ГлавнаяПрограммы
Андрей Смирнов
Время чтения: ~4 мин.
Просмотров: 54

Рекомендации Microsoft по отключению срока действия паролей: следствия и выводы

Windows Server

В целях повышения безопасности, в серверных операционных системах Windows включен срок действия пароля, по истечению которого, система будет сообщать вам о необходимости смен пароля. Если же данная функция вам не нужна, её возможно выключить через групповые политики

Отключение ограничения по срока действия пароля

Отключить данную настройку можно следующим образом:

Открываем Выполнить (Пуск — Выполнить или Win+R), после чего набираем gpedit.msc и жмем ОК.

disable-strong-password1.jpgВ левой панели переходим в Конфигурация компьютера — Конфигурация windows — Параметры безопасности — Политики учетных записей — Политика паролей. Ищем пункт «Максимальный срок действия пароля». По умолчанию он равен 42 дням — ровно через столько, после установки нового пароля система сообщит вам о том, что ваш пароль устарел и его необходимо сменить.

win2k8server-pass1.jpg Щелкаем два раза по этому пункту и ставим 0, чтобы отключить срок действия пароля.

win2k8server-pass2.jpg

Жмем ОК.

Пароли наконец-то отмирают?

В этом и заключается основной вопрос, не так ли? Есть несколько технологий, стремящихся заменить пароли как протокола аутентификации де факто. FIDO2 хранит идентификационные данные на физическом устройстве. Биометрия, несмотря на сомнения касательно «уникальности, но отсутствия конфиденциальности», также является потенциальным вариантом. Новая парадигма заключается в поиске методов аутентификации, которые нельзя случайно передать или легко украсть. Но пока что такие технологии не пробились из корпоративного сектора в мейнстрим. До этих пор, Varonis рекомендует оставить ваши политики срока действия паролей без изменений, а неудобство пользователей считать небольшим во имя общего блага.

Включение или отключение срока действия пароля для локальных учетных записей в «Локальные пользователи и группы»

Инструмент «Локальные пользователи и группы», который мы будем использовать,  есть только в Windows 10 Pro, Enterprise и Education.

1.В строке поиска или в меню выполнить (выполнить вызывается клавишами Win+r) напишите lusrmgr.msc и нажмите Enter.

20161215-13-min.jpg

2.В левой колонке выберите «Пользователи», в правой колонке нажмите правой клавишей мыши на пользователя, которому нужно включить или отключить срок действия пароля  => из открывшегося меню выберите «Свойства».

20170322-8-min.jpg

3. Поставьте или уберите галочку с поля «Срок действия пароля не ограничен». Как уже говорилось выше, если ее убрать — по умолчанию, пользователя каждые 42 дня будет просить сменить пароль. Нажмите «ОК» и закройте окно.

20170628-2-min.jpg

Зачем избавляться от политик срока действия паролей?

Аргументация Microsoft по этому вопросу заключается в том, что политики срока действия паролей несут малую ценность с точки зрения информационной безопасности. В результате они больше не рекомендуют их применение и исключили этот элемент из структуры фундаментального уровня кибербезопасности от Microsoft. Но Microsoft не просит отключить все ваши политики паролей сиюминутно. Они лишь информируют, что вашей стратегии ИБ нужно что-то большее, чем просто истечение срока действия паролей.

Стоит ли удалять политику паролей?

Большинству организаций следует оставить политику срока действия паролей без изменений. Подумайте над следующим простым вопросом: что будет, если у пользователя украдут пароль? Политики паролей помогают снизить напор атакующего, заблокировав его жизненно важный канал доступа внутрь сети. Чем короче срок действия пароля, тем меньше остаётся времени на компрометацию системы и вывод данных (если только атакующий не воспользовался другой точкой входа). Microsoft считает, что всё те же политики, нацеленные изначально на исключение скомпрометированных паролей из ротации, по факту только поощряют плохую практику – например, повторное использование и слабую итерацию (vesna2019, leto2019, zima2019) паролей, шпаргалки на мониторах и т.д. Словом, в Microsoft верят, что риск от плохих практик использования паролей на самом деле выше, чем выгода от внедрения политик по сроку действия. Мы в Varonis отчасти с этим согласны, но на самом деле существует сильное недопонимание того, что требуется компании для готовности к отказу от таких политик. Данное изменение сильно повышает удобство работы пользователям и его легко внедрить, но в итоге есть вероятность только увеличить общие риски, если вы не следуете другим лучшим практикам в индустрии, таким как:

  • cекретные фразы: форсирование длинных (16 и более символов) и комплексных паролей повышает сложность их взлома. Старый стандарт в минимум 8 символов взламывается за несколько часов на современных ПК.
  • модель минимально необходимого доступа: в мире, где постоянство никогда не нарушается, критично знать, что пользователь имеет доступ лишь к минимально необходимому объёму данных.
  • отслеживание поведения: вам необходимо уметь детектировать компрометацию аккаунта на основе отклонений от нормального входа в систему и нестандартного использования данных. Один лишь анализ статистики в данном случае не поможет.
  • многофакторная аутентификация: даже если атакующий знает имя пользователя и пароль, многофакторная аутентификация является серьёзным препятствием для среднестатистического злоумышленника.

Используемые источники:

  • https://sysadmin.ru/articles/windows-server-otklyuchenie-sroka-dejstviya-parolya
  • https://m.habr.com/ru/company/varonis/blog/475320/
  • https://vynesimozg.com/otklyuchit-srok-dejstviya-parolya-dlya-lokalnyx-uchetnyx-zapisei/

Рейтинг автора
5
Материал подготовил
Максим Иванов
Наш эксперт
Написано статей
129
Оценка статьи:
1 звезда2 звезды3 звезды4 звезды5 звезд (пока оценок нет)
Загрузка...
Поделиться с друзьями:
Поделиться
Отправить
Класснуть
Ссылка на основную публикацию
Похожие публикации
fpmp39.ru © 2025 Политика конфиденциальности Пользовательское соглашение Карта сайта