Da bi zagotovil visoko raven varnosti računov v domeni Active Directory, mora skrbnik konfigurirati in izvajati pravilnik o geslu, ki zagotavlja zadostno zapletenost, dolžino gesla in pogostost sprememb gesla za uporabnike in storitvene račune. Tako je napadalcu lahko zapletena možnost izbire ali prestrezanja uporabniških gesel.
V domeni AD so privzeto enotne zahteve za uporabniška gesla konfigurirane z uporabo skupinskih pravilnikov. Politika gesla za domenske račune je konfigurirana v pravilniku Privzeti pravilnik domene.
- Če želite konfigurirati pravilnik o geslu, odprite konzolo za upravljanje domene GPO (Konzola za upravljanje politik skupine - gpmc.msc).
- Razširite svojo domeno in poiščite pravilnik Privzeti pravilnik domene. Z desno miškino tipko kliknite in izberite Uredi.
- Politike gesla so v naslednjem razdelku urejevalnika GPO: Konfiguracija računalnika -> Konfiguracija Windows -> Varnostne nastavitve -> Pravilniki računa -> Pravilnik o geslu (Konfiguracija računalnika-> Nastavitve sistema Windows>> Varnostne nastavitve -> Pravilniki računa -> Politika gesla).
- Če želite urediti nastavitve želenega pravilnika, ga dvokliknite. Če želite omogočiti pravilnik, potrdite polje. Določite te nastavitve pravilnika in določite potrebno nastavitev (na primeru na posnetku zaslona sem minimalno dolžino uporabniškega gesla nastavil na 8 znakov). Spremembe shranite.
- Nove nastavitve pravilnika o geslu bodo nekaj časa (90 minut) uporabljene za vse domenske računalnike v ozadju, ko se računalnik zažene, ali pa lahko nastavitve uporabite takoj, ko zaženete ukaz gpupdate / force.
Zdaj razmislite o vseh nastavitvah upravljanja gesla, ki so na voljo za konfiguracijo. Skupno je šest pravilnikov o geslih:
- Hranite dnevnik gesla (Uveljavi zgodovino gesla) - določa število starih gesel, ki so shranjena v AD-ju, in preprečuje uporabniku, da bi ponovno uporabil staro geslo.
- Najvišja starost gesla - določi obdobje veljavnosti gesla v dneh. Po tem obdobju bo sistem od uporabnika zahteval spremembo gesla. Uporabnikom omogoča redne spremembe gesla.
- Minimalna starost gesla - kako pogosto lahko uporabniki spremenijo svoje geslo. Ta parameter uporabniku ne bo mogel večkrat zapored spremeniti gesla, da bi se vrnil na najljubše staro geslo s prepisom gesla v dnevnik Zgodovina gesla. Praviloma je vredno pustiti en dan tukaj, da uporabniku omogoči, da sam spremeni geslo, če je ogrožen (sicer bo moral skrbnik spremeniti geslo).
- Najmanjša dolžina gesla - Gesla ni krajše od 8 znakov (če tukaj navedete 0, geslo ni potrebno).
- Geslo mora izpolnjevati zahteve glede zahtevnosti - ko je ta pravilnik omogočen, je uporabniku prepovedano uporabljati ime svojega računa v geslu (največ dva znaka v vrstici iz uporabniškega imena ali imena), tudi geslo mora uporabljati 3 vrste znakov s tega seznama: številke (0 - 9), velike črke, malih črk, posebnih znakov ($, #,% itd.). Poleg tega je za izključitev uporabe preprostih gesel (iz slovarja priljubljenih gesel) priporočljivo občasno revidirati gesla domenskih računov.
- Shranite gesla z reverzibilnim šifriranjem - uporabniška gesla v bazi podatkov AD so shranjena v šifrirani obliki, v nekaterih primerih pa morajo nekatere aplikacije zagotoviti dostop do gesel v domeni. Ko omogočite ta pravilnik, so gesla shranjena v manj varni obliki (v bistvu odprta), ki ni varna (do zbirke podatkov gesla lahko dostopate, ko je DC ogrožen, RODC lahko uporabite kot enega od zaščitnih ukrepov).
Poleg tega morate v razdelku GPO ločeno izpostaviti nastavitve: Pravilnik o geslu za izklop računa:
- Prag za izklop računa - koliko poskusov vnosa napačnega gesla lahko uporabnik opravi, preden je njegov račun blokiran.
- Trajanje izklopa računa - koliko časa traja blokiranje računa (blokiranje dostopa), če je uporabnik večkrat vnesel napačno geslo.
- Čas do ponastavitve števca za izklop računa - Čez nekaj minut po vnosu zadnjega napačnega gesla se števec praga izklopa računa ponastavi. Če so računi blokirani prepogosto, lahko najdete vir zaklepanja,.
Privzete nastavitve pravilnika gesla za domeno AD so navedene v tabeli:
Politika | Privzeta vrednost |
Uveljavite zgodovino gesla | 24 gesel |
Najvišja starost gesla | 42 dni |
Minimalna starost gesla | 1 dan |
Najmanjša dolžina gesla | 7 |
Geslo mora izpolnjevati zahteve glede zahtevnosti | Vključeno |
Shranite gesla z reverzibilnim šifriranjem | Izklopljeno |
Trajanje blokade računa | Ni določeno |
Prag za izklop računa | 0 |
Ponastavite števec za izklop računa | Ni določeno |
V domeni, ki je uporabljena v korenu domene, je lahko samo en tak pravilnik gesla (seveda obstajajo nianse, o njih pa več). Če v OU uporabite pravilnik o geslu, bodo njegove nastavitve prezrte. Upravljalec domene, lastnik vloge FSMO PDC Emulator, je odgovoren za upravljanje politike domenskega gesla. Pravilnik velja za računalnike domene, ne za uporabnike. Če želite urediti privzete nastavitve pravilnika domene, morate imeti pravice skrbnika domene.
Nastavitve pravilnika skupine za upravljanje gesla veljajo za vse uporabnike in računalnike v domeni. Če morate ustvariti ločene pravilnike gesla za različne skupine uporabnikov, morate uporabiti ločeno funkcionalnost pravilnih gesel, ki so se pojavila v AD Windows Server 2008. Natančna pravila o geslih vam omogočajo, da na primer določite povečano dolžino ali zapletenost gesel za skrbniške račune (glejte članek o zaščiti administrativnih računov v AD-ju) ali obratno poenostavite (onemogočite) geslo za nekatere račune.
V delovni skupini bo treba pravila gesla konfigurirati na vsakem računalniku posebej z lokalnim urejevalnikom GPO - gpedit.msc ali pa lahko med tem računalnikom prenesete nastavitve za lokalne GPO.