Главная сайта | Форум | Фотоальбом | Казуальные игры | Регистрация   | Вход | Cайт в избранное | Правила сайта и форума

Приветствую Вас Гость | RSS


Фильмы | Онлайн Видео | Софт | Новости и Статьи | Игры онлайн | Фотоальбом | Форум

ДЛЯ ПРОСМОТРА САЙТА РЕКОМЕНДУЕТСЯ ИСПОЛЬЗОВАТЬ:  Uran - браузер от uCoz на базе проекта Chromium. | Google ChromeOpera | Firefox 


МЕНЮ САЙТА

ПОИСК ПО САЙТУ

Gamesblender № 472: Crysis Remastered перенесли после утечки, а Ubisoft показала королевскую битву

Обзор Windows 10 May 2020 Update – все ближе к совершенству

Gamesblender 465: ремейк Mafia, нереальные красоты Unreal Engine 5 и показ Ghost of Tsushima

Streets of Rage 4: Видеообзор

Predator: Hunting Grounds: Видеообзор

Gears Tactics: Видеообзор

XCOM: Chimera Squad: Видеообзор

10 самых ожидаемых стратегий 2020 года

Gamesblender 459: Sony снова перенесла The Last of Us Part II, а Mount & Blade II покоряет Steam

Resident Evil 3: Видеообзор

Игромания! Игровые новости, 12 сентября (iPhone 7, PlayStation 4 Pro, League of Legends)

Игромания! ИГРОВЫЕ НОВОСТИ, 3 июня (Death Stranding, CoD: Modern Warfare, Marvel’s Avengers, E3)

Игромания! Игровые новости, 17 апреля (Cyberpunk 2077, Heroes of the Storm, Remedy, Bioware)

Во что поиграть на этой неделе — 29 сентября (Total War: WARHAMMER 2, FIFA 18, Cuphead)

Во что поиграть на этой неделе — 3 июня (The Witcher 3: Blood and Wine, Investigator)

Во что поиграть на этой неделе — 3 августа + Лучшие скидки на игры

Лучшие БОЕВИКИ 2016

Во что поиграть на этой неделе — 22 сентября (Marvel vs Capcom Infinite, Project CARS 2, NBA 2K18)
СТАТИСТИКА
Всего материалов:
Фильмомания: 1847
Видео: 220
Каталог файлов: 82
Каталог статей: 6287
Фотоальбом: 1236
Форум: 723/5123
Каталог сайтов: 375

Всего зарегистрировано:
Зарегистрировано: 1288
Сегодня: 0
Вчера: 0
За неделю: 3
За месяц: 12

Из них:
Пользователи: 1224
Проверенные: 15
Друзья: 5
Редакторы: 0
Журналисты: 8
В вечном бане: 30
Модераторы: 1
Администраторы: 3

Из них:
Парней 1048
Девушек 238


ON-Line всего: 1
Гостей: 1
Пользователей: 0

Сейчас на сайте:


День Рождения у: maik13(47), TheonlineFortune(31), valerka(20)
ПО ЖЕЛАНИЮ, ПОМОЧЬ САЙТУ, ВЫ МОЖЕТЕ ЧЕРЕЗ ПОЖЕРТВОВАНИЕ ЛЮБОЙ СУММЫ.

Категории каталога

Главная » Статьи » Статьи » Статьи: Windows 7

Администрирование: Управление Windows 7 с помощью групповой политики - Локальная политика безопасности: Часть 2: Политики учетных записе

Введение

В предыдущей части статьи о локальных политиках безопасности вы узнали о методах использования локальных политик безопасности, при помощи которых можно управлять настройками, имеющими отношение к безопасности, как вашего домашнего компьютера, так и компьютеров, расположенных в доменной среде организации. Начиная с этой статьи, будут подробно рассматриваться все категории политик, которые относятся к обеспечению безопасности ваших компьютеров. В этой статье вы узнаете об управлении проверки подлинности пользовательских учетных записей, а именно об узле «Политики учетных записей». Применение этих политик распространено в предприятиях с доменной средой. Для обеспечения безопасности ваших компьютеров, применение политик этой группы на компьютерах, не входящих в доменную среду (например, использование политик на вашем домашнем компьютере) поможет вам существенно повысить безопасности компьютера.

Без сомнения, корпоративные учетные записи представляют огромный интерес для хакеров, которых может заинтересовать хищение корпоративной информации, а также получение доступа к компьютерам вашего предприятия. Поэтому, одним из решений, позволяющих существенно обезопасить инфраструктуру предприятия, является использование безопасных сложных паролей для снижения возможности проникновения злоумышленниками. Также не стоит забывать о том, что злоумышленники могут находиться гораздо ближе, чем вы себе представляете. Я настоятельно рекомендую заставить пользователей использовать сложные пароли, включая буквы разных регистров, цифры, а также специальные символы для паролей к своим учетным записям и ни в коем случае не оставлять свои пароли у всех на виду. Я имею в виду не записывать их на бумагу и не размещать на своем рабочем месте, рядом с компьютером, а тем более – не закреплять их на своих мониторах (что встречается довольно таки часто). Также пользователи обязаны менять свои пароли по истечению срока, который вы установите. Например, указав срок действия пароля в 30 дней, по его истечению перед входом пользователя в свою учетную запись, отобразится диалог с требованием изменения текущего пароля.

Для того чтобы найти политики, предназначенные для управления учётными записями, в редакторе управления групповыми политиками откройте узел Конфигурация компьютера\Параметры безопасности\Политики учетных записей. Рассмотрим подробно каждую политику безопасности, которая применяется для управления паролями и блокировкой учетных записей пользователей.

Политика паролей

При помощи этого узла вы можете изменять настройки паролей учетных записей пользователей, которые состоят как в домене, так и в рабочих группах. В организациях вы можете применять одинаковые политики паролей для всех пользователей, входящих в домен или только для отдельных групп при помощи оснастки «Консоль управления групповыми политиками». В узле «Политика паролей» вы можете использовать до шести политик безопасности, при помощи которых можно указать наиболее важные параметры безопасности, применяемые для управления паролями учетных записей. Настоятельно рекомендую не игнорировать данные политики. Даже если вы уговорите своих пользователей использовать сложные пароли, не факт, что они действительно будут это делать. Если вы правильно настроите все шесть политик безопасности, расположенных в этом узле, безопасность паролей пользователей вашей организации значительно повысится. Применив все политики, пользователям действительно придется создавать безопасные пароли, в отличие от тех, которые они считают «сложными». Доступны следующие политики безопасности:

Рис. 1 Узел «Политика паролей»

Вести журнал паролей. Насколько не был бы ваш пароль безопасным, злоумышленник рано или поздно сможет его подобрать. Поэтому необходимо периодически изменять пароли учетных записей. При помощи этой политики вы можете указать количество новых паролей, которые назначаются для учетных записей до повторного использования старого пароля. После того как эта политика будет настроена, контроллер домена будет проверять кэш предыдущих хэш-кодов пользователей, чтобы в качестве нового пароля пользователи не могли использовать старый. Число паролей может варьироваться от 0 до 24. Т.е., если вы указали в качестве параметра число 24, то пользователь сможет использовать старый пароль с 25-ого раза.

Максимальные срок действия пароля. Эта политика указывает период времени, в течение которого пользователь может использовать свой пароль до последующего изменения. По окончанию установленного срока пользователь обязан изменить свой пароль, так как без изменения пароля войти в систему ему не удастся. Доступные значения могут быть установлены в промежутке от 0 до 999 дней. Если установлено значения равное 0, срок действия пароля неограничен. В связи с мерами безопасности желательно отказаться от такого выбора. Если значения максимального срока действия пароля варьируется от 1 до 999 дней, значение минимального срока должно быть меньше максимального. Лучше всего использовать значения от 30 до 45 дней.

Минимальная длина пароля. При помощи этой политики вы можете указать минимальное количество знаков, которое должно содержаться в пароле. Если активировать этот параметр, то при вводе нового пароля количество знаков будет сравниваться с тем, которое установлено в этой политике. Если количество знаков будет меньше указанного, то придется изменить пароль в соответствии с политикой безопасности. Можно указать значение политики от 1 до 14 знаков. Оптимальным значением для количества знаков для пароля пользователей является 8, а для серверов от 10 до 12.

Минимальные срок действия пароля. Многие пользователи не захотят утруждать себя запоминанием нового сложного пароля и могут попробовать сразу изменить ввести такое количество новых паролей, чтобы использовать свой хорошо известный первоначальный пароль. Для предотвращения подобных действий была разработана текущая политика безопасности. Вы можете указать минимальное количество дней, в течение которого пользователь должен использовать свой новый пароль. Доступные значения этой политики устанавливаются в промежутке от 0 до 998 дней. Установив значение равное 0 дней, пользователь сможет изменить пароль сразу после создания нового. Необходимо обратить внимание на то, что минимальный срок действия нового пароля не должен превышать значение максимального срока действия.

Пароль должен отвечать требованиям сложности. Это одна из самых важных политик паролей, которая отвечает за то, должен ли пароль соответствовать требованиям сложности при создании или изменении пароля. В связи с этими требованиями, пароли должны:

  • содержать буквы верхнего и нижнего регистра одновременно;
  • содержать цифры от 0 до 9;
  • содержать символы, которые отличаются от букв и цифр (например, !, @, #, $, *);
  • Не содержать имени учетной записи пользователя или частей полного имени пользователя длиной более двух рядом стоящих знаков.

В том случае, если пользователь создал или изменил пароль, который соответствует требованиям, то пароль пропускается через математический алгоритм, преобразовывающий его в хэш-код (также называемый односторонней функцией), о котором шла речь в политике «Вести журнал паролей».

Хранить пароли, используя обратимое шифрование. Для того чтобы пароли невозможно было перехватить при помощи приложений, Active Directory хранит только хэш-код. Но если перед вами встанет необходимость поддержки приложений, использующих протоколы, требующие знание пароля пользователя для проверки подлинности, вы можете использовать текущую политику. Обратимое шифрование по умолчанию отключено, так как, используя эту политику, уровень безопасности паролей и всего домена в частности значительно понижается. Использование этой функции аналогично хранению пароля в открытом виде.

Политика блокировки учетной записи

Даже после создания сложного пароля и правильной настройки политик безопасности, учетные записи ваших пользователей все еще могут быть подвергнуты атакам недоброжелателей. Например, если вы установили минимальный срок действия пароля в 20 дней, у хакера достаточно времени для подбора пароля к учетной записи. Узнать имя учетной записи не является проблемой для хакеров, так как, зачастую имена учетных записей пользователей совпадает с именем адреса почтового ящика. А если будет известно имя, то для подбора пароля просто понадобится какие две-три недели.

Групповые политики безопасности Windows могут противостоять таким действиям, используя набор политик узла «Политика блокировки учетной записи». При помощи данного набора политик, у вас есть возможность ограничения количества некорректных попыток входа пользователя в систему. Разумеется, для ваших пользователей это может быть проблемой, так как не у всех получится ввести пароль за указанное количество попыток, но зато безопасность учетных записей перейдет на «новый уровень». Для этого узла доступны только три политики, которые рассматриваются ниже.

Рис. 2 «Политика блокировки учетной записи»

Время до сброса счетчиков блокировки. Active Directory и групповые политики позволяют автоматически разблокировать учетную запись, количество попыток входа в которую превышает установленное вами пороговое значение. При помощи этой политики устанавливается количество минут, которые должны пройти после неудачной попытки для автоматической разблокировки. Вы можете установить значение от одной минуты до 99999. Это значение должно быть меньше значения политики «Продолжительность блокировки учетной записи».

Пороговое значение блокировки. Используя эту политику, вы можете указать количество некорректных попыток входа, после чего учетная запись будет заблокирована. Окончание периода блокировки учетной записи задается политикой «Продолжительность блокировки учетной записи» или администратор может разблокировать учетную запись вручную. Количество неудачных попыток входа может варьироваться от 0 до 999. Я рекомендую устанавливать допустимое количество от трех до семи попыток.

Продолжительность блокировки учетной записи. При помощи этого параметра вы можете указать время, в течение которого учетная запись будет заблокирована до ее автоматической разблокировки. Вы можете установить значение от 0 до 99999 минут. В том случае, если значение этой политики будет равно 0, учетная запись будет заблокирована до тех пор, пока администратор не разблокирует ее вручную.

Политика Kerberos

В доменах Active Directory для проверки подлинности учетных записей пользователей и компьютеров домена используется протокол Kerberos. Сразу после аутентификации пользователя или компьютера, этот протокол проверяет подлинность указанных реквизитов, а затем выдает особый пакет данных, который называется «Билет предоставления билета (TGT – Ticket Granting Ticket)». Перед подключением пользователя к серверу для запроса документа на контроллер домена пересылается запрос вместе с билетом TGT, который идентифицирует пользователя, прошедшего проверку подлинности Kerberos. После этого контроллер домена передает пользователю еще один пакет данных, называемый билетом доступа к службе. Пользователь предоставляет билет на доступ службе на сервере, который принимает его как подтверждение прохождения проверки подлинности.

Данный узел вы можете обнаружить только на контроллерах домена. Доступны следующие пять политик безопасности:

Рис. 3. «Политика Kerberos»

Максимальная погрешность синхронизации часов компьютера. Для предотвращения «атак повторной передачи пакетов» существует текущая политика безопасности, которая определяет максимальную разность времени, допускающую Kerberos между временем клиента и временем на контроллере домена для обеспечения проверки подлинности. В случае установки данной политики, на обоих часах должны быть установлены одинаковые дата и время. Подлинной считается та отметка времени, которая используется на обоих компьютерах, если разница между часами клиентского компьютера и контроллера домена меньше максимальной разницы времени, определенной этой политикой.

Максимальный срок жизни билета пользователя. При помощи текущей политики вы можете указать максимальный интервал времени, в течение которого может быть использован билет представления билета (TGT). По истечении срока действия билета TGT необходимо возобновить существующий билет или запросить новый.

Максимальный срок жизни билета службы. Используя эту политику безопасности, сервер будет выдавать сообщение об ошибке в том случае, если клиент, запрашивающий подключение к серверу, предъявляет просроченный билет сеанса. Вы можете определить максимальное количество минут, в течение которого полученный билет сеанса разрешается использовать для доступа к конкретной службе. Билеты сеансов применяются только для проверки подлинности на новых подключениях к серверам. После того как подключение пройдет проверку подлинности, срок действия билета теряет смысл.

Максимальный срок жизни для возобновления билета пользователя. С помощью данной политики вы можете установить количество дней, в течение которых может быть восстановлен билет предоставления билета.

Принудительные ограничения входа пользователей. Эта политика позволяет определить, должен ли центр распределения ключей Kerberos проверять каждый запрос билета сеанса на соответствие политике прав, действующей для учетных записей пользователей.

Заключение

В наше время все чаще приходится заботиться о безопасности учетных записей, как для клиентских рабочих мест вашей организации, так и домашних компьютеров. Недоброжелателями, которые хотят получить доступ над вашим компьютером могут быть не только хакеры, расположенные в тысячах и сотнях тысяч километров от вас, но и ваши сотрудники. Защитить свои учетные записи помогают политики учетных записей. В этой статье подробно рассказывается обо всех политиках, которые имеют отношение к паролям ваших учетных записей, блокировке учетной записи при попытке подбора пароля, а также политикам Kerberos – протокола, используемого для проверки подлинности учетных записей пользователей и компьютеров домена. В следующей статье вы узнаете о политиках аудита.

 

Автор: Dmitry Bulanov

Источник http://dimanb.spaces.live.com


Если на странице вы заметили в посте отсутствие изображений, просьба сообщить , нажав на кнопку.



После прочтения материала " Администрирование: Управление Windows 7 с помощью групповой политики - Локальная политика безопасности: Часть 2: Политики учетных записе ", можно просмотреть форум и поискать темы по данной игре.



ДРУГИЕ МАТЕРИАЛЫ
Следующая цель хакеров - мозг?
Возрождение X-Wing, TIE Fighter
На Яндекс.Картах появились все областные центры Украины
Совет недели по групповым политикам 8 – Управление электропитанием
Движок Dead Space станет конкурентом Unreal Engine 3
Система распознавания лиц заработала в аэропорту Манчестера
Снимки опытного образца платы Gigabyte GA-X58-Extreme
Первые оценки Mercenaries 2
За первую неделю продано 1,4 млн The Sims 3
Microsoft весьма далека от одновременных релизов в сети и рознице
Патентное разбирательство угрожает Microsoft и Apple
Начало отношений и секс
Игровое видео Need for Speed Undercover
Microsoft и Yahoo! таки объединились против Google
Бета-версия Dawn of War 2 There Is Only War
Чипы NXP признаны наиболее скоростными среди аналогов
Хроника необъявленной войны
Игра по фильму Heat заморожена
Peugeot Metromorph: автомобиль, паркующийся на стене
Microsoft выпустила недоделанный патч для дыры в Windows ХР

Если вам понравился материал "Администрирование: Управление Windows 7 с помощью групповой политики - Локальная политика безопасности: Часть 2: Политики учетных записе", - поделитесь ним с другими.


html-cсылка на публикацию
BB-cсылка на публикацию
Прямая ссылка на публикацию


Категория: Статьи: Windows 7 | Добавил: Фокусник (15.03.2010)
Просмотров: 2317

Ниже вы можете добавить комментарии к материалу " Администрирование: Управление Windows 7 с помощью групповой политики - Локальная политика безопасности: Часть 2: Политики учетных записе "

Внимание: Все ссылки и не относящиеся к теме комментарии будут удаляться. Для ссылок есть форум.


Всего комментариев : 0
avatar
ФОРМА ВХОДА
ПАРТНЕРЫ

World of Warships — это free-to-play ММО-экшен, который позволяет окунуться в мир масштабных военно-морских баталий. Возьмите под управление легендарные боевые корабли первой половины ХХ века и завоюйте господство на бескрайних океанских просторах.

Курсы обмена WebMoney


Что такое ресурс Turbobit и как качать.

Установите Диск для Windows Папка Яндекс.Диска выглядит так же, как обычная папка на компьютере, но хранит ваши файлы ещё и на сервере Яндекса. Они доступны только вам и тем, кого вы сами выберете. А добраться до них можно с любого устройства с интернетом.
Получи 10 ГБ места бесплатно, на всю жизнь.
Видеообзор игры Walking Dead: Episode 5 - No Time Left, The
Видеообзор игры Walking Dead: Episode 5 - No Time Left, The
Прокатился с ветерком
Прокатился с ветерком
Денис Майданов - Время наркотик
Денис Майданов - Время наркотик
Подвел команду
Подвел команду
«A Skate Escalation» c Киллианом Мартином
«A Skate Escalation» c Киллианом Мартином
Я был в шоке....
Я был в шоке....
Видеообзор игры Wolfenstein: The New Order
Видеообзор игры Wolfenstein: The New Order
Полиция Саудовской Аравии разгоняет сборище дрифтеров
Полиция Саудовской Аравии разгоняет сборище дрифтеров
Игрозор №223
Игрозор №223
Видеообзор игры Destiny: The Dark Below
Видеообзор игры Destiny: The Dark Below

Забавные стоп-кадры (23 фото)
Забавные стоп-кадры (23 фото)
Что можно сделать из старых тракторных шин
Что можно сделать из старых тракторных шин
Пятничный сборник демотиваторов (19 фото)
Пятничный сборник демотиваторов (19 фото)
Самые ленивые люди на планете (20 фото)
Самые ленивые люди на планете (20 фото)
Чудаки вокруг нас (13 фото)
Чудаки вокруг нас (13 фото)
Прикольные снимки из аэропорта
Прикольные снимки из аэропорта
Повседневная жизнь матери двоих детей в забавных иллюстрациях (13 шт)
Повседневная жизнь матери двоих детей в забавных иллюстрациях (13 шт)
15-летний художник из Сербии рисует по памяти невероятно детализированные изображения животных (14 фото)
15-летний художник из Сербии рисует по памяти невероятно детализированные изображения животных (14 фото)
СТАТИСТИКА
Яндекс.Метрика


Copyright © 2000-2020, Alex LTD and System PervertedХостинг от uCoz