Локальная политика безопасности. Часть 2: Политики учетных записей
Введение
В предыдущей части статьи о локальных политиках безопасности вы узнали о методах использования локальных политик безопасности, при помощи которых можно управлять настройками, имеющими отношение к безопасности, как вашего домашнего компьютера, так и компьютеров, расположенных в доменной среде организации. Начиная с этой статьи, будут подробно рассматриваться все категории политик, которые относятся к обеспечению безопасности ваших компьютеров. В этой статье вы узнаете об управлении проверкой подлинности пользовательских учетных записей, а именно об узле «Политики учетных записей». Применение этих политик распространено в предприятиях с доменной средой. Для обеспечения безопасности ваших компьютеров, применение политик этой группы на компьютерах, не входящих в доменную среду (например, использование политик на вашем домашнем компьютере) поможет вам существенно повысить безопасности компьютера.
Без сомнения, корпоративные учетные записи представляют огромный интерес для хакеров, которых может заинтересовать хищение корпоративной информации, а также получение доступа к компьютерам вашего предприятия. Поэтому, одним из решений, позволяющих существенно обезопасить инфраструктуру предприятия, является использование безопасных сложных паролей для снижения возможности проникновения злоумышленниками. Также не стоит забывать о том, что злоумышленники могут находиться гораздо ближе, чем вы себе представляете. Я настоятельно рекомендую заставить пользователей использовать сложные пароли, включая буквы разных регистров, цифры, а также специальные символы для паролей к своим учетным записям и ни в коем случае не оставлять свои пароли у всех на виду. Я имею в виду не записывать их на бумагу и не размещать на своем рабочем месте, рядом с компьютером, а тем более – не закреплять их на своих мониторах (что встречается довольно таки часто). Также пользователи обязаны менять свои пароли по истечению срока, который вы установите. Например, указав срок действия пароля в 30 дней, по его истечению перед входом пользователя в свою учетную запись, отобразится диалог с требованием изменения текущего пароля.
Для того чтобы найти политики, предназначенные для управления учётными записями, в редакторе управления групповыми политиками откройте узел Конфигурация компьютера\Параметры безопасности\Политики учетных записей. Рассмотрим подробно каждую политику безопасности, которая применяется для управления паролями и блокировкой учетных записей пользователей.
Политика паролей
При помощи этого узла вы можете изменять настройки паролей учетных записей пользователей, которые состоят как в домене, так и в рабочих группах. В организациях вы можете применять одинаковые политики паролей для всех пользователей, входящих в домен или только для отдельных групп при помощи оснастки «Консоль управления групповыми политиками». В узле «Политика паролей» вы можете использовать до шести политик безопасности, при помощи которых можно указать наиболее важные параметры безопасности, применяемые для управления паролями учетных записей. Настоятельно рекомендую не игнорировать данные политики. Даже если вы уговорите своих пользователей использовать сложные пароли, не факт, что они действительно будут это делать. Если вы правильно настроите все шесть политик безопасности, расположенных в этом узле, безопасность паролей пользователей вашей организации значительно повысится. Применив все политики, пользователям действительно придется создавать безопасные пароли, в отличие от тех, которые они считают «сложными». Доступны следующие политики безопасности:
Рис. 1 Узел «Политика паролей»
Вести журнал паролей. Насколько не был бы ваш пароль безопасным, злоумышленник рано или поздно сможет его подобрать. Поэтому необходимо периодически изменять пароли учетных записей. При помощи этой политики вы можете указать количество новых паролей, которые назначаются для учетных записей до повторного использования старого пароля. После того как эта политика будет настроена, контроллер домена будет проверять кэш предыдущих хэш-кодов пользователей, чтобы в качестве нового пароля пользователи не могли использовать старый. Число паролей может варьироваться от 0 до 24. Т.е., если вы указали в качестве параметра число 24, то пользователь сможет использовать старый пароль с 25-ого раза.
Максимальные срок действия пароля. Эта политика указывает период времени, в течение которого пользователь может использовать свой пароль до последующего изменения. По окончанию установленного срока пользователь обязан изменить свой пароль, так как без изменения пароля войти в систему ему не удастся. Доступные значения могут быть установлены в промежутке от 0 до 999 дней. Если установлено значения равное 0, срок действия пароля неограничен. В связи с мерами безопасности желательно отказаться от такого выбора. Если значения максимального срока действия пароля варьируется от 1 до 999 дней, значение минимального срока должно быть меньше максимального. Лучше всего использовать значения от 30 до 45 дней.
Минимальная длина пароля. При помощи этой политики вы можете указать минимальное количество знаков, которое должно содержаться в пароле. Если активировать этот параметр, то при вводе нового пароля количество знаков будет сравниваться с тем, которое установлено в этой политике. Если количество знаков будет меньше указанного, то придется изменить пароль в соответствии с политикой безопасности. Можно указать значение политики от 1 до 14 знаков. Оптимальным значением для количества знаков для пароля пользователей является 8, а для серверов от 10 до 12.
Минимальные срок действия пароля. Многие пользователи не захотят утруждать себя запоминанием нового сложного пароля и могут попробовать сразу при вводе изменить такое количество новых паролей, чтобы использовать свой хорошо известный первоначальный пароль. Для предотвращения подобных действий была разработана текущая политика безопасности. Вы можете указать минимальное количество дней, в течение которого пользователь должен использовать свой новый пароль. Доступные значения этой политики устанавливаются в промежутке от 0 до 998 дней. Установив значение равное 0 дней, пользователь сможет изменить пароль сразу после создания нового. Необходимо обратить внимание на то, что минимальный срок действия нового пароля не должен превышать значение максимального срока действия.
Пароль должен отвечать требованиям сложности. Это одна из самых важных политик паролей, которая отвечает за то, должен ли пароль соответствовать требованиям сложности при создании или изменении пароля. В связи с этими требованиями, пароли должны:
- содержать буквы верхнего и нижнего регистра одновременно;
- содержать цифры от 0 до 9;
- содержать символы, которые отличаются от букв и цифр (например, !, @, #, $, *);
- Не содержать имени учетной записи пользователя или частей полного имени пользователя длиной более двух рядом стоящих знаков.
В том случае, если пользователь создал или изменил пароль, который соответствует требованиям, то пароль пропускается через математический алгоритм, преобразовывающий его в хэш-код (также называемый односторонней функцией), о котором шла речь в политике «Вести журнал паролей».
Хранить пароли, используя обратимое шифрование. Для того чтобы пароли невозможно было перехватить при помощи приложений, Active Directory хранит только хэш-код. Но если перед вами встанет необходимость поддержки приложений, использующих протоколы, требующие знание пароля пользователя для проверки подлинности, вы можете использовать текущую политику. Обратимое шифрование по умолчанию отключено, так как, используя эту политику, уровень безопасности паролей и всего домена в частности значительно понижается. Использование этой функции аналогично хранению пароля в открытом виде.
Политика блокировки учетной записи
Даже после создания сложного пароля и правильной настройки политик безопасности, учетные записи ваших пользователей все еще могут быть подвергнуты атакам недоброжелателей. Например, если вы установили минимальный срок действия пароля в 20 дней, у хакера достаточно времени для подбора пароля к учетной записи. Узнать имя учетной записи не является проблемой для хакеров, так как, зачастую имена учетных записей пользователей совпадает с именем адреса почтового ящика. А если будет известно имя, то для подбора пароля понадобится какие-то две-три недели.
Групповые политики безопасности Windows могут противостоять таким действиям, используя набор политик узла «Политика блокировки учетной записи». При помощи данного набора политик, у вас есть возможность ограничения количества некорректных попыток входа пользователя в систему. Разумеется, для ваших пользователей это может быть проблемой, так как не у всех получится ввести пароль за указанное количество попыток, но зато безопасность учетных записей перейдет на «новый уровень». Для этого узла доступны только три политики, которые рассматриваются ниже.
Рис. 2 «Политика блокировки учетной записи»
Время до сброса счетчиков блокировки. Active Directory и групповые политики позволяют автоматически разблокировать учетную запись, количество попыток входа в которую превышает установленное вами пороговое значение. При помощи этой политики устанавливается количество минут, которые должны пройти после неудачной попытки для автоматической разблокировки. Вы можете установить значение от одной минуты до 99999. Это значение должно быть меньше значения политики «Продолжительность блокировки учетной записи».
Пороговое значение блокировки. Используя эту политику, вы можете указать количество некорректных попыток входа, после чего учетная запись будет заблокирована. Окончание периода блокировки учетной записи задается политикой «Продолжительность блокировки учетной записи» или администратор может разблокировать учетную запись вручную. Количество неудачных попыток входа может варьироваться от 0 до 999. Я рекомендую устанавливать допустимое количество от трех до семи попыток.
Продолжительность блокировки учетной записи. При помощи этого параметра вы можете указать время, в течение которого учетная запись будет заблокирована до ее автоматической разблокировки. Вы можете установить значение от 0 до 99999 минут. В том случае, если значение этой политики будет равно 0, учетная запись будет заблокирована до тех пор, пока администратор не разблокирует ее вручную.
Политика Kerberos
В доменах Active Directory для проверки подлинности учетных записей пользователей и компьютеров домена используется протокол Kerberos. Сразу после аутентификации пользователя или компьютера, этот протокол проверяет подлинность указанных реквизитов, а затем выдает особый пакет данных, который называется «Билет предоставления билета (TGT – Ticket Granting Ticket)». Перед подключением пользователя к серверу для запроса документа на контроллер домена пересылается запрос вместе с билетом TGT, который идентифицирует пользователя, прошедшего проверку подлинности Kerberos. После этого контроллер домена передает пользователю еще один пакет данных, называемый билетом доступа к службе. Пользователь предоставляет билет на доступ службе на сервере, который принимает его как подтверждение прохождения проверки подлинности.
Данный узел вы можете обнаружить только на контроллерах домена. Доступны следующие пять политик безопасности:
Рис. 3. «Политика Kerberos»
Максимальная погрешность синхронизации часов компьютера. Для предотвращения «атак повторной передачи пакетов» существует текущая политика безопасности, которая определяет максимальную разность времени, допускающую Kerberos между временем клиента и временем на контроллере домена для обеспечения проверки подлинности. В случае установки данной политики, на обоих часах должны быть установлены одинаковые дата и время. Подлинной считается та отметка времени, которая используется на обоих компьютерах, если разница между часами клиентского компьютера и контроллера домена меньше максимальной разницы времени, определенной этой политикой.
Максимальный срок жизни билета пользователя. При помощи текущей политики вы можете указать максимальный интервал времени, в течение которого может быть использован билет представления билета (TGT). По истечении срока действия билета TGT необходимо возобновить существующий билет или запросить новый.
Максимальный срок жизни билета службы. Используя эту политику безопасности, сервер будет выдавать сообщение об ошибке в том случае, если клиент, запрашивающий подключение к серверу, предъявляет просроченный билет сеанса. Вы можете определить максимальное количество минут, в течение которого полученный билет сеанса разрешается использовать для доступа к конкретной службе. Билеты сеансов применяются только для проверки подлинности на новых подключениях к серверам. После того как подключение пройдет проверку подлинности, срок действия билета теряет смысл.
Максимальный срок жизни для возобновления билета пользователя. С помощью данной политики вы можете установить количество дней, в течение которых может быть восстановлен билет предоставления билета.
Принудительные ограничения входа пользователей. Эта политика позволяет определить, должен ли центр распределения ключей Kerberos проверять каждый запрос билета сеанса на соответствие политике прав, действующей для учетных записей пользователей.
Заключение
В наше время все чаще приходится заботиться о безопасности учетных записей, как для клиентских рабочих мест вашей организации, так и домашних компьютеров. Недоброжелателями, которые хотят получить контроль над вашим компьютером могут быть не только хакеры, расположенные в тысячах и сотнях тысяч километров от вас, но и ваши сотрудники. Защитить свои учетные записи помогают политики учетных записей. В этой статье подробно рассказывается обо всех политиках, которые имеют отношение к паролям ваших учетных записей, блокировке учетной записи при попытке подбора пароля, а также политикам Kerberos – протокола, используемого для проверки подлинности учетных записей пользователей и компьютеров домена. В следующей статье вы узнаете о политиках аудита.
Пароль должен соответствовать требованиям к сложности Password must meet complexity requirements
Область применения Applies to
В этой статье описаны рекомендации, расположение, значения и рекомендации по обеспечению безопасности для пароля, которые должны соответствовать параметрам политики безопасности » требования к сложности «. Describes the best practices, location, values, and security considerations for the Password must meet complexity requirements security policy setting.
Справочные материалы Reference
Пароли должны соответствовать требованиям сложности . определяет, должны ли пароли соответствовать набору руководств, которые считаются важными для надежного пароля. The Passwords must meet complexity requirements policy setting determines whether passwords must meet a series of guidelines that are considered important for a strong password. Включение этого параметра политики требует, чтобы пароли соответствовали следующим требованиям: Enabling this policy setting requires passwords to meet the following requirements:
Пароли могут не содержать значения samAccountName (имя учетной записи) пользователя или полное имя (значение полного имени). Passwords may not contain the user’s samAccountName (Account Name) value or entire displayName (Full Name value). Оба чека не чувствительны к регистру. Both checks are not case sensitive.
SamAccountName задается целиком только для того, чтобы определить, является ли он частью пароля. The samAccountName is checked in its entirety only to determine whether it is part of the password. Если значение samAccountName меньше трех знаков, эта проверка пропускается. If the samAccountName is less than three characters long, this check is skipped. DisplayName анализируется для разделителей: запятые, точки, дефисы и дефисы, знаки подчеркивания, пробелы, знаки решетки и табуляции. The displayName is parsed for delimiters: commas, periods, dashes or hyphens, underscores, spaces, pound signs, and tabs. Если обнаружено какое-либо из этих разделителей, выделено значение displayName и все проанализированные разделы (лексемы) не будут включены в пароль. If any of these delimiters are found, the displayName is split and all parsed sections (tokens) are confirmed to not be included in the password. Маркеры, которые менее трех символов, игнорируются, а подстроки маркеров не проверяются. Tokens that are less than three characters are ignored, and substrings of the tokens are not checked. Например, имя «Erin M. hagens» разделяется на три маркера: «erin», «M» и «hagens». For example, the name «Erin M. Hagens» is split into three tokens: «Erin», «M», and «Hagens». Так как вторая лексема состоит только из одного символа, она игнорируется. Because the second token is only one character long, it is ignored. Таким образом, этот пользователь не может иметь пароль, который включает в себя слово «erin» или «hagens» в качестве подстроки в любом месте пароля. Therefore, this user could not have a password that included either «erin» or «hagens» as a substring anywhere in the password.
Пароль включает в себя символы трех из следующих категорий: The password contains characters from three of the following categories:
- Прописные буквы в европейских языках (от A до Z с диакритическими знаками, греческими и кириллицы) Uppercase letters of European languages (A through Z, with diacritic marks, Greek and Cyrillic characters)
- Строчные буквы европейских языков (от a до z, с четкими знаками диакритических знаков, греческих и кириллицы) Lowercase letters of European languages (a through z, sharp-s, with diacritic marks, Greek and Cyrillic characters)
- Десятичные цифры (от 0 до 9). Base 10 digits (0 through 9)
- Символы, отличные от алфавитно-цифровых (специальные знаки): (
! @ # $% ^& * -+ = ‘ |<>\ \ () \ []:; » <>. /) Денежные символы, такие как евро или британские, не учитываются как специальные символы для этого параметра политики. Non-alphanumeric characters (special characters): (
!@#$%^&*-+=`|\()<>[]:;»‘<>. /) Currency symbols such as the Euro or British Pound are not counted as special characters for this policy setting.
Требования к сложности применяются при изменении или создании паролей. Complexity requirements are enforced when passwords are changed or created.
Правила, включенные в требования к сложности пароля Windows Server, входят в passfilt. dll и не могут быть изменены напрямую. The rules that are included in the Windows Server password complexity requirements are part of Passfilt.dll, and they cannot be directly modified.
Включение по умолчанию passfilt. dll может привести к некоторым дополнительным звонкам в службу поддержки для заблокированных учетных записей, так как пользователи могут не использовать пароли, которые содержат символы, отличные от тех, которые есть в алфавите. Enabling the default Passfilt.dll may cause some additional Help Desk calls for locked-out accounts because users might not be used to having passwords that contain characters other than those found in the alphabet. Тем не менее, этот параметр политики достаточно широк, чтобы все пользователи смогли соблюдать требования с незначительной обученной кривой. However, this policy setting is liberal enough that all users should be able to abide by the requirements with a minor learning curve.
Дополнительные параметры, которые могут быть включены в настраиваемый passfilt. dll, — это использование символов, не являющихся верхними строками. Additional settings that can be included in a custom Passfilt.dll are the use of non–upper-row characters. Символы верхнего уровня — это введенные с клавиатуры и удерживание клавиши SHIFT, а затем нажатие какой-либо клавиши в строке «число» (от 1 до 9 до 0). Upper-row characters are those typed by pressing and holding the SHIFT key and then pressing any of the keys on the number row of the keyboard (from 1 through 9 and 0).
Возможные значения Possible values
Рекомендации Best practices
Последние рекомендации приведены в разделе рекомендации по выбору паролей. For the latest best practices, see Password Guidance.
Настройка паролей должна отвечать требованиям сложности , чтобы включить их. Set Passwords must meet complexity requirements to Enabled. Этот параметр политики в сочетании с минимальной длиной пароля of8 гарантирует, что в одном пароле есть по крайней мере 218 340 105 584 896 различных возможностей. This policy setting, combined with a minimum password length of8, ensures that there are at least 218,340,105,584,896 different possibilities for a single password. Это делает трудную атакускую, но все равно невозможна. This makes a brute force attack difficult, but still not impossible.
Использование сочетаний клавиш ALT может значительно повысить сложность пароля. The use of ALT key character combinations can greatly enhance the complexity of a password. Тем не менее, если требуется, чтобы все пользователи в Организации соответствовали таким требованиям строгого пароля, это может привести к несчастливым пользователям и очень занятым рабочим столам. However, requiring all users in an organization to adhere to such stringent password requirements can result in unhappy users and an extremely busy Help Desk. Вы можете реализовать требование в Организации, чтобы использовать знаки ALT в диапазоне от 0128 до 0159 в составе всех паролей администратора. Consider implementing a requirement in your organization to use ALT characters in the range from 0128 through 0159 as part of all administrator passwords. (Символы ALT за пределами этого диапазона могут представлять стандартные буквенно-цифровые символы, которые не добавляют к паролю дополнительную сложность.) (ALT characters outside of this range can represent standard alphanumeric characters that do not add additional complexity to the password.)
Пароли, содержащие только алфавитно-цифровые символы, легко взнадежны с помощью общедоступных средств. Passwords that contain only alphanumeric characters are easy to compromise by using publicly available tools. Чтобы не допустить этого, пароли должны содержать дополнительные символы и соблюдать требования к сложности. To prevent this, passwords should contain additional characters and meet complexity requirements.
Location Location
Политика Configuration\Windows Settings\Security Settings\Account Policies\Password Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy
Значения по умолчанию Default values
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. The following table lists the actual and effective default policy values. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.
| Тип сервера или объект групповой политики (GPO) Server type or Group Policy Object (GPO) | Значение по умолчанию Default value |
|---|---|
| Политика домена по умолчанию Default domain policy | Enabled Enabled |
| Политика контроллера домена по умолчанию Default domain controller policy | Enabled Enabled |
| Параметры по умолчанию отдельного сервера Stand-alone server default settings | Отключено Disabled |
| Действующие параметры по умолчанию для контроллера домена Domain controller effective default settings | Enabled Enabled |
| Действующие параметры по умолчанию для рядового сервера Member server effective default settings | Enabled Enabled |
| Действующие параметры GPO по умолчанию на клиентских компьютерах Effective GPO default settings on client computers | Отключено Disabled |
Вопросы безопасности Security considerations
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.
Уязвимость Vulnerability
Пароли, содержащие только алфавитно-цифровые символы, очень легко найти с помощью нескольких общедоступных средств. Passwords that contain only alphanumeric characters are extremely easy to discover with several publicly available tools.
Противодействие Countermeasure
Настройка пароля должна отвечать параметрам политики «включить требования сложности» и рекомендует пользователям использовать различные символы в своих паролях. Configure the Passwords must meet complexity requirements policy setting to Enabled and advise users to use a variety of characters in their passwords.
Если в сочетании указана Минимальная длина пароля в 8, этот параметр политики гарантирует, что количество различных возможностей для одного пароля будет очень выгодным (но не невозможным) для успешной атаки методом грубой силы. When combined with a Minimum password length of 8, this policy setting ensures that the number of different possibilities for a single password is so great that it is difficult (but not impossible) for a brute force attack to succeed. (При увеличении политики минимальной длины пароля также увеличивается среднее время, необходимое для успешной атаки.) (If the Minimum password length policy setting is increased, the average amount of time necessary for a successful attack also increases.)
Возможное влияние Potential impact
Если конфигурация сложность пароля по умолчанию сохраняется, дополнительные возможности службы поддержки для заблокированных учетных записей могут возникать из-за того, что пользователи не могут использовать пароли, содержащие символы, отличные от алфавитов, или при вводе паролей, содержащих диакритические знаки или символы, на клавиатуре с разными макетами. If the default password complexity configuration is retained, additional Help Desk calls for locked-out accounts could occur because users might not be accustomed to passwords that contain non-alphabetical characters, or they might have problems entering passwords that contain accented characters or symbols on keyboards with different layouts. Тем не менее, все пользователи должны удовлетворять требованиям сложности с минимальными проблемами. However, all users should be able to comply with the complexity requirement with minimal difficulty.
Если ваша организация имеет более строгие требования к безопасности, вы можете создать собственную версию файла passfilt. dll, которая позволяет использовать произвольно сложные правила надежности паролей. If your organization has more stringent security requirements, you can create a custom version of the Passfilt.dll file that allows the use of arbitrarily complex password strength rules. Например, для настраиваемого фильтра паролей может потребоваться использование символов, не являющихся верхними строками. For example, a custom password filter might require the use of non-upper-row symbols. (Символы верхнего регистра — это те, для которых требуется нажать и удерживать клавишу SHIFT, а затем нажмите любую клавишу в строке номер клавиатуры, от 1 до 9 и от 0 до нуля.) Настраиваемый фильтр пароля также может выполнить проверку словаря, чтобы убедиться, что предлагаемый пароль не содержит слова общего словаря или фрагменты. (Upper-row symbols are those that require you to press and hold the SHIFT key and then press any of the keys on the number row of the keyboard, from 1 through 9 and 0.) A custom password filter might also perform a dictionary check to verify that the proposed password does not contain common dictionary words or fragments.
Использование сочетаний клавиш ALT может значительно повысить сложность пароля. The use of ALT key character combinations can greatly enhance the complexity of a password. Тем не менее, такие требования жестким паролем могут привести к дополнительным запросам службы поддержки. However, such stringent password requirements can result in additional Help Desk requests. Кроме того, ваша организация может считать требованием для всех паролей администратора использовать замещающий символы в диапазоне 0128 – 0159. Alternatively, your organization could consider a requirement for all administrator passwords to use ALT characters in the 0128–0159 range. (Замещающий символ за пределами этого диапазона может представлять стандартные буквенно-цифровые символы, к которым не будет добавлена дополнительная сложность пароля.) (ALT characters outside of this range can represent standard alphanumeric characters that would not add additional complexity to the password.)