Политика паролей
Общие сведения о политиках паролей для Windows и ссылки на сведения для каждого параметра политики.
Во многих операционных системах наиболее распространенным методом проверки подлинности удостоверения пользователя является использование секретной парольной фразы или пароля. Безопасная сетевая среда требует, чтобы все пользователи использовали надежные пароли, которые содержат не менее восьми символов и включают сочетание букв, цифр и символов. Эти пароли помогают предотвратить компрометацию учетных записей пользователей и административных учетных записей неавторизованных пользователей, которые используют ручные методы или автоматизированные средства для угадывание слабых паролей. Надежные пароли, которые регулярно изменяются, снижают вероятность успешной атаки паролем.
Появилась в Windows Server 2008 R2 и Windows Server 2008, Windows поддерживает детализированные политики паролей. Эта функция позволяет организациям определять различные политики блокировки паролей и учетных записей для разных наборов пользователей в домене. Детализированные политики паролей применяются только к объектам пользователей (или объектам inetOrgPerson, если они используются вместо пользовательских объектов) и глобальным группам безопасности. Дополнительные сведения см. в разделе Ad DS Fine-Grained пошаговые инструкции по политике блокировки паролей и учетных записей.
Чтобы применить детализированную политику паролей к пользователям подразделения, можно использовать группу теней. Теневая группа — это глобальная группа безопасности, которая логически сопоставляется с подразделением для применения детальной политики паролей. Вы добавляете пользователей подразделения в качестве членов только что созданной теневой группы, а затем применяете детальную политику паролей к этой теневой группе. При необходимости можно создать дополнительные группы тени для других подразделений. При перемещении пользователя из одного подразделения в другое необходимо обновить членство в соответствующих теневых группах.
Детализированные политики паролей включают атрибуты для всех параметров, которые могут быть определены в политике домена по умолчанию (кроме параметров Kerberos) в дополнение к параметрам блокировки учетных записей. При указании детальной политики паролей необходимо указать все эти параметры. По умолчанию только члены группы «Администраторы домена» могут задавать детализированные политики паролей. Однако вы также можете делегировать возможность задания этих политик другим пользователям. Домен должен работать под управлением по крайней мере Windows Server 2008 R2 или Windows Server 2008, чтобы использовать детализированные политики паролей. Детализированные политики паролей не могут применяться к подразделению напрямую.
Вы можете принудительно использовать надежные пароли с помощью соответствующей политики паролей. Существуют параметры политики паролей, которые определяют сложность и время существования паролей, например параметр политики Пароли должны соответствовать требованиям к сложности .
Параметры политики паролей можно настроить в следующем расположении с помощью консоли управления групповая политика:
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика паролей
Эта групповая политика применяется на уровне домена. Если для отдельных групп требуются отдельные политики паролей, рекомендуется использовать детализированные политики паролей, как описано выше.
В следующих разделах рассматриваются рекомендации по реализации политики паролей, расположение политики, значения по умолчанию для типа сервера или объекта групповой политики, соответствующие различия в версиях операционной системы, рекомендации по безопасности (включая возможные уязвимости каждого параметра), возможные контрмеры и возможные последствия для каждого параметра.
В этом разделе
| Статья | Описание |
|---|---|
| Вести журнал паролей | Описывает рекомендации, расположение, значения, управление политиками и рекомендации по обеспечению безопасности для параметра политики принудительного использования журнала паролей . |
| Максимальный срок действия пароля | Описывает рекомендации, расположение, значения, управление политиками и рекомендации по безопасности для параметра политики безопасности Максимальный срок действия пароля . |
| Минимальный срок действия пароля | Описывает рекомендации, расположение, значения, управление политиками и рекомендации по безопасности для параметра политики безопасности Минимальный срок действия пароля . |
| Минимальная длина пароля | Описывает рекомендации, расположение, значения, управление политиками и рекомендации по безопасности для параметра политики безопасности минимальная длина пароля . |
| Пароль должен соответствовать требованиям к сложности | Содержит описание рекомендаций, расположения, значений и соображений безопасности параметра политики безопасности Пароль должен соответствовать требованиям к сложности. |
| Хранить пароли, используя обратимое шифрование | Описывает рекомендации, расположение, значения и рекомендации по безопасности для параметра политики безопасности «Хранение паролей с использованием обратимого шифрования «. |
Связанные статьи
- Настройка параметров политики безопасности
Максимальный срок действия пароля
Описывает рекомендации, расположение, значения, управление политиками и рекомендации по безопасности для параметра политики безопасности Максимальный срок действия пароля .
Справочные материалы
Параметр политики Максимальный срок действия пароля определяет период времени (в днях), в течение которых можно использовать пароль, прежде чем система потребует от пользователя изменить его. Вы можете задать срок действия паролей через определенное количество дней от 1 до 999 или указать, что срок действия паролей никогда не истекает, установив для параметра число дней 0. Если максимальный срок действия пароля составляет от 1 до 999 дней, минимальный возраст пароля должен быть меньше максимального возраста пароля. Если максимальный срок действия пароля равен 0, минимальный срок действия пароля может быть любым значением в диапазоне от 0 до 998 дней.
Примечание: Установка параметра Максимальный срок действия пароля -1 эквивалентна 0, что означает, что срок действия пароля никогда не истечет. Задание для него любого другого отрицательного числа эквивалентно присвоению ему значения Not Defined.
Возможные значения
- Указанное пользователем число дней в диапазоне от 0 до 999
- Не определено
Рекомендации
Задайте максимальный срок действия пароля в диапазоне от 30 до 90 дней в зависимости от среды. Таким образом, злоумышленник имеет ограниченное время, в течение которого он может скомпрометировать пароль пользователя и получить доступ к вашим сетевым ресурсам.
Базовые показатели безопасности, рекомендованные Майкрософт, не содержат политику истечения срока действия паролей, так как она менее эффективна, чем современные средства устранения рисков. Однако компании, которые не реализовали Azure AD защиты паролем, многофакторной проверки подлинности или других современных средств защиты от атак с угадыванием паролей, должны оставить эту политику в силе.
Location
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика паролей
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.
| Тип сервера или объект групповой политики (GPO) | Значение по умолчанию |
|---|---|
| Политика домена по умолчанию | 42 дня |
| Политика контроллера домена по умолчанию | Не определено |
| Параметры по умолчанию для автономного сервера | 42 дня |
| Действующие параметры по умолчанию для контроллера домена | 42 дня |
| Действующие параметры по умолчанию для рядового сервера | 42 дня |
| Действующие параметры GPO по умолчанию на клиентских компьютерах | 42 дня |
Управление политикой
В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.
Необходимость перезапуска
Нет. Изменения этой политики вступает в силу без перезагрузки компьютера, когда они сохраняются локально или распространяются через групповая политика.
Вопросы безопасности
В этом разделе описывается, как злоумышленник может использовать функцию или ее конфигурацию, как реализовать контрмеры и возможные негативные последствия реализации.
Уязвимость
Чем дольше существует пароль, тем выше вероятность того, что он будет скомпрометирован атакой методом подбора, злоумышленник получит общие знания о пользователе или пользователь будет совместно использовать пароль. Настройка параметра политики «Максимальный срок действия пароля » на 0, чтобы пользователи никогда не изменяли свои пароли, позволяет злоумышленнику использовать скомпрометированный пароль до тех пор, пока действительный пользователь имеет авторизованный доступ.
Соображения
Санкционированные изменения паролей являются давней практикой безопасности, но текущие исследования убедительно показывают, что истечение срока действия пароля оказывает негативное влияние. Дополнительные сведения см. в разделе Руководство по паролю Майкрософт.
Настройте для параметра политики Максимальный срок действия пароля значение, соответствующее бизнес-требованиям вашей организации. Например, многие организации имеют требования к соответствию или страхованию, требующие короткого срока действия паролей. Если такое требование существует, параметр политики Максимальный срок действия пароля можно использовать для удовлетворения бизнес-требований.
Возможное влияние
Если параметр политики «Максимальный срок действия пароля » слишком низок, пользователи должны часто менять свои пароли. Такая конфигурация может снизить безопасность в организации, так как пользователи могут хранить пароли в незащищенном расположении или потерять их. Если значение этого параметра политики слишком велико, уровень безопасности в организации снижается, так как это позволяет потенциальным злоумышленникам больше времени для обнаружения паролей пользователей или использования скомпрометированных учетных записей.
Связанные статьи
- Политика паролей
Минимальный срок действия пароля
Описывает рекомендации, расположение, значения, управление политиками и рекомендации по безопасности для параметра политики безопасности Минимальный срок действия пароля .
Справочные материалы
Параметр политики Минимальный срок действия пароля определяет период времени (в днях), в течение которых пароль должен быть использован, прежде чем пользователь сможет его изменить. Можно задать значение от 1 до 998 дней или сразу же разрешить изменение пароля, задав количество дней равным 0. Минимальный срок действия пароля должен быть меньше максимального срока действия пароля, если для максимального срока действия пароля не задано значение 0, что означает, что срок действия паролей никогда не истечет. Если максимальный срок действия пароля равен 0, для минимального возраста пароля можно задать любое значение от 0 до 998.
Возможные значения
- Указанное пользователем число дней в диапазоне от 0 до 998
- Не определено
Рекомендации
В базовых планах безопасности Windows рекомендуется установить минимальный срок действия пароля в один день.
Установка числа дней в 0 позволяет немедленно изменить пароль. Этот параметр не рекомендуется. Объединение немедленных изменений паролей с журналом паролей позволяет пользователю многократно менять пароль до тех пор, пока не будет выполнено требование к журналу паролей, и повторно установить исходный пароль. Например, предположим, что пароль имеет значение «Ra1ny day!», а требование журнала — 24. Если минимальный срок действия пароля равен 0, пароль можно изменить 24 раза подряд, пока, наконец, не измените его на «Ra1ny day!». Это предотвращается при минимальном сроке действия пароля в 1 день.
Если вы задаете пароль для пользователя и хотите, чтобы этот пользователь изменил пароль, определенный администратором, необходимо установить флажок Пользователь должен изменить пароль при следующем входе . В противном случае пользователь не сможет изменить пароль до тех пор, пока не будет указано число дней, указанное в параметре Минимальный срок действия пароля.
Location
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика паролей
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.
| Тип сервера или объект групповой политики (GPO) | Значение по умолчанию |
|---|---|
| Политика домена по умолчанию | 1 день; |
| Политика контроллера домена по умолчанию | Не определено |
| Параметры по умолчанию для автономного сервера | 0 дней |
| Действующие параметры по умолчанию для контроллера домена | 1 день; |
| Действующие параметры по умолчанию для рядового сервера | 1 день; |
| Действующие параметры GPO по умолчанию на клиентских компьютерах | 1 день; |
Управление политикой
В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.
Необходимость перезапуска
Нет. Изменения этой политики вступает в силу без перезагрузки компьютера, когда они сохраняются локально или распространяются через групповая политика.
Вопросы безопасности
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.
Уязвимость
Пользователи могут иметь избранные пароли, которые они любят использовать, потому что их легко запомнить и они считают, что их выбор пароля защищен от компрометации. К сожалению, пароли могут быть скомпрометированы, и если злоумышленник нацелен на конкретную учетную запись пользователя, зная данные об этом пользователе, повторное использование старых паролей может привести к нарушению безопасности.
Чтобы устранить проблему повторного использования пароля, необходимо использовать сочетание параметров безопасности. Использование этого параметра политики с параметром политики Принудительное использование журнала паролей предотвращает простое повторное использование старых паролей. Например, если вы настроите параметр политики Принудительное использование журнала паролей, чтобы пользователи не могли повторно использовать свои последние 12 паролей, но не настроите параметр политики Минимальный возраст паролей числом, превышающим 0, пользователи могут изменить пароль 13 раз в течение нескольких минут и повторно использовать исходный пароль. Настройте этот параметр политики на число больше 0, чтобы параметр политики Принудительно использовать журнал паролей.
Противодействие
Настройте параметр политики минимальный срок действия пароля значением 1 день. Пользователи должны знать об этом ограничении и обращаться в службу поддержки, чтобы быстрее изменить пароль. Если вы настроите число дней до 0, будет разрешена немедленная смена пароля, что мы не рекомендуем.
Возможное влияние
Если вы задаете пароль для пользователя, но хотите, чтобы этот пользователь изменил пароль при первом входе пользователя, администратор должен установить флажок Пользователь должен изменить пароль при следующем входе в систему , иначе пользователь не сможет изменить пароль до следующего дня.
Связанные статьи
- Политика паролей