их паролях, может быть нормально, особенно если они не дадут понять, что это пароль, который они пытаются запомнить.
Продолжительность блокировки учетной записи — сколько минут заблокированная учетная запись остается заблокированной, прежде чем будет разблокирована. Однако, если установлено значение 0, пароль остается заблокированным до тех пор, пока администратор (кто-то, имеющий право вносить такие изменения) не разблокирует его. Однако этот параметр зависит от порога блокировки учетной записи. Другими словами, если вы не укажете, что учетные записи будут заблокированы после некоторого количества неудачных попыток входа в систему, нет никакого смысла указывать, как долго они будут заблокированы.
Порог блокировки учетной записи — количество последовательных неудачных попыток входа в систему, в результате которых учетная запись будет заблокирована. Если установлено значение 0 (по умолчанию), учетные записи никогда не блокируются.
Единственным недостатком настройки порогового значения блокировки учетной записи является то, что она позволяет пользователю заблокировать учетную запись другого пользователя.
Сбросить счетчик блокировки учетной записи после — сколько минут должно пройти, прежде чем счетчик блокировки будет сброшен на 0 (т. е. учетная запись будет разблокирована). Это может быть от 1 минуты до 99 999. Он должен быть меньше или равен продолжительности блокировки учетной записи.
Принудительное ограничение входа пользователей в систему — проверяет ли Центр распространения ключей Kerberos каждый запрос на билет сеанса противоречит политике прав пользователя на определенном компьютере.
Максимальный срок службы билета службы — максимальное время, в течение которого билет сеанса может использоваться. Это означает, что система проверки подлинности, лежащая в основе Windows (Kerberos), должна повторно проверять соединение через указанный интервал..
Максимальное время жизни для билета пользователя — максимальное время, в течение которого может быть использован билет для предоставления билета пользователя. По истечении этого времени (по умолчанию 10 часов) его необходимо продлить.
Максимальный срок жизни для продления билета пользователя — определяет период времени, в течение которого билет может использоваться и обновляться.
Максимальный допуск для синхронизации часов компьютера — определяет максимальную разницу во времени, которая разрешена между временем на часах клиента и контроллер домена. Он предназначен для предотвращения так называемых «атак с повторением», при которых допустимая передача данных злонамеренно или мошенническим образом повторяется или задерживается.
Настройки паролей по умолчанию в Windows и Active Directory вполне разумны, хотя Я бы изменил минимальную длину пароля из 7 символов на более высокую. Хотя функции блокировки делают успех атак методом перебора паролей весьма маловероятным — если это установлено, а не по умолчанию, установка ожиданий пользователей, что пароль должен быть длиннее 8 символов, вероятно, повысит безопасность других учетных записей, которые они используют. .
Отключить правило сложности пароля в Active Directory
Куда мне перейти, чтобы отключить политику сложности пароля для домен?
Я вошел на контроллер домена (Windows Server 2008) и нашел параметр в локальных политиках, который, конечно, заблокирован от любых изменений. Однако я не могу найти такую же политику в диспетчере групповой политики. Какие узлы мне нужно расширить, чтобы найти его?
Вы хотите изменить настройку сложности пароля, которую вы нашли в «Политике домена по умолчанию», а не в локальной группе политика. Затем выполните «gpupdate», и вы увидите, что изменение вступило в силу.
Откройте консоль управления групповой политикой (Start/Run/GPMC.MSC), откройте домен, щелкните правой кнопкой мыши и выберите Edit «Политика домена по умолчанию». Затем откройте «Конфигурация компьютера», «Настройки Windows», «Настройки безопасности», «Политики учетных записей» и измените настройку требований к сложности пароля.
Редактирование «Политики домена по умолчанию» определенно необходимо быстрое и грязное дело. Лучше всего, как только вы научитесь лучше управлять групповой политикой, было бы вернуть настройки по умолчанию к настройкам по умолчанию и создать новый объект групповой политики, переопределяющий значение по умолчанию с настройками, которые вы хотите. Однако, чтобы ускорить процесс, редактирование значения по умолчанию не повредит вам.
I ‘ Я также хотел бы отметить, что в домене Windows Server 2008 вы можете применить несколько политик паролей к разным подразделениям; в предыдущих версиях AD у вас могла быть только одна глобальная политика паролей для каждого домена.
На сайте Technet также есть отличная статья:
http://technet.microsoft.com/en-us/magazine/cc137749.aspx
Это помогает объяснить различия между новыми параметрами политики паролей Windows 2008 и параметром » старые политики паролей домена Windows 2003/2000.
Это хорошее чтение, чтобы убедиться, что вы понимаете, что вы можете делать сейчас, тем более что вы заявили, что используете Windows 2008.
Откройте локальную политику безопасности, нажав кнопку «Пуск» Изображение кнопки «Пуск», набрав secpol.msc
в поле поиска, а затем щелкните secpol.
На левой панели дважды щелкните Политики учетных записей, а затем щелкните Политика паролей.
Дважды щелкните элемент в списке политик, который вы хотите измените, измените настройку и нажмите ОК.
Вам следует найдите его в
Конфигурация компьютера> Настройки Windows> Политики учетных записей> Политика паролей
Есть опция, помеченная «Пароль должен соответствовать требованиям сложности»
отключите это, чтобы добиться желаемого.
2
Конфигурация компьютера> Параметры Windows> Параметры безопасности> Политики учетных записей> Политика паролей> Пароль должен соответствовать требованиям сложности
Я рекомендую создать новую политику (с названием «Пароль» или что-то в этом роде также полезно), а не редактировать значение по умолчанию.
там должно быть что-то в настройках, я думаю, это
Конфигурация компьютера> Настройки Windows> Политики учетных записей> Политика паролей