3-2 Основи планування та адміністрування служб доступу до інформаційних ресурсів / ЛБ / 7 / Заняття 7
.pdfЗАНЯТТЯ №7
Тема: Налаштування політики паролей та блокування облікових записів користувачів Active Directory Domain Services.
Мета заняття: Отримати практичні навички щодо налаштування політики паролей та блокування облікових записів користувачів Active Directory Domain Services.
ЗАГАЛЬНІ ВІДОМОСТІ ЗА ТЕМАТИКОЮ ЗАНЯТТЯ
В домені Windows Server 2008 (2012) користувачам, за умовчанням, необхідно змінювати свої паролі кожні 42 дні, а пароль повинен містити як мінімум сім символів і відповідати вимогам складності, включаючи використання трьох з чотирьох елементів написання: верхнього регістра, нижнього регістра, цифр і особливих символів.
Ці політики максимального терміну дії, довжини і складнощі паролів - перші, з якими адміністратори і користувачі стикаються в домені Active Directory. Параметри за умовчанням рідко набудовуються точно по вимогах безпеки в організації. Ваше підприємство може вимагати змінювати паролі частіше або рідше.
На даному занятті ми розглянемо, як реалізувати політики паролів і блокування на підприємстві шляхом модифікації об'єкту групової політики Default Domain Controller. З кожного правила є виключення, і у вашій політиці паролів також можуть передбачатися виключення. Щоб підвищити рівень безпеки домена, можна задати строгіші вимоги до паролів для облікових записів.
У попередніх версіях Windows ці можливості були відсутні: до всіх облікових записів в домені застосовувалася одна політика паролів. На цьому занятті ми обговоримо принципи налаштування нового компонента гранульованих політик паролів в Windows Server 2008 (2012), який дозволяє задавати різні політики паролів для користувачів і груп в домені.
Політика паролів домена конфігурується об'єктом GPO, в зону дії якого
2
потрапляє домен (див. рис. 5.1)
Рисунок 5.1 – Вікно налаштування політики
Порядок налаштування відповідних політик інтуїтивно зрозумілий та не викликає труднощів.
З метою забезпечення визначеного рівня безпеки, адміністраторами також здійснюється налаштування політики блокування облікового запису. Це обумовлено тим, що , зловмисник може дістати доступ до ресурсів в домені, визначивши справжнє ім'я користувача і пароль. Імена користувачів відносно легко ідентифікувати, оскільки більшість організацій створюють імена користувачів на основі адреси електронної пошти службовця, імені, прізвища, ініціалів або ідентифікаторів співробітників. Знаючи ім'я користувача, зловмисник може визначити правильний пароль, використовуючи методи перебору. Такому типу атаки можна протистояти, обмеживши дозволену кількість некоректних спроб входу. Для цього служать політики блокування облікового запису. Ці політики зберігаються у вузлі Політика блокування облікового запису (Account Password Policy) об'єкту GPO (див. рис.5.2).
3
Рисунок 5.2 – Вікно налаштування політики блокування облікового запису
Для блокування облікового запису застосовують три параметри. Перший - Порогове значення блокування (AccountLockoutThreshold) - визначає кількість некоректних спроб входу, дозволених протягом часу, вказаного політикою Тривалість блокування облікового запису (Account Lockout Duration). Якщо при атаці протягом цього часу невдалих спроб входу більше, обліковий запис користувача блокується. При блокуванні облікового запису вхід для неї буде заборонений, навіть якщо вказати правильний пароль. Адміністратор може розблоковувати обліковий запис користувача, виконавши відповідну процедуру. Структуру Active Directory також можна отконфігуріровать для автоматичного розблокування облікового запису після закінчення часу, вказаного параметром політики Час до скидання лічильника автоматичного блокування (Reset Account Lockout Counter After).
В Active Directory для домена підтримується один набір політик паролів і блокування. Ці політики отконфігуріроваїи в об'єкті GPO, в зону дії якого потрапляє домен. Новий домен містить об'єкт GPO з ім'ям Default Domain
4
Policy, який пов'язаний з доменом і включає параметри політики за умовчанням. Ці параметри можна змінити, відредагувавши об'єкт Default Domain Policy. Параметри політики, які откунфігуровані в об'єкті Default Domain Policy, впливають на всі облікові записи користувачів в домені. Проте ці параметри можна замінити властивостями паролів окремих облікових записів користувачів. На вкладці Обліковий запис (Account) діалогового вікна Властивості (Properties) облікового запису користувача можна вказати такі параметри, як Термін дії пароля не обмежений (Password NeverExpires) або Зберігати пароль, використовуючи шифрування (Store Passwords Using Reversible Encryption). Наприклад, якщо п'ять користувачів працюють з додатком, якому потрібний прямий доступ до їх паролів, ви можете отконфігурувати облікові записи цих користувачів для зберігання їх паролів з оборотним шифруванням.
ЗАВДАННЯ ДЛЯ ВИКОНАННЯ РОБОТИ
1.Налаштування політики паролей та блокування облікових записів користувачів у домені.
2.Створення об’єкта параметрів політики.
3.Ідентифікація результуючого об’єкта PSO для користувача.
4.Видалення об’єкта PSO.