Что такое гранулированные политики паролей или PSO (password setting object)

ДомойИнструменты и возможности ОС WindowsРедактор локальной групповой политикиПолитика паролей Windows

Как настроить политики паролей в Windows?

Политики паролей операционной системы Windows позволяют довольно гибко настроить возможность выбора паролей для пользователей данной системы. А если выразиться точнее, то данные политики позволяют довольно гибко настроить ограничения по выбору паролей для пользователей Windows. Политики паролей Windows позволяют настроить минимальную длину паролей, их сложность и многие другие параметры. В данной статье мы попробуем разобраться с данными политиками.

Где найти политики паролей Windows?

Все политики, которые позволяют настроить использование паролей в операционной системе от Microsoft хранятся в одном месте, которое гордо носит имя Редактор локальной групповой политики. Стоит отметить, что данный инструмент имеется только в трех самых развитых изданиях Windows. Чтобы открыть данный инструмент Вы можете воспользоваться командной быстрого вызова — gpedit.msc, которую необходимо ввести в окно меню Выполнить. После того как Редактор откроется, необходимо последовательно перейти по узлам

• Конфигурация компьютера
• Конфигурация Windows
• Параметры безопасности
• Политики учетных записей
• Политика паролей

Тут Вы найдете несколько политик. Их количество может отличаться в зависимости от версии операционной системы. Я ознакомлю Вас с 6 политиками паролей Windows, которые имеются в операционной системы Windows 7.

Политики паролей Windows

1. Вести журнал паролей. Самая первая политика позволяет настроить количество паролей, которые будут храниться в памяти компьютера. Нужно это для того чтобы пользователь не использовал один и тот же пароль несколько раз. Журнал паролей может хранить от 0 до 24 паролей. И чисто теоретически, пользователь может один и тот же пароль выставить только через несколько лет. В этом ему может помощь следующая политика.
2. Максимальный срок действия пароля. Думаю что объяснять на пальцах суть данной политики не нужно. Скажу только то, что по умолчанию в данном параметре пароли должны меняться раз в 42 дня. И попрошу никого не бояться — система автоматически будет предупреждать пользователей о том, что необходимо поменять пароль. Предупреждения выходят на протяжении 7 дней.
3. Минимальная длина пароля. Название данной политики так же предельно ясно описывает назначение самой политики: тут Вам необходимо задать минимальное количество символов, которое должно быть в пароле. Чтобы понять всю важность этой политики необходимо прочитать статью Время перебора паролей.
4. Минимальный срок действия пароля. Использование данной политики оправдано только в связке с первой политикой. Данная политика не позволит особенно умным «хакерам» прокрутить журнал паролей за несколько минут и снова поставить свой старый пароль.
5. Пароль должен отвечать требованиям сложности.5-ая политика паролей позволяет одним действием выставить сразу несколько ограничений для выбираемых паролей:
   • Пароль не будет содержать в себе имени учетной записи или частей полного имени пользователя длиной более двух рядом стоящих знаков.
   • Пароли должны будут иметь минимальную длину в 6 символов.
   • Содержать в себе 3 из 4 ниже перечисленных категорий символов.
     • Латинские заглавные буквы (от A до Z)
     • Латинские строчные буквы (от a до z)
     • Цифры (от 0 до 9)
     • Отличающиеся от букв и цифр символы (например, !, $, #, %)
6. Хранить пароли используя обратимое шифрование. Включать данную политику следует только для совместимости со старыми приложениями. Если у Вас нет в этом надобности, то настоятельно прошу не включать данную политику, так как это отрицательным образом скажется на безопасности компьютера.

Настройка политик выбора паролей для отдельных пользователей

Все вышеперечисленные политики паролей Windows скажутся на жизни всех пользователей данного компьютера. Но кроме вышеперечисленных способов настройки есть еще один инструмент, который позволяет настроить ограничения в выборе пароля для отдельных пользователей или групп пользователей Windows — оснастка Управление компьютером. Если открыть данный инструмент и перейти в узел Локальные пользователи и группы, а после чего открыть Свойства какой-либо группы или пользователя, то мы сможем выбрать следующие параметры:

• Запретить смену пароля пользователем. Данный параметр особенно полезен для общедоступных учетных данных. Другими словами, если под одной и той же учетной записью сидят сразу несколько человек, то вся эта тема может накрыться сразу после того, как один умник сменит пароль. Чтобы избежать такой радости необходимо активировать данный пункт.
• Срок действия пароля неограничен. Что делает данный пункт, думаю, всем понятно. Особенной честью его обделяют администраторы, которым глубоко по-барабану на корпоративную политику.

Вот такими способами можно настроить политики паролей в операционной системе Windows.

Гранулированные политики паролей

Для этой цели, еще в операционной системе Windows Server 2008 появилась такая замечательная функциональная возможность, которая называется гранулированная политика паролей. Данный компонент операционной системы позволяет вам вывести определение ограничений для паролей в своей организации на, существенно, новый и более серьезный уровень. Другими словами, при помощи гранулированных политик паролей вам предоставляется возможность создавать различные коллекции параметров паролей и блокировки учетных записей для выбранных вами пользователей или групп пользователей. Соответственно, если вы не хотите, чтобы для всех ваших пользователей применялись идентичные параметры паролей, данная функциональная возможность была разработана именно для вас!

Рассмотрим, какие факторы влияют на гранулированные политики паролей.

Прежде всего, гранулированные политики паролей применяются для определенных объектов учетных записей пользователей или групп безопасности. Это обязательно следует учесть, так как если вы захотите применить такие политики паролей на подразделение, которое содержит объекты пользователей, состоящих в разных группах безопасности, создайте для таких пользователей теневые группы. Например, вам будет удобнее, если теневые группы будут названы так же, как и сами подразделения. В таком случае, вам будет существенно проще локализовать их. Естественно, это делать не обязательно, а создание теневых групп – это просто моя небольшая рекомендация. В двух словах напомню, что же такое теневая группа.

Теневыми группами называются обычные группы безопасности, в которые добавляются пользователи, принадлежащие к определенному подразделению. Другим словами, такие объекты можно назвать скорее не техническими, а концептуальными.

Стоит обратить внимание на то, что если у вас уже настроены параметры политики паролей, гранулированные политики паролей будут применяться вместе с указанными для домена параметрами политики, однако, для выбранных вами групп или пользователей будут применяться именно гранулированные политики. Самое важное, что следует отметить. Для использования этой функциональной возможности, так это то, что домен просто обязан работать на функциональном уровне Windows Server 2008.

Что такое гранулированные политики паролей или PSO (password setting object)

PSO (password setting object)-01

Одна из актуальных тем во многих организациях – это обеспечение своих пользователей безопасными паролями, с чем у большинства пользователей огромные проблемы. Ведь никому не хочется генерировать сложные пароли, несмотря на то, что в компаниях может быть информация, к которой будут пытаться получить доступ злоумышленники, а такого пароля как 111, 123, qwerty и т.п. казалось бы, более чем достаточно. А если пользовательские учетные записи взломают и будут украдены какие-то данные, скорее всего, виноватым окажется ИТ-подразделение, так как не было внедрено должных средств по обеспечению безопасности.

Чем так плохи политики паролей?

Многие начинающие системные администраторы, ну, а если говорить совсем честно, то не только начинающие, при работе с политиками паролей допускают одну общую ошибку. Несмотря на то, что в оснастке «Редактор управления групповыми политиками» можно обнаружить такие узлы как «Политика паролей» и «Политика блокировки учетных записей», в связанном объекте групповой политики для каждого подразделения, на самом деле, эти параметры политики для таких объектов GPO не будут применяться. У вас может возникнуть следующий вопрос: почему так и зачем вообще отображаются данные узлы для таких объектов групповой политики?

На самом деле, настройки параметров политики, связанных с конфигурацией политики паролей и блокировки учетных записей обязаны выполняться не для конкретного подразделения, а именно для всего домена и, соответственно, они будут работать лишь в том случае, если объект групповой политики с данными параметрами привязан к самому домену.

Поэтому, не пытайтесь настраивать данные параметры политики для разных подразделений. В этом нет никакого смысла. Параметры политики паролей и блокировки учетных записей вы можете настраивать лишь в одном объекте групповой политики для каждого домена. Так как по умолчанию уже заданы некоторые настройки в объекте групповой политики Default Domain Policy, лучше всего, вносите изменения в данные параметры именно для этого объекта групповой политики.

Теперь по поводу второй части вопроса, которая могла бы звучать вроде «зачем вообще отображаются данные узлы для таких объектов групповой политики?». Тут тоже нет ничего сверхъестественного. Так как вы можете отключить связь для дефолтного объекта групповой политики, содержащего параметры политики паролей и блокировки учетных записей, можно выполнять такие настройки в любом объекте GPO, а затем связать его с доменом. Поэтому, даже исключив данную возможность для всех объектов групповой политики, также было бы много проблем.

Если учесть это ограничение, то можно прийти к выводу, что в большинстве случаев, это очень плохо, так как всегда находятся какие-либо подразделения, для которых необходимо установить более жесткие ограничения. Например, скажем, юристам компании может понадобиться, чтобы их пароли были не менее 10 знаков и изменять такие пароли необходимо пользователям каждый 20 дней. Так есть ли какое-то средство, позволяющее задавать исключения, для уже существующих политик пролей?

Назначение политики PSO группе или пользователю

Сам по себе PSO никак не влияет на существующую доменную парольную политику. Для того, чтобы политика, хранящаяся в PSO стала действующей, PSO необходимо назначить глобальной группе или учетной записи пользователя. Обратите внимание, что PSO нельзя назначить OU. Т.е. своя собственная парольная политика действует либо для отдельного пользователя, либо для группы пользователей.

Назначение PSO производится через консоль Active Directory Users and Computers. В свойствах объекта PSO на вкладке Attribute Editor (вкладка будет доступна, если в консоли включен режим View -> Advanced Features) нужно найти атрибутmsDS-PSOAppliesTo и добавить в него пользователя или глобальные группы, на которые будет распространяться политика PSO.

Важно! Пользователь или группа, к которым будет применяться PSO, указываются в атрибуте msDS-PSOAppliesTo в формате DN, distinguished name (например, CN=Domain Admins, CN=Users, DC=gorbunov, DC=pro). Если группа или пользователь будут переименованы, PSO потеряет привязку к ним и перестанет к ним применяться!!

Используемые источники:

• http://about-windows.ru/instrumenty-windows/redaktor-lokalnoj-gruppovoj-politiki/politika-parolej/
• http://pyatilistnik.org/pso-password-setting-object/