Парола политика, Павленко Евгений

А лош човек има повече от един начин да получите паролата си, един метод за получаване на паролата е негов избор. Като правило, киберпрестъпниците са били вероятно пароли база - така наречената речника. Използването на които те вземе паролата. Все пак, има програми, които са в състояние да генерира такъв речник на базата на броя на знаците в паролата, въз основа на това дали тя използва номера, специални знаци, малки и големи букви. При използване на парола, различна от букви цифри, трябва от време на време се увеличава броят на възможните пароли с една и съща дължина, съответно със специални символи, също така увеличава броя на възможните пароли. Разберете, че ние разбираме това, което е желано парола трябва да се състои от специални знаци, цифри, главни и малки букви. Но как да се уверите, че потребителят не е посочил прости пароли? Тук, за да ни помогне и да дойде на групови политики.

Ако модула в Group Policy редактиране отидем в "Компютърна конфигурация -> Конфигуриране на Windows -> Настройки за сигурност -> Парола политика", тогава стигаме до частта, която описва нашата политика парола домейн. В този раздел има 6 различни политики, а именно - "Минимално дължина на паролата", "Максимална Парола възраст", "Минимална парола", "Паролата трябва да отговарят на изискванията за сложност", "пароли магазина с обратимо кодиране" и "Вести история на парола ". Стойността на всеки от тези параметри е много важно за нас, тъй като за администратора, който се занимава с въпросите на сигурността.

Налагане история парола. Тази настройка сигурност определя броя на уникалните нови пароли, които трябва да бъдат причислени към потребителски акаунт за повторно използване на старата парола. Броят на пароли трябва да бъде от 0 до 24. Тази политика дава възможност на администраторите да повишат сигурността, като стари пароли не са непрекъснато използване.

Максимална възраст парола. Тази настройка сигурност определя периода (в дни), през който паролата може да се използва толкова дълго, тъй като системата не изисква от потребителя да го промените. Парола изтичане може да бъде от 1 до 999 дни; стойност 0 отговаря на неограничено валидност на паролата. Ако стойността на максималната възраст парола е между 1 и 999 дни минимална възраст парола трябва да е по-малко от максимума. Ако стойността на максималната възраст парола е 0, минималната възраст парола може да е със стойност в диапазона от 0 до 998 дни. Препоръчваме Ви да настроите изтичане стойността на парола от 30 до 90 дни, в зависимост от операционната среда. В този случай, нападателят се ограничава до времето, през което той може да се справи паролата и да получат достъп до мрежови ресурси.

Минимална дължина на паролата. Тази настройка сигурност определя минималния брой символи, които трябва да се съдържат в паролата на потребителя. Можете да зададете стойност от 1 до 14 символа, или 0 знаци, ако не се изисква парола.

Минимална парола. Тази настройка сигурност определя периода (в дни), през който потребителят трябва да използвате парола, преди да може да се променя. Можете да зададете стойност от 1 до 998 дни, или да позволи да промените паролата веднага чрез задаване на стойност до 0 дни. Стойността на минималната възраст парола трябва да е по-малка от максималната възраст парола, с изключение на стойността на максималния период от 0 дни, което означава, че изтичането на парола никога няма да изтече. Ако стойността на максималната възраст парола е 0, минималната възраст парола може да е със стойност в диапазона от 0 до 998 дни. Задайте минималната възраст парола е по-голяма от 0, за да се даде възможност на запазване на историята на парола. Без да се въведе минимален парола изтича, потребителят може да промените паролата отново, докато не получите старата си предпочитания парола. Стойността по подразбиране е настроен въпреки тази препоръка, така че администраторът може да зададете парола на потребител, а след това помолете да го променя, когато потребителят влиза в системата. Ако историята на парола е настроен на 0, потребителят не трябва да изберете нова парола. Поради тази причина, стойността на паролата за списанието По подразбиране е 1.

Римски главни букви (A до Z)

Малки букви (А до Z) Numbers (0 до 9)

За разлика от букви и цифри знаци (напр. $, #,%)

на изисквания за сложност прилагат, когато създавате или да промените паролата.

пароли магазина с обратимо кодиране. Тази настройка определя дали сигурността на операционната система за съхранение на пароли с помощта на обратимо кодиране. Тази политика осигурява поддръжка за приложения, които използват протоколи, които изискват познаване на паролата на потребителя за удостоверяване. пароли магазина с обратимо кодиране - е по същество едно и също нещо като съхраняване на пароли в обикновен текст. Поради тази причина, тази политика не трябва да се прилага, докато условията за кандидатстване стават все по-мощни, отколкото на изискванията за защита с парола. Тази политика се изисква при използване на протокола за автентификация CHAP чрез дистанционно обслужване достъп или Internet Authentication Service (IAS). Също така е необходимо, когато се използва Digest удостоверяване в IIS.

Искам да ви обърна внимание, че политиката на парола домейн е настроен на едно място, и не можете да за различните отдели да определят различни политики. Политика Парола е разположен в политиката по подразбиране ( "Default Domain политика"). И след това веднага възниква парола и какво да правя, ако имам потребители, които имат нужда да се надува изискванията за пароли, да кажем на потребителя, който има достъп до чувствителна информация. Имате ли нужда да се сложи всички потребители надценка политика, ако политиката на парола се възлага на едно място? Не, не е задължително. Основното нещо в тази ситуация е да се намери среден път, който парола политика ще отговаря на вашата организация въз основа на изискванията за сигурност. Като правило, определящо изискванията за сигурност, трябва да отдела за сигурност. След се формира политика по подразбиране, трябва да създадем гранулирани политики. Те не са по класическия метод на свързване политики Конзолата за управление на груповите правила, както и използването ADSIEdit. Въпреки че изглежда много страшно, не се тревожи за това. Първо, трябва да се свържете с нашия сървър с помощта на ADSIEdit модула в и се свържете с «По подразбиране именуване контекст». И отиде в CN = Парола Setting контейнера за, CN = System, DC =. Ако сте в движение с помощта на йерархия дърво, ние идваме в началото на DC =, след CN = система. и в края ние се интересуваме от контейнера и който ще бъде нашата политика гранулиран, неговото име CN = Парола Setting контейнер. За да се създаде нова политика трябва да бъде избран за създаване на нов обект, който се отваря магьосник, с които ние ще създадем нашата политика. вход Vizrda ще бъдете помолени променливи, описание на които е по-долу.

MSDS-PasswordSettingsPrecedence. Тази опция задава приоритет на политиката. Стойността трябва да е по-голяма от 0

MSDS-PasswordReversibleEncryptionEnabled. Тази настройка определя дали сигурността на операционната система за съхранение на пароли с помощта на обратимо кодиране. Тази политика осигурява поддръжка за приложения, които използват протоколи, които изискват познаване на паролата на потребителя за удостоверяване. Стойността може да бъде фалшиви / ИСТИНСКИ

MSDS-PasswordHistoryLength. Тази настройка сигурност определя броя на уникалните нови пароли, които трябва да бъдат причислени към потребителски акаунт за повторно използване на старата парола.

MSDS-PasswordComplexityEnabled. Тази настройка сигурност определя дали паролата, трябва да отговарят на изисквания за сложност. Ако това правило е активирано, пароли, трябва да отговарят на следните минимални изисквания. Стойността може да бъде фалшиви / ИСТИНСКИ

MSDS-MinimumPasswordLength. Тази настройка сигурност определя минималния брой символи, които трябва да се съдържат в паролата на потребителя. Стойността може да бъде 0-255

MSDS-MinimumPasswordAge. Тази настройка сигурност определя периода от време, през който потребителят трябва да използвате парола, преди да може да се променя. Е изпълнен във формата деня: час: минута: секунда

MSDS-MaximumPasswordAge. Тази настройка сигурност определя периода от време, през който паролата може да се използва толкова дълго, тъй като системата не изисква от потребителя да го промените. Е изпълнен във формата деня: час: минута: секунда

MSDS-LockoutThreshold. Това paramentos сигурност определя прага на грешни опити за влизане, преди да заключат потребителски акаунти. Стойността може да бъде 0-65535

MSDS-LockoutObservationWindow. Тази сигурност paramentos определя интервал от време, след който неуспешни опита брояча се нулира. Е изпълнен във формата деня: час: минута: секунда

След като политиката е готова, трябва да промените своето атрибутите MSDS-PSOAppliesTo което показва, за които се прилага тази политика.