Политика паролей Server 2012 в Active Directory

ДомойИнструменты и возможности ОС WindowsРедактор локальной групповой политикиПолитика паролей Windows

Как настроить политики паролей в Windows?

Политики паролей операционной системы Windows позволяют довольно гибко настроить возможность выбора паролей для пользователей данной системы. А если выразиться точнее, то данные политики позволяют довольно гибко настроить ограничения по выбору паролей для пользователей Windows. Политики паролей Windows позволяют настроить минимальную длину паролей, их сложность и многие другие параметры. В данной статье мы попробуем разобраться с данными политиками.

Где найти политики паролей Windows?

Все политики, которые позволяют настроить использование паролей в операционной системе от Microsoft хранятся в одном месте, которое гордо носит имя Редактор локальной групповой политики. Стоит отметить, что данный инструмент имеется только в трех самых развитых изданиях Windows. Чтобы открыть данный инструмент Вы можете воспользоваться командной быстрого вызова — gpedit.msc, которую необходимо ввести в окно меню Выполнить. После того как Редактор откроется, необходимо последовательно перейти по узлам

• Конфигурация компьютера
• Конфигурация Windows
• Параметры безопасности
• Политики учетных записей
• Политика паролей

Тут Вы найдете несколько политик. Их количество может отличаться в зависимости от версии операционной системы. Я ознакомлю Вас с 6 политиками паролей Windows, которые имеются в операционной системы Windows 7.

Политики паролей Windows

1. Вести журнал паролей. Самая первая политика позволяет настроить количество паролей, которые будут храниться в памяти компьютера. Нужно это для того чтобы пользователь не использовал один и тот же пароль несколько раз. Журнал паролей может хранить от 0 до 24 паролей. И чисто теоретически, пользователь может один и тот же пароль выставить только через несколько лет. В этом ему может помощь следующая политика.
2. Максимальный срок действия пароля. Думаю что объяснять на пальцах суть данной политики не нужно. Скажу только то, что по умолчанию в данном параметре пароли должны меняться раз в 42 дня. И попрошу никого не бояться — система автоматически будет предупреждать пользователей о том, что необходимо поменять пароль. Предупреждения выходят на протяжении 7 дней.
3. Минимальная длина пароля. Название данной политики так же предельно ясно описывает назначение самой политики: тут Вам необходимо задать минимальное количество символов, которое должно быть в пароле. Чтобы понять всю важность этой политики необходимо прочитать статью Время перебора паролей.
4. Минимальный срок действия пароля. Использование данной политики оправдано только в связке с первой политикой. Данная политика не позволит особенно умным «хакерам» прокрутить журнал паролей за несколько минут и снова поставить свой старый пароль.
5. Пароль должен отвечать требованиям сложности.5-ая политика паролей позволяет одним действием выставить сразу несколько ограничений для выбираемых паролей:
   • Пароль не будет содержать в себе имени учетной записи или частей полного имени пользователя длиной более двух рядом стоящих знаков.
   • Пароли должны будут иметь минимальную длину в 6 символов.
   • Содержать в себе 3 из 4 ниже перечисленных категорий символов.
     • Латинские заглавные буквы (от A до Z)
     • Латинские строчные буквы (от a до z)
     • Цифры (от 0 до 9)
     • Отличающиеся от букв и цифр символы (например, !, $, #, %)
6. Хранить пароли используя обратимое шифрование. Включать данную политику следует только для совместимости со старыми приложениями. Если у Вас нет в этом надобности, то настоятельно прошу не включать данную политику, так как это отрицательным образом скажется на безопасности компьютера.

Настройка политик выбора паролей для отдельных пользователей

Все вышеперечисленные политики паролей Windows скажутся на жизни всех пользователей данного компьютера. Но кроме вышеперечисленных способов настройки есть еще один инструмент, который позволяет настроить ограничения в выборе пароля для отдельных пользователей или групп пользователей Windows — оснастка Управление компьютером. Если открыть данный инструмент и перейти в узел Локальные пользователи и группы, а после чего открыть Свойства какой-либо группы или пользователя, то мы сможем выбрать следующие параметры:

• Запретить смену пароля пользователем. Данный параметр особенно полезен для общедоступных учетных данных. Другими словами, если под одной и той же учетной записью сидят сразу несколько человек, то вся эта тема может накрыться сразу после того, как один умник сменит пароль. Чтобы избежать такой радости необходимо активировать данный пункт.
• Срок действия пароля неограничен. Что делает данный пункт, думаю, всем понятно. Особенной честью его обделяют администраторы, которым глубоко по-барабану на корпоративную политику.

Вот такими способами можно настроить политики паролей в операционной системе Windows.

Параметры сильных паролей

1. Содержит сочетание букв верхнего и нижнего регистров (например, a-z, A-Z).
2. Включает цифры и знаки пунктуации, например, 0-9, !@#$%^&*()_+|~-=`{}[ [ ] ]:«;'<>?,./).
3. Состоит из восьми и более символов.
4. Не является словом на любом языке, диалекте, сленге, жаргоне и т.д.
5. Не основан на пресональной информации, например фамилии, дате рождения и т.д.
6. Никогда не записывается и не хранится on-line.

Создавайте легкозапоминаемые пароли. Одним из способов создания таких паролей, использовать песни, стихи и другие легкозапоминающиеся фразы. Например из фразы: «This May Be One Way To Remember» можно получить такие пароли: «TmB1w2R!» или «Tmb1W>r~» и другие варианты.

Внимание: Не используйте ни один из предыдущих примеров в качестве пароля!

2. Требования к паролям

2.1 Пароли не должны основываться на каком-либо одном слове, выданном идентификаторе, имени, кличке, паспортных данных, номерах страховок и т.д.

2.2 Пароли не должны основываться на типовых шаблонах и идущих подряд на клавиатуре или в алфавите символов, например, таких, как: qwerty, 1234567, abcdefgh и т.д.

2.3 Пароли должны содержать символы как минимум из трех следующих групп:

• Строчные латинские буквы: abcd…xyz;
• Прописные латинские буквы: ABCD…XYZ;
• Цифры: 123…90;
• Специальные символы: !%() _+ и т.д.

2.4 Требования к длине пароля:

• Для обычных пользователей ‑ не менее 8 символов;
• Для администраторов (локальногодоменного) ‑ не менее 15 символов;
• Для сервисных идентификаторов, разделяемых ключей (shared keys) ‑ не менее 14 символов;
• Для SNMP Community Strings — не менее 10 символов.

2.5 Периодичность смены пароля:

• Административные – каждые 60 дней;
• Пользовательские– каждые 90 дней;
• Сервисные – не реже двух раз в год;
• Shared keys SNMP Community Strings — не реже одного раза в год.

2.6 Пароли не должны храниться и передаваться в незашифрованном виде по публичным сетям (локальная вычислительная сеть, интернет, электронная почта).

2.7 . В ходе работы не должны использоваться встроенные идентификаторы. Для них должны быть назначены пароли, отличные от установленных производителем. К ним предъявляются требования, аналогичные требованиям к сервисным паролям.

2.8 Пароли нельзя записывать на бумагу, в память телефона и т.д. Нельзя сообщать, передавать кому-либо пароль.

2.9 Хеши паролей должны проверяться в ходе внутреннего аудита администратором информационной безопасности не реже двух раз в год с помощью типовых атак на подбор.

Возможна также проверка соответствия пароля требованиям данной инструкции в присутствии пользователя: пользователь называет свой пароль, а проверяющий осуществляет ввод пароля и его проверку. После такой проверки требуется обязательная и немедленная смена пароля.

2.10 Пароли сервисных идентификаторов должны входить в процедуру управления паролями УА, включающую хранение их в защищенном месте, разделение секрета, периодическую смену (1 раз в год).

1 Общие положения

Пароли являются важным элементом информационной безопасности. Они обеспечивают защиту учетных записей пользователей. Неправильно выбранный пароль может стать причиной неавторизованного доступа к конфиденциальной информации или нарушения работоспособности информационных систем компании.

Все пользователи (сотрудники компании, дилеры, поставщики, подрядчики или посетители), имеющие доступ к информационным системам компании, ответственны за принятие соответствующих (как описано ниже) мер по созданию и защите пароля.

4 Политика

4.1 Рекомендации

4.1.1 Создание

Пароли используются для многочисленных целей. Наиболее распространенные из них: вход на компьютер, электронная почта, заставка экрана, локальный маршрутизатор и т.д. Поскольку пароли используются многократно (за редким исключением систем с одноразовыми паролями) пользователи должны знать требования по созданию стойких паролей.

Характеристики слабого пароля:

— содержит менее 8 символов;

— слово из словаря;

— повседневно используемое слово, например, имена или фамилии друзей, коллег, актеров или сказочных персонажей, клички животных;

— компьютерный термин, команда, наименование компаний, web сайтов, аппаратного или программного обеспечения;

— вариации наименования компании или торговой марки;

— день рождения или другая персональная информация, например, адрес, номер телефона и т.п.

— регулярные последовательности символов и цифр, например, 111222, abcde, qwerty и т.п.

— что-либо из вышеперечисленного в обратном написании;

— что-либо из вышеперечисленного с добавлением цифр в начале или конце.

Характеристики стойкого пароля:

— содержит прописные и строчные буквы;

— содержит цифры и символы;

— более 8 символов длиной;

— не является словом ни на одном из языков, диалектов, жаргонов, слэнгов;

— не основывается на персональной информации;

— не записан в бумажной или электронной форме.

Пароль должен хорошо запоминаться. Один из способов — создание пароля на основе названия песни или запоминающейся фразы. Например, «Это элементарно Ватсон!», «2Элмнт_В!».

4.1.2 Защита паролей

Для учетных записей пользователей компании запрещено использовать тот же самый пароль, что и для других информационных систем (например, домашний интернет провайдер, бесплатная электронная почта, форумы и т.п.). По возможности не используйте один и тот же пароль для различных корпоративных систем. Также необходимо использовать различные пароли в операционных системах Unix и Windows.

Запрещено сообщать пароль кому бы то ни было, включая административный персонал и секретарей. Все пароли являются конфиденциальной информацией компании.

Список запрещенных действий с паролями:

— никому не сообщайте пароль по телефону;

— не указывайте пароль в сообщениях электронной почты;

— не сообщайте пароль вашему руководству (исключение делается для первичного пароля);

— не сообщайте принципы создания пароля (например, «на основе моей фамилии»);

— не сообщайте пароль в электронных опросах и незнакомых формах авторизации;

— не сообщайте пароль членам семьи и родственникам;

— не передавайте пароль коллегам на время вашего отпуска.

На компьютере должна быть включена защищенная паролем заставка, активирующаяся через 10 минут бездействия пользователя. Вход пользователя в систему не должен выполняться автоматически. Покидая рабочее место пользователь обязан заблокировать компьютер.

Если кто-либо требует сообщить ваш пароль, сошлитесь на данный документ или направьте в службу информационной безопасности компании. Не записывайте пароли на бумагу. Не сохраняйте пароли в файлах на каком-либо носителе (например, флэшка, мобильный телефон и т.п.) без шифрования.

Учетная запись пользователя блокируется на 1 час при 5 неправильных вводах пароля в течении 5 минут. Заблокированные учетные записи входящие в группы Domain Admins и Enterprise Admins разблокируются системным администратором только после подтверждения, что неправильный пароль действительно был набран самим пользователем. В ином случае проблема передается службе информационной безопасности компании.

Для системных учетных записей учет неправильных попыток ввода пароля может быть отключен.

Пароль должен изменяться не менее одного раза в 42 дня, для системных учетных записей раз в три месяца. Рекомендованный интервал смены пароля 30 дней. Если вы подозреваете, что ваш пароль стал известен кому-либо немедленно измените его и сообщите об этом в службу информационной безопасности компании по телефону (0000000) или на электронную почту (ism@000000.com).

Службой информационной безопасности проводится периодическая проверка паролей на стойкость методами последовательного перебора и перебора по словарю. Если в ходе проверки удастся получить ваш пароль, ваша учетная запись будет заблокирована и вам будет необходимо изменить пароль для дальнейшей работы.

Требования к паролям сервисных учетных записей

4.1 Пароли для сервисных учетных записей должны формироваться ответственным за сервисную учетную запись и администратором информационной безопасности.

4.2 Длина каждой половины пароля должна быть не меньше 7 символов, сложность пароля указана в п.2.3. Перед запечатыванием конверта, обязательно проверить правильность смены пароля в информационной системе, делая соответствующую запись в журнале.

4.3 Пароль должен меняться не реже двух раз в год, или немедленно в случае увольнения или смены полномочий одного или двух ответственных за формирование пароля.

4.4 Каждая половина пароля сохраняется в отдельном конверте, исключающем возможность увидеть пароль через конверт, например, путем просвечивания конверта ярким светом. Конверты хранятся в сейфе начальника УА.

4.5 Каждая генерациясменавскрытие пароля или конверта должна обязательно формироваться соответствующей записью в журнале.

4.6 Администратор информационной безопасности, должен ежемесячно проверять наличие конвертов, целостность.

4.7 Вскрытие конвертов может произвести:

• ответственный за информационную систему;
• администратор информационной безопасности;
• Начальник УА

4.8 Конверты вскрываются одним лицом, с последующей регистрацией в журнале, при этом обязательно информирование администратора информационной безопасности с использованием почтовой рассылки.

4.9 В случае вскрытияиспользования конвертов, по окончании выполнения работ необходимо произвести работы по созданию нового пароля с п.4.1

4.10 Администраторы оказывают помощь и содействия администратору информационной безопасности при проведении аудитов, управление сервисными, административными паролями, shared keys и SNMP Community Strings, включая генерацию паролей, их изменение и хранение в безопасном месте, а также настройку информационных систем для соблюдения данных требований.

4.11 Администратор по информационной безопасности несёт осуществляет аудит требований данной политики, разрабатывает процедур управления идентификаторами.

4.12 Пользователи информационных ресурсов обязаны соблюдать требования данной Инструкции при выборе пароля и работе с ним.

Политика

1. Пароли системных учетных записей (администратора домена, локального администратора, root и т. д.) должны изменяться ежеквартально.
2. Все пароли системных учетных записей, а также пароли приложений и активного оборудования необходимо хранить в базе данных в зашифрованном виде, доступ к которой ограничен.
3. Срок действия паролей учетных записей домена должен составлять не более 9 месяцев. Рекомендуемый интервал смены пароля 6 месяцев.
4. Пароль учетной записи пользователя, имеющего административные привилегии, полученные при помощи членства в группе или при помощи программ, таких как sudo, должен быть уникален по отношению к другим паролям учетных записей данного пользователя.
5. Запрещается передача паролей пользователям при помощи почтовых сообщений либо иным другим открытым способом через Интернет.
6. Пароль полученный пользователем, необходимо сменить при первом входе в систему.
7. При использовании SNMP протокола, необходимо использовать отличные от стандартных значений строк подключений (Community Name) «public», «private», «system» и отличными от пароля используемого для входа в систему.
8. Все пароли пользователей, а также системные пароли должны соответствовать данной политике.

Правила парольной защиты

1. Не используйте один и тот же пароль для доступа к учётным записям «ВАША КОМПАНИЯ» и к другим ресурсам (например, доступ в интернет из дома, системам электронной коммерции и т. д.). По возможности не используйте один и тот же пароль для доступа к различным ресурсам внутри компании. Например, используйте один пароль для прикладных программ и другой для администрирования ресурсов. Используйте различные пароли для учётных записей Windows и Unix-систем.
2. Не сообщайте ваш пароль никому, даже вашему секретарю или обслуживающему персоналу. Все пароли являются конфиденциальной информацией «ВАША КОМПАНИЯ».
3. Список запрещённых действий.
4. Не сообщайте никому свой пароль по телефону.
5. Не отправляйте свой пароль по электронной почте.
6. Не сообщайте свой пароль начальнику.
7. Не говорите о своём пароле рядом с посторонними.
8. Не упоминайте о содержимом пароля (например, «мой день рождения»).
9. Не указывайте свой пароль в анкетах или опросниках.
10. Не сообщайте свой пароль членам своей семьи.
11. Не сообщайте свой пароль сослуживцам перед уходом в отпуск.
12. Не записывайте пароль и не храните его на рабочем месте.
13. Не храните пароль в файле на компьютере, включая переносной, без шифрования.
14. Не используйте функцию «Запомнить пароль» в таких приложениях как Eudora, Outlook или Netscape Messenger

Если кто-либо требует сообщить ваш пароль, сошлитесь на этот документ или попросите позвонить в отдел информационной безопасности.

Если вы считаете, что учётная запись или пароль скомпрометированы, сообщите об этом в отдел информационной безопасности «ВАША КОМПАНИЯ» и смените все пароли.

Уполномоченные лица «ВАША КОМПАНИЯ» могут регулярно проводить подбор или попытки взлома паролей. Если пароль будет угадан или взломан во время таких мероприятий, вас попросят сменить пароль.

Использование паролей и парольных фраз для удалённого доступа.

Для контроля удалённого доступа к сетям «ВАША КОМПАНИЯ» используйте или одноразовые пароли или ассиметричную ключевую систему со стойкой парольной фразой.

Парольные фразы отличаются от паролей. Парольная фраза более длинная версия пароля и, таким образом, более надёжная. Парольные фразы обычно используются для аутентификации в ассиметричных системах шифрования. Ассиметричная ключевая система определяет математическую связь между открытым ключом, известным всем и закрытым ключом, известным только его владельцу. Без парольной фразы, дающей доступ к закрытому ключу, пользователь не получит доступ.

Парольная фраза обычно состоит из нескольких слов, являясь более устойчивой к атакам по словарю. Хорошая парольная фраза относительно длинная и содержит комбинацию букв в верхнем и нижнем регистре, а также цифры и знаки препинания. Вот пример хорошей парольной фразы: «The*?#>*@TrafficOnThe101Was*!#This Morning»

Все правила создания стойких паролей относятся и к парольным фразам.

Инструкции

Инструкция по созданию пароля. «ВАША КОМПАНИЯ» использует пароли для различных целей. Среди них: доступ к учётной записи пользователя, к веб-интерфейсам, к электронной почте, для защиты хранителя экрана, пароли голосовой почты и доступ к маршрутизаторам. Поскольку очень мало систем поддерживают токены с одноразовыми паролями (динамические пароли, которые используются только один раз), следует знать как выбрать стойкий пароль.

Плохие, слабые пароли обладают следующими признаками:

1. Содержат менее восьми символов.
2. Являются словом, которое содержится в словарях (русских или иностранных).
3. Являются частоупотребляемым словом.
4. Содержат фамилию, кличку животного, имена друзей, сотрудников, вымышленных персонажей и т. д.
5. Содержат компьютерные термины и названия, команды, названия сайтов, компаний, оборудования, программного обеспечения.
6. Содержат название вашей компании и географические наименования, например «Москва», «Саратов» или их производные.
7. Содержат даты рождения и иную личную информацию, например, адреса и номера телефонов.
8. Слово или число по шаблону типа аааббб, qwerty, zyxwvuts, 12345 и т.д.
9. Предыдущий пример, вводимый в обратной последовательности.
10. Два предыдущих примера с цифрой в начале или конце пароля (например, Москва1, 1Саратов).

Стандарт разработки приложений

Разработчики приложений должны обеспечить в своих программах следующие меры безопасности:

1. Приложения должны поддерживать аутентификацию отдельных пользователей, а не групп.
2. Приложения не должны хранить пароли в открытом или легкораскрываемом виде.
3. Приложения должны обеспечивать своего рода передачу прав, чтобы один пользователь мог выполнять функции другого не зная его пароль.
4. Приложения должны по возможности всегда поддерживать TACACS+, RADIUS, и/или X.509 на основе LDAP.

Используемые источники:

• http://about-windows.ru/instrumenty-windows/redaktor-lokalnoj-gruppovoj-politiki/politika-parolej/
• http://securitypolicy.ru/шаблоны/парольная_политика
• https://compnote.ru/otdelit/instruktsiya-po-organizatsii-parolnoy-zashhityi/
• http://adminland.ru/blog/politika-paroley