Политика паролей или парольная политика

Политики паролей используются для учетных записей доменов или локальных компьютеров. Они определяют параметры паролей, такие как соответствие обязательным условиям и срок действия. Далее будем рассматривать следующие параметры безопасности:

•          Требовать неповторяемости паролей

•          Максимальный срок действия пароля

•          Минимальный срок действия пароля

•          Минимальная длина пароля

•          Пароли должны отвечать требованиям сложности

•          Хранение паролей с использованием обратимого шифрования

Требовать неповторяемости паролей

Описание

Этот параметр безопасности определяет число новых паролей, которые должны быть сопоставлены учетной записи пользователя, прежде чем можно будет снова использовать старый пароль. Это значение должно быть в  диапазоне от 0 до 24.

Эта политика позволяет повышать уровень безопасности путем запрещения использования постоянно одного и того же пароля.

По умолчанию

•          24 для контроллеров доменов

•          0 для изолированных серверов и рабочих станций.

Я бы рекомендовал устанавливать значение, равное 5.

Настройка этого параметра безопасности

Максимальный срок действия пароля

Описание

Этот параметр безопасности определяет период времени (в днях), в течение которого можно использовать пароль, прежде чем система потребует от пользователя заменить его. Срок действия пароля может быть установлен в пределах от 1 до 999 дней. При установке значения 0 срок действия пароля не ограничен (что ОЧЕНЬ плохо для информаицонной безопасности). Если максимальный срок действия пароля составляет 1–999 дней, значение параметра «Минимальный срок действия» пароля должно быть меньше этого значения. При установке значения 0 для максимального срока действия пароля для минимального срока действия может быть установлено любое значение в пределах от 0 до 998 дней.

Примечание

Рекомендуется, на основе опыта в области безопасности (и моего в том числе), устанавливать срок действия паролей, равный от 30 до 90 дней. В этом случае злоумышленник имеет ограниченный интервал времени для подбора пароля пользователя и получения доступа к сетевым ресурсам вашего ПК.

По умолчанию: 42 дня. В общем-то можно так и оставить.

 Минимальный срок действия пароля

Описание

Этот параметр безопасности определяет период времени (в днях), в течение которого необходимо использовать пароль, прежде чем пользователь сможет заменить его. Можно задать значение в диапазоне от 1 до 998 дней или разрешить немедленное изменение, установив число дней равным 0.

Минимальный срок действия пароля должен быть меньше значения параметра «Максимальный срок действия пароля», если только не задан неограниченный срок действия паролей установкой значения 0. При установке значения 0 для максимального срока действия пароля для минимального срока может быть установлено любое значение в пределах от 0 до 998 дней.

Чтобы параметр «Требовать неповторяемости паролей» действовал эффективно, нужно установить минимальный срок действия пароля, отличный от нуля. Если этого не сделать, то пользователь сможет перебрать все свои пароли и дойти до старого пароля, который он предпочитает.

По умолчанию

•          1 для контроллеров доменов

•          0 для изолированных серверов и рабочих станций

Минимальная длина пароля

Описание

Этот параметр безопасности определяет наименьшее число символов, которое может содержать пароль учетной записи пользователя. Можно задать значение в диапазоне от 1 до 14 символов или отменить использование пароля, установив число символов равным 0.

По умолчанию

•    7 для контроллеров доменов

•    0 для изолированных серверов и рабочих станций

Рекомендуется устанавливать значение, равно 7.

Пароль должен отвечать требованиям сложности

Описание

Этот параметр безопасности определяет требования сложности для паролей.

Если эта политика включена, пароли должны удовлетворять следующим минимальным требованиям.

•    Пароль не может содержать имя учетной записи пользователя или какую-либо его часть.

•    Пароль должен состоять не менее чем из шести символов.

•    В пароле должны присутствовать символы трех категорий из числа следующих четырех:

1.      прописные буквы английского алфавита от A до Z;

2.      строчные буквы английского алфавита от a до z;

3.      десятичные цифры (от 0 до 9);

4.      неалфавитные символы (например, !, $, #, %)

Проверка соблюдения этих требований выполняется при изменении или создании паролей.

По умолчанию

•    Включен на контроллерах домена.

•    Выключен на изолированных серверах и рабочих станциях.

Конечно же настоятельно рекомендуется включать контроль требования сложности паролей пользователей. Таким образом можно избавиться от легко подбираемых паролей типа «111», «qwerty», «12345» и т.д.

 Хранение паролей с использованием обратимого шифрования

Описание

Этот параметр безопасности определяет, использует ли операционная система обратимое шифрование для хранения паролей.

Обратимое шифрование –обратимое  преобразования открытого (исходного) текста на основе секретного алгоритма и/или ключа в шифрованный текст (шифртекст).

Эта политика обеспечивает поддержку приложений, использующих протоколы, которым для проверки подлинности нужно знать пароль пользователя. Хранить пароли, зашифрованные обратимыми методами, — это все равно что хранить их открытым текстом. Поэтому данную политику следует использовать лишь в исключительных случаях, если потребности приложения оказываются важнее, чем защита пароля.