Tw-city.info

IT Новости
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Срок действия пароля в домене

Политика паролей учетных записей в Active Directory

Для обеспечения высокого уровня безопасности учетных записей в домене Active Directory администратору необходимо настроить и внедрить политику паролей, обеспечивающей достаточную сложность, длину пароля и частоту смены пароля пользователей и сервисных учетных записей. Тем самым можно усложнить злоумышленнику возможность подбора или перехвата паролей пользователей.

По-умолчанию в домене AD настройка единых требований к паролям пользователей осуществляется с помощью групповых политик. Политика паролей учетных записей домена настраивается в политике Default Domain Policy.

  1. Чтобы настроить политику паролей, откройте консоль управления доменными GPO (Group Policy Management console – gpmc.msc).
  2. Разверните ваш домен и найдите политику Default Domain Policy. Щелкните по ней ПКМ и выберите Edit.
  3. Политики паролей находятся в следующем разделе редактора GPO: Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики учетных записей -> Политика паролей (Computer configuration-> Windows Settings->Security Settings -> Account Policies -> Password Policy).
  4. Чтобы отредактировать настройки нужной политики, дважды щелкните по ней. Чтобы включить политику, отметьте галку Define this policy settings и укажите необходимую настройку (в примере на скриншоте я задал минимальную длину пароля пользователя 8 символов). Сохраните изменения.
  5. Новые настройки парольной политики будут применены ко все компьютерам домена в фоновом режиме в течении некоторого времени (90 минут), при загрузке компьютера, либо можно применить параметры немедленно, выполнив команду gpupdate /force.

Теперь рассмотрим все доступные для настройки параметров управления паролями. Всего имеются шесть политик паролей:

  • Вести журнал паролей (Enforce password history) – определяет количество старых паролей, которые хранятся в AD, запрещая пользователю повторно использовать старый пароль.
  • Максимальный срок действия пароля (Maximum password age) – определяет срок действия пароля в днях. После истечения срока дейсвтвия пароля система потребует у пользователя сменить пароль. Обеспечивает регулярность смены пароля пользователями.
  • Минимальный срок жизни пароля (Minimum password age) – как часто пользователи могут менять пароль. Этот параметр не позволит пользователю несколько раз подряд сменить пароль, чтобы вернуться к любимому старому паролю, перезатерев пароли в журнале Password History. Как правило тут стоит оставить 1 день, чтобы предоставить пользователю самому сменить пароль в случае его компрометации (иначе менять пароль пользователю придется администратору).
  • Минимальный срок действия паролей (Minimum password length) – не рекомендуется делать пароль короче, чем 8 символов (если указать тут 0 – значит пароль не требуется).
  • Пароль должен отвечать требование сложности (Password must meet complexity requirements) – при включении этой политики пользователю запрещено использовать имя своей учетной записи в пароле (не более чем два символа подряд из username или Firstname), также в пароле должны использоваться 3 типа символов из следующего списка: цифры (0 – 9), символы в верхнем регистре, символы в нижнем регистре, спец символы ($, #, % и т.д.). Кроме того, для исключения использования простых паролей (из словаря популярных паролей) рекомендуется периодически выполнять аудит паролей учетных записей домена.
  • Хранить пароли, использую обратимое шифрование (Store passwords using reversible encryption) – пароли пользователей в базе AD хранятся в зашифрованном виде, но в некоторых случаях некоторым приложениям нужно предоставить доступ к паролям в домене. При включении этой политики пароли хранятся в менее защищенной виде (по сути открытом виде), что небезопасно (можно получить доступ к базе паролей при компрометации DC, в качестве одной из мер защиты можно использовать RODC).

Кроме того, нужно отдельно выделить настройки в разделе GPO: Политика блокировки учетной записи (Account Lockout Password):

  • Пороговое значение блокировки (Account Lockout Threshold) – как много попыток набрать неверный пароль может сделать пользователь перед тем, как его учетная запись будет заблокирована.
  • Продолжительность блокировки учетной записи (Account Lockout Duration) – на какое время нужно блокировать учетную запись (запретить вход), если пользователь ввел несколько раз неверный пароль.
  • Время до сброса счетчика блокировки (Reset account lockout counter after) – через сколько минут после последнего ввода неверного пароля счетчик неверных паролей (Account Lockout Threshold) будет сброшен.

Настройки парольных политик домена AD по-умолчанию перечислены в таблице:

Политика паролей Server 2012 в Active Directory

Здравствуйте, в данной статье я расскажу вам как произвести изменения в политике паролей Server 2012. Я не буду вдаваться в глубокую теорию и перейду непосредственно к практическому выполнению.

Итак для того что бы зайдите на ваш контроллер домена под учетной записью администратора, для начала вам нужно создать пользователя!

Такого пользователя у уже создал и назвал его admin если вы не имеете представление, как создавать пользователя и вводить компьютер в домен, прочитайте эту статью.

Настройка политики паролей Server:

Что бы изменить политику паролей для пользователей находящихся в домене заходим в «Диспетчер серверо»в далее в верхнем меню жмем «Средства» и переходим в раздел «Управления групповой политикой»

Для того что бы изменить политику паролей необходимо изменить политику по умолчанию домена (Default Domain Police) для этого нажмите ПКМ по данной политике и нажмите на пункт «Изменить»

В открывшимся окне открылся редактор, теперь необходимо найти где же изменять саму политику паролей, редактирование происходит в разделе «Конфигурации компьютера» далее разворачиваем папку «Конфигурация Windows» дальше открываем «Параметры безопасности и политики учетных записей»

Начнем настройку с первого раздела под названием «Политика паролей» открываем его

В открывшимся окошке над доступно для изменения 6 пунктов, каждый из них мы можем изменить, достаточно просто кликнуть на него.

Итак открываем вкладку «Вести журнал паролей» с помощью нее определятся числовое значение новых паролей которые применяются к пользователем прежде чем он сможет снова использовать предыдущий пароль, здесь я оставляю все по умолчанию

Следующая вкладка «Максимальный срок действия пароля» по умолчанию это 42 дня, с помощью этой политике определяется временной интервал в котором используется пароль прежде чем система вновь потребует от пользователя этот пароль поменять, убираем чекбокс и жмем «Применить»

Плавно переходим на раздел «Минимальная длина пароля» тут я не думаю, что требуются какие-либо объяснения по умолчанию это 7 символов, я выставляю как минимум 4 символа

Далее «Минимальный срок действия пароля» с помощью него определяется время с помощью которого пользователь не может изменить пароль по умолчанию значение ноль дней. Убираем галочку и применяем настройки

Самый интересный параметр на мой взгляд «Пароль должен отвечать требованиям сложности» это те требования когда в пароле обязательно должны присутствовать английские буквы, верхнего и нижнего регистра, цифры, не алфавитные символы и т.д Ставим «Отключен» и кликаем «Применить»

Последняя политика «Хранить пароли» используя обратимое шифрование политика не базового уровня и углубляться в пояснения я не буду, скажу лишь то что если в ее включите пароли ваших пользователей в системе будут храниться в открытом виде и если негодяй доберется к вашей сети то он легко может получить доступ к файлам!

Ну а сейчас мы рассмотрим «Политику блокировки учетной записи». В данной политике доступны 3 блока это:

«Время до сброса счетчика блокировки» выставляете время блокировки аккаунта, в качестве примера поставим значение равное 30 мин

«Пороговое значение блокировки» прежде чем аккаунт будет заблокирован, грубо говоря выставляете попытки ввода неверного пароля, после чего наступит блокировка аккаунта пользователя, выставим в качестве примера 3 раза

«Продолжительность блокировки учетной записи» означает что если вы ввели скажем 2 раза неверный пароль и вы не хотите при такой настройке можете подождать 30 мин, и у вас снова будет доступно 3 попытки ввода пароля

Теперь что бы изменить пароль у пользователя заходим в «Пользователи и компьютеры Active Directory»

Ищем учётную запись на которой мы хотим изменить пароль, в моем примере как было описано выше созданная учетная запись «Admin» жмем по ней ПКМ и выбираем пункт «Смена пароля»

В появившимся окне заполняем требуемые поля, в качестве примера я введу пароль из 4-х цифр, после ввода нажимаем «Ок»

Теперь попробуем войти на сервер с новой учетной записью и новым паролем, для этого выполните «Выход из системы»

Осуществляем вход с новой учетной записью

Если у вас возникли небольшие трудности с настройкой делитесь ими в комментариях и не забудьте подписаться на рассылку! Всем спасибо за прочтение и удачи.

Настройте политику паролей в Windows 10/8/7

На некоторых веб-сайтах вы могли видеть, что для регистрации вам потребуется ввести пароль, который соответствует критерию, установленному веб-сайтом (например, пароль должен содержать не менее 8 символов, должен содержать буквы нижнего и верхнего регистра и т. д.) , Вы также можете реализовать эту функцию в Windows 10/8/7, используя либо локальную политику безопасности для Windows, либо используя командную строку с повышенными привилегиями для пользователей с другими выпусками Windows 10/8/7.

Изменить политику паролей Windows

Использование локальной политики безопасности.

Введите Local Security Policy в меню «Пуск» и нажмите Enter. Откроется окно LSP. Теперь на левой панели выберите Политика паролей в разделе Политики учетной записи. Теперь на правой стороне будут перечислены шесть вариантов.

Детали каждого из этих вариантов перечислены ниже.

Принудительное использование истории паролей . Этот параметр безопасности определяет количество уникальных новых паролей, которые необходимо связать с учетной записью пользователя, прежде чем старый пароль можно будет повторно использовать. Значение должно быть от 0 до 24 паролей. Эта политика позволяет администраторам повышать безопасность, обеспечивая постоянное повторное использование старых паролей.

Максимальный срок действия пароля: . Этот параметр безопасности определяет период времени (в днях), в течение которого пароль может использоваться, прежде чем система потребует от пользователя его изменения. Вы можете установить срок действия паролей через несколько дней от 1 до 999, или вы можете указать, что срок действия паролей никогда не истечет, установив число дней равным 0. Если максимальный срок действия пароля составляет от 1 до 999 дней, минимальный срок действия пароля должен быть меньше, чем максимальный срок действия пароля. Если максимальный срок действия пароля установлен равным 0, минимальный срок действия пароля может быть любым значением от 0 до 998 дней.

Минимальный срок действия пароля: . Этот параметр безопасности определяет период времени (в днях), в течение которого пароль должен использоваться, прежде чем пользователь сможет его изменить. Вы можете установить значение от 1 до 998 дней или разрешить немедленные изменения, задав число дней равным 0. Минимальный срок действия пароля должен быть меньше, чем Максимальный срок действия пароля, если только максимальный срок действия пароля не установлен равным 0, указывая что пароли никогда не истекают. Если максимальный срок действия пароля установлен на 0, минимальный срок действия пароля может быть установлен на любое значение от 0 до 998.

Минимальная длина пароля: Этот параметр безопасности определяет наименьшее количество символов, которое может содержать пароль для учетной записи пользователя. Вы можете установить значение от 1 до 14 символов или установить, что пароль не требуется, установив количество символов в 0.

Пароль должен соответствовать требованиям сложности. Этот параметр безопасности определяет, должны ли пароли соответствовать требованиям сложности. Если эта политика включена, пароли должны соответствовать следующим минимальным требованиям:

— Не содержать имя учетной записи пользователя или части полного имени пользователя, которые превышают два последовательных символа
— Длина не менее шести символов
— Содержат символы из трех следующих четырех категорий:

  • Английские заглавные буквы (от A до Z)
  • Английские строчные буквы (от a до z)
  • Базовые 10 цифр (от 0 до 9)
  • Не алфавитные символы (например. $, #,%)

Требования к сложности применяются при изменении или создании паролей.

Хранить пароль с использованием обратимого шифрования: Этот параметр безопасности определяет, будет ли операционная система хранить пароли с использованием обратимого шифрования. Эта политика обеспечивает поддержку приложений, которые используют протоколы, которые требуют знания пароля пользователя в целях аутентификации. Хранение паролей с использованием обратимого шифрования по существу аналогично хранению незашифрованных версий паролей. По этой причине эту политику никогда не следует включать, если только требования приложения не перевешивают необходимость защиты информации о пароле.

Чтобы изменить любой или все эти параметры, просто дважды щелкните параметр, выберите соответствующий вариант и нажмите ОК .

Использование расширенной командной строки.

Введите cmd в меню «Пуск». В разделе «Программы» щелкните правой кнопкой мыши cmd и выберите Запуск от имени администратора .

Команды и их пояснения приведены ниже.

net account/minpwlen: length — устанавливает минимальное количество символов, которое должен содержать пароль. Замените слово length на желаемое количество символов. Диапазон 0-14.

пример: чистые аккаунты/minpwlen: 7

net account/maxpwage: days — . Устанавливает максимальное количество дней, после которых пользователь должен будет сменить пароль.Замените days на желаемое значение. Диапазон от 1-999. Если используется unlimited , ограничение не устанавливается. Значение maxpwage всегда должно быть больше, чем minpwage .

пример: чистые аккаунты/maxpwage: 30

net account/minpwage: days — Задает минимальное количество дней, которое должно пройти, прежде чем пароль можно будет изменить. Замените days на желаемое значение. Диапазон от 1-999.

пример: чистые аккаунты/minpwage: 10

net account/uniquepw: number — Задает количество раз, после которого пароль может быть снова использован. Замените число на желаемое значение. Максимальное значение 24.

пример: чистые аккаунты/uniquepw: 8

Чтобы использовать команду, просто введите ее в командной строке, как показано, и нажмите клавишу ввода.

Чтобы просмотреть настройки, введите net account в cmd и нажмите enter.

blog.eaglenn.ru | Заметки IT инженера

Microsoft, Linux, Lync и etc……

Настройка политики паролей в Active Directory используя GPO

Самым простым способом настроить требования к политике паролей в Active Directory является использование оснастки mmc «Управление групповой политикой». Для этого нам необходимо на контроллере домена выполнить следующую последовательность действий: ПускАдминистрированиеУправление групповой политикой

Настроить политику паролей в Active Directory можно только в Default Domain Policy. Такова особенность, использование других специально созданных для этого политик вам не поможет, имейте это ввиду.

Выделим Default Domain Policy и нажмем правую кнопку мыши Изменить.

Откроется окно редактора групповой политики по умолчанию. Для внесения изменений в политику паролей необходимо открыть ветку: Конфигурация компьютераПолитикиКонфигурация WindowsПараметры безопасностиПолитики учетных записей

в окне слева вы можете изменить:

  • Политику паролей
  • Политику блокировки учетной записи

Настройка политики паролей

В данной секции вы можете настроить:

  • Журнал паролей
  • Максимальный срок действия пароля
  • Минимальную длину пароля
  • Минимальный срок действия пароля
  • Требование к сложности пароля
  • Хранить пароли, используя обратное шифрование

Настройка политики блокировки учетной записи

Доступно три варианта настройки блокировки учетной записи и время до сброса блокировки:

  • Время до сброса счетчика блокировки
  • Пороговое значение блокировки
  • Продолжительность блокировки учетной записи

В этой политике есть один скользкий момент. Следует понимать, что если вы используете блокировку учетной записи при ошибке входа в сеть, злоумышленник, используя метод подбора паролей к вашим учетным записям, может заблокировать все аккаунты пользователей и блокировать работу ЛВС. Эту политику нужно использовать осторожно и помнить что она действует на все учетные записи в том числе и системные. Поэтому лучше использовать метод тонкой настройки политики управления паролями, описанный в статье: «Тонкая настройка политики управления паролями в среде Windows»

После внесения изменений в GPO, политики Default Domain Policy, необходимо подождать некоторое время, пока на клиенте произойдет применение изменений GPO. Как правило на клиента политики транслируются раз в четыре часа, на сервера сразу же. Для ускорения применения политик рекомендуется на клиенте используя интерфейс командной строки выполнить gpupdate /force и перезагрузиться.

Срок действия пароля в домене

Раздел 1. Создание и управление объектами пользователей

1. Вы настраиваете объекты пользователей в своем домене с помощью консоли Active
Directoryпользователи и компьютеры (Active Directory Users And Computers) и можете изменять свойства адреса и номера телефона дня объекта представляющего вас
пользователя. Однако команда Новый пользователь (New User) недоступна. В чем
причина?

Правильный ответ: у вас нет достаточных привилегий для создания объектов пользователей в контейнере. Набор команд в консоли изменяется в зависимости от ваших административных возможностей. Если у вас нет права создавать объекты, соответствующая команда Новый (New) будет недоступна.

2. Вы создаете набор объектов пользователей для временных сотрудников организации. Они будут работать по контракту ежедневно с 9:00 до 17:00. Работа начнется
через месяц, а закончится через два месяца с сегодняшнего числа. Эти сотрудники
не будут работать в неурочное время. Какие из следующих свойств следует сразу настроить, чтобы гарантировать максимальную безопасность объектов этих пользова
телей?

a. Пароль (Password).

b. Время входа (Logon Hours).

c. Срок действия учетной записи (Account Expires).

d. Хранить пароль, используя обратимое шифрование (Store password using reversible
encryption).

e. Учетная запись доверена для делегирования (Account is trusted for delegation).

f. Требовать смену пароля при следующем входе в систему (User must change password
at next logon).

g. Отключить учетную запись (Account is disabled).

h. Срок действия пароля не ограничен (Password never expires).

Правильный ответ: а, b, с, f, g.

3. Какие из следующих свойств и административных задач можно настраивать или изменять одновременно для нескольких объектов пользователей?

a. Фамилия (Last Name).

b. Имя входа пользователя (User Logon Name).

c. Disable Account (Отключить учетную запись).

d. Включить учетную запись (Enable Account).

e. Смена пароля (Reset Password).

f. Срок действия пароля не ограничен (Password Never Expires).

g. Требовать смену пароля при следующем входе в систему (User Must Change Password At Next Logon).

h. Время входа (Logon Hours).

i. Ограничения компьютера (Рабочие станции для входа в систему) [ Logon Workstations (Computer Restrictions)].

j. Должность (Title).

k. Прямые подчиненные (Direct Reports).

Правильный ответ: c, d, f, g, h, i, j.

Раздел 2. Создание нескольких объектов пользователей

1. Как наиболее эффективно создать 100 новых объектов пользователей с одинаковыми путями к профилю и домашней папке и с одинаковыми значениями параметров
Должность (Title), Веб-страница (Web Page), Организация (Company), Отдел (Depart ­
ment)
и Руководитель (Manager)?

Правильный ответ: наиболее удобный вариант — команда DSADD. В одной строке команды можно ввести все параметры. Не указав значение для параметра DN_пользователя, вы сможете вводить различающиеся имена пользователей по одному в окне командной строки. Шаблон объекта пользователя не разрешает настраивать такие параметры, как Title (Должность), Telephone Number (Номер телефона) и Web Page (Веб­страница). По сравнению с этим создание текстового CSV-файла займет слишком много времени и будет слишком сложным решением для случая, когда есть столько одинаковых параметров.

2. Какая команда поможет найти учетные записи, не использовавшиеся в течение двух
месяцев?

Правильный ответ: е.

3. Какую переменную можно использовать в командах DSMOD и DSADD для создания домашних папок и папок профилей для определенных пользователей?

Правильный ответ: b.

4. При помощи какой команды можно вывести номера телефонов всех пользователей в ОП?

Правильный ответ: b, е. DSQUERY создаст список объектов пользователей в ОП и мо­ жет передать этот список по каналу команде DSGET, которая, в свою очередь, может выдать отдельные свойства, например номера телефона.

Раздел 3. Управление профилями пользователей

1. Опишите, как формируется рабочий стол пользователя, если перемещаемые профили не применяются.

Правильный ответ: когда пользователь входит в систему впервые, она копирует профиль Default User и создает профиль специально для этого пользователя в папке с именем %Systemdrive%Documents and Settings%Username%. Пользователь работает в среде, которая является комбинацией его профиля и профиля Все пользователи (All Users).

2. Расположите по порядку шаги, в результате которых создается преднастроенный
перемещаемый профиль пользователя. Задействуйте все перечисленные шаги.

a. Настройка рабочего стола и среды пользователя.

b. Вход под именем пользователя с разрешениями, достаточными для изменения
свойств учетной записи пользователя.

c. Копирование профиля в сеть.

d . Создание учетной записи пользователя таким образом, чтобы профиль можно
было сформировать, не изменяя текущие профили остальных пользователей.

e. Вход в систему под учетной записью профиля.

f. Ввод UNC-пути к профилю на странице свойств Профиль (Profile) объекта пользователя.

g. Вход в систему в качестве локального администратора или администратора домена.

Правильный ответ: d, e, a, g, с, b, f.

3. Как сделать профиль обязательным?

а. Настроить разрешения для папки на странице свойств Безопасность (Security), чтобы запретить запись.

b. Настроить разрешения для папки на странице свойств Доступ (Sharing), чтобы разрешить только чтение.

c. Изменить атрибуты папки с профилем, оставив лишь атрибут Только чтение (Read Only).

d. Переименовать Ntuser.dat в Ntuser.man.

Правильный ответ: d.

Раздел 4. Проверка подлинности: безопасность и устранение неполадок

1. Для своего домена вы включаете политику надежных паролей. Опишите требования
к паролям, а также условия, при которых соблюдение этих требований приведет к
результату.

Правильный ответ: пароль не должен зависеть от имени учетной записи пользователя, в нем должно быть не менее 6 символов. В пароле должно быть хотя бы по одному символу трех категорий: прописные и строчные буквы, арабские цифры, специальные символы. Требования вступают в силу немедленно для всех новых учетных записей. Для существующих учетных записей этих условия будут проверены при очередной смене пароля.

2. Вам нужно вести мониторинг потенциальных атак по словарю в отношении паролей
пользователей предприятия. Какую политику аудита достаточно включить? Какой
журнал или журналы следует анализировать?

Правильный ответ: в данном случае наиболее эффективна политика аудита для аудита отказов при входе учетных записей. Неудачные входы в систему будут генерировать события в журналах безопасности на всех контроллерах домена.

3. Пользователь, забыв пароль, несколько раз пытается войти в систему с неверным
паролем и в конце концов получает сообщение, что учетная запись отключена или
заблокирована. Он обращается к администратору. Что следует сделать?

a. Удалить объект пользователя и заново создать его.

b. Переименовать объект пользователя.

c. Включить объект пользователя.

d . Разблокировать объект пользователя.

e. Изменить пароль для объекта пользователя.

Правильный ответ: d, е. Хотя в сообщении, отображаемом в Windows 2000 и предыдущих версиях Windows, говорится, что учетная запись отключена, на самом деле она заблокирована. Windows Server 2003 отображает верное сообщение о том, что учетная запись фактически заблокирована. Так что вы можете сразу выявить проблему, узнав, чем вызвано сообщение: пользователь забыл свой пароль. Следует разблокировать учетную запись и изменить ее пароль.

Читать еще:  Локальная доменная группа
Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector
×
×