Na zabezpečenie vysokej úrovne bezpečnosti účtov v doméne Active Directory musí správca nakonfigurovať a implementovať politiku hesiel, ktorá poskytuje dostatočnú komplexnosť, dĺžku hesla a frekvenciu zmien hesla pre používateľov a účty služieb. Preto je možné útočníkovi skomplikovať možnosť vybrať alebo zachytiť užívateľské heslá.
Štandardne sa v doméne AD konfigurujú jednotné požiadavky na heslá používateľov pomocou skupinových politík. Zásada hesla hesiel doménových účtov je nakonfigurovaná v politike Predvolená politika domény.
- Ak chcete nakonfigurovať politiku hesiel, otvorte konzolu správy GPO domény (Konzola na správu skupinovej politiky - gpmc.msc).
- Rozšírte svoju doménu a vyhľadajte pravidlá Predvolená politika domény. Kliknite pravým tlačidlom myši a vyberte editovať.
- Zásady týkajúce sa hesiel sú v nasledujúcej časti editora GPO: Konfigurácia počítača -> Konfigurácia Windows -> Nastavenia zabezpečenia -> Zásady účtu -> Zásady hesla (Konfigurácia počítača-> Nastavenia systému Windows-> Nastavenia zabezpečenia -> Zásady účtu -> Zásady hesla).
- Ak chcete upraviť nastavenia požadovanej politiky, dvakrát na ňu kliknite. Ak chcete povoliť politiku, začiarknite políčko. Definujte tieto nastavenia politiky a zadajte potrebné nastavenie (v príklade na snímke obrazovky nastavím minimálnu dĺžku hesla používateľa na 8 znakov). Uložte zmeny.
- Nové nastavenia politiky hesiel sa budú po určitý čas (90 minút), keď sa počítač spustí, aplikovať na všetky počítače domény v pozadí, alebo ich môžete okamžite použiť spustením príkazu gpupdate / force.
Teraz zvážte všetky nastavenia správy hesiel, ktoré sú k dispozícii pre konfiguráciu. Celkovo existuje šesť zásad týkajúcich sa hesla:
- Vedenie denníka hesiel (Vynútiť históriu hesiel) - určuje počet starých hesiel uložených v službe AD, čo bráni používateľovi v opätovnom použití starého hesla.
- Maximálny vek hesla - určuje dobu platnosti hesla v dňoch. Po uplynutí tejto doby bude systém vyžadovať, aby užívateľ zmenil heslo. Poskytuje používateľom pravidelné zmeny hesla.
- Minimálny vek hesla - ako často môžu používatelia meniť svoje heslo. Tento parameter neumožňuje používateľovi zmeniť heslo niekoľkokrát za sebou, aby sa vrátil k obľúbenému starému heslu prepísaním hesiel v protokole histórie hesiel. Spravidla sa opúšťa jeden deň, aby sa používateľovi umožnilo zmeniť heslo v prípade, že dôjde k ohrozeniu používateľa (v opačnom prípade bude musieť heslo zmeniť)..
- Minimálna dĺžka hesla - Neodporúča sa, aby bolo heslo kratšie ako 8 znakov (ak tu zadáte 0, heslo sa nevyžaduje).
- Heslo musí spĺňať požiadavky na zložitosť - ak je táto zásada povolená, je používateľovi zakázané používať v účte meno svojho účtu (nie viac ako dva znaky v riadku od užívateľského mena alebo krstného mena), tiež heslo musí používať 3 typy znakov z nasledujúceho zoznamu: čísla (0 - 9), veľké písmená, malé písmená, špeciálne znaky ($, #,% atď.). Okrem toho, aby sa vylúčilo používanie jednoduchých hesiel (zo slovníka populárnych hesiel), odporúča sa pravidelne kontrolovať heslá doménových účtov..
- Ukladajte heslá pomocou reverzibilného šifrovania - heslá používateľov v databáze AD sú uložené v šifrovanej forme, ale v niektorých prípadoch musia niektoré aplikácie poskytovať prístup k heslám v doméne. Ak povolíte túto politiku, heslá sa uložia v menej bezpečnej forme (v podstate otvorenej), čo nie je bezpečné (ak dôjde ku kompromitácii DC, môžete získať prístup k databáze hesiel, ako jedno z ochranných opatrení môžete použiť RODC).
Okrem toho musíte osobitne zvýrazniť nastavenia v sekcii GPO: Zásady hesla pre zablokovanie účtu:
- Prah blokovania účtu - Koľko pokusov o zadanie nesprávneho hesla môže používateľ vykonať pred zablokovaním svojho účtu.
- Trvanie blokovania účtu - ako dlho trvá zablokovanie účtu (zablokovaný prístup), ak používateľ niekoľkokrát zadal nesprávne heslo.
- Čas do vynulovania počítadla blokovania účtu po - o koľko minút po zadaní posledného nesprávneho hesla sa vynuluje počítadlo prahu blokovania účtu. Ak sú účty blokované príliš často, nájdete zdroj zámku, takže.
Predvolené nastavenia politiky hesla domény AD sú uvedené v tabuľke:
politika | Predvolená hodnota |
Vynútiť históriu hesiel | 24 hesiel |
Maximálny vek hesla | 42 dní |
Minimálny vek hesla | 1 deň |
Minimálna dĺžka hesla | 7 |
Heslo musí spĺňať požiadavky na zložitosť | zahrnuté |
Ukladajte heslá pomocou reverzibilného šifrovania | invalidný |
Trvanie blokovania účtu | Nie je definované |
Prah blokovania účtu | 0 |
Obnoviť počítadlo blokovania účtu po | Nie je definované |
V doméne môže existovať iba jedna takáto politika hesiel, ktorá sa používa v koreňovom adresári domény (samozrejme, sú tu nuansy, ale o nich viac). Ak použijete politiku hesiel na OU, jej nastavenia budú ignorované. Radič domény, vlastník role emulátora FSMO PDC, je zodpovedný za správu politiky hesla domény. Táto zásada sa vzťahuje na počítače domény, nie na používateľov. Ak chcete upraviť nastavenia predvolenej politiky domény, musíte mať práva správcu domény.
Nastavenia politiky skupiny pre správu hesiel sa vzťahujú na všetkých používateľov a počítače v doméne. Ak potrebujete vytvoriť samostatné politiky pre heslá pre rôzne skupiny používateľov, musíte použiť samostatnú funkciu jemných pravidiel pre heslá, ktorá sa objavila v AD Windows Server 2008. Zásady týkajúce sa podrobného hesla vám umožňujú napríklad určiť zvýšenú dĺžku alebo zložitosť hesiel pre účty správcov. (pozri článok o ochrane administratívnych účtov v službe AD) alebo naopak, zjednodušte (zakážte) heslo pre niektoré účty.
V pracovnej skupine budú musieť byť politiky hesiel nakonfigurované na každom počítači osobitne pomocou miestneho editora GPO - gpedit.msc, alebo môžete preniesť nastavenia pre miestne GPO medzi takéto počítače.