Politica pentru parole, Pavlenko Evgeniy
Un tip rău are mai mult de un mod de a obține parola, o metodă de obținere a parolei este alegerea lui. De regulă, infractorii cibernetici au fost probabil baza de parole - așa-numitul dicționar. Utilizarea pe care le ridica parola. Cu toate acestea, există programe care sunt capabile să genereze un astfel de dicționar pe baza numărului de caractere într-o parolă, pe baza faptului dacă acesta utilizează numere, caractere speciale, de sus și litere mici. Când utilizați un altul decât litere cifre parolă, uneori crește numărul de parole posibile cu aceeași lungime, respectiv cu caractere speciale crește, de asemenea, numărul de parole posibile. Înțelegeți că înțelegem ce parola este de dorit ar trebui să conțină caractere speciale, numere, litere mari și mici. Dar cum să se asigure că utilizatorul nu a stabilit parole simplu? Aici să ne ajute și să vină la politicile de grup.
În cazul în completare snap-in Group Policy editare vom merge la „Computer Configuration -> Configurare Windows -> Security Settings -> Politici Parola“, atunci vom ajunge la secțiunea care descrie politica noastră de domeniu parola. În această secțiune sunt 6 politici diferite - și anume, „Lungimea minimă a parolei“, „Maximum Password Age“, „parola minimă“, „Parola trebuie să îndeplinească cerințele de complexitate“, „Memorarea parolelor folosind criptare reversibilă“ și „Vesti Istoricul parolei. " Valoarea fiecăruia dintre acești parametri este foarte important pentru noi ca și pentru administrator, care se ocupă cu probleme de securitate.
Impunere istorie parola. Această setare de securitate determină numărul de parole unice noi, care trebuie să fie atribuite unui cont de utilizator pentru a reutiliza parola veche. Numărul de parole trebuie să fie de la 0 la 24. Această politică permite administratorilor să sporească securitatea prin garantarea faptului că parolele vechi nu sunt refolosite în mod continuu.
Vârsta maximă a parolei. Această setare de securitate determină perioada (în zile) în cursul căreia parola poate fi utilizat atât timp cât sistemul nu cere utilizatorului să-l schimbe. Parola de expirare poate fi de la 1 la 999 de zile; o valoare de la 0 corespunde unei parole de expirare nelimitat. În cazul în care valoarea vârsta maximă a parolei este cuprinsă între 1 și 999 de zile, vârsta minimă a parolei trebuie să fie mai mică decât cea maximă. În cazul în care valoarea vârsta maximă a parolei este 0, vârsta minimă a parolei poate fi orice valoare în intervalul de la 0 la 998 de zile. Vă recomandăm să setați valoarea de expirare a parolei de la 30 la 90 de zile, în funcție de mediul de operare. În acest caz, atacatorul este limitată la timpul în care el poate sparge parola și obține acces la resurse de rețea.
Lungimea minimă a parolei. Această setare de securitate determină numărul minim de caractere care trebuie să fie incluse în parola utilizatorului. Puteți seta o valoare de la 1 la 14 de caractere, sau 0 caractere în cazul în care o parolă nu este necesară.
Parola minimă. Această setare de securitate determină perioada (în zile) în care utilizatorul trebuie să folosească o parolă înainte de a fi schimbat. Puteți seta o valoare de la 1 la 998 de zile, sau se lasă să se schimbe parola imediat prin setarea valorii la 0 zile. Valoarea vârsta minimă a parolei trebuie să fie mai mică decât vârsta maximă a parolei, cu excepția valorii perioadei maxime de 0 zile, ceea ce înseamnă că expirarea parolei nu va expira niciodată. În cazul în care valoarea vârsta maximă a parolei este 0, vârsta minimă a parolei poate fi orice valoare în intervalul de la 0 la 998 de zile. Setați vârsta minimă a parolei este mai mare decât 0, pentru a permite păstrarea istoricul parolei. Fără a stabili o parolă minimă expiră, utilizatorul poate schimba din nou parola până când veți obține vechea preferință parola. Valoarea implicită este setată în ciuda acestei recomandări, astfel încât administratorul poate atribui o parolă de utilizator, și apoi cere să-l schimbe, atunci când utilizatorul se conectează în sistem. În cazul în care istoricul parolei este setat la 0, utilizatorul nu are nevoie pentru a alege o nouă parolă. Din acest motiv, valoarea parolei pentru revista implicită este 1.
cu majuscule romane (A la Z)
litere mici (a la z) Numere (0 la 9)
Spre deosebire de litere și semne cifre (de ex. $, #,%)
cerințe de complexitate se aplică atunci când creați sau modificați parola.
Magazin de parole folosind criptare reversibila. Această setare de securitate determină dacă sistemul de operare pentru a stoca parolele folosind criptare reversibila. Această politică oferă suport pentru aplicațiile care utilizează protocoale care necesită cunoștințe de parola utilizatorului pentru autentificare. Magazin de parole folosind criptare reversibila - este, în esență, același lucru ca și stocarea de parole în text simplu. Din acest motiv, această politică nu ar trebui să se aplice până la cerințele de aplicare devin mai puternice decât cerințele de protecție a parolei. Această politică este necesară atunci când se utilizează protocolul de autentificare CHAP prin intermediul serviciului de acces la distanță sau Internet Authentication Service (IAS). De asemenea, este necesară atunci când se utilizează autentificarea de tip digest în IIS.
Vreau să vă atrag atenția că politica de domeniu a parolei este setată într-un singur loc, și nu se poate pentru diferite departamente pentru a stabili politici diferite. Politica Parola este setată în politica implicită ( „Default Politica de domeniu“). Și apoi apare imediat parola și ce să facă cu dacă am utilizatorii care au nevoie pentru a umfla cerințele parola, spune utilizatorul care are acces la informații sensibile. Ai nevoie pentru a pune toți utilizatorii supraîncărca politica în cazul în care politica de parole este atribuit într-un singur loc? Nu, nu neapărat. Cel mai important lucru în această situație este de a găsi o cale de mijloc care politica parola se va potrivi cu organizația dvs. pe baza cerințelor de securitate. Ca o regulă, stabilind un cerințele de securitate ar trebui să ia departamentul de securitate. După ce se formează politica implicită, avem nevoie pentru a crea politici granulare. Ele nu sunt metoda clasică a politicilor de legare folosind Group Policy Management Console, și folosind ADSIEdit. Deși pare foarte infricosator, nu-ți face griji. În primul rând, trebuie să se conecteze la serverul nostru folosind ADSIEdit snap-in și conectați la «denumire implicită» context. Și du-te la CN = Parola Setare container, CN = System, DC =
MSDS-PasswordSettingsPrecedence. Această opțiune setează prioritatea politicii. Valoarea trebuie să fie mai mare decât 0
MSDS-PasswordReversibleEncryptionEnabled. Această setare de securitate determină dacă sistemul de operare pentru a stoca parolele folosind criptare reversibila. Această politică oferă suport pentru aplicațiile care utilizează protocoale care necesită cunoștințe de parola utilizatorului pentru autentificare. Valoarea poate fi FALSE / TRUE
MSDS-PasswordHistoryLength. Această setare de securitate determină numărul de parole unice noi, care trebuie să fie atribuite unui cont de utilizator pentru a reutiliza parola veche.
MSDS-PasswordComplexityEnabled. Această setare de securitate determină dacă parola trebuie să îndeplinească cerințele de complexitate. Dacă această politică este activată, parolele trebuie să îndeplinească următoarele cerințe minime. Valoarea poate fi FALSE / TRUE
MSDS-MinimumPasswordLength. Această setare de securitate determină numărul minim de caractere care trebuie să fie incluse în parola utilizatorului. Valoarea poate fi 0-255
MSDS-MinimumPasswordAge. Această setare de securitate determină perioada de timp în care utilizatorul trebuie să folosească o parolă înainte de a fi schimbat. Se completează în formă ziua: ora: minute: secunde
MSDS-MaximumPasswordAge. Această setare de securitate determină perioada de timp în care parola poate fi utilizat atât timp cât sistemul nu cere utilizatorului să-l schimbe. Se completează în formă ziua: ora: minute: secunde
MSDS-LockoutThreshold. Acest paramentos de securitate determină pragul de încercări nereușite de login înainte de a închide conturile de utilizator. Valoarea poate fi 0-65535
MSDS-LockoutObservationWindow. Acest paramentos de securitate determină intervalul de timp după care a eșuat încercările de contorul este resetat. Se completează în formă ziua: ora: minute: secunde
Odată ce politica este gata trebuie să schimbați sale atribute FDS PSOAppliesTo care indică faptul căruia i se aplică această politică.