Aby byla zajištěna vysoká úroveň zabezpečení účtů v doméně služby Active Directory, musí správce nakonfigurovat a implementovat zásadu hesla, která poskytuje dostatečnou složitost, délku hesla a frekvenci změn hesla pro uživatele a účty služeb. Je tedy možné komplikovat útočníkovi možnost vybrat nebo zachytit uživatelská hesla.
Ve výchozím nastavení jsou v doméně AD jednotné požadavky na hesla uživatelů konfigurovány pomocí skupinových zásad. Zásady hesla u doménových účtů jsou nakonfigurovány v zásadách Výchozí zásady domény.
- Chcete-li nakonfigurovat zásady hesla, otevřete konzolu pro správu GPO domény (Konzola pro správu zásad skupiny - gpmc.msc).
- Rozbalte svou doménu a najděte zásady Výchozí zásady domény. Klikněte na něj pravým tlačítkem a vyberte Upravit.
- Zásady hesla jsou v následující části editoru GPO: Konfigurace počítače -> Konfigurace Windows -> Nastavení zabezpečení -> Zásady účtu -> Zásady hesla (Konfigurace počítače -> Nastavení systému Windows -> Nastavení zabezpečení -> Zásady účtu -> Zásady hesla).
- Chcete-li upravit nastavení požadované zásady, dvakrát na ni klikněte. Chcete-li zásadu povolit, zaškrtněte políčko. Definujte toto nastavení zásad a určit potřebné nastavení (v příkladu na snímku jsem nastavil minimální délku hesla uživatele na 8 znaků). Uložit změny.
- Nové nastavení zásad hesla bude použito na všech počítačích domény na pozadí po určitou dobu (90 minut), když se počítač spustí, nebo můžete nastavení použít okamžitě spuštěním příkazu gpupdate / force.
Nyní zvažte všechna nastavení správy hesel, která jsou k dispozici pro konfiguraci. Celkem existuje šest zásad pro hesla:
- Vedení protokolu hesel (Vynucení historie hesel) - určuje počet starých hesel, která jsou uložena v AD, brání uživateli v opakovaném použití starého hesla.
- Maximální věk hesla - určuje dobu platnosti hesla ve dnech. Po uplynutí této doby bude systém vyžadovat, aby uživatel změnil heslo. Poskytuje uživatelům pravidelné změny hesla.
- Minimální věk hesla - jak často uživatelé mohou změnit své heslo. Tento parametr neumožňuje uživateli změnit heslo několikrát za sebou, aby se vrátil k oblíbenému starému heslu přepsáním hesel v protokolu historie hesel. Zpravidla stojí za to nechat 1 den, aby uživatel mohl změnit heslo sám pro případ, že by byl ohrožen (jinak bude muset správce heslo změnit).
- Minimální délka hesla - Nedoporučuje se zkracovat heslo kratší než 8 znaků (pokud zde zadáte 0, heslo se nevyžaduje).
- Heslo musí splňovat požadavky na složitost - je-li tato zásada povolena, je uživateli zakázáno používat v účtu jméno svého účtu (nejvýše dva znaky v řádku od uživatelského jména nebo křestního jména), heslo musí také používat 3 typy znaků z následujícího seznamu: čísla (0 - 9), velká písmena, malá písmena, speciální znaky ($, #,% atd.). Kromě toho, aby se vyloučilo použití jednoduchých hesel (ze slovníku populárních hesel), doporučuje se pravidelně kontrolovat hesla doménových účtů..
- Ukládejte hesla pomocí reverzibilního šifrování - uživatelská hesla v databázi AD jsou uložena v šifrované podobě, ale v některých případech musí některé aplikace poskytovat přístup k heslům v doméně. Když povolíte tuto zásadu, hesla se ukládají v méně bezpečné formě (v podstatě otevřené), což je nebezpečné (přístup k databázi hesel je při ohrožení řadiče domény, můžete použít RODC jako jedno z ochranných opatření).
Kromě toho je třeba zvlášť zvýraznit nastavení v sekci GPO: Zásady pro zablokování účtu:
- Prahová hodnota blokování účtu - kolik pokusů o zadání nesprávného hesla může uživatel provést, než bude jeho účet zablokován.
- Doba blokování účtu - jak dlouho trvá zablokování účtu (zablokovaný přístup), pokud uživatel několikrát zadal nesprávné heslo.
- Čas do vynulování počitadla uzamčení účtu po - kolik minut po zadání posledního nesprávného hesla bude vynulován čítač prahové hodnoty blokování účtu. Pokud jsou účty blokovány příliš často, najdete zdroj zámku, takže.
Výchozí nastavení zásad hesla k doméně AD je uvedeno v tabulce:
Politika | Výchozí hodnota |
Vynutit historii hesel | 24 hesel |
Maximální věk hesla | 42 dní |
Minimální věk hesla | 1 den |
Minimální délka hesla | 7 |
Heslo musí splňovat požadavky na složitost | Zahrnuto |
Ukládejte hesla pomocí reverzibilního šifrování | Vypnuto |
Doba uzamčení účtu | Není definováno |
Prahová hodnota uzamčení účtu | 0 |
Obnovit počitadlo uzamčení účtu po | Není definováno |
V doméně může existovat pouze jedna taková politika hesel, která je použita v kořenovém adresáři domény (samozřejmě existují nuance, ale více v nich níže). Pokud na OU použijete zásadu hesla, její nastavení bude ignorováno. Řadič domény, vlastník role emulátoru FSMO PDC, je zodpovědný za správu zásady hesla domény. Zásada platí pro počítače domény, nikoli pro uživatele. Chcete-li upravit výchozí nastavení zásad domény, musíte mít práva správce domény.
Nastavení zásad skupiny pro správu hesel platí pro všechny uživatele a počítače v doméně. Pokud potřebujete vytvořit samostatné zásady pro hesla pro různé skupiny uživatelů, musíte použít samostatnou funkci jemných zásad hesel, která se objevila v AD Windows Server 2008. Zásady týkající se podrobného hesla umožňují určit například zvýšenou délku nebo složitost hesel pro účty správce. (viz článek o ochraně administrativních účtů v AD) nebo naopak, zjednodušte (deaktivujte) heslo pro některé účty.
V pracovní skupině budou muset být politiky hesel nakonfigurovány na každém počítači samostatně pomocí místního editoru GPO - gpedit.msc, nebo můžete přenést nastavení místních GPO mezi počítači, jako je tento.