Настройка политики паролей пользователей в Active Directory

Для обеспечения высокого уровня безопасности учетных записей в домене Active Directory администратору необходимо настроить и внедрить доменную политику паролей. Политика паролей должна обеспечивать достаточную сложность, длину пароля, частоту смены пароля пользователей и сервисных учетных записей. Тем самым можно усложнить злоумышленнику возможность подбора или перехвата паролей пользователей.

Политика паролей в Default Domain Policy

По-умолчанию в домене AD настройка общих требований к паролям пользователей осуществляется с помощью групповых политик. Политика паролей учетных записей домена настраивается в политике Default Domain Policy. Эта политика прилинкована к корню домена и обязательно должна применяться к контролеру домена с FSMO ролью PDC эмулятор.

1. Чтобы настроить политику паролей, откройте консоль управления доменными GPO (Group Policy Management console – gpmc.msc );
2. Разверните ваш домен и найдите политику Default Domain Policy. Щелкните по ней ПКМ и выберите Edit;
3. Политики паролей находятся в следующем разделе редактора GPO: Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики учетных записей -> Политика паролей (Computer configuration -> Windows Settings -> Security Settings -> Account Policies -> Password Policy);
4. Чтобы отредактировать настройки параметра политики, дважды щелкните по ней. Чтобы включить политику, отметьте галку Define this policy settings и укажите необходимую настройку (в примере на скриншоте я задал минимальную длину пароля пользователя 8 символов). Сохраните изменения;
5. Новые настройки парольной политики будут применены ко все компьютерам домена в фоновом режиме в течении некоторого времени (90 минут), при загрузке компьютера, либо можно применить новые параметры групповых политик немедленно, выполнив команду gpupdate /force

Вы можете изменить настройки политики паролей из консоли управления GPO или с помощью PowerShell командлета Set-ADDefaultDomainPasswordPolicy:

Set-ADDefaultDomainPasswordPolicy -Identity winitpro.ru -MinPasswordLength 14 -LockoutThreshold 10

Основные настройки политики паролей

Рассмотрим все доступные для настройки параметры управления паролями пользователями. Всего есть шесть параметров политики паролей:

• Вести журнал паролей (Enforce password history) – определяет количество старых паролей, которые хранятся в AD, запрещая пользователю повторно использовать старый пароль (однако администратор домена или пользователь, которому делегированы права на сброс пароля в AD, может вручную задать для аккаунта старый пароль);
• Максимальный срок действия пароля (Maximum password age) – определяет срок действия пароля в днях. После истечения срока действия пароля Windows потребует у пользователя сменить пароль. Обеспечивает регулярность смены пароля пользователями;

Если пользователь пытается сменить пароль, которые не соответствует политике паролей в домене, у него появится ошибка:

Кроме того, нужно отдельно выделить настройки в разделе GPO: Политика блокировки учетной записи (Account Lockout Password):

• Пороговое значение блокировки (Account Lockout Threshold) – как много попыток набрать неверный пароль может сделать пользователь перед тем, как его учетная запись будет заблокирована;
• Продолжительность блокировки учетной записи (Account Lockout Duration) – на какое время нужно заблокировать учетную запись (запретить вход), если пользователь ввел несколько раз неверный пароль;
• Время до сброса счетчика блокировки (Reset account lockout counter after) – через сколько минут после последнего ввода неверного пароля счетчик неверных паролей (Account Lockout Threshold) будет сброшен.

Настройки парольных политик домена Active Directory по-умолчанию перечислены в таблице:

Политика	Значение по-умолчанию
Enforce password history	24 пароля
Maximum password age	42 дня
Minimum password age	1 день
Minimum password length	7
Password must meet complexity requirements	Включено
Store passwords using reversible encryption	Отключено
Account lockout duration	Не определено
Account lockout threshold	0
Reset account lockout counter after	Не определено

В Security Compliance Toolkit Microsoft рекомендует использовать следующие настройки парольных политик:

• Enforce Password History: 24
• Maximum password age: not set
• Minimum password age: not set
• Minimum password length: 14
• Password must meet complexity: Enabled
• Store passwords using reversible encryption: Disabled

Просмотр текущей парольной политики в домене

Вы можете посмотреть текущие настройки политики паролей в Default Domain Policy в консоли gpmc.msc (вкладка Settings).

Также можно вывести информацию о политике паролей с помощью PowerShell (на компьютере должен быть установлен модуль AD PowerShell):

Или можно проверить текущие настройки политики паролей AD на любом компьютере домена с помощью стандартной утилиты gpresult.

Несколько парольных политик в домене Active Directory

За управление доменной парольной политики отвечает контроллер домена, владелец FSMO роли PDC Emulator. Политика применяется к компьютерам домена, а не пользователям. Для редактирования настроек Default Domain Policy необходимы права администратора домена.

В домене может быть только одна политика паролей, которая применяется на корень домена и действует на всех пользователей без исключения (есть, конечно, нюансы, но о них ниже). Даже если вы создадите новую GPO с другими парольными настройками и примените ее к OU с параметрами Enforced и Block Inheritance, она не будет применяться к пользователям.

До версии Active Directory в Windows Server 2008 можно было настраивать только одну политику паролей для домена. В новых версиях AD вы можете создать отдельные политики паролей для различных групп пользователей с помощью гранулированных политик паролей Fine-Grained Password Policies (FGPP). Гранулированные политики паролей позволяют создавать и применять разные объекты параметров паролей (Password Settings Object — PSO). Например, вы можете создать PSO повышенной длиной или сложностью пароля для учетных записей доменных администраторов (см. статью о защите административных учетных записей в AD), или наоборот упростить (отключить) пароль для каких-то учетных записей.

Безопасность Windows Server 2003

Локальные политики безопасности

Политики безопасности критически важны для реализации защищенных серверов Windows Server 2003 и защиты доменов. Администраторы могут управлять политикой безопасности на локальных и удаленных компьютерах, включая политики паролей, политики блокировки учетных записей, политики Kerberos, политики аудита, права пользователей и другие политики. Управлять политиками безопасности можно путем редактирования политик на локальном компьютере, в OU или в домене, а также путем применения файлов с шаблонами безопасности (файлы с расширением имени .inf). Настройки Local Security Policy можно задавать на автономных компьютерах или применять к членам домена. В домене Active Directory настройки Domain Security Policy имеют приоритет по сравнению настройками Local Security Policy .

Чтобы модифицировать Local Security Policy , сделайте следующее.

1. Выполните вход на данный компьютер с административными правами.
2. Выберите Start/Programs/Administrative Tools/Local Security Policy. Появится консоль Local Security Settings.

Локальные политики безопасности для учетных записей

Windows Server 2003 использует политики учетных записей для управления двумя важными составляющими аутентификации по учетной записи.

• Password policy (Политика паролей). Определяет настройки для реализации функций управления паролями пользователей.
• Account lockout policy (Политика блокировки учетных записей).Определяет, когда и насколько будет блокирована от системы учетная запись в случае отказа в аутентификации пользователя.
• Enforce Password History (Журнал паролей).Должно быть задано запоминание 12 паролей.
• Maximum Password Age (Максимальный срок действия паролей).Промежуток времени, после которого пользователям требуется изменить свой пароль. Должно быть задано значение от 45 до 90 дней.
• Minimum Password Age (Минимальный срок действия паролей).Минимальный промежуток времени, в течение которого пользователи не могут изменять пароль. Должно быть задано значение 1 день.
• Minimum Password Length (Минимальная длина паролей).Минимальное количество символов, которое должно быть в пользовательских паролях. Должно быть задано значение не менее 8 символов. Каждый дополнительный символ в пароле существенно повышает трудность взлома пароля.
• Password Must Meet Complexity Requirements (Пароль должен отвечать требованиям сложности).Требует использования сильных паролей и поэтому должна быть включена (Enabled). Это требует задания пароля, содержащего не менее трех символов из следующих четырех наборов символов: прописные буквы, строчные буквы, числа и неалфавитные символы.

Политики блокировки учетных записей

Существует несколько подходов к реализации политик блокировки учетных записей. В одной из рекомендаций говорится, что блокировку учетных записей реализовать не следует: если политики паролей сконфигурированы должным образом, то никакой злоумышленник не сможет разгадать пароль за приемлемый период времени. Кроме того, активизация политик блокировки учетных записей значительно повышает возможность отказа в обслуживании, если делаются попытки компрометации сервера с помощью автоматизированных атакующих программ. Эти программы часто осуществляют перебор небольшого числа типичных паролей, что может привести к блокировке некоторых или всех учетных записей на сервере (за исключением учетной записи Administrator, которая не может быть блокирована).

Ниже приводятся некоторые рекомендованные настройки на тот случай, если вы решили реализовать политику блокировки учетных записей.

• Account Lockout Duration (Длительность блокировки учетной записи).Должна быть задана равной 0, что требует помощи администратора для разблокирования учетной записи. Эта политика блокирует учетную запись на указанный период времени после неудачных попыток ввода пароля.
• Account Lockout Threshold (Предельное число попыток перед блокировкой учетной записи).Учетные записи следует блокировать после пяти неверных попыток входа.
• Reset Account Lockout Counter After (Сброс счетчика попыток через).Должно быть задано значение 30 минут. Эта политика задает, как долго должно оставаться в счетчике предельное число попыток, прежде чем выполнить его сброс.

Локальные политики

Локальные политики позволяют администраторам реализовать настройки безопасности, которые относятся к отдельным компьютерам или пользователям. Для конфигурирования можно использовать секцию Local Policies.

• User rights assignment (Назначение прав пользователей).Охватывает разнообразные политики, определяющие типы действий, которые могут выполнять отдельные пользователи или группы. Их конкретная реализация зависит от сайта и компьютера.
• Security options (Параметры безопасности).Управление различными настройками для компьютера. Их конкретная реализация зависит от окружения сайта и того, как используется сервер.
• Audit policy (Политика аудита). Определяет, какие события безопасности регистрируются в журнале событий безопасности на данном компьютере. Управление журналом безопасности Windows Security осуществляется из оснастки Event Viewer.

Существует целый ряд опций безопасности,которые вы можете реализовать в Windows Server 2003. Конфигурирование этих опций сильно зависит от окружения сервера и характера использования данного сервера. Например, контроллер домена может иметь опции, отличные от связанного с интернетом веб-сервера. Возможно, вы захотите просмотреть и реализовать некоторые из этих политик. Две из наиболее важных политик — это переименование учетной записи Administrator и учетной записи Guest.

Следующие политики безопасности можно задавать для повышения безопасности локальных компьютеров и компьютеров, являющихся членами домена.

• Set Additional Restrictions for Anonymous Connections (Задание дополнительных ограничений для анонимных соединений).Отключает для анонимных пользователей возможность доступа к спискам учетных записей SAM и разделяемых ресурсов. Это затрудняет определение учетных записей, которые могут быть компрометированы. Эта политика должна быть включена (Enabled).
• Disable Shutdown Without Logon (Запрет завершения работы компьютера до выполнения входа). Запрещает пользователям завершать работу компьютера, пока он не выполнил вход в систему. Эта политика должна быть отключена (Disabled).
• Clear Virtual Memory Page File When System Shuts Down (Удаление файла виртуальной памяти при завершении работы системы).Удаление файла подкачки при завершении работы системы. Это гарантирует, что любая информация, остающаяся в файле подкачки, будет недоступна следующему пользователю, выполняющему вход на эту машину. Эта политика должна быть включена (Enabled).
• Disable CTRL+ALT+DEL Required for Logon (Исключить требование CTRL+ALT+DEL для входа). Упрощает вход в сеанс пользователя. По умолчанию эта политика отключена (Disabled). Не активизируйте эту политику!
• Do Not Display Last User Name on Logon Screen (Не выводить имя последнего пользователя в окне входа).Удаление имени последнего пользователя из сеанса входа. В этом случае злоумышленнику придется угадывать идентификатор и пароль пользователя. Эта политика должна быть включена (Enabled).
• Implement an Authorized Usage Warning (Реализация предупреждения об авторизованном использовании). Реализация интерактивного окна входа, где выводится баннер входа с заголовком и предупреждением. Администраторы могут задавать заголовок и текст сообщения.
• Rename Administrator Account (Переименование учетной записи администратора).Снижает вероятность успешных атак за счет того, что потенциальному хакеру придется угадывать пароль и пользовательский идентификатор учетной записи

Administrator. Администраторы могут задавать новое имя для учетной записи Administrator.