Политика паролей Password Policy

Относится к: Applies to

Обзор политик паролей для Windows и ссылки на сведения для каждого параметра политики. An overview of password policies for Windows and links to information for each policy setting.

Во многих операционных системах самым распространенным методом проверки подлинности пользователя является использование секретной passphrase или пароля. In many operating systems, the most common method to authenticate a user’s identity is to use a secret passphrase or password. Для безопасной сетевой среды всем пользователям необходимо использовать надежные пароли, которые имеют по крайней мере восемь символов и включают сочетание букв, номеров и символов. A secure network environment requires all users to use strong passwords, which have at least eight characters and include a combination of letters, numbers, and symbols. Эти пароли помогают предотвратить компрометации учетных записей пользователей и административных учетных записей несанкционированными пользователями, которые используют методы вручную или автоматические средства для угадать слабые пароли. These passwords help prevent the compromise of user accounts and administrative accounts by unauthorized users who use manual methods or automated tools to guess weak passwords. Надежные пароли, которые регулярно меняются, уменьшают вероятность успешной атаки пароля. Strong passwords that are changed regularly reduce the likelihood of a successful password attack.

Windows, представленная Windows Server 2008 R2 Windows Server 2008, поддерживает политики точного пароля. Introduced in Windows Server 2008 R2 and Windows Server 2008, Windows supports fine-grained password policies. Эта функция позволяет организациям определять различные политики блокировки паролей и учетных записей для различных наборов пользователей в домене. This feature provides organizations with a way to define different password and account lockout policies for different sets of users in a domain. Мелкозернистые политики паролей применяются только к объектам пользователей (или объектам inetOrgPerson, если они используются вместо объектов пользователей) и глобальным группам безопасности. Fine-grained password policies apply only to user objects (or inetOrgPerson objects if they are used instead of user objects) and global security groups. Дополнительные сведения см. в руководстве AD DS Fine-Grained пароль и политика блокировки учетных записей пошаговая. For more details, see AD DS Fine-Grained Password and Account Lockout Policy Step-by-Step Guide.

Чтобы применить политику точного пароля к пользователям OU, можно использовать группу теней. To apply a fine-grained password policy to users of an OU, you can use a shadow group. Теневая группа — это глобальная группа безопасности, которая логически соедуется с OU для применения политики точного пароля. A shadow group is a global security group that is logically mapped to an OU to enforce a fine-grained password policy. Вы добавляете пользователей OU в состав недавно созданной теневой группы, а затем применяйте политику точного пароля к этой теневой группе. You add users of the OU as members of the newly created shadow group and then apply the fine-grained password policy to this shadow group. При необходимости можно создать дополнительные группы теней для других OUs. You can create additional shadow groups for other OUs as needed. При переходе пользователя из одного OU в другой необходимо обновить членство соответствующих теневых групп. If you move a user from one OU to another, you must update the membership of the corresponding shadow groups.

Мелкозернистые политики паролей включают атрибуты для всех параметров, которые можно определить в политике домена по умолчанию (кроме параметров Kerberos) в дополнение к настройкам блокировки учетной записи. Fine-grained password policies include attributes for all the settings that can be defined in the default domain policy (except Kerberos settings) in addition to account lockout settings. При указании политики точного пароля необходимо указать все эти параметры. When you specify a fine-grained password policy, you must specify all of these settings. По умолчанию политики паролей могут устанавливаться только членами группы администраторов домена. By default, only members of the Domain Admins group can set fine-grained password policies. Однако вы также можете делегировать возможность устанавливать эти политики другим пользователям. However, you can also delegate the ability to set these policies to other users. Домен должен работать по крайней мере Windows Server 2008 R2 Windows Server 2008, чтобы использовать мелкозернистые политики паролей. The domain must be running at least Windows Server 2008 R2 or Windows Server 2008 to use fine-grained password policies. Политики точного пароля не могут применяться непосредственно к организационному подразделению (OU). Fine-grained password policies cannot be applied to an organizational unit (OU) directly.

Использование надежных паролей можно применять с помощью соответствующей политики паролей. You can enforce the use of strong passwords through an appropriate password policy. Существуют параметры политики паролей, которые контролируют сложность и **** срок службы паролей, например, пароли должны соответствовать требованиям политики сложности. There are password policy settings that control the complexity and lifetime of passwords, such as the Passwords must meet complexity requirements policy setting.

Параметры политики паролей можно настроить в следующем расположении с помощью консоли управления групповой политикой: You can configure the password policy settings in the following location by using the Group Policy Management Console:

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетной записи\Политика паролей Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy

Эта политика группы применяется на уровне домена. This group policy is applied on the domain level. Если отдельным группам требуются отдельные политики паролей, рассмотрите возможность использования мелкозернистой политики паролей, как описано выше. If individual groups require distinct password policies, consider using fine-grained password policies, as described above.

В следующих темах рассматриваются соображения реализации политики паролей и наилучшей практики, расположение политики, значения по умолчанию для типа сервера или GPO, соответствующие различия в версиях операционной системы, соображения безопасности (в том числе возможные уязвимости каждого параметра), меры противодействия, которые можно принять, а также возможные последствия для каждого параметра. The following topics provide a discussion of password policy implementation and best practices considerations, policy location, default values for the server type or GPO, relevant differences in operating system versions, security considerations (including the possible vulnerabilities of each setting), countermeasures that you can take, and the potential impact for each setting.

Изменение политики паролей в Windows Server 2012 R2

Ниже приведена небольшая инструкция об изменении политики паролей в Microsoft Windows Server 2012 R2.
По умолчанию политика паролей определена таким образом, что все пароли учетных записей пользователей должны удовлетворять следующим требованиям:

1. Не содержать имени учетной записи пользователя или частей полного имени пользователя длиной более двух рядом стоящих знаков.
2. Иметь длину не менее 6 знаков.
3. Содержать знаки трех из четырех перечисленных ниже категорий:
4. Латинские заглавные буквы (от A до Z)
5. Латинские строчные буквы (от a до z)
6. Цифры (от 0 до 9)
7. Отличающиеся от букв и цифр знаки (например, !, $, #, %)

Все параметры политики паролей задаются в локальных групповых политиках.
Для запуска Редактора Локальных Групповых Политик (Local Group Policy Editor) необходим выполнить команду gpedit.msc (для этого необходимо нажать комбинацию клавиш Win + R, в окне «Выполнить» (Run) в поле «Открыть:» (Open:) ввести имя команды и нажать «ОК»)

В запустившейся оснастке в дереве групповых политик последовательно раскрываем группы:

_ «Конфигурация компьютера» (Computer Configuration)
__ «Конфигурация Windows» (Windows Settings)
___ «Параметры безопасности» (Security Settings)
____ «Политики учетных записей» (Account Policies)
_____ «Политика паролей» (Password Policy)

Здесь мы можем изменить необходимую нам политику.
В частности, политику сложности паролей. Для этого два раза кликаем по строке «Пароль должен отвечать требованиям сложности» (Password must meet complexity requirements) и в окне свойства политики устанавливаем переключатель в «Отключен» (Disabled)

Для всех политик доступно довольно подробное описание, для доступа к которому необходимо перейти на вкладку «Объяснение» (Explain).

Изменив необходимые параметры, сохраняем настройки и закрываем окна, нажав «ОК» .

В этой же ветке можно изменить Политику блокировки учетных записей (Account Lockout Policy) в случае неверного ввода паролей.
Все политики редактируются аналогичным образом.

Необходимо понимать, что изменение политики паролей может сильно снизить безопасность сервера.

Изменение политики паролей в Windows Server 2012 R2

Ниже приведена небольшая инструкция об изменении политики паролей в Microsoft Windows Server 2012 R2. По умолчанию политика паролей определена таким образом, что все пароли учетных записей пользователей должны удовлетворять следующим требованиям:

• Не содержать имени учетной записи пользователя или частей полного имени пользователя длиной более двух рядом стоящих знаков.
• Иметь длину не менее 6 знаков.
• Содержать знаки трех из четырех перечисленных ниже категорий:
  1. Латинские заглавные буквы (от A до Z)
  2. Латинские строчные буквы (от a до z)
  3. Цифры (от 0 до 9)
  4. Отличающиеся от букв и цифр знаки (например, !, $, #, %)

Все параметры политики паролей задаются в локальных групповых политиках. Для запуска Редактора Локальных Групповых Политик (Local Group Policy Editor) необходим выполнить команду gpedit.msc (для этого необходимо нажать комбинацию клавиш Win + R, в окне «Выполнить» (Run) в поле «Открыть:» (Open:) ввести имя команды и нажать «ОК» )

В запустившейся оснастке в дереве групповых политик последовательно раскрываем группы:

• «Конфигурация компьютера» (Computer Configuration)
  • «Конфигурация Windows» (Windows Settings)
    • «Параметры безопасности» (Security Settings)
      • «Политики учетных записей» (Account Policies)
        • «Политика паролей» (Password Policy)

Здесь мы можем изменить необходимую нам политику. В частности, политику сложности паролей. Для этого два раза кликаем по строке «Пароль должен отвечать требованиям сложности» (Password must meet complexity requirements) и в окне свойства политики устанавливаем переключатель в «Отключен» (Disabled)

Для всех политик доступно довольно подробное описание, для доступа к которому необходимо перейти на вкладку «Объяснение» (Explain).

Изменив необходимые параметры, сохраняем настройки и закрываем окна, нажав «ОК» .

В этой же ветке можно изменить Политику блокировки учетных записей (Account Lockout Policy) в случае неверного ввода паролей. Все политики редактируются аналогичным образом.

Необходимо понимать, что изменение политики паролей может сильно снизить безопасность сервера. Лучше использователь специальные программы для генерации с хранения паролей.

Смотрите также:

Здесь будет рассказано как изменить политику паролей в Windows Server 2008. По умолчанию все пароли в Windows должны отвечать политике безопасности, а именно: Не содержать имени учетной записи пользователя…

В данной статье я расскажу как добавить разрешающее правило в Брандмауэр Windows Server 2012 R2 (в Windows Server 2008 R2 действия аналогичны). Правило будем добавлять на примере работы сервера 1С:Предприятие…

Ниже будет подробно рассказано как установить Microsoft .NET Framework 3.5 на локальный сервер под управлением Windows Server 2012, так как в этой ОС не получится установить Microsoft .NET Framework 3.5 через обычный инсталлятор, как на…

Настройка политики паролей Fine-Grained Password Policy в Windows 2012 R2

В версии Active Directory, представленной в Windows Server 2000 можно было создать только одну политику паролей на весь домен. Данная политика настраивалась в рамках стандартной политики Default Domain Policy. В том случае, если администратор назначает новую GPO с иными настройками паролей на OU, клиентские CSE (Client Side Extensions), игнорировали такие политики. Естественно, такой подход не всегда удобен, и чтобы обойти такое ограничение, администраторам приходилось идти на различные ухищрения (дочерние домены и леса, фильтры и т.д.), что создавало дополнительные трудности.

В этой статье мы покажем особенности настройки и управления гранулированных политик управления паролями на базе Windows Server 2012 R2.

Политики управления паролями Fine-Grained Password Policies

В Windows Server 2008, разработчики добавили новый отдельную от GPO возможность управления настройками паролей Fine-Grained Password Policies (FGPP – гранулированные / раздельные политики обеспечения парольной защиты). Fine-Grained Password Policies позволяют администратору создать в одном домене множество специальных политик управления паролями (Password Settings Policy — PSO), определяющих требования к паролям (длина, сложность, история) и блокировки учетных записей. Политики PSO могут быть назначены на конкретных пользователей или группы, но не на контейнеры (OU) Active Directory. Причем, если к пользователю привязана политика PSO, настройки парольной политики из GPO Default Domain Policy к нему более не применяются.

К примеру, с помощью FGPP, можно наложить более высокие требования на длину и сложность пароля для учетных записей администраторов, сервисных учетных записей или пользователей, имеющих внешний доступ к ресурсам домена (через VPN или DirectAccess).

Основные требования для использования множественных политик паролей FGPP в домене:

• функциональный уровень домена Windows Server 2008 или выше
• парольные политики можно назначить на пользователей или глобальные группы безопасности (global security)
• FGPP политика применяется целиком (нельзя часть настроек описать в GPO, а часть в FGPP)

Главный недостаток новшества в Windows Server 2008– отсутствие удобных инструментов управления политиками паролей, настройку которых можно было выполнить только из низкоуровневых утилит по работе с AD, например ADSIEdit, ldp.exe, LDIFDE.exe.

Настройка Fine-Grained Password Policies в Windows Server 2012 R2

В Windows Server 2012 в консоли ADAC (Active Directory Administration Center) появился новый графический интерфейс для управления парольными политиками Fine-Grained Password Policies. В данном примере мы покажи, как назначить отдельную парольную политику на доменную группу Domain Admins.

Итак, на контроллере домена с правами администратора запустите консоль Active Directory Administrative Center (ADAC), переключитесь в древовидный вид и разверните контейнер System. Найдите контейнер Password Settings Container, щелкните по нему ПКМ и выберите New -> Password Settings

В открывшемся окне нужно указать имя политики паролей (в нашем примере Password Policy for Domain Admin) и задать ее настройки. Все поля стандартные: минимальная длина и сложность пароля, количество хранимых паролей в истории, параметры блокировки при неправильном введении пароля и т.д. Обратите внимание на атрибут Precedence. Данный атрибут определяет приоритет данной политики паролей. Если на объект действую несколько политик FGPP, к объекту будет применена политика с меньшим значением в поле Precedence.

Примечание.

• Если на пользователя действуют две политики с одинаковыми значениями Precedence, будет применена политика с меньшим GUID.
• Если на пользователя назначены несколько политик, причем одна из них действует через группу безопасности AD, а вторая – напрямую на учетную запись, то будет применена политика, назначенная на учетку.

Затем в секции Direct Applies To нужно добавить группы/пользователей, на которых должна действовать политика (в этом примере Domain Admin). Сохраните политику.

С этого момента данная парольная политика будет применяться на всех членов группы Domain Admin. Запустим консоль Active Directory Users and Computers (с установленной опцией Advanced Features) и откроем свойства любого пользователя из группы Domain Admin. Перейдите на вкладку Attribute Editor и в поле Filter выберите опцию Constructed.

Найдите атрибут пользователя msDS-ResultantPSO. В этом атрибуте указывается действующая на пользователя парольная политика FGPP (CN=Password Policy for Domain Admin,CN=Password Settings Container,CN=System,DC=winitpro,DC=ru).

Также действующую политику PSO для пользователя можно получить с помощью dsget:

dsget user «CN=Dmitriy,OU=Admins,DC=winitpro,DC=ru» –effectivepso

Настройка политики Fine-Grained Password Policy с помощью PowerShell

Естественно, в Windows Server 2012 R2 политики PSO можно создать и назначить на пользователей с помощью PowerShell:

Создадим политику:

New-ADFineGrainedPasswordPolicy -Name “Admin PSO Policy” -Precedence 10 -ComplexityEnabled $true -Description “Domain password policy for admins”-DisplayName “Admin PSO Policy” -LockoutDuration “0.10:00:00” -LockoutObservationWindow “0.00:20:00” -LockoutThreshold 5 -MaxPasswordAge “12.00:00:00” -MinPasswordAge “1.00:00:00” -MinPasswordLength 10 -PasswordHistoryCount 4 -ReversibleEncryptionEnabled $false

Назначим политику на группу пользователей:

Add-ADFineGrainedPasswordPolicySubject “Admin PSO Policy” -Subjects “Domain Admins”