Tw-city.info

IT Новости
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Доменная политика паролей

blog.eaglenn.ru | Заметки IT инженера

Microsoft, Linux, Lync и etc……

Настройка политики паролей в Active Directory используя GPO

Самым простым способом настроить требования к политике паролей в Active Directory является использование оснастки mmc «Управление групповой политикой». Для этого нам необходимо на контроллере домена выполнить следующую последовательность действий: ПускАдминистрированиеУправление групповой политикой

Настроить политику паролей в Active Directory можно только в Default Domain Policy. Такова особенность, использование других специально созданных для этого политик вам не поможет, имейте это ввиду.

Выделим Default Domain Policy и нажмем правую кнопку мыши Изменить.

Откроется окно редактора групповой политики по умолчанию. Для внесения изменений в политику паролей необходимо открыть ветку: Конфигурация компьютераПолитикиКонфигурация WindowsПараметры безопасностиПолитики учетных записей

в окне слева вы можете изменить:

  • Политику паролей
  • Политику блокировки учетной записи

Настройка политики паролей

В данной секции вы можете настроить:

  • Журнал паролей
  • Максимальный срок действия пароля
  • Минимальную длину пароля
  • Минимальный срок действия пароля
  • Требование к сложности пароля
  • Хранить пароли, используя обратное шифрование

Настройка политики блокировки учетной записи

Доступно три варианта настройки блокировки учетной записи и время до сброса блокировки:

  • Время до сброса счетчика блокировки
  • Пороговое значение блокировки
  • Продолжительность блокировки учетной записи

В этой политике есть один скользкий момент. Следует понимать, что если вы используете блокировку учетной записи при ошибке входа в сеть, злоумышленник, используя метод подбора паролей к вашим учетным записям, может заблокировать все аккаунты пользователей и блокировать работу ЛВС. Эту политику нужно использовать осторожно и помнить что она действует на все учетные записи в том числе и системные. Поэтому лучше использовать метод тонкой настройки политики управления паролями, описанный в статье: «Тонкая настройка политики управления паролями в среде Windows»

После внесения изменений в GPO, политики Default Domain Policy, необходимо подождать некоторое время, пока на клиенте произойдет применение изменений GPO. Как правило на клиента политики транслируются раз в четыре часа, на сервера сразу же. Для ускорения применения политик рекомендуется на клиенте используя интерфейс командной строки выполнить gpupdate /force и перезагрузиться.

Политика паролей учетных записей в Active Directory

Для обеспечения высокого уровня безопасности учетных записей в домене Active Directory администратору необходимо настроить и внедрить политику паролей, обеспечивающей достаточную сложность, длину пароля и частоту смены пароля пользователей и сервисных учетных записей. Тем самым можно усложнить злоумышленнику возможность подбора или перехвата паролей пользователей.

По-умолчанию в домене AD настройка единых требований к паролям пользователей осуществляется с помощью групповых политик. Политика паролей учетных записей домена настраивается в политике Default Domain Policy.

  1. Чтобы настроить политику паролей, откройте консоль управления доменными GPO (Group Policy Management console – gpmc.msc).
  2. Разверните ваш домен и найдите политику Default Domain Policy. Щелкните по ней ПКМ и выберите Edit.
  3. Политики паролей находятся в следующем разделе редактора GPO: Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики учетных записей -> Политика паролей (Computer configuration-> Windows Settings->Security Settings -> Account Policies -> Password Policy).
  4. Чтобы отредактировать настройки нужной политики, дважды щелкните по ней. Чтобы включить политику, отметьте галку Define this policy settings и укажите необходимую настройку (в примере на скриншоте я задал минимальную длину пароля пользователя 8 символов). Сохраните изменения.
  5. Новые настройки парольной политики будут применены ко все компьютерам домена в фоновом режиме в течении некоторого времени (90 минут), при загрузке компьютера, либо можно применить параметры немедленно, выполнив команду gpupdate /force.

Теперь рассмотрим все доступные для настройки параметров управления паролями. Всего имеются шесть политик паролей:

  • Вести журнал паролей (Enforce password history) – определяет количество старых паролей, которые хранятся в AD, запрещая пользователю повторно использовать старый пароль.
  • Максимальный срок действия пароля (Maximum password age) – определяет срок действия пароля в днях. После истечения срока дейсвтвия пароля система потребует у пользователя сменить пароль. Обеспечивает регулярность смены пароля пользователями.
  • Минимальный срок жизни пароля (Minimum password age) – как часто пользователи могут менять пароль. Этот параметр не позволит пользователю несколько раз подряд сменить пароль, чтобы вернуться к любимому старому паролю, перезатерев пароли в журнале Password History. Как правило тут стоит оставить 1 день, чтобы предоставить пользователю самому сменить пароль в случае его компрометации (иначе менять пароль пользователю придется администратору).
  • Минимальный срок действия паролей (Minimum password length) – не рекомендуется делать пароль короче, чем 8 символов (если указать тут 0 – значит пароль не требуется).
  • Пароль должен отвечать требование сложности (Password must meet complexity requirements) – при включении этой политики пользователю запрещено использовать имя своей учетной записи в пароле (не более чем два символа подряд из username или Firstname), также в пароле должны использоваться 3 типа символов из следующего списка: цифры (0 – 9), символы в верхнем регистре, символы в нижнем регистре, спец символы ($, #, % и т.д.). Кроме того, для исключения использования простых паролей (из словаря популярных паролей) рекомендуется периодически выполнять аудит паролей учетных записей домена.
  • Хранить пароли, использую обратимое шифрование (Store passwords using reversible encryption) – пароли пользователей в базе AD хранятся в зашифрованном виде, но в некоторых случаях некоторым приложениям нужно предоставить доступ к паролям в домене. При включении этой политики пароли хранятся в менее защищенной виде (по сути открытом виде), что небезопасно (можно получить доступ к базе паролей при компрометации DC, в качестве одной из мер защиты можно использовать RODC).
Читать еще:  Word альбомный вид

Кроме того, нужно отдельно выделить настройки в разделе GPO: Политика блокировки учетной записи (Account Lockout Password):

  • Пороговое значение блокировки (Account Lockout Threshold) – как много попыток набрать неверный пароль может сделать пользователь перед тем, как его учетная запись будет заблокирована.
  • Продолжительность блокировки учетной записи (Account Lockout Duration) – на какое время нужно блокировать учетную запись (запретить вход), если пользователь ввел несколько раз неверный пароль.
  • Время до сброса счетчика блокировки (Reset account lockout counter after) – через сколько минут после последнего ввода неверного пароля счетчик неверных паролей (Account Lockout Threshold) будет сброшен.

Настройки парольных политик домена AD по-умолчанию перечислены в таблице:

Изменение политики паролей в Windows Server 2012 R2

Ниже приведена небольшая инструкция об изменении политики паролей в Microsoft Windows Server 2012 R2. По умолчанию политика паролей определена таким образом, что все пароли учетных записей пользователей должны удовлетворять следующим требованиям:

  • Не содержать имени учетной записи пользователя или частей полного имени пользователя длиной более двух рядом стоящих знаков.
  • Иметь длину не менее 6 знаков.
  • Содержать знаки трех из четырех перечисленных ниже категорий:
    1. Латинские заглавные буквы (от A до Z)
    2. Латинские строчные буквы (от a до z)
    3. Цифры (от 0 до 9)
    4. Отличающиеся от букв и цифр знаки (например, !, $, #, %)

Все параметры политики паролей задаются в локальных групповых политиках. Для запуска Редактора Локальных Групповых Политик (Local Group Policy Editor) необходим выполнить команду gpedit.msc (для этого необходимо нажать комбинацию клавиш Win + R, в окне «Выполнить» (Run) в поле «Открыть:» (Open:) ввести имя команды и нажать «ОК» )

В запустившейся оснастке в дереве групповых политик последовательно раскрываем группы:

  • «Конфигурация компьютера» (Computer Configuration)
    • «Конфигурация Windows» (Windows Settings)
      • «Параметры безопасности» (Security Settings)
        • «Политики учетных записей» (Account Policies)
          • «Политика паролей» (Password Policy)

Здесь мы можем изменить необходимую нам политику. В частности, политику сложности паролей. Для этого два раза кликаем по строке «Пароль должен отвечать требованиям сложности» (Password must meet complexity requirements) и в окне свойства политики устанавливаем переключатель в «Отключен» (Disabled)

Для всех политик доступно довольно подробное описание, для доступа к которому необходимо перейти на вкладку «Объяснение» (Explain).

Изменив необходимые параметры, сохраняем настройки и закрываем окна, нажав «ОК» .

В этой же ветке можно изменить Политику блокировки учетных записей (Account Lockout Policy) в случае неверного ввода паролей. Все политики редактируются аналогичным образом.

Необходимо понимать, что изменение политики паролей может сильно снизить безопасность сервера. Лучше использователь специальные программы для генерации с хранения паролей.

Смотрите также:

Здесь будет рассказано как изменить политику паролей в Windows Server 2008. По умолчанию все пароли в Windows должны отвечать политике безопасности, а именно: Не содержать имени учетной записи пользователя…

В данной статье я расскажу как добавить разрешающее правило в Брандмауэр Windows Server 2012 R2 (в Windows Server 2008 R2 действия аналогичны). Правило будем добавлять на примере работы сервера 1С:Предприятие…

Ниже будет подробно рассказано как установить Microsoft .NET Framework 3.5 на локальный сервер под управлением Windows Server 2012, так как в этой ОС не получится установить Microsoft .NET Framework 3.5 через обычный инсталлятор, как на…

Политика паролей Server 2012 в Active Directory

Здравствуйте, в данной статье я расскажу вам как произвести изменения в политике паролей Server 2012. Я не буду вдаваться в глубокую теорию и перейду непосредственно к практическому выполнению.

Итак для того что бы зайдите на ваш контроллер домена под учетной записью администратора, для начала вам нужно создать пользователя!

Такого пользователя у уже создал и назвал его admin если вы не имеете представление, как создавать пользователя и вводить компьютер в домен, прочитайте эту статью.

Настройка политики паролей Server:

Что бы изменить политику паролей для пользователей находящихся в домене заходим в «Диспетчер серверо»в далее в верхнем меню жмем «Средства» и переходим в раздел «Управления групповой политикой»

Для того что бы изменить политику паролей необходимо изменить политику по умолчанию домена (Default Domain Police) для этого нажмите ПКМ по данной политике и нажмите на пункт «Изменить»

В открывшимся окне открылся редактор, теперь необходимо найти где же изменять саму политику паролей, редактирование происходит в разделе «Конфигурации компьютера» далее разворачиваем папку «Конфигурация Windows» дальше открываем «Параметры безопасности и политики учетных записей»

Начнем настройку с первого раздела под названием «Политика паролей» открываем его

В открывшимся окошке над доступно для изменения 6 пунктов, каждый из них мы можем изменить, достаточно просто кликнуть на него.

Итак открываем вкладку «Вести журнал паролей» с помощью нее определятся числовое значение новых паролей которые применяются к пользователем прежде чем он сможет снова использовать предыдущий пароль, здесь я оставляю все по умолчанию

Следующая вкладка «Максимальный срок действия пароля» по умолчанию это 42 дня, с помощью этой политике определяется временной интервал в котором используется пароль прежде чем система вновь потребует от пользователя этот пароль поменять, убираем чекбокс и жмем «Применить»

Плавно переходим на раздел «Минимальная длина пароля» тут я не думаю, что требуются какие-либо объяснения по умолчанию это 7 символов, я выставляю как минимум 4 символа

Далее «Минимальный срок действия пароля» с помощью него определяется время с помощью которого пользователь не может изменить пароль по умолчанию значение ноль дней. Убираем галочку и применяем настройки

Самый интересный параметр на мой взгляд «Пароль должен отвечать требованиям сложности» это те требования когда в пароле обязательно должны присутствовать английские буквы, верхнего и нижнего регистра, цифры, не алфавитные символы и т.д Ставим «Отключен» и кликаем «Применить»

Последняя политика «Хранить пароли» используя обратимое шифрование политика не базового уровня и углубляться в пояснения я не буду, скажу лишь то что если в ее включите пароли ваших пользователей в системе будут храниться в открытом виде и если негодяй доберется к вашей сети то он легко может получить доступ к файлам!

Ну а сейчас мы рассмотрим «Политику блокировки учетной записи». В данной политике доступны 3 блока это:

«Время до сброса счетчика блокировки» выставляете время блокировки аккаунта, в качестве примера поставим значение равное 30 мин

«Пороговое значение блокировки» прежде чем аккаунт будет заблокирован, грубо говоря выставляете попытки ввода неверного пароля, после чего наступит блокировка аккаунта пользователя, выставим в качестве примера 3 раза

«Продолжительность блокировки учетной записи» означает что если вы ввели скажем 2 раза неверный пароль и вы не хотите при такой настройке можете подождать 30 мин, и у вас снова будет доступно 3 попытки ввода пароля

Теперь что бы изменить пароль у пользователя заходим в «Пользователи и компьютеры Active Directory»

Ищем учётную запись на которой мы хотим изменить пароль, в моем примере как было описано выше созданная учетная запись «Admin» жмем по ней ПКМ и выбираем пункт «Смена пароля»

В появившимся окне заполняем требуемые поля, в качестве примера я введу пароль из 4-х цифр, после ввода нажимаем «Ок»

Теперь попробуем войти на сервер с новой учетной записью и новым паролем, для этого выполните «Выход из системы»

Осуществляем вход с новой учетной записью

Если у вас возникли небольшие трудности с настройкой делитесь ими в комментариях и не забудьте подписаться на рассылку! Всем спасибо за прочтение и удачи.

Для системного администратора

В Server 2008 несколько политик паролей в домене

Следующее поколение операционных систем компании Microsoft под кодовым названием Longhorn обладает вышеупомянутой способностью. Этого ждали давно, и наиболее востребовано это было для Windows Active Directory. Вы ошибаетесь если думаете, что в операционных системах Windows 2000 или 2003 была реализована такая возможность. Если вы так думаете, то эта статья поможет вам избавиться от этого заблуждения и позволит узнать о возможностях операционной системы Longhorn в этой области.

Реализация политики паролей в домене в Active Directory в операционных системах Windows 2000/2003

В процессе установки контроллера домена Windows Active Directory domain controller создаются два объекта политики группы (Group Policy Object или GPO). Эти объекты политики группы GPO называются Default Domain Controllers Policy (политика для контроллеров домена по умолчанию) и Default Domain Policy (политика домена по умолчанию). Первая политика касается, конечно же, контроллеров домена (domain controller) и связана с организационной единицей (organizational unit или OU) Domain Controller, которая является единственной OU при новой установке Active Directory. Этот объект политики группы GPO в основном отвечает за настройку прав для пользователей на доступ к контроллерам доменам, а также за некоторые другие разнообразные настройки безопасности.

Объект политики группы под названием Default Domain Policy связывается с узлом домена в процессе установки и по умолчанию отвечает лишь за одно. Да, вы правильно догадались, этот объект политики группы GPO отвечает за настройку политики паролей (Password Policies) для всех учетных записей пользователей домена (domain user account). Раздел Password Policy (политика паролей) – это лишь один из трех различных разделов, которые расположены в главной секции Account Policies (политики учетных записей). Существуют также разделы Account Lockout Policies (политики блокировки учетных записей) и Kerberos Policies (политики керберос).

Внутри объекта политики группы Default Domain Policy находятся настройки, которые позволяет управлять паролями для учетной записи пользователя в домене (domain user account), а также ограничениями для блокировки, что показано на рисунках 1 и 2.


Рисунок 1 Настройки политики паролей (Password Policies settings)


Рисунок 2 Настройки политики блокировки учетной записи (Account Lockout Policies)

Если вас не устраивают настройки по умолчанию, то их можно изменить. Существует два мнения на этот счет. Первое заключается в том, что объект политики группы Default Domain Policy можно изменить таким образом, чтобы он содержал необходимые настройки политики паролей (Password Policies). Второе заключается в том, что объект политики группы GPO по умолчанию никогда не следует изменять. А вместо этого необходимо создать новый GPO, подключенный к домену, в котором необходимо настроить все необходимые настройки политики паролей Password Policies (и два других раздела), а затем поставить им более высокий приоритет, чем у объекта Default Domain Policy, как показано на рисунке 3.


Рисунок 3 Новый объект GPO с более высоким приоритетом создан для размещения политик паролей Password Policies для всех учетных записей домена

Настройка политики паролей для Local Security Accounts Manager (SAM)

Если вы думаете, что политики паролей можно также задать в объекте GPO, который подключен к новой, создаваемой вами, организационной единице OU, то вы будете правы. Если вы думаете, что эти настройки политики паролей Password Policies в этом новом объекте GPO будут влиять на учетные записи пользователей (user account), которые размещаются в этой OU, то вы будете не правы. Это очень частое заблуждение, относительно работы политики паролей Password Policies доменах Active Directory для операционных систем Windows 2000/2003.

Настройки, задаваемые в этих объектах политики групп GPO, не влияют на учетные записи пользователей, но они касаются учетных записей компьютеров (computer account). Это четко показано на рисунке 1 выше, из которого вы можете увидеть, что раздел Account Policies (политики учетных записей) находится в узле Computer Configuration (конфигурация компьютера) в GPO.

Обычно путаница возникает из-за того факта, что учетные записи компьютеров (computer account) не имеют паролей, а учетные записи пользователей (user account) имеют. В этом случает, объект GPO настраивает SAM на компьютере, который в свою очередь контролирует ограничения на пароли для учетных записей локальных пользователей, хранящихся там.

Я также должен пояснить, что настройки политики паролей Password Policies, которые задаются для объекта GPO, связанного с OU, имеют приоритет не выше, чем у Default Domain Policy по умолчанию. Поэтому, все настройки, которые сделаны в объекте GPO, связанном с OU будут иметь влияние над ними на уровне домена (domain level). Это можно изменить с помощью настройки Enforced для объекта GPO, связанного с доменом, содержащим необходимы настройки политики паролей Password Policies, как показано на рисунке 4.


Рисунок 4 GPO подключенный к домену с настроенными параметрами Enforced

Политики паролей домена в Longhorn

В операционной системе Longhorn концепция и действия по определению политики паролей (password policies) для учетных записей пользователей домена (domain user account) будет полностью изменен. Теперь для одного домена возможно использовать несколько политик паролей для домена. Конечно, эту возможность ждали уже в течении очень долгого времени со времен операционной системы Windows NT 4.0. Я на протяжении многих лет слышал: “Я хочу задать для администраторов более сложный пароль, чем для всех остальных пользователей в домене”.

Теперь у вас есть возможность создавать различные политики паролей для любого типа пользователей в вашей среде. Они могут касаться пользователей в различных подразделениях HR, финансовый отдел, начальники, админы IT, службы помощи (help desk), и т.д.

Настройки, которые появляются в вашем распоряжении, те же самые, что и на сегодняшний день присутствуют для объектов политики группы (Group Policy Object), это то, для настройки чего вы не будете использовать Group Policy. С появлением операционной системы Longhorn появился новый объект в Active Directory, который вам необходимо настроить. Этот новый объект Password Settings Object (объект настроек паролей), будет содержать все свойства, которые содержаться в настоящий момент в политиках пароля (Password Policies) и политиках блокировки учетной записи (Account Lockout Policies).

Для реализации вам необходимо создать новый объект LDAP под названием msDS-PasswordSettings внутри нового контейнера Password Settings (настройки пароля), у которого путь LDAP будет “cn=Password Settings,cn=System,dc=domainname,dc=com.” Внутри этого объекта вы заполните информацию со следующими атрибутами:

msDS-PasswordSettingsPrecedence
Это очень важный атрибут, который позволяет обрабатывать ситуацию, когда пользователь состоит в нескольких группах, для которых настроены различные политики паролей.

msDS-PasswordReversibleEncryptionEnabled
Переключатель, который позволяет задать, включено или отключено реверсивное шифрование (reversible encryption.

msDS-PasswordHistoryLength
Задает количество уникальных паролей, перед тем как их можно использовать заново.

msDS-PasswordComplexityEnabled
Этот атрибут позволяет задать сложность пароля, а также позволяет следить за тем, чтобы пароль не совпадал с логином.

msDS-MinimumPasswordLength
Позволяет задать минимальную длину пароля.

msDS-MinimumPasswordAge
Позволяет задать минимальное время действия пароля перед тем, как его необходимо будет изменить.

msDS-MaximumPasswordAge
Позволяет задать максимальное время действия пароля перед тем, как он будет изменен.

msDS-LockoutThreshold
Задает количество попыток неверного ввода пароля перед тем, как учетная запись пользователя будет заблокирована.

msDS-LockoutObservationWindow
Задает время, по прошествии которого счетчик количества попыток ввода неверного пароля будет обнулен.

msDS-LockoutDuration
Задает время, на которое будет заблокирована учетная запись, после нескольких неправильных попыток ввода пароля.

После того, как будут настроены все эти атрибуты, вы можете подключить этот новый объект к глобальной группе (global group) Active Directory. Этот процесс связывания завершается добавлением LDAP названия группы к атрибуту msDS-PSOAppliesTo.

Резюме

Операционная система Longhorn появится с некоторыми новыми возможностями, технологиями и методами для контроля и управления объектами внутри вашей корпорации. Но уже сейчас очевидно, что одной из самых важных и популярных возможностей операционной системы Longhorn будет возможность установить несколько политик паролей (multiple password policies) для одного домена. Вы уже можете начать думать, как это повлияет на вашу среду, и начать планировать то, чего вы хотели на протяжении долгого времени.

Автор: Дерек Мелбер (Derek Melber)
Иcточник: WinSecurity.ru

One Comment

все намного проще

При установке и настройке домена под управлением Windows 2008 Server иногда может возникнуть потребность изменить ограничение на длину паролей пользователей локальной сети. По-умочанию эти настройки запрещены, что можно видеть в настроках локальной политики безопасности в виде замочков.

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector
×
×