Политика паролей Server 2012 в Active Directory

Домой Инструменты и возможности ОС Windows Редактор локальной групповой политики Политика паролей Windows

ⓘ Политика паролей

Политика паролей — это набор правил, направленных на повышение безопасности компьютера путем поощрения пользователей к использованию надежных паролей и их правильному использованию. Политика паролей часто является частью официальных правил организации и может преподаваться как часть информационной безопасности. Либо политика паролей носит рекомендательный характер, либо компьютерные системы заставляют пользователей соблюдать ее. Некоторые правительства имеют национальные структуры аутентификации, которые определяют требования к аутентификации пользователей в государственных службах, включая требования к паролям.

Типовые атаки на пароль

Давайте рассмотрим некоторые типовые виды взлома пароля, которые используются чаще всего.

Методы перебора паролей. Атака со словарем

Злоумышленник, перебирая пароли, производит в специальном файле поиск, используя слова из большого заранее подготовленного им словаря, а также зашифровывает каждое пробное значение с помощью того же алгоритма, что и программа регистрации.

Борьба с этим видом взлома не является слишком сложной, в этом случае следует использовать сложные длинные пароли, которые содержат различные типы символов вместо осмысленных фраз. Кроме этого, можно заблокировать учетную запись при неоднократном неправильном вводе пароля. И наконец, используя аудит, выявить источник атаки.

Социотехника, угадывание, подглядывание

Злоумышленник представляется администратором и вынуждает пользователя или открыть свой пароль, или сменить его на указанный взломщиком. Я думаю, многие из вас получали такие письма по электронной почте.

Здесь метод борьбы также понятен, пользователи должны быть проинформированы о недопущении разглашения своих учетных данных кому бы то ни было. В организации должны быть разработаны административные процедуры, запрещающие разглашение паролей другим лицам при любых обстоятельствах. Следует также извещать пользователей о том, что администратор никогда не обратится к ним с таким требованием.

Более изощренный вариант такой атаки нацелен на администраторов, а не на пользователей. Злоумышленник представляется законным пользователем и просит администратора заменить пароль. Также он может представиться одним из руководителей и попросить заменить пароль, расширить полномочия и т.п.

Читайте также:  Управление ядром Linux (сборка, компилирование, конфигурирование)

Решение этой проблемы тоже лежит в организационной плоскости. Должна действовать корпоративная политика, согласно которой администратор меняет пароль пользователя только при условии, что он может установить его личность и передать новый вариант пользователю безопасным способом. Средства самостоятельного управления паролями могут удовлетворять обоим критериям.

Есть и другие варианты атак, например, попробовать навести справки в отделе кадров, посмотреть на столе, покопаться в мусоре. И собрав информацию о личности жертвы, попробовать угадать пароль. Иногда девичьей фамилии жены вполне достаточно для доступа к почте, размещенной на бесплатном почтовом сервере. А дальше, проанализировав переписку пользователя, взломщик может получить достаточно информации и для получения доступа к внутрикорпоративным данным. То есть злоумышленник, исходя из знаний личных данных жертвы, пытается войти в систему с помощью имени пользователя и одного или нескольких паролей, которые могли бы быть использованы. Этот способ атаки, как ни удивительно, часто оказывается эффективным и против административных учетных записей. Пароли [email protected], QWERTY123 и т.д. по-прежнему еще можно встретить у пользователей, чьей задачей как раз и является недопущение подобного в информационных сис-темах.

Для защиты от такой атаки следует использовать идентификационные фразы, не содержащие очевидных ассоциаций, например, RQ12#lm25 гораздо лучше, чем Margo200576. Ну и опять нам на помощь приходит блокировка учетной записи при неоднократном неверном вводе пароля.

Что касается подглядывания при вводе пароля, то здесь нам отчасти могут помочь административные процедуры, запрещающие вводить свои учетные дан-ные в присутствии других лиц, и регулярная смена пароля пользователем, требования обязательной блокировки рабочей станции и т.п.

«Троянский конь»

Злоумышленник скрытно устанавливает ПО, имитирующее обычную регистрационную программу и собирающее имена пользователей и пароли при попытках пользователей войти в систему. Впрочем, такое программное обеспечение может быть установлено не только злоумышленником.

На компьютере подобные программы могут появиться и в результате заражения вирусами, или могут быть установлены самим пользователем, когда он пытается использовать какой-либо продукт нелегально, скачивая генератор серийных номеров и т.д., что в своем коде может содержать нежелательную функциональность.

Читайте также:  Как открыть PowerShell на Windows 10: что делать, если не запускается

Для защиты от этого вида атак следует использовать антивирусное про-граммное обеспечение, программное обеспечение по оценке целостности файлов, ограничение на запуск несанкционированных приложений.

Принуждение

В этом случае чтобы заставить пользователя открыть свой пароль, злоумышленник использует угрозы или физическое воздействие. В некоторых системах предусматривается возможность для пользователя подать сигнал о том, что вход осуществляется под принуждением. Обычно это реализуется посредством использования специального пароля при входе в систему – пароль «вход под принуждением».

Мы рассмотрели основные виды уязвимостей парольной аутентификации и теперь посмотрим некоторые средства защиты, которые доступны посредством политик.

Параметры сильных паролей

  1. Содержит сочетание букв верхнего и нижнего регистров (например, a-z, A-Z).
  2. Включает цифры и знаки пунктуации, например, 0-9, [email protected]#$%^&*()_+|~-=`{}[ [ ] ]:«;'<>?,./).
  3. Состоит из восьми и более символов.
  4. Не является словом на любом языке, диалекте, сленге, жаргоне и т.д.
  5. Не основан на пресональной информации, например фамилии, дате рождения и т.д.
  6. Никогда не записывается и не хранится on-line.

Создавайте легкозапоминаемые пароли. Одним из способов создания таких паролей, использовать песни, стихи и другие легкозапоминающиеся фразы. Например из фразы: «This May Be One Way To Remember» можно получить такие пароли: «TmB1w2R!» или «Tmb1W>r~» и другие варианты.

Внимание: Не используйте ни один из предыдущих примеров в качестве пароля!

Поиск компьютера, с которого была заблокирована учетная запись

В первую очередь администратору нужно разобраться с какого компьютера / сервера происходят попытки ввода неверных паролей и идет дальнейшая блокировка учетной записи.

В том случае, если ближайший к пользователю контроллер домена определил, что пользователь пытается авторизоваться под неверным паролем , он перенаправляет запрос аутентификации на DC с FSMO ролью эмулятора PDC (именно он отвечает за обработку блокировок учетных записей). Если проверка подлинности не выполнялась и на PDC, он отвечает первому DC о невозможности аутентификации.

При этом в журнале обоих контроллеров домена фиксируются события 4740 с указанием DNS имени (IP адреса) компьютера, с которого пришел первоначальный запрос на авторизацию пользователя. Логично, что в первую очередь необходимо проверить журналы безопасности на PDC контроллере. Найти PDC в домене можно так:

Читайте также:  10 способов открыть командную строку в Windows 10

Событие блокировки учетной записи домена можно найти в журнале Security на контролере домена. Отфильтруйте журнал безопасности по событию с Event ID 4740. Должен появится список последних событий блокировок учетных записей на контроллере домена. Начиная с самого верхнего переберите все события и найдите событие, в котором указано что учетная запись нужного пользователя (имя учетной записи указано в строке Account Name) заблокирована (A user account was locked out).

Поиск компьютера, с которого была заблокирована учетная запись

Откройте данное событие. Имя компьютера (или сервера), с которого была произведена блокировка указано в поле Caller Computer Name. В данном случае имя компьютера – TS01.

Можно воспользоваться следующим PowerShell скриптом для поиска источника блокировки конкретного пользователя на PDC. Данный скрипт вернет дату блокировки и компьютер, с которого она произошла:

$Username = ‘username1’$Pdce = (Get-AdDomain).PDCEmulator$GweParams = @$Events = Get-WinEvent @GweParams$Events | foreach

$Username = ‘username1’Get-ADDomainController -fi * | select -exp hostname | %

Связка подготовленной групповой политики MyChat с подразделениями пользователей

На этом мы закончили создание ГП для развертывания клиента чата в корпоративной сети. Но этого еще не достаточно, теперь необходимо связать эту ГП с одним или несколькими подразделениями пользователей Active Directory, которые будут пользоваться чатом.

В примере создадим подразделение для пользователей MyChat, а потом уже свяжем его с подготовленной групповой политикой:

Теперь привязываем групповую политику с подразделением, выбираем нужное подразделение в «Управлении групповой политикой» и связываем его с ГП MyChat:

Так как каждая новая групповая политика не привязана изначально ни к одному подразделению – она привязана ко всему домену. Поэтому открываем ГП MyChat и выключаем (или удаляем) связь между нашей групповой политикой и корнем домена:

Теперь можно смело закрывать редактор групповой политики MyChat и диспетчер сервера, а в командной строке выполняем команду «GPUPDATE /FORCE» для немедленного применения созданной нами ГП. Пользователи, которые входят в подразделения с данной ГП после перезагрузки при обновлении политики выполнят условия установки и настройки MyChat Client.

На этом этапе мы закончили установку чата в корпоративной сети под управлением Active Directory.