Укрепление политики паролей для входа в Windows в Windows 10/8/7

Чтобы защитить ваш компьютер от несанкционированного использования, Windows 10/8/7 предоставляет средство для его защиты с помощью пароля. Надежный пароль, таким образом, является первой линией защиты с точки зрения безопасности вашего компьютера.

Если вы хотите повысить безопасность своего компьютера с Windows, вы можете усилить Политику паролей для входа в Windows , используя встроенные Локальная политика безопасности или Secpol.msc . В число его многочисленных параметров входит полезный набор параметров, которые позволят вам настроить политику паролей для вашего компьютера.

Политика паролей входа в Windows

Чтобы открыть и использовать локальную политику безопасности, откройте Выполнить , введите secpol.msc и нажмите Enter. На левой панели нажмите Политики учетной записи> Политика паролей . На правой панели вы видите параметры для настройки политики паролей.

Вот некоторые параметры, которые вы можете настроить. Дважды щелкните на каждом, чтобы открыть их окно свойств. В раскрывающемся меню вы можете выбрать и выбрать нужный вариант. После того, как вы их установили, не забудьте нажать кнопку Применить/ОК.

Использовать историю паролей

Используя эту политику, вы можете гарантировать, что пользователи не будут использовать старые пароли снова и снова через некоторое время. Этот параметр определяет количество уникальных новых паролей, которые должны быть связаны с учетной записью пользователя, прежде чем старый пароль можно будет повторно использовать. Вы можете установить любое значение между. По умолчанию 24 на контроллерах домена и 0 на автономных серверах.

Максимальный срок действия пароля

Вы можете заставить пользователей менять свои пароли через определенное количество дней. Вы можете установить срок действия паролей через несколько дней от 1 до 999, или вы можете указать, что срок действия паролей никогда не истечет, задав число дней равным 0. По умолчанию установлено значение 42 дня.

Минимальный срок действия пароля

Здесь вы можете установить минимальный срок, в течение которого должен использоваться любой пароль, прежде чем его можно будет изменить. Вы можете установить значение от 1 до 998 дней или разрешить немедленные изменения, задав число дней равным 0. Значение по умолчанию: 1 на контроллерах домена и 0 на автономных серверах. Хотя этот параметр может не способствовать усилению вашей политики паролей, если вы хотите запретить пользователям слишком часто менять пароли, вы можете установить эту политику.

Минимальная длина пароля

Это важный параметр, и вы можете использовать его для предотвращения попыток взлома. Вы можете установить значение от 1 до 14 символов или установить, что пароль не требуется, задав для числа символов 0. Значение по умолчанию – 7 на контроллерах домена и 0 на автономных серверах.

Вы также можете включить две дополнительные настройки, если хотите. После того, как вы откроете соответствующие поля «Свойства», выберите «Включено» и «Применить», чтобы включить политику.

Пароль должен соответствовать требованиям сложности

Еще один важный параметр, который вы хотите использовать, так как он сделает пароли более сложными и, следовательно, сложными для компрометации. Если эта политика включена, пароли должны соответствовать следующим минимальным требованиям:

1. Не содержать имя учетной записи пользователя или части полного имени пользователя, которые превышают два последовательных символа
2. Длина не менее шести символов. Содержит символы из трех следующих четырех категорий:
3. Английские заглавные буквы (от A до Z)
4. Английские строчные буквы (от a до z)
5. Базовые 10 цифр (от 0 до 9)
6. Не алфавитные символы (например. $, #,%)

Храните пароли, используя обратимое шифрование

Этот параметр безопасности определяет, будет ли операционная система хранить пароли с использованием обратимого шифрования. Хранение паролей с использованием обратимого шифрования, по сути, аналогично хранению текстовых версий паролей. По этой причине эту политику никогда не следует включать, если только требования приложения не перевешивают необходимость защиты информации о пароле.

Политика блокировки учетной записи в Windows

Для дальнейшего усиления политики паролей вы также можете установить длительность и пороги блокировки, так как это остановит потенциальных хакеров на их пути после определенного количества неудачных попыток. Чтобы настроить эти параметры, на левой панели нажмите Политика блокировки учетной записи .

Порог блокировки учетной записи для неверных входов

Если вы установите эту политику, вы можете контролировать количество недействительных входов в систему. По умолчанию 0, но вы можете установить число от 0 до 999 неудачных попыток входа.

Продолжительность блокировки учетной записи

Используя этот параметр, вы можете установить количество минут, в течение которых заблокированная учетная запись остается заблокированной, прежде чем она автоматически разблокируется. Вы можете установить любую цифру от 0 до 99 999 минут. Эта политика должна быть установлена ​​вместе с политикой порога блокировки учетной записи.

Чтение . Ограничьте количество попыток входа в Windows.

Сбросить счетчик блокировки аккаунта после

Этот параметр безопасности определяет количество минут, которое должно пройти после неудачной попытки входа в систему, прежде чем для счетчика неудачных попыток входа в систему будет установлено значение 0 неудачных попыток входа. Доступный диапазон составляет от 1 минуты до 99 999 минут. Эта политика также должна быть установлена ​​вместе с политикой порога блокировки учетной записи.

Оставайтесь в безопасности, оставайтесь в безопасности!

Вам известно о AuditPol в Windows ? Если нет, вы можете прочитать об этом.

Политика паролей Password Policy

Относится к: Applies to

Обзор политик паролей для Windows и ссылки на сведения для каждого параметра политики. An overview of password policies for Windows and links to information for each policy setting.

Во многих операционных системах самым распространенным методом проверки подлинности пользователя является использование секретной passphrase или пароля. In many operating systems, the most common method to authenticate a user’s identity is to use a secret passphrase or password. Для безопасной сетевой среды всем пользователям необходимо использовать надежные пароли, которые имеют по крайней мере восемь символов и включают сочетание букв, номеров и символов. A secure network environment requires all users to use strong passwords, which have at least eight characters and include a combination of letters, numbers, and symbols. Эти пароли помогают предотвратить компрометации учетных записей пользователей и административных учетных записей несанкционированными пользователями, которые используют методы вручную или автоматические средства для угадать слабые пароли. These passwords help prevent the compromise of user accounts and administrative accounts by unauthorized users who use manual methods or automated tools to guess weak passwords. Надежные пароли, которые регулярно меняются, уменьшают вероятность успешной атаки пароля. Strong passwords that are changed regularly reduce the likelihood of a successful password attack.

Windows, представленная Windows Server 2008 R2 Windows Server 2008, поддерживает политики точного пароля. Introduced in Windows Server 2008 R2 and Windows Server 2008, Windows supports fine-grained password policies. Эта функция позволяет организациям определять различные политики блокировки паролей и учетных записей для различных наборов пользователей в домене. This feature provides organizations with a way to define different password and account lockout policies for different sets of users in a domain. Мелкозернистые политики паролей применяются только к объектам пользователей (или объектам inetOrgPerson, если они используются вместо объектов пользователей) и глобальным группам безопасности. Fine-grained password policies apply only to user objects (or inetOrgPerson objects if they are used instead of user objects) and global security groups. Дополнительные сведения см. в руководстве AD DS Fine-Grained пароль и политика блокировки учетных записей пошаговая. For more details, see AD DS Fine-Grained Password and Account Lockout Policy Step-by-Step Guide.

Чтобы применить политику точного пароля к пользователям OU, можно использовать группу теней. To apply a fine-grained password policy to users of an OU, you can use a shadow group. Теневая группа — это глобальная группа безопасности, которая логически соедуется с OU для применения политики точного пароля. A shadow group is a global security group that is logically mapped to an OU to enforce a fine-grained password policy. Вы добавляете пользователей OU в состав недавно созданной теневой группы, а затем применяйте политику точного пароля к этой теневой группе. You add users of the OU as members of the newly created shadow group and then apply the fine-grained password policy to this shadow group. При необходимости можно создать дополнительные группы теней для других OUs. You can create additional shadow groups for other OUs as needed. При переходе пользователя из одного OU в другой необходимо обновить членство соответствующих теневых групп. If you move a user from one OU to another, you must update the membership of the corresponding shadow groups.

Мелкозернистые политики паролей включают атрибуты для всех параметров, которые можно определить в политике домена по умолчанию (кроме параметров Kerberos) в дополнение к настройкам блокировки учетной записи. Fine-grained password policies include attributes for all the settings that can be defined in the default domain policy (except Kerberos settings) in addition to account lockout settings. При указании политики точного пароля необходимо указать все эти параметры. When you specify a fine-grained password policy, you must specify all of these settings. По умолчанию политики паролей могут устанавливаться только членами группы администраторов домена. By default, only members of the Domain Admins group can set fine-grained password policies. Однако вы также можете делегировать возможность устанавливать эти политики другим пользователям. However, you can also delegate the ability to set these policies to other users. Домен должен работать по крайней мере Windows Server 2008 R2 Windows Server 2008, чтобы использовать мелкозернистые политики паролей. The domain must be running at least Windows Server 2008 R2 or Windows Server 2008 to use fine-grained password policies. Политики точного пароля не могут применяться непосредственно к организационному подразделению (OU). Fine-grained password policies cannot be applied to an organizational unit (OU) directly.

Использование надежных паролей можно применять с помощью соответствующей политики паролей. You can enforce the use of strong passwords through an appropriate password policy. Существуют параметры политики паролей, которые контролируют сложность и **** срок службы паролей, например, пароли должны соответствовать требованиям политики сложности. There are password policy settings that control the complexity and lifetime of passwords, such as the Passwords must meet complexity requirements policy setting.

Параметры политики паролей можно настроить в следующем расположении с помощью консоли управления групповой политикой: You can configure the password policy settings in the following location by using the Group Policy Management Console:

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетной записи\Политика паролей Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy

Эта политика группы применяется на уровне домена. This group policy is applied on the domain level. Если отдельным группам требуются отдельные политики паролей, рассмотрите возможность использования мелкозернистой политики паролей, как описано выше. If individual groups require distinct password policies, consider using fine-grained password policies, as described above.

В следующих темах рассматриваются соображения реализации политики паролей и наилучшей практики, расположение политики, значения по умолчанию для типа сервера или GPO, соответствующие различия в версиях операционной системы, соображения безопасности (в том числе возможные уязвимости каждого параметра), меры противодействия, которые можно принять, а также возможные последствия для каждого параметра. The following topics provide a discussion of password policy implementation and best practices considerations, policy location, default values for the server type or GPO, relevant differences in operating system versions, security considerations (including the possible vulnerabilities of each setting), countermeasures that you can take, and the potential impact for each setting.

Создание и использование надежных паролей

Обеспечение безопасности паролей — один из важнейших способов обеспечить защиту и надежность вашей работы в Интернете. Хорошая новость! Защита паролей — полностью в ваших руках, достаточно создать надежные пароли и сохранить их в секрете. Выполните эти рекомендации, чтобы обеспечить безопасность своих паролей.

Создание надежных паролей

Обеспечение безопасности пароля начинается с его надежного создания. Надежный пароль:

По крайней мере 12 символов (более 14 символов лучше)

Сочетание прописных, строчных букв, цифр и символов

Не является словарным словом

Не является именем или популярным названием, например имя персонажа, продукта или организации

Существенно отличается от использованных ранее

Пароль должен быть таким, чтобы вам было легко его запомнить, а другим — сложно отгадать

Используйте запоминающуюся фразу, например «6СмотрящихОбезьянок^»

Защита паролей

Создав надежный пароль, выполните инструкции ниже, чтобы обеспечить его безопасность:

Никому не сообщайте свой пароль. Даже друзьям и родственникам!

Никогда не отправляйте пароль по почте, в мгновенном сообщении или любыми другими средствами связи, кроме надежно защищенных.

Используйте уникальный пароль для каждого веб-сайта. Если кто-то похитит пароль, который вы используете на нескольких веб-сайтах, вся информация, защищаемая этим паролем на всех этих сайтах, окажется под угрозой.

Если вы не хотите запоминать множество паролей, воспользуйтесь диспетчером паролей. Лучшие диспетчеры паролей автоматически обновляют сохраненные пароли, хранят их в зашифрованном виде и требуют многофакторной аутентификации для доступа.

Не храните пароль на устройстве, которое защищается этим паролем.

Можно записать пароли, но обязательно хранить их в безопасном месте. Не записывайте их в заметках или на карточках, которые хранятся рядом с тем, что защищают эти пароли, даже если вы уверены, что они хорошо скрыты.

Вместо того чтобы записать пароль, запишите подсказку о том, что это за пароль. Например, если ваш пароль — «ПарижскийВесеннийОтпуск!», можно написать «Моя любимая поездка».

По возможности сразу меняйте пароли на учетных записях, если вы подозреваете, что учетные записи или пароли были скомпрометированы.

Старайтесь вводить пароли только на устройствах, в безопасности которых вы уверены. На устройствах общего пользования может быть установлено ПО для записи нажатых клавиш, которое «запишет» ваш пароль во время ввода. Не разрешайте сохранять или передавать ваш пароль на общедоступных компьютерах.

По возможности пользуйтесь многофакторной аутентификацией. Многофакторная аутентификация — это метод контроля доступа, требующий проверки нескольких учетных данных, например пароля и PIN-кода. Это обеспечивает дополнительную безопасность на случай, если кто-то угадает или похитит ваш пароль. Подробную информацию см. в статье Что такое многофакторная проверка подлинности.

Совет: Если вас попросят создать ответы на вопросы безопасности, предоставьте несвязанный ответ. Например, если задают вопрос: «Где вы родились?», можно ответить «Зеленый». Такие ответы не найдешь на ваших страницах в Твиттере или Facebook. (Однако эти ответы должны иметь смысл для вас, чтобы вы их запомнили).

Не позволяйте выудить у вас пароль

Злоумышленники могут пытаться взломать ваш пароль, но иногда проще сыграть на человеческих слабостях и обманом заставить вас раскрыть его.

Вы можете получить сообщение якобы от интернет-магазина (eBay или Amazon) или звонок из «банка», и вас попытаются убедить предоставить пароль или другую конфиденциальную информацию. Это может быть фишинговое сообщение. (Возможно, вы слышали о социотехнике.)

Вот некоторые полезные рекомендации для защиты паролей и других конфиденциальных сведений.

Будьте осторожны, если кто-то запрашивает у вас конфиденциальную информацию, даже если это ваш знакомый или компания, которой вы доверяете. Злоумышленник может похитить учетную запись вашего друга и разослать сообщения всем пользователям в адресной книге. Обращайтесь к любым непрошеным запросам конфиденциальной информации с осторожностью.

Никогда не предоставляйте свой пароль в ответ на запрос по электронной почте или телефону (например, чтобы подтвердить личность), даже если кажется, что к вам обращается человек или компания, которой можно доверять.

Всегда осуществляйте доступ к веб-сайтам по доверенным ссылкам. Мошенники могут копировать внешний вид сообщений компании, которой вы доверяете, и вставить туда мошенническую ссылку или вложение, так что будьте осторожны со ссылками в рассылках, мгновенных сообщениях и SMS. Если у вас возникли сомнения, перейдите сразу на официальный веб-сайт банка или другой службы, к которой вы пытаетесь получить доступ, используя собственную закладку или указав официальный адрес службы.