Да би осигурао висок ниво сигурности рачуна у домени Ацтиве Дирецтори, администратор мора да конфигурише и примени политику лозинке која пружа довољну сложеност, дужину лозинке и учесталост промена лозинке за кориснике и сервисне налоге. Стога је могуће да се нападачу закомплицира могућност избора или пресретања корисничких лозинки.
У АД домену се подразумевано захтевају јединствени захтеви за корисничке лозинке помоћу групних смерница. Политика лозинке за домене налога је конфигурисана у политици Подразумевана политика домена.
- Да бисте конфигурисали политику лозинке, отворите конзолу за управљање ГПО доменом (Конзола за управљање политикама групе - гпмц.мсц).
- Проширите домен и пронађите правила Подразумевана политика домена. Кликните десним тастером миша на њу и изаберите Измени.
- Смернице за лозинку налазе се у следећем одељку уређивача ГПО-а: Конфигурација рачунара -> Конфигурација Виндовс -> Подешавања сигурности -> Политике налога -> Политика лозинке (Конфигурација рачунара-> Подешавања Виндовс-> Подешавања безбедности -> Политике налога -> Политика лозинке).
- Да бисте уредили поставке жељене политике, двокликните је на њу. Да бисте омогућили полису, потврдите оквир. Дефинишите ове поставке политике и одредите потребно подешавање (у примеру на снимку екрана, поставио сам минималну дужину корисничке лозинке на 8 знакова). Сачувај промене.
- Нова подешавања смерница за лозинку примењиваће се на све рачунаре домена у позадини неко време (90 минута), када се рачунар покреће или можете одмах да примените подешавања покретањем гпупдате / форце команде.
Сада размотрите сва подешавања управљања лозинком која су доступна за конфигурацију. Постоји укупно шест смерница за лозинку:
- Чувајте дневник лозинки (Увери историју лозинке) - одређује број старих лозинки које се чувају у АД-у, спречавајући корисника да поново користи стару лозинку.
- Максимална старост лозинке - одређује рок важења лозинке у данима. Након овог периода систем ће захтевати од корисника да промени лозинку. Омогућава редовне промене лозинке за кориснике.
- Минимална старост лозинке - колико често корисници могу да мењају лозинку. Овај параметар неће дозволити кориснику да промени лозинку неколико пута заредом, како би се вратио на омиљену стару лозинку тако што ће пребрисати лозинке у дневнику Историја лозинки. У правилу, вриједи оставити један дан овдје како би кориснику омогућио да сам промијени лозинку у случају да буде угрожена (иначе ће администратор морати да промијени лозинку).
- Минимална дужина лозинке - Не препоручује се постављање лозинке краће од 8 знакова (ако овде наведете 0, лозинка није обавезна).
- Лозинка мора да испуњава захтеве за сложеност - када је ова политика омогућена, кориснику је забрањено да користи име свог налога у лозинци (не више од два знака у низу из корисничког имена или имена), а лозинка мора да користи и 3 врсте знакова са следеће листе: бројеви (0 - 9), велика слова, мала слова, посебни карактери ($, #,%, итд.). Поред тога, да бисте искључили употребу једноставних лозинки (из речника популарних лозинки), препоручује се периодична ревизија лозинки налога домена.
- Чувајте лозинке помоћу реверзибилне енкрипције - корисничке лозинке у бази података АД чувају се у шифрираном облику, али у неким случајевима неке апликације морају да омогуће приступ лозинкама у домену. Када омогућите ову политику, лозинке се чувају у мање безбедном облику (у суштини отвореном), што није безбедно (можете приступити бази података лозинки када је ДЦ угрожен, можете користити РОДЦ као једну од мера заштите)..
Поред тога, потребно је да посебно означите подешавања у одељку ГПО: Политика лозинке за закључавање рачуна:
- Праг закључавања рачуна - колико покушаја да унесе погрешну лозинку може да направи корисник пре него што је блокиран.
- Трајање блокирања рачуна - колико треба времена да се блокира рачун (блокира приступ) ако је корисник неколико пута уписао погрешну лозинку.
- Време до ресетовања бројача за блокирање рачуна после - колико минута након уноса последње нетачне лозинке бројач закључавања рачуна ће се ресетовати. Ако се рачуни блокирају пречесто, можете пронаћи извор закључавања тако.
Подразумевана подешавања политике лозинке за АД домен наведена су у табели:
Политика | Подразумевана вредност |
Увежбавајте историју лозинки | 24 лозинке |
Максимална старост лозинке | 42 дана |
Минимална старост лозинке | 1 дан |
Минимална дужина лозинке | 7 |
Лозинка мора да испуњава захтеве за сложеност | Укључено |
Чувајте лозинке помоћу реверзибилне енкрипције | Офф |
Трајање блокирања рачуна | Није дефинисано |
Праг за блокирање рачуна | 0 |
Ресетујте бројач закључавања рачуна након | Није дефинисано |
У домени која се примењује на корен домена може постојати само једна таква политика лозинке (постоје, наравно, нијансе, али о њима је више). Ако примените политику лозинке на ОУ, њене поставке ће се игнорисати. Контролор домена, власник улоге ФСМО ПДЦ Емулатор, одговоран је за управљање политиком домене лозинке. Ова правила се односе на рачунаре домена, а не на кориснике. Да бисте изменили подразумевана подешавања политике домена, морате да имате администраторска права домена.
Подешавања смерница за групу за управљање лозинкама односе се на све кориснике и рачунаре у домену. Ако треба да креирате одвојене смернице за лозинке за различите корисничке групе, требате користити засебну функционалност финих-зрнатих лозинки која се појавила у АД Виндовс Сервер 2008. Грануларне смернице за лозинке вам омогућавају да на пример одредите повећану дужину или сложеност лозинки за администраторе налоге (погледајте чланак о заштити административних рачуна у АД-у) или обрнуто, поједноставите (онемогућите) лозинку за неке рачуне.
У радној групи ће се смернице за лозинке морати конфигурисати на сваком рачунару засебно помоћу локалног ГПО уређивача - гпедит.мсц, или можете пренети поставке за локалне ГПО између рачунара попут овог.