|
Руководство по безопасности Windows ® 7 Набор средств по управлению соответствием требованиям безопасности
|
| bet | 19/91 | | Sana | 18.02.2022 | | Hajmi | 1,32 Mb. | | #15622 | | Turi | Руководство |
Password Policy Settings (политика паролей);
Account Lockout Policy Settings (политика блокировки учетной записи).
Эти две группы рассматриваются в данном разделе. Чтобы узнать, какие именно соответствующие параметры рекомендуются для каждой из конфигураций, обратитесь к книге Excel «Windows 7 Security Baseline Settings.xls», которая прилагается к этому руководству. Подробнее об эффекте каждого из параметров, устраняемых ими угрозах и возможных последствиях см. в сопутствующем руководстве «Угрозы и меры противодействия».
Политика паролей
Сложные, регулярно сменяемые пароли снижают вероятность успешного подбора пароля. Политика паролей контролирует сложность и срок использования каждого пароля. Ее параметры задаются групповой политикой на уровне домена.
Параметры политики паролей в редакторе GPO расположены по следующему пути:
Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy (Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики учетных записей\Политика паролей)
Как добиться, чтобы пароль менялся только при необходимости
Помимо перечисленных политик пароля, в некоторых организациях требуется централизованный контроль всех пользователей. В этом разделе рассказывается, как предотвратить изменение паролей пользователями, за исключением случаев, когда это изменение санкционировано.
Централизованный контроль паролей пользователей — краеугольный камень хорошо спроектированной системы обеспечения безопасности Windows. С помощью групповой политики можно задать минимальный и максимальный срок действия пароля. Однако, если пароль требуется менять слишком часто, пользователям удастся обойти требования параметра Enforce password history (вести журнал паролей), если он установлен в вашей среде. Или, если минимально разрешенная длина пароля слишком велика, может увеличиться число обращений в службу поддержки по поводу забытого пароля.
Пользователи могут изменить свой пароль в промежутке между минимальным и максимальным сроком его действия. Однако, конфигурация SSLF предусматривает, что менять пароль разрешается только по запросу самой операционной системы, который выдается по истечении его максимального срока действия в 90 дней. Для достижения такой степени контроля можно отключить кнопку Смена пароля диалогового окна Безопасность Windows, которое появляется при нажатии клавиш CTRL+ALT+DEL.
Данное изменение можно ввести в силу для всего домена, используя групповую политику, а можно для отдельных пользователей, используя редактор реестра. Подробнее об этой возможности см. статью базы знаний Майкрософт номер 324744 «Как в ОС Windows Server 2003 предотвратить несанкционированную смену паролей пользователями».
|
| |
