Латвия, Рига |
Управление пользователями и данными входа
Пароли
Администраторы и специалисты служб поддержки тратят много времени на разрешение проблем, связанных с паролями. Пользователи забывают пароли, процедуры смены пароля не работают должным образом, и пользователи недовольны слишком высоким уровнем сложности, который вы требуете для паролей. В конце концов, проблемы паролей и жалобы становятся повседневным фактом работы администраторов.
Большинство администраторов позволяют пользователям создавать их собственные пароли, поэтому имеет смысл распространить инструкции по выполнению этой задачи. Вы можете дать ваше собственное определение хорошего пароля вместе с некоторыми предлагаемыми правилами (вы могли бы назвать их "абсолютными" правилами, но некоторые из них трудно осуществлять).
Наиболее подходит пароль, который никак не ассоциируется с данным пользователем, иначе злоумышленник, который знает этого пользователя, может взломать его пароль. Например, пользователь, на столе которого находится фото его собаки, может использовать ее имя для пароля.
С другой стороны, пароль, никак не ассоциируемый с данным пользователем, может оказаться очень трудным для запоминания. Пользователи решают эту проблему довольно "занятно", приклеивая листочек с паролем к своему монитору или оставляя запись в незапертом столе.
Новые требования к паролям
В Windows Server 2003 включено новое средство, которое проверяет сложность пароля для учетной записи Administrator во время установки операционной системы. Если поле для пароля оставлено пустым или пароль не отвечает требованиям сложности, то появляется диалоговое окно, которое предупреждает, насколько опасно использовать пустой или слабый пароль для учетной записи Administrator.
Что касается паролей, то Windows Server 2003 запрещает доступ к определенным возможностям, если у пользователя нет пароля.
- Если оставить пустым поле пароля учетной записи Administrator (нуль-пароль),то вы не имеете доступа к этой учетной записи через сеть.
- Любому пользователю с пустым паролем запрещается доступ к средствам администрирования remote control (дистанционный доступ). Это означает, что ваш собственный пользовательский вход, который дает вам административные полномочия (если вы, конечно, не используете учетную запись Administrator), не позволяет вам выполнять административные задачи через сеть, если соответствующая учетная запись имеет пустой пароль.
Сильные пароли
Сильный пароль должен содержать буквы, числа и специальные символы (, . ; : * % & !) или хотя бы две из этих трех категорий. Но многим пользователям трудно запоминать такие пароли, и я уверен, что ваши службы поддержки могут подтвердить этот факт. Одно из предложений - это слияние прилагательных и существительных в одно слово, например, sillyrug или smartsink.Еще эффективнее использовать эту схему, если вы помещаете число или специальный символ между прилагательным и существительным.
Программы взлома паролей все более усложняются, и слабые пароли становятся "жертвами" этих программ за доли секунд. Конечно, при достаточном количестве времени автоматизированные методы, используемые программами взлома паролей, могут взломать любой пароль. Однако сильные пароли обеспечивают более мощную защиту от злоумышленников.
Вы можете обеспечить использование сильных паролей с помощью групповой политики (см. следующий раздел).
Политики доменных паролей
Вы можете не только вырабатывать для своих пользователей правила и предложения, повышающие уровень безопасности, но также можете использовать дополнительные правила в форме политик Windows Server 2003, которые описываются в этом разделе.
Вам следует тщательно проверить и обдумать имеющиеся политики паролей в Windows Server 2003, поскольку ваши пользователи (и, тем самым, ваш отдел ИТ) будут постоянно подчиняться этим правилам.
Политики паролей доступны только для домена, а не для OU. Конфигурируйте политики паролей для домена в редакторе групповых политик Group Policy Editor на уровне Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy.
Независимо от доменных политик, которые вы вводите в действие, настройки паролей, которые вы задаете для отдельных пользователей во вкладке Account диалогового окна Properties пользователя, переопределяют действие доменных политик. Это упрощает создание новых пользователей, поскольку вы можете при этом ввести любой пароль - независимо от правил, налагаемых вашими политиками. Затем, когда пользователь изменяет свой пароль, начинают действовать политики. Конечно, это означает, вы должны при этом всегда устанавливать флажок User must change password at next logon, чтобы устанавливалось соответствие с вашими настройками безопасности.
Это также означает, что вы можете исключать определенных пользователей из политик паролей, вводя пароль, который не соответствует настройкам вашей политики и устанавливая флажок Password never expires (Срок действия пароля не ограничен).
Эта политика позволяет вам задавать количество уникальных новых паролей, которые должен задать пользователь, прежде чем он сможет повторно применить использовавшийся ранее пароль. По умолчанию эта политика определена и требует ввода трех новых паролей, прежде чем повторно использовать старый пароль. Допускается значение от 0 до 24 уникальных паролей. Эта политика позволяет администраторам повышать уровень безопасности за счет того, что старые пароли не будут использоваться непрерывно. Если пароль должен изменяться, то некоторые пользователи все время чередуют пароль A и пароль B. Если один из этих паролей распознан (или украден), то при следующем переходе пользователя на этот пароль злоумышленник сможет выполнить вход. Требование ввода нескольких уникальных паролей, прежде можно будет повторить ранее использовавшийся пароль, снижает вероятность того, что злоумышленник сможет выполнить вход под именем этого пользователя.
Эта политика определяет количество дней использования пароля, после которых пользователь должен будет изменить его. Допускаются значения от 1 до 999. Значение по умолчанию - 0, и оно означает, что срок действия паролей не ограничен. Если вы задаете любое значение, отличное от 0, то оно должно быть больше, чем значение минимального срока действия паролей (см. следующий раздел). Но если вы оставили максимальный срок действия равным 0, то минимальный срок действия должен быть значением от 0 до 998 дней.
Эта политика определяет количество дней, в течение которых должен использоваться пароль, прежде чем пользователь сможет изменить его. Вы можете задать любое значение от 1 до 998 или оставить значение по умолчанию 0, если хотите разрешить изменения по желанию пользователя. Проследите, чтобы это значение было меньше максимального срока действия паролей (если значение максимального срока не задано равным 0).
Эта политика определяет минимальное количество символов, которое может иметь пароль. Вы можете задать значение от 1 до 14 символов. Если оставить значение по умолчанию, равное 0, то вы фактически сообщаете пользователям, что можно не указывать пароли, поскольку без минимальной длины разрешается пустой пароль (их также часто называют нуль-паролями).
Именно здесь вы повышаете уровень безопасности паролей. Включение этой политики означает, что вы налагаете требование сильных паролей. Все пароли должны отвечать следующим требованиям.
- Он не может содержать частично (или полностью) имя из учетной записи пользователя.
- Он должен содержать не менее шести символов.
- Он должен содержать символы, по крайней мере, из трех категорий среди следующих четырех категорий:
- английские прописные буквы (от A до Z);
- английские строчные буквы (от a до z);
- цифры от 0 до 9;
- неалфавитные символы (например, !, $, #, %).
Блокировки по неверным паролям
Включение какой-либо политики блокировки означает, что пользовательская учетная запись блокируется от сети, если неверный пароль введен определенное число раз за определенный период. Это, возможно, поможет вам воспрепятствовать доступу к вашей сети хакеров, которые пытаются "угадать" какой-либо пользовательский пароль.
Но прежде чем прибегнуть к этому средству безопасности, учтите, какую цену вы платите, когда блокированный пользователь оказывается сотрудником, который забыл свой пароль или плохо работает с клавиатурой. Этот сценарий наиболее часто вызывает блокировку. Если активизирована политика блокировки, то у вас есть два способа на тот случай, когда блокирован допустимый пользователь.
- Пусть этот пользователь подождет, пока не пройдет заданный промежуток времени, после чего блокировка будет снята. Это нежелательно, поскольку за это время пользователь ничего не сделает для компании. Кроме того, если пользователь не может вспомнить пароль, то последующие попытки, видимо, тоже не дадут результата.
- Прекратить то, что вы делаете, и выполнить шаги, необходимые для снятия блокировки вручную. Это нелегкая задача.
Вы можете активизировать и конфигурировать блокировки для домена, OU или локального компьютера.
Чтобы активизировать и сконфигурировать блокировки для домена или организационной единицы (OU), откройте редактор групповых политик (GPE) и раскройте дерево консоли до уровня Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policy. В правой панели сконфигурируйте политики, которые описаны в этом разделе. Вы можете конфигурировать эти политики в любом порядке, и как только вы сконфигурировали одну политику, система автоматически задает две другие политики, используя подходящие для этого опции. Вы можете изменить автоматические настройки, открыв нужную политику и задав свои собственные значения.
Account Lockout Duration (Длительность блокировки учетной записи).Количество минут, в течение которых учетная запись остается блокированной, прежде чем произойдет ее автоматическое разблокирование. Допустимый диапазон автоматического разблокирования - от 1 минуты до 99999 минут. Включите эту политику и задайте длительность, равную 0, чтобы указать, что учетная запись должна разблокироваться вручную администратором.
Account Lockout Threshold (Предельное число попыток перед блокировкой учетной записи).Это количество неудачных попыток входа, после которых происходит блокировка учетной записи. Допустимые значения - от 1 до 999.Если задать значение 0, то учетная запись никогда не будет блокироваться. Ввод неверного пароля на рабочих станциях или рядовых серверах, который был сброшен с помощью комбинации CTRL-ALT-DELETE или путем запуска защищенной паролем заставки (screen saver), тоже засчитывается как неудачная попытка входа.
Reset Account Lockout Counter After (Сброс счетчика попыток через).Это длительность интервала в минутах, который должен пройти после неудачной попытки входа, чтобы произошел сброс (установка в 0) счетчика неудачных попыток входа. Задайте значение от 1 минуты до 99999 минут. Максимальное значение счетчика должно быть не больше значения для Account Lockout Duration.
Чтобы активизировать и сконфигурировать блокировки для компьютера (рабочей станции или рядового сервера), откройте оснастку Local Security Policy (Локальная политика безопасности) из меню Administrative Tools. В дереве консоли раскройте объекты до уровня Account Policies\Account Lockout Policy. В правой панели сконфигурируйте настройки, как это описано в предыдущем разделе.
Если пользовательская учетная запись блокирована, то Windows Server 2003 выводит следующее сообщение: "Unable to log you on because your account has been locked out, please contact your administrator" (Вы не можете выполнить вход, потому что ваша учетная запись была блокирована, пожалуйста, обратитесь к своему администратору).
После обращения этого пользователя (который может быть смущен или зол в зависимости от его характера) вам нужно разблокировать его учетную запись. Но если пользователь забыл свой пароль и собирается продолжить его "угадывание", что вызовет снова блокировку учетной записи, то ее разблокирование не поможет. Поэтому вы должны сбросить этот пароль и предоставить пользователю новый пароль.
Обновление пользовательского пароля.Чтобы выполнить обновление пользовательского пароля, щелкните правой кнопкой на записи этого пользователя в оснастке Active Directory Users and Computers и выберите пункт Reset Password (Обновить пароль). (Для локальной учетной записи используйте оснастку Computer Management (Local).) Введите новый пароль, подтвердите его и щелкните на кнопке OK. Вы можете также установить флажок User must change password at next logon.
Обновление пользовательского пароля имеет некоторые негативные побочные эффекты. Теряется следующая информация пользователя.
- Все файлы, которые шифровал этот пользователь.
- Пароли интернет, которые сохраняются на локальном компьютере.
- Сообщения электронной почты, которые шифруются открытым ключом этого пользователя.
Для учетных записей локального компьютера вы можете создать и использовать диск обновления пароля, который позволяет не терять информацию пользователя. См. следующий раздел "Диск обновления пароля".
Разблокирование блокированной учетной записи.Чтобы разблокировать блокированную учетную запись, дважды щелкните на записи этого пользователя в оснастке Active Directory Users and Computers и перейдите во вкладку Account. (Для локальной учетной записи используйте оснастку Computer Management (Local).) Рядом с надписью The account is locked out (Учетная запись блокирована) будет установлен флажок. Щелкните на этом флажке, чтобы сбросить его, и щелкните на кнопке OK.