A magas szintű biztonság biztosítása érdekében az Active Directory tartományban lévő fiókok számára az adminisztrátornak konfigurálnia kell és végre kell hajtania egy olyan jelszavas házirendet, amely elegendő bonyolultságot, hosszúságot és jelszóváltási gyakoriságot biztosít a felhasználók és a szolgáltatási fiókok számára. Így a támadó bonyolíthatja a felhasználói jelszavak kiválasztásának vagy elfogásának a képességét.
Alapértelmezés szerint az AD tartományban a felhasználói jelszavakra vonatkozó egységes követelmények csoportszabályok használatával vannak konfigurálva. A tartományi fiókok jelszó házirendje a házirendben van konfigurálva Alapértelmezett domain házirend.
- Jelszó házirend konfigurálásához nyissa meg a tartomány GPO felügyeleti konzolt (Csoportházirend-kezelő konzol - gpmc.msc).
- Bontsa ki domainjét, és keresse meg az irányelvet Alapértelmezett domain házirend. Kattintson a jobb gombbal és válassza a lehetőséget szerkesztése.
- A jelszavas házirendek a GPO-szerkesztő következő szakaszában találhatók: Számítógépes konfiguráció -> Windows konfiguráció -> Biztonsági beállítások -> Fiók házirendek -> Jelszó házirend (Számítógépes konfiguráció-> Windows beállítások-> Biztonsági beállítások -> Fiókkezelési házirendek -> Jelszószabályok).
- A kívánt házirend beállításainak szerkesztéséhez kattintson rá duplán. A házirend engedélyezéséhez jelölje be a négyzetet. Adja meg a házirend-beállításokat és adja meg a szükséges beállítást (a képernyőképen látható példában a felhasználói jelszó minimális hosszát 8 karakterre állítottam). Mentés a változásokra.
- Az új jelszó-házirend-beállításokat a háttérben lévő összes tartományi számítógépre egy ideig (90 perc) alkalmazni kell, amikor a számítógép elindul, vagy a beállításokat azonnal alkalmazhatja a gpupdate / force parancs futtatásával..
Most fontolja meg az összes jelszókezelési beállítást, amely a konfigurációhoz elérhető. Összesen hat jelszavas házirend van:
- Jelszónapló megőrzése (Jelszóelőzmények érvényesítése) - meghatározza az AD-ben tárolt régi jelszavak számát, megakadályozva a felhasználót, hogy újrafelhasználja a régi jelszót.
- A jelszó maximális életkora - meghatározza a jelszó érvényességi idejét napokban. Ezen idő elteltével a rendszer megköveteli a felhasználótól a jelszó megváltoztatását. Rendszeresen módosítja a jelszavakat a felhasználók számára.
- Minimális jelszókor - milyen gyakran tudják a felhasználók megváltoztatni a jelszavukat. Ez a paraméter nem engedi meg a felhasználónak, hogy többször egymás után megváltoztassa a jelszót, hogy visszatérjen a kedvenc régi jelszóhoz a Jelszóelőzmények naplójában szereplő jelszavak felülírásával. Általában érdemes itt 1 napot hagyni, hogy a felhasználó megváltoztassa a jelszavát, ha veszélybe kerül (ellenkező esetben a rendszergazdának meg kell változtatnia a jelszót)..
- Minimális jelszóhossz - Nem javasoljuk, hogy a jelszó 8 karakternél rövidebb legyen (ha itt ad meg 0, akkor a jelszó nem szükséges).
- A jelszónak meg kell felelnie a bonyolultsági követelményeknek - amikor engedélyezi ezt a házirendet, a felhasználónak tilos fiókjának nevét használni a jelszóban (legfeljebb két karakter lehet a felhasználónévből vagy az utónévből), a jelszónak a következő listából 3 típusú karaktert kell használnia: számjegyek (0–9), nagybetűk, kisbetűk, speciális karakterek ($, #,%, stb.). Ezen túlmenően az egyszerű jelszavak (a népszerű jelszavak szótárából való kizárás) kizárása érdekében ajánlatos időszakonként ellenőrizni a domain fiókok jelszavait..
- Tárolja a jelszavakat reverzibilis titkosítással - Az AD adatbázis felhasználói jelszavait titkosított formában tárolják, de bizonyos esetekben egyes alkalmazásoknak hozzáférést kell biztosítaniuk a tartományban található jelszavakhoz. Amikor engedélyezi ezt a házirendet, a jelszavakat kevésbé biztonságos formában (alapvetően nyitott formában) tárolja, ami nem biztonságos (a jelszó-adatbázishoz hozzáférhet, ha a DC sérült, az RODC-t használhatja az egyik védelmi intézkedésként)..
Ezenkívül külön kell kiemelnie a beállításokat a GPO szakaszban: Fiók zárolási jelszó házirendje:
- Fiók zárolási küszöb - hány alkalommal próbálhat helytelen jelszót beírni, mielőtt fiókját letiltja.
- A fiók zárolásának időtartama - meddig tart egy fiók blokkolása (hozzáférés blokkolása), ha a felhasználó többször hibás jelszót adott meg.
- A fiók zárolási számlálójának visszaállítása utáni idő - hány perccel az utolsó helytelen jelszó beírása után a számla zárolási küszöbérték-számlálója nullázódik. Ha a fiókokat túl gyakran blokkolják, megtalálja a zárolás forrását,.
Az alapértelmezett AD domain jelszó házirend-beállításait a táblázat tartalmazza:
politika | Alapértelmezett érték |
A jelszóelőzmények érvényesítése | 24 jelszó |
A jelszó maximális életkora | 42 nap |
Minimális jelszókor | 1 nap |
Minimális jelszóhossz | 7 |
A jelszónak meg kell felelnie a bonyolultsági követelményeknek | beleértve |
Tárolja a jelszavakat reverzibilis titkosítással | mozgássérült |
A fiók zárolásának időtartama | Nincs meghatározva |
Fiók zárolási küszöb | 0 |
Nullázza a fiók zárolási számlálóját utána | Nincs meghatározva |
Csak egy ilyen jelszó-házirend lehet egy tartományban, amelyet a domain gyökérére alkalmaznak (természetesen vannak árnyalatok, de az alábbiakban részletesebben). Ha jelszószabályt alkalmaz az OU-n, akkor annak beállításait nem veszik figyelembe. A tartományvezérlő, az FSMO PDC Emulator szerep tulajdonosa, felelős a domain jelszó házirendjének kezeléséért. Az irányelv a domain számítógépekre vonatkozik, nem a felhasználókra. Az alapértelmezett domain házirend-beállítások szerkesztéséhez domain-rendszergazdai jogokkal kell rendelkeznie.
A jelszókezelési csoport házirend-beállításai a domain összes felhasználójára és számítógépére vonatkoznak. Ha külön felhasználói jelszó-házirendeket kell létrehoznia a különféle felhasználói csoportok számára, akkor az AD Windows Server 2008-ban megjelenő különálló finomszintű jelszó-házirendek funkciót kell használnia. A granulált jelszó-házirendek lehetővé teszik például a rendszergazdai fiókok jelszavak megnövekedett hosszúságának vagy összetettségének meghatározását. (lásd az AD adminisztrátori fiókok védelméről szóló cikket), vagy fordítva, egyszerűsítse (tiltsa le) néhány fiók jelszavát.
A munkacsoportban a jelszavas házirendeket minden számítógépen külön-külön be kell állítani a helyi GPO-szerkesztő segítségével - gpedit.msc, vagy a helyi GPO-k beállításait át lehet vinni a számítógépek között.