Ostatnimi czasy nieco więcej miejsca poświęcamy na naszych łamach na kwestie bezpieczeństwa. Dzisiejszego dnia postaram się napisać nieco więcej na temat polityki bezpieczeństwa związanej z zarządzaniem hasłami użytkowników.
Postaram się przedstawić możliwości jakie daje Group Policy Object w kwestii definicji założeń bezpieczeństwa haseł w środowisku domenowym Windows Server. Chcąc modyfikować domyślne ustawienia tego policy musimy otworzyć następującą ścieżkę:
Computer Configuration -> Windows Settings -> Security Settings -> Password Policy.
W lokalizacji tej mamy dostęp do następujących opcji:
Zaczniemy od opcji Enforce password history. Opcja ta zasadniczo definiuje ilość przechowywanych, starych haseł używanych przez użytkownika. Definiowana wartość pokazuje zasadniczo, kiedy można użyć poprzedniego hasła. Domyślnie jako 25 kolejne hasło. Standardowo serwer przechowuje 24 poprzednie hasła, które nie mogą się w tym czasie powtórzyć.
Kolejną opcją jest wartość Maximum password age, czyli maksymalna ważność konta. Opcja ta jest może mało wygodna względem użytkownika, jednak w znacznym stopniu zwiększa bezpieczeństwo. Niewygodę okresowej zamiany haseł oraz ich pamiętania można zmniejszyć wybierając co 2-3 miesięczne zmiany hasła. W połączeniu z opcją wymagającą użycia w kolejności co najmniej 24 unikatowych haseł sprawdza się bardzo dobrze. Domyślnie ważność hasła ustawiona jest na 42 dni.
Analogiczną opcją jest Minimum password age, tyle że w tym wypadku ustalamy minimalną ilość dni trwania hasła, podczas których nie możliwa będzie zmiana hasła. Opcja ta jest przydatna w sytuacji, gdy chcemy zabezpieczyć się przez "sprytnymi" użytkownikami, którzy mogą próbować obejść zabezpieczenie 24 przechowywanych haseł w ten sposób. Możemy więc zastrzec, że użytkownik nie w okresie co 2 miesięcznej zmiany hasła będzie je mógł zmienić w ciągu 5 dni przed tym okresem. Jest to spore udogodnienie. Z drugiej jednak strony w sytuacjach gdy korzystamy z Active Directory w środowiskach testowych lub też w innych sytuacjach nie wymagających konfiguracji polityki haseł opcja ta może być nieco uciążliwa. Jej domyślna wartość to 1 dzień. Oznacza to nie mniej ni więcej, że hasło można zmienić tylko raz na dzień. Warto o tym pamiętać.
Następną wartością jest Minimum password length, która określa nie mniej ni więcej niż minimalną długość hasła. Opcja ta jest raczej mocno czytelna w odbiorze. Domyślna wartość to 7 znaków.
Przedostatnią dostępną opcją jest Password must meet complexity requirements. Opcja ta jest chyba jedną z najważniejszych opcji umożliwiających podniesienie bezpieczeństwa haseł używanych przez użytkowników. Po włączeniu wymusza ona by hasło posiadało co najmniej 6 znaków, w tym znaki te muszą należeć przynajmniej do 3 grup z poniższych 4 kategorii. Są to:
- duże litery A-Z
- małe litery a-z
- cyfry 0-9
- znaki specjalne !,@,# itp.
Hasło takie musi więc posiadać już jakiś poziom skomplikowania. Wykorzystując tą opcję jako bazę można ją rozszerzyć korzystając z powyżej opisanych opcji uzyskując już wartościowy poziom bezpieczeństwa haseł użytkowników.
Ostatnią opcją, której się praktycznie nie używa ze względów bezpieczeństwa jest Store passwords using reversible encryption. Włączenie tej reguły doprowadza do sytuacji, w której hasło użytkownika będzie przechowywane w sposób jawny!. Domyślnie przechowywany jest tylko HASH hasła. opcja ta wykorzystywana jest tylko i wyłącznie w protokołach wymagających przekazywania hasła jawnie. Pytanie czy warto korzystać z takich protokołów? Chyba nie ... Dlatego też zalecam nie zmieniać domyślnego wyłączenia tej opcji ;)
Brak komentarzy:
Prześlij komentarz