Tw-city.info

IT Новости
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Настройка паролей в домене

Для системного администратора

В Server 2008 несколько политик паролей в домене

Следующее поколение операционных систем компании Microsoft под кодовым названием Longhorn обладает вышеупомянутой способностью. Этого ждали давно, и наиболее востребовано это было для Windows Active Directory. Вы ошибаетесь если думаете, что в операционных системах Windows 2000 или 2003 была реализована такая возможность. Если вы так думаете, то эта статья поможет вам избавиться от этого заблуждения и позволит узнать о возможностях операционной системы Longhorn в этой области.

Реализация политики паролей в домене в Active Directory в операционных системах Windows 2000/2003

В процессе установки контроллера домена Windows Active Directory domain controller создаются два объекта политики группы (Group Policy Object или GPO). Эти объекты политики группы GPO называются Default Domain Controllers Policy (политика для контроллеров домена по умолчанию) и Default Domain Policy (политика домена по умолчанию). Первая политика касается, конечно же, контроллеров домена (domain controller) и связана с организационной единицей (organizational unit или OU) Domain Controller, которая является единственной OU при новой установке Active Directory. Этот объект политики группы GPO в основном отвечает за настройку прав для пользователей на доступ к контроллерам доменам, а также за некоторые другие разнообразные настройки безопасности.

Объект политики группы под названием Default Domain Policy связывается с узлом домена в процессе установки и по умолчанию отвечает лишь за одно. Да, вы правильно догадались, этот объект политики группы GPO отвечает за настройку политики паролей (Password Policies) для всех учетных записей пользователей домена (domain user account). Раздел Password Policy (политика паролей) – это лишь один из трех различных разделов, которые расположены в главной секции Account Policies (политики учетных записей). Существуют также разделы Account Lockout Policies (политики блокировки учетных записей) и Kerberos Policies (политики керберос).

Внутри объекта политики группы Default Domain Policy находятся настройки, которые позволяет управлять паролями для учетной записи пользователя в домене (domain user account), а также ограничениями для блокировки, что показано на рисунках 1 и 2.


Рисунок 1 Настройки политики паролей (Password Policies settings)


Рисунок 2 Настройки политики блокировки учетной записи (Account Lockout Policies)

Если вас не устраивают настройки по умолчанию, то их можно изменить. Существует два мнения на этот счет. Первое заключается в том, что объект политики группы Default Domain Policy можно изменить таким образом, чтобы он содержал необходимые настройки политики паролей (Password Policies). Второе заключается в том, что объект политики группы GPO по умолчанию никогда не следует изменять. А вместо этого необходимо создать новый GPO, подключенный к домену, в котором необходимо настроить все необходимые настройки политики паролей Password Policies (и два других раздела), а затем поставить им более высокий приоритет, чем у объекта Default Domain Policy, как показано на рисунке 3.


Рисунок 3 Новый объект GPO с более высоким приоритетом создан для размещения политик паролей Password Policies для всех учетных записей домена

Настройка политики паролей для Local Security Accounts Manager (SAM)

Если вы думаете, что политики паролей можно также задать в объекте GPO, который подключен к новой, создаваемой вами, организационной единице OU, то вы будете правы. Если вы думаете, что эти настройки политики паролей Password Policies в этом новом объекте GPO будут влиять на учетные записи пользователей (user account), которые размещаются в этой OU, то вы будете не правы. Это очень частое заблуждение, относительно работы политики паролей Password Policies доменах Active Directory для операционных систем Windows 2000/2003.

Настройки, задаваемые в этих объектах политики групп GPO, не влияют на учетные записи пользователей, но они касаются учетных записей компьютеров (computer account). Это четко показано на рисунке 1 выше, из которого вы можете увидеть, что раздел Account Policies (политики учетных записей) находится в узле Computer Configuration (конфигурация компьютера) в GPO.

Обычно путаница возникает из-за того факта, что учетные записи компьютеров (computer account) не имеют паролей, а учетные записи пользователей (user account) имеют. В этом случает, объект GPO настраивает SAM на компьютере, который в свою очередь контролирует ограничения на пароли для учетных записей локальных пользователей, хранящихся там.

Я также должен пояснить, что настройки политики паролей Password Policies, которые задаются для объекта GPO, связанного с OU, имеют приоритет не выше, чем у Default Domain Policy по умолчанию. Поэтому, все настройки, которые сделаны в объекте GPO, связанном с OU будут иметь влияние над ними на уровне домена (domain level). Это можно изменить с помощью настройки Enforced для объекта GPO, связанного с доменом, содержащим необходимы настройки политики паролей Password Policies, как показано на рисунке 4.


Рисунок 4 GPO подключенный к домену с настроенными параметрами Enforced

Политики паролей домена в Longhorn

В операционной системе Longhorn концепция и действия по определению политики паролей (password policies) для учетных записей пользователей домена (domain user account) будет полностью изменен. Теперь для одного домена возможно использовать несколько политик паролей для домена. Конечно, эту возможность ждали уже в течении очень долгого времени со времен операционной системы Windows NT 4.0. Я на протяжении многих лет слышал: “Я хочу задать для администраторов более сложный пароль, чем для всех остальных пользователей в домене”.

Теперь у вас есть возможность создавать различные политики паролей для любого типа пользователей в вашей среде. Они могут касаться пользователей в различных подразделениях HR, финансовый отдел, начальники, админы IT, службы помощи (help desk), и т.д.

Читать еще:  Создание доверительных отношений между доменами

Настройки, которые появляются в вашем распоряжении, те же самые, что и на сегодняшний день присутствуют для объектов политики группы (Group Policy Object), это то, для настройки чего вы не будете использовать Group Policy. С появлением операционной системы Longhorn появился новый объект в Active Directory, который вам необходимо настроить. Этот новый объект Password Settings Object (объект настроек паролей), будет содержать все свойства, которые содержаться в настоящий момент в политиках пароля (Password Policies) и политиках блокировки учетной записи (Account Lockout Policies).

Для реализации вам необходимо создать новый объект LDAP под названием msDS-PasswordSettings внутри нового контейнера Password Settings (настройки пароля), у которого путь LDAP будет “cn=Password Settings,cn=System,dc=domainname,dc=com.” Внутри этого объекта вы заполните информацию со следующими атрибутами:

msDS-PasswordSettingsPrecedence
Это очень важный атрибут, который позволяет обрабатывать ситуацию, когда пользователь состоит в нескольких группах, для которых настроены различные политики паролей.

msDS-PasswordReversibleEncryptionEnabled
Переключатель, который позволяет задать, включено или отключено реверсивное шифрование (reversible encryption.

msDS-PasswordHistoryLength
Задает количество уникальных паролей, перед тем как их можно использовать заново.

msDS-PasswordComplexityEnabled
Этот атрибут позволяет задать сложность пароля, а также позволяет следить за тем, чтобы пароль не совпадал с логином.

msDS-MinimumPasswordLength
Позволяет задать минимальную длину пароля.

msDS-MinimumPasswordAge
Позволяет задать минимальное время действия пароля перед тем, как его необходимо будет изменить.

msDS-MaximumPasswordAge
Позволяет задать максимальное время действия пароля перед тем, как он будет изменен.

msDS-LockoutThreshold
Задает количество попыток неверного ввода пароля перед тем, как учетная запись пользователя будет заблокирована.

msDS-LockoutObservationWindow
Задает время, по прошествии которого счетчик количества попыток ввода неверного пароля будет обнулен.

msDS-LockoutDuration
Задает время, на которое будет заблокирована учетная запись, после нескольких неправильных попыток ввода пароля.

После того, как будут настроены все эти атрибуты, вы можете подключить этот новый объект к глобальной группе (global group) Active Directory. Этот процесс связывания завершается добавлением LDAP названия группы к атрибуту msDS-PSOAppliesTo.

Резюме

Операционная система Longhorn появится с некоторыми новыми возможностями, технологиями и методами для контроля и управления объектами внутри вашей корпорации. Но уже сейчас очевидно, что одной из самых важных и популярных возможностей операционной системы Longhorn будет возможность установить несколько политик паролей (multiple password policies) для одного домена. Вы уже можете начать думать, как это повлияет на вашу среду, и начать планировать то, чего вы хотели на протяжении долгого времени.

Автор: Дерек Мелбер (Derek Melber)
Иcточник: WinSecurity.ru

One Comment

все намного проще

При установке и настройке домена под управлением Windows 2008 Server иногда может возникнуть потребность изменить ограничение на длину паролей пользователей локальной сети. По-умочанию эти настройки запрещены, что можно видеть в настроках локальной политики безопасности в виде замочков.

blog.eaglenn.ru | Заметки IT инженера

Microsoft, Linux, Lync и etc……

Настройка политики паролей в Active Directory используя GPO

Самым простым способом настроить требования к политике паролей в Active Directory является использование оснастки mmc «Управление групповой политикой». Для этого нам необходимо на контроллере домена выполнить следующую последовательность действий: ПускАдминистрированиеУправление групповой политикой

Настроить политику паролей в Active Directory можно только в Default Domain Policy. Такова особенность, использование других специально созданных для этого политик вам не поможет, имейте это ввиду.

Выделим Default Domain Policy и нажмем правую кнопку мыши Изменить.

Откроется окно редактора групповой политики по умолчанию. Для внесения изменений в политику паролей необходимо открыть ветку: Конфигурация компьютераПолитикиКонфигурация WindowsПараметры безопасностиПолитики учетных записей

в окне слева вы можете изменить:

  • Политику паролей
  • Политику блокировки учетной записи

Настройка политики паролей

В данной секции вы можете настроить:

  • Журнал паролей
  • Максимальный срок действия пароля
  • Минимальную длину пароля
  • Минимальный срок действия пароля
  • Требование к сложности пароля
  • Хранить пароли, используя обратное шифрование

Настройка политики блокировки учетной записи

Доступно три варианта настройки блокировки учетной записи и время до сброса блокировки:

  • Время до сброса счетчика блокировки
  • Пороговое значение блокировки
  • Продолжительность блокировки учетной записи

В этой политике есть один скользкий момент. Следует понимать, что если вы используете блокировку учетной записи при ошибке входа в сеть, злоумышленник, используя метод подбора паролей к вашим учетным записям, может заблокировать все аккаунты пользователей и блокировать работу ЛВС. Эту политику нужно использовать осторожно и помнить что она действует на все учетные записи в том числе и системные. Поэтому лучше использовать метод тонкой настройки политики управления паролями, описанный в статье: «Тонкая настройка политики управления паролями в среде Windows»

После внесения изменений в GPO, политики Default Domain Policy, необходимо подождать некоторое время, пока на клиенте произойдет применение изменений GPO. Как правило на клиента политики транслируются раз в четыре часа, на сервера сразу же. Для ускорения применения политик рекомендуется на клиенте используя интерфейс командной строки выполнить gpupdate /force и перезагрузиться.

Политика паролей учетных записей в Active Directory

Для обеспечения высокого уровня безопасности учетных записей в домене Active Directory администратору необходимо настроить и внедрить политику паролей, обеспечивающей достаточную сложность, длину пароля и частоту смены пароля пользователей и сервисных учетных записей. Тем самым можно усложнить злоумышленнику возможность подбора или перехвата паролей пользователей.

По-умолчанию в домене AD настройка единых требований к паролям пользователей осуществляется с помощью групповых политик. Политика паролей учетных записей домена настраивается в политике Default Domain Policy.

  1. Чтобы настроить политику паролей, откройте консоль управления доменными GPO (Group Policy Management console – gpmc.msc).
  2. Разверните ваш домен и найдите политику Default Domain Policy. Щелкните по ней ПКМ и выберите Edit.
  3. Политики паролей находятся в следующем разделе редактора GPO: Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики учетных записей -> Политика паролей (Computer configuration-> Windows Settings->Security Settings -> Account Policies -> Password Policy).
  4. Чтобы отредактировать настройки нужной политики, дважды щелкните по ней. Чтобы включить политику, отметьте галку Define this policy settings и укажите необходимую настройку (в примере на скриншоте я задал минимальную длину пароля пользователя 8 символов). Сохраните изменения.
  5. Новые настройки парольной политики будут применены ко все компьютерам домена в фоновом режиме в течении некоторого времени (90 минут), при загрузке компьютера, либо можно применить параметры немедленно, выполнив команду gpupdate /force.
Читать еще:  Обновление политик домена

Теперь рассмотрим все доступные для настройки параметров управления паролями. Всего имеются шесть политик паролей:

  • Вести журнал паролей (Enforce password history) – определяет количество старых паролей, которые хранятся в AD, запрещая пользователю повторно использовать старый пароль.
  • Максимальный срок действия пароля (Maximum password age) – определяет срок действия пароля в днях. После истечения срока дейсвтвия пароля система потребует у пользователя сменить пароль. Обеспечивает регулярность смены пароля пользователями.
  • Минимальный срок жизни пароля (Minimum password age) – как часто пользователи могут менять пароль. Этот параметр не позволит пользователю несколько раз подряд сменить пароль, чтобы вернуться к любимому старому паролю, перезатерев пароли в журнале Password History. Как правило тут стоит оставить 1 день, чтобы предоставить пользователю самому сменить пароль в случае его компрометации (иначе менять пароль пользователю придется администратору).
  • Минимальный срок действия паролей (Minimum password length) – не рекомендуется делать пароль короче, чем 8 символов (если указать тут 0 – значит пароль не требуется).
  • Пароль должен отвечать требование сложности (Password must meet complexity requirements) – при включении этой политики пользователю запрещено использовать имя своей учетной записи в пароле (не более чем два символа подряд из username или Firstname), также в пароле должны использоваться 3 типа символов из следующего списка: цифры (0 – 9), символы в верхнем регистре, символы в нижнем регистре, спец символы ($, #, % и т.д.). Кроме того, для исключения использования простых паролей (из словаря популярных паролей) рекомендуется периодически выполнять аудит паролей учетных записей домена.
  • Хранить пароли, использую обратимое шифрование (Store passwords using reversible encryption) – пароли пользователей в базе AD хранятся в зашифрованном виде, но в некоторых случаях некоторым приложениям нужно предоставить доступ к паролям в домене. При включении этой политики пароли хранятся в менее защищенной виде (по сути открытом виде), что небезопасно (можно получить доступ к базе паролей при компрометации DC, в качестве одной из мер защиты можно использовать RODC).

Кроме того, нужно отдельно выделить настройки в разделе GPO: Политика блокировки учетной записи (Account Lockout Password):

  • Пороговое значение блокировки (Account Lockout Threshold) – как много попыток набрать неверный пароль может сделать пользователь перед тем, как его учетная запись будет заблокирована.
  • Продолжительность блокировки учетной записи (Account Lockout Duration) – на какое время нужно блокировать учетную запись (запретить вход), если пользователь ввел несколько раз неверный пароль.
  • Время до сброса счетчика блокировки (Reset account lockout counter after) – через сколько минут после последнего ввода неверного пароля счетчик неверных паролей (Account Lockout Threshold) будет сброшен.

Настройки парольных политик домена AD по-умолчанию перечислены в таблице:

Настройка паролей в домене

Ученица
я хочу чтобы у нас были разные политики паролей
не получится . не реализуемо впринципе
объясняю еще раз
1. Политика паролей это компьютерная часть политики и соответственно действует только на объект компьютер
2. Политика паролей распространяется только на базу данных пользователей данного компьютера (к которому применилась)

теперь смотрите что получается
1. Доменные учетные записи хранятся в базе Active Directory . Она едина для всего домена и хранится только на контроллерах. Вот именно отсюда и получается что политка паролей для доменных пользователей может быть тольо одна. И только та что применилась к контроллеру домена
2. Политика паролей примененная на ОЕ в котором есть объекты компьютер повлияет только на базы пользователей данного компьютера.. Т.е на SAM .. а кто там есть? Встроенные Администратор и Гость. Доменных пользователей там нет и не будет..

Ученица
Это касается только «политики учетных записей» (трех ее разделов — пароли, блокировка, керберос)
насчет почему настройки из DDP продолжают применяться могу только предпологать что параметр не вступил в силу
перепримените принудительно политики на контроллере домена (secedit) или перегрузите контроллер
кроме того Вы всегда можете посмотреть на самом контроллере через gpedit.msc каково же действующее (эфективное) значение этого парамера

Если контроллеров 2 и более то нужно проверять на каждом и еще и про репликацию не забыть

Aww
gpedit.msc насколько знаю открывает локальную политику , касающуюся только этой машины и для всех серверов у нас как и для контроллеров политика паролей отличается от политики паролей для пользователей.
И при открытии этой консоли на сервере она действительно показывает свои настройки , а вот на рабочей станции при открытии этой же gpedit.msc я вижу настройки с сервера,потому как они просто покрывают локальную политику.

SergNeO
Создайте новое Подразделение, поместите туда все компьютеры на которые нужно применять конкретную политику и все. Проверьте только чтобы на дополнительные сервера прошла репликация, чтобы новый контейнер появился на всех серверах, иначе нельзя будет редактировать политику.
Ведь у меня так и сделано сейчас но политика паролей применяется старая которую уже сняли в DDP ,там вообще нет никаких настроек, она чистая.

цитата: Overview
RecreateDefPol.exe is a tool developed for the restoration of the Default Domain and Default Domain Controllers policy files, in case of accidental deletion. This tool is for use exclusively on Windows 2000 Server, Advanced Server, and DataCenter Server. Do not use this tool on Windows Server 2003; use Dcgpofix.exe instead (included in Windows Server 2003).

This tool is intended for use only in disaster recovery situations, where either the Default Domain Policy, the Default Domain Controllers Policy, or both have been damaged or deleted, and no other backup is available. This should be considered a tool of last resort.

Добавление от 03.07.2006 17:30:

SergNe0
что еще за парольная политика домена, где это вы такую нашли, тыкните пальцем
ничего что мы тут о ней с самого первого сообщения говорим?
или Вам наукообразно завернуть? Пожалуста — Раздел политики отвечающий за требования к паролям всех пользователей членов домена. В протонародье «парольная политика» или «политика паролей». Может быть только одна на домен. Сколько различных требований у руководства к данным политикам в подразделениях — столько и будет доменов.

SergNe0
если вы Оттуда , туда и идите.

а в вашей логической цепочке не проскакивало ,что может я уже ТАМ?

Aww
Ну если руки не оч кривые, я думаю все же оптимально 1 раз все базовые настройки для домена(а не только цыфирьку длинны пароля и другие — кои распространяются сразу на домен) внести именно в нее, а все остальное по мелочи дорисовывать доп-политиками.

Ой , ребята, не ругайтесь!

в поле «Effective setting» показывает именно ту политику которая сейчас действует на всех доменных пользователей (поле Local setting просто для информации что локальные параметры данного контроллера отличаются.. но результирующей является именно Effective setting..)
Извините, может конечно мои вопросы глупые ,но всё таки.
На серверах в Effective Setting не пишет никаких настроек , есть только локальные параметры ,это означает что применяются локальные , поскольку нет доменных ? Или вообще ничего не применятся?

SergNe0
Спасибо за ссылки, почитаю.

BlackPH
Ну если руки не оч кривые, я думаю все же оптимально 1 раз все базовые настройки для домена(а не только цыфирьку длинны пароля и другие — кои распространяются сразу на домен) внести именно в нее, а все остальное по мелочи дорисовывать доп-политиками.

Согласна и изначально так и было сделано .
Вот только , когда директор вызывает ВАС на ковёр и говорит , что его заколебало придумывать пароль из 8 символов , да ещё со сложностью , и менять его в принципе , то приходится извращаться.

Изменение политики паролей в Windows Server 2012 R2

Ниже приведена небольшая инструкция об изменении политики паролей в Microsoft Windows Server 2012 R2. По умолчанию политика паролей определена таким образом, что все пароли учетных записей пользователей должны удовлетворять следующим требованиям:

  • Не содержать имени учетной записи пользователя или частей полного имени пользователя длиной более двух рядом стоящих знаков.
  • Иметь длину не менее 6 знаков.
  • Содержать знаки трех из четырех перечисленных ниже категорий:
    1. Латинские заглавные буквы (от A до Z)
    2. Латинские строчные буквы (от a до z)
    3. Цифры (от 0 до 9)
    4. Отличающиеся от букв и цифр знаки (например, !, $, #, %)

Все параметры политики паролей задаются в локальных групповых политиках. Для запуска Редактора Локальных Групповых Политик (Local Group Policy Editor) необходим выполнить команду gpedit.msc (для этого необходимо нажать комбинацию клавиш Win + R, в окне «Выполнить» (Run) в поле «Открыть:» (Open:) ввести имя команды и нажать «ОК» )

В запустившейся оснастке в дереве групповых политик последовательно раскрываем группы:

  • «Конфигурация компьютера» (Computer Configuration)
    • «Конфигурация Windows» (Windows Settings)
      • «Параметры безопасности» (Security Settings)
        • «Политики учетных записей» (Account Policies)
          • «Политика паролей» (Password Policy)

Здесь мы можем изменить необходимую нам политику. В частности, политику сложности паролей. Для этого два раза кликаем по строке «Пароль должен отвечать требованиям сложности» (Password must meet complexity requirements) и в окне свойства политики устанавливаем переключатель в «Отключен» (Disabled)

Для всех политик доступно довольно подробное описание, для доступа к которому необходимо перейти на вкладку «Объяснение» (Explain).

Изменив необходимые параметры, сохраняем настройки и закрываем окна, нажав «ОК» .

В этой же ветке можно изменить Политику блокировки учетных записей (Account Lockout Policy) в случае неверного ввода паролей. Все политики редактируются аналогичным образом.

Необходимо понимать, что изменение политики паролей может сильно снизить безопасность сервера. Лучше использователь специальные программы для генерации с хранения паролей.

Смотрите также:

Здесь будет рассказано как изменить политику паролей в Windows Server 2008. По умолчанию все пароли в Windows должны отвечать политике безопасности, а именно: Не содержать имени учетной записи пользователя…

В данной статье я расскажу как добавить разрешающее правило в Брандмауэр Windows Server 2012 R2 (в Windows Server 2008 R2 действия аналогичны). Правило будем добавлять на примере работы сервера 1С:Предприятие…

Ниже будет подробно рассказано как установить Microsoft .NET Framework 3.5 на локальный сервер под управлением Windows Server 2012, так как в этой ОС не получится установить Microsoft .NET Framework 3.5 через обычный инсталлятор, как на…

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector
×
×