Безопасность

Безопасность учетных записей пользователей

Если для доступа к ресурсам IIS используются учетные записи пользователей, необходимо обеспечить их защиту. При получении хакером имени пользователя с паролем у него появятся все шансы проникнуть к секретным данным. Защититься от его вторжения можно при помощи следующих методов.

Использование сложных паролей

Стандарт сложных паролей без изменений перешел в WS03 из предыдущих версий Windows Server. При принудительном использовании сложных паролей всякий пользователь, изменяющий свой пароль, должен руководствоваться следующими правилами.

• Длина пароля больше или равна шести символам.
• Пароли содержат символы трех следующих категорий:
  • символы верхнего регистра;
  • символы нижнего регистра;
  • числа;
  • специальные символы, например, знаки препинания.
• Пароли не должны включать имя пользователя или любую часть его полного имени.

Вы можете создать свои собственные фильтры паролей посредством написания особого файла passfilt.dll, являющегося динамически подключаемой библиотекой. Он обрабатывает изменения паролей и проверяет их соответствие определенным правилам. В статье Q151082 базы знаний Microsoft содержатся подробные сведения о создании файла passfilt.dll. Статья находится в TechNet или на сайте Microsoft Support (http://support.microsoft.com).

Для включения сложных паролей в WS03 выполните следующие действия.

1. Откройте нужную политику безопасности (домена или локальную) с помощью команды Start\Administrative Tools\Local Security Policy (или Domain Security Policy) (Пуск\Администрирование\Локальная политика безопасности [или Политика безопасности домена]).
2. В консоли Security Settings (Настройка безопасности) в узле Account Policies (Политики учетных записей) выберите Password Policy (Политика паролей).
3. Дважды щелкните на опции Password Must Meet Complexity Requirements (Пароли должны отвечать требованиям сложности).
4. Установите опцию Password Must Meet Complexity Requirements (Пароли должны отвечать требованиям сложности) в состояние Enabled (Включено).
5. Нажмите на кнопку OK.

Настройте минимальную длину пароля.

1. Откройте нужную политику Security Policy (Политика безопасности) (домена или локальную) с помощью команды Start\Administrative Tools\Local Security Policy (или Domain Security Policy) (Пуск\Администрирование\Локальная политика безопасности [или Политика безопасности домена]).
2. В консоли Security Settings (Параметры безопасности) выделите Password Policy (Политика паролей) в узле Account Policies (Политики учетных записей).
3. Дважды щелкните на опции Minimum Password Length (Минимальная длина пароля).
4. Установите любое значение опции Minimum Password Length (Минимальная длина пароля) – от 0 до 14. Значение 0 допускает пустые пароли.
5. Нажмите на клавишу OK.

Включение блокировки учетной записи

Включение блокировки учетной записи позволяет определить количество вводов неправильного пароля перед блокировкой доступа. По достижении порогового числа неправильных вводов пароля учетная запись становится непригодной для использования на определенный настраиваемый срок. Это позволяет предотвратить угадывание паролей злоумышленником, оставляя ему возможность входа в систему только по чужой аутентификационной записи.

Блокировка учетной записи включается следующим образом.

1. Откройте нужную политику безопасности Security Policy (Политика безопасности) (домена или локальную) с помощью команды Start\Administrative Tools\Local Security Policy (или Domain Security Policy) (Пуск\Администрирование\Локальная политика безопасности [или Политика безопасности домена]).
2. В консоли Security Settings (Параметры безопасности) в узле Account Policies (Политики учетных записей) выберите Account Lockout Policy (Политика блокировки учетной записи).
3. Дважды щелкните на опции Account Lockout Threshold (Порог блокировки учетной записи).
4. В опции Account Lockout Threshold установите разрешенное количество попыток входа перед блокировкой учетной записи. Укажите любое значение от 1 до 999. Значение 0 отключает данную опцию. (Рекомендуется устанавливать значение порога в диапазоне от 3 до 5.)
5. Нажмите на кнопку OK.
6. Диалоговое окно проинформирует о том, что длительность блокировки и сброс счетчиков установлены на 30 мин.
7. Установите значение опции Account Lockout Duration (Длительность блокировки учетной записи), дважды щелкнув на ней. Укажите промежуток времени, в течение которого учетная запись будет находиться в заблокированном состоянии – любое значение от 1 до 99999 мин. Значение 0 заблокирует учетную запись до тех пор, пока администратор не разблокирует ее вручную.
8. Нажмите на кнопку OK.
9. Установите значение опции Reset Account Lockout Counter (Сброс счетчика блокировки учетной записи), дважды щелкнув на ней. Укажите интервал времени, по прошествии которого счетчик блокировки сбрасывается – любое значение от 1 до 99999 мин.
10. Нажмите на кнопку OK.

Принудительное периодическое изменение паролей

Использование одного и того же пароля на протяжении долгого времени представляет угрозу безопасности, так как лица, которым пароль больше не требуется, по-прежнему имеют соответствующую учетную запись. Как правило, пароли следует менять через 90 –120 дней.

Для установки возраста паролей, по достижении которого происходит их принудительная замена, выполните следующие действия.

1. Откройте нужную политику безопасности Security Policy (Политика безопасности) (домена или локальную) с помощью команды Start\Administrative Tools\Local Security Policy (или Domain Security Policy) (Пуск\Администрирование\Локальная политика безопасности [или Политика безопасности домена]).
2. В консоли Security Settings (Параметры безопасности) выделите Password Policy (Политика паролей) в узле Account Policies (Политики учетных записей).
3. Дважды щелкните на опции Maximum password age (Максимальный возраст паролей).
4. Установите в опции Maximum Password Age (Максимальный возраст паролей) срок действия паролей (в днях). Укажите любое значение от 1 до 999. Значение 0 отключает истечение срока действия паролей.
5. Нажмите на кнопку OK.