Пароли это классический метод защиты. Используя пароли мы можем защищать как конфиденциальную цифровую информацию, так и у разграничивать доступ. Разуметься использование связки Имя – пароль это классический метод авторизации пользователя в ОС и не только. Сегодня мы поговорим о паролях к учётным записям пользователе.

У злоумышленников есть не один способ заполучить ваш пароль, один из способов за получения пароля это его подбор. Как правило, у злоумышленников есть уже база с вероятными паролями – так называемый словарь. Используя который они и подбирают пароль. Впрочем, существуют и программы, которые умеют генерировать такой словарь исходя из количества символов в пароле, с учетом используются ли в нем числа, спецсимволы, большие и маленькие буквы. При использование в пароле кроме букв цифры, вы в разы увеличиваете количество возможных паролей с такой же длинной, соответственно со спецсимволами также увеличивается количество вероятных паролей. Разуметься, что мы с вами понимаем то что пароль желательно должен состоять из спецсимволов, цифр, больших и маленьких букв. Но как же сделать так, чтобы пользователь не ставил себе простые пароли? Тут на помощь нам и приходят групповые политики.

Если в оснастке редактирования групповых политик мы перейдем в «Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики паролей», то мы попадем в раздел, который описывать политики паролей нашего домена. В данном разделе есть 6 разных политик, а именно – «Минимальная длина пароля», «Максимальный срок действия пароля», «Минимальны срок действия пароля», «Пароль должен отвечать требованиям сложности», «Хранить пароли, используя обратимое шифрование» и «Вести журнал паролей». Значение каждого из этих параметров очень важен для нас, как для администратора, который занимается проблемами безопасности.

Вести журнал паролей. Этот параметр безопасности определяет число новых уникальных паролей, которые должны быть назначены учетной записи пользователя до повторного использования старого пароля. Число паролей должно составлять от 0 до 24. Эта политика позволяет администраторам улучшать безопасность, гарантируя, что старые пароли не будут повторно использоваться постоянно.

Максимальный срок действия пароля. Этот параметр безопасности определяет период времени (в днях), в течение которого можно использовать пароль, пока система не потребует от пользователя сменить его. Срок действия пароля может составлять от 1 до 999 дней; значение 0 соответствует неограниченному сроку действия пароля. Если значение максимального срока действия пароля составляет от 1 до 999 дней, то значение минимального срока действия пароля должно быть меньше максимального. Если значение максимального срока действия пароля равно 0, то минимальный срок действия пароля может принимать любые значения в диапазоне от 0 до 998 дней. Рекомендуется устанавливать для срока действия паролей значение от 30 до 90 дней, в зависимости от рабочей среды. В этом случае у злоумышленника ограничено время, в течение которого он может взломать пароль пользователя и получить доступ к сетевым ресурсам.

Минимальная длина пароля. Этот параметр безопасности определяет минимальное количество знаков, которое должно содержаться в пароле пользователя. Можно установить значение от 1 до 14 знаков, либо 0 знаков, если пароль не требуется.

Минимальный срок действия пароля. Этот параметр безопасности определяет период времени (в днях), в течение которого пользователь должен использовать пароль, прежде чем его можно будет изменить. Можно установить значение от 1 до 998 дней либо разрешить изменять пароль сразу, установив значение 0 дней. Значение минимального срока действия пароля должно быть меньше значения максимального срока действия пароля, за исключением значения максимального срока, равного 0 дней, означающего, что срок действия пароля никогда не истечет. Если значение максимального срока действия пароля равно 0, то минимальный срок действия пароля может принимать любые значения в диапазоне от 0 до 998 дней. Установите значение минимального срока действия пароля больше 0, чтобы включить ведение журнала паролей. Без установки минимального срока действия пароля пользователь может изменять пароли повторно, пока не получит свой старый предпочитаемый пароль. Значение по умолчанию установлено вопреки этой рекомендации, поэтому администратор может назначить пользователю пароль, а затем потребовать сменить его при входе пользователя в систему. Если для журнала паролей установлено значение 0, пользователю не нужно выбирать новый пароль. По этой причине значение для журнала паролей по умолчанию равно 1.

Пароль должен отвечать требованиям сложности. Этот параметр безопасности определяет, должен ли пароль отвечать требованиям сложности. Если эта политика включена, пароли должны удовлетворять следующим минимальным требованиям. Не содержать имени учетной записи пользователя или частей полного имени пользователя длиной более двух рядом стоящих знаков. Иметь длину не менее 6 знаков. Содержать знаки трех из четырех перечисленных ниже категорий:

Латинские заглавные буквы (от A до Z)

Латинские строчные буквы (от a до z)Цифры (от 0 до 9)

Отличающиеся от букв и цифр знаки (например, !, $, #, %)

Требования сложности применяются при создании или изменении пароля.

Хранить пароли, используя обратимое шифрование. Этот параметр безопасности определяет, используется ли операционной системой для хранения паролей обратимое шифрование. Эта политика обеспечивает поддержку приложений, использующих протоколы, требующие знание пароля пользователя для проверки подлинности. Хранение паролей с помощью обратимого шифрования — по существу то же самое, что и хранение паролей открытым текстом. По этой причине данная политика не должна применяться, пока требования приложения не станут более весомыми, чем требования по защите паролей. Эта политика необходима при использовании проверки подлинности протокола CHAP через удаленный доступ или службу проверки подлинности в Интернете (IAS). Она также необходима при использовании краткой проверки подлинности в IIS.

Хочу обратить ваше внимание, что политика паролей в домене задаётся в одном месте, и вы не можете для разных подразделений ставить разные политики. Политика паролей задаётся в политике по умолчанию (“Default Domain Policy”). И тут сразу же возникает пароль а что же делать с если у меня есть пользователи которым надо завысить требования к паролю, допустим пользователем которые имеют доступ к важной информации. Неужели необходимо ставить всем пользователям завышенную политику, если политика паролей назначается в одном месте? Нет не обязательно. Главное в этой ситуации найти золотую середину какая политика паролей подойдет вашей организации исходя из требований безопасности. Как правило, выставлением требований к безопасности должен занимать отдел безопасности. После того как политика по умолчанию сформирована нам необходимо создать гранулярные политики. Они создаются не классическим методом привязки политики с помощью Group Policy Management Console, а с помощью ADSIEdit. Хоть это и выглядит очень страшно, ничего страшного в этом нет. Для начала нам необходимо подключиться к нашему серверу используя оснастку ADSIEdit и подключиться к «Default naming context». И перейти в CN=Password Setting Container, CN= System, DC=<DOMAIN>. Если переходить, используя древовидную иерархию, мы перейдем в начале в DC=<DOMAIN>, потом CN= System , и в конце в интересующий нас контейнер в котором и будут находиться наши гранулярные политики, его имя CN=Password Setting Container. Для того чтоб создать новую политику необходимо выбрать создание нового объекта, после чего откроется визард, с помощью которого мы и будем создавать нашу политику. Входе визрда у вас будут спрашиваться переменные, описание которых находиться ниже.

msDS-PasswordSettingsPrecedence. Этот параметр задает приоритет данной политики. Значение должно быть больше чем 0

msDS-PasswordReversibleEncryptionEnabled. Этот параметр безопасности определяет, используется ли операционной системой для хранения паролей обратимое шифрование. Эта политика обеспечивает поддержку приложений, использующих протоколы, требующие знание пароля пользователя для проверки подлинности. Значение может быть FALSE / TRUE

msDS-PasswordHistoryLength. Этот параметр безопасности определяет число новых уникальных паролей, которые должны быть назначены учетной записи пользователя до повторного использования старого пароля.

msDS-PasswordComplexityEnabled. Этот параметр безопасности определяет, должен ли пароль отвечать требованиям сложности. Если эта политика включена, пароли должны удовлетворять следующим минимальным требованиям. Значение может быть FALSE / TRUE

msDS-MinimumPasswordLength. Этот параметр безопасности определяет минимальное количество знаков, которое должно содержаться в пароле пользователя. Значение может быть от 0 до 255

msDS-MinimumPasswordAge. Этот параметр безопасности определяет период времени, в течение которого пользователь должен использовать пароль, прежде чем его можно будет изменить. Заполняется в виде Дни:Часы:минуты:секунды

msDS-MaximumPasswordAge. Этот параметр безопасности определяет период времени, в течение которого можно использовать пароль, пока система не потребует от пользователя сменить его. Заполняется в виде Дни:Часы:минуты:секунды

msDS-LockoutThreshold. Этот парамент безопасности определяет порог неудачных попыток входа до блокировки учетных записей пользователей. Значение может быть от 0 до 65535

msDS-LockoutObservationWindow. Этот парамент безопасности определяет, через какой промежуток времени счетчик неудачных попыток будет сброшен. Заполняется в виде Дни:Часы:минуты:секунды

msDS-LockoutDuration. Этот параметр безопасности определяет, через какой период времени будет разблокирована учетная запись пользователя, в случае её автоматической блокировки. Заполняется в виде Дни:Часы:минуты:секунды

После того как политика готова необходимо изменить её атрибут msDS-PSOAppliesTo который указывает к кому будет применяться данная политика.