admin / 20.02.2018

Политика блокировки учётной записи — КиберПедия

Поиск Лекций


Политика блокировки учетной записи

  1. Откройте оснастку «Локальные политики безопасности»;
  2. Перейдите в узел «Политики учетных записей» и откройте параметр «Политика блокировки учетных записей».

Список политик:

Время до сброса счетчиков блокировки. ActiveDirectory и групповые политики позволяют автоматически разблокировать учетную запись, количество попыток входа в которую превышает установленное вами пороговое значение. При помощи этой политики устанавливается количество минут, которые должны пройти после неудачной попытки для автоматической разблокировки. Вы можете установить значение от одной минуты до 99999. Это значение должно быть меньше значения политики «Продолжительность блокировки учетной записи».

Пороговое значение блокировки. Используя эту политику, вы можете указать количество некорректных попыток входа, после чего учетная запись будет заблокирована. Окончание периода блокировки учетной записи задается политикой «Продолжительность блокировки учетной записи» или администратор может разблокировать учетную запись вручную. Количество неудачных попыток входа может варьироваться от 0 до 999. Я рекомендую устанавливать допустимое количество от трех до семи попыток.

Продолжительность блокировки учетной записи. При помощи этого параметра вы можете указать время, в течение которого учетная запись будет заблокирована до ее автоматической разблокировки. Вы можете установить значение от 0 до 99999 минут. В том случае, если значение этой политики будет равно 0, учетная запись будет заблокирована до тех пор, пока администратор не разблокирует ее вручную.

Рис.4 Параметр «Политика блокировки учетных записей» после изменения настроек

Вывод:

Даже после создания сложного пароля и правильной настройки политик безопасности, учетные записи ваших пользователей все еще могут быть подвергнуты атакам недоброжелателей. Например, если вы установили минимальный срок действия пароля в 20 дней, у хакера достаточно времени для подбора пароля к учетной записи. Узнать имя учетной записи не является проблемой для хакеров, так как, зачастую имена учетных записей пользователей совпадает с именем адреса почтового ящика. А если будет известно имя, то для подбора пароля понадобится какие-то две-три недели.

Политики безопасности Windows могут противостоять таким действиям, используя набор политик узла «Политика блокировки учетной записи». При помощи данного набора политик, у вас есть возможность ограничения количества некорректных попыток входа пользователя в систему. Разумеется, для ваших пользователей это может быть проблемой, так как не у всех получится ввести пароль за указанное количество попыток, но зато безопасность учетных записей перейдет на новый уровень.

Политика аудита

  1. Откройте оснастку «Локальные политики безопасности»;
  2. Перейдите в узел «Локальные политики» и откройте параметр «Политика аудита».

Список политик:

Аудит входа в систему.Текущая политика определяет, будет ли операционная система пользователя, для компьютера которого применяется данная политика аудита, выполнять аудит каждой попытки входа пользователя в систему или выхода из нее. Например, при удачном входе пользователя на компьютер генерируется событие входа учетной записи. События выхода из системы создаются каждый раз, когда завершается сеанс вошедшей в систему учетной записи пользователя. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа в систему.

Аудит доступа к объектам.Данная политика безопасности выполняет аудит попыток доступа пользователей к объектам, которые не имеют отношения к ActiveDirectory. К таким объектам можно отнести файлы, папки, принтеры, разделы системного реестра, которые задаются собственными списками в системном списке управления доступом (SACL). Аудит создается только для объектов, для которых указаны списки управления доступом, при условии, что запрашиваемый тип доступа и учетная запись, выполняющая запрос, соответствуют параметрам в данных списках.

Аудит доступа к службе каталогов. При помощи этой политики безопасности вы можете определить, будет ли выполняться аудит событий, указанных в системном списке контроля доступа (SACL), который можно редактировать в диалоговом окне «Дополнительные параметры безопасности» свойств объекта ActiveDirectory. Аудит создается только для объектов, для которых указан системный список управления доступом, при условии, что запрашиваемый тип доступа и учетная запись, выполняющая запрос, соответствуют параметрам в данном списке. Данная политика в какой-то степени похожа на политику «Аудит доступа к объектам». Аудит успехов означает создание записи аудита при каждом успешном доступе пользователя к объекту ActiveDirectory, для которого определена таблица SACL. Аудит отказов означает создание записи аудита при каждой неудачной попытке доступа пользователя к объекту ActiveDirectory, для которого определена таблица SACL.

Аудит изменения политики. Эта политика аудита указывает, будет ли операционная система выполнять аудит каждой попытки изменения политики назначения прав пользователям, аудита, учетной записи или доверия. Аудит успехов означает создание записи аудита при каждом успешном изменении политик назначения прав пользователей, политик аудита или политик доверительных отношений. Аудит отказов означает создание записи аудита при каждой неудачной попытке изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений.

Аудит изменения привилегий. Используя эту политику безопасности, вы можете определить, будет ли выполняться аудит использования привилегий и прав пользователей. Аудит успехов означает создание записи аудита для каждого успешного применения права пользователя. Аудит отказов означает создание записи аудита для каждого неудачного применения права пользователя.

Аудит отслеживания процессов. Текущая политика аудита определяет, будет ли операционная система выполнять аудит событий, связанных с процессами, такими как создание и завершение процессов, а также активация программ и непрямой доступ к объектам. Аудит успехов означает создание записи аудита для каждого успешного события, связанного с отслеживаемым процессом. Аудит отказов означает создание записи аудита для каждого неудачного события, связанного с отслеживаемым процессом.

Аудит системных событий.Данная политика безопасности имеет особую ценность, так как именно при помощи этой политики вы можете узнать, перегружался ли у пользователя компьютер, превысил ли размер журнала безопасности пороговое значение предупреждений, была ли потеря отслеженных событий из-за сбоя системы аудита и даже вносились ли изменения, которые могли повлиять на безопасность системы или журнала безопасности вплоть до изменения системного времени. Аудит успехов означает создание записи аудита для каждого успешного системного события. Аудит отказов означает создание записи аудита для каждого неудачного завершения системного события.

Аудит событий входа в систему. При помощи этой политики аудита вы можете указать, будет ли операционная система выполнять аудит каждый раз при проверке данным компьютером учетных данных. При использовании этой политики создается событие для локального и удаленного входа пользователя в систему. Члены домена и компьютеры, не входящие в домен, являются доверенными для своих локальных учетных записей. Когда пользователь пытается подключиться к общей папке на сервере, в журнал безопасности записывается событие удаленного входа, причем события выхода из системы не записываются. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа в систему.

Аудит управления учетными записями. Эта последняя политика тоже считается очень важной, так как именно при помощи нее вы можете определить, необходимо ли выполнять аудит каждого события управления учетными записями на компьютере. В журнал безопасности будут записываться такие действия как создание, перемещение и отключение учетных записей, а также изменение паролей и групп. Аудит успехов означает создание записи аудита для каждого успешного события управления учетными записями. Аудит отказов означает создание записи аудита для каждого неудачного события управления учетными записями.

Для настройки аудита вам нужно определить параметр политики. После двойного нажатия левой кнопкой мыши на любом из параметров, установите флажок на опции «Определить следующие параметры политики» и укажите параметры ведения аудита успеха, отказа или обоих типов событий. Для отказа от аудита необходимо снять на опции оба флажка.

Рис.5 Параметр «Политика аудита» после изменения настроек

Вывод:

После того как политики безопасности учетных записей у вас правильно настроены, злоумышленникам будет намного сложнее получить доступ к пользовательским учетным записям. Но не стоит забывать о том, что на этом ваша работа по обеспечению безопасности сетевой инфраструктуры не заканчивается. Все попытки вторжения и неудачную аутентификацию ваших пользователей необходимо фиксировать для того чтобы знать, нужно ли предпринимать дополнительные меры по обеспечению безопасности. Проверка такой информации с целью определения активности на предприятии называется аудитом.

©2015-2018 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Нарушение авторских прав и Нарушение персональных данных

Политика блокировки учетных записей

123

 

В операционной системе Windows XP существует специальный механизм, контролирующий вход пользователей в систему и пытающийся предотвратить попытку проникновения в систему. Для настройки этого механизма следует выбрать пункт Политика блокировки учетных записей (рис.5.) .

 

 

 
 
Рис.6.

Локальная политика безопасности. Часть 2: Политики учетных записей

Настройки локальной системы безопасности, которые могут существенно обезопасить вход в систему

 

 

Существует три опции, с помощью которых можно практически исключить возможность проникновения в систему взломщиков, использующих атаку методом перебора пользовательских паролей.

Важнейшим параметром является опция Пороговое значение блокировки, которая определяет, будет ли система безопасности отслеживать неудачные попытки входа в систему пользователями, а также после какого их числа будет предпринимать определенные действия. Это необходимо для того, чтобы отслеживать атаки взломщиков, которые основываются на методе повторного ввода пароля в атакуемую систему до тех пор, пока он не совпадет с тем паролем, который установил пользователь или системный администратор. По повторяющимся ошибочным попыткам входа в систему по одному или нескольким пользовательским учетным записям можно отслеживать проведение атак против операционной системы.

Система безопасности начнет отслеживать неудачные попытки входа пользователей в систему после того, как в значении данной опции будет задано любое положительное значение, определяющее максимальное количество неудачных попыток входа (рис.7.). После достижения этого числа, учетная запись, под которой было осуществлено данное количество неудачных вхо­дов, будет заблокирована системой, в соответствии с настройками системы безопасности.

Время блокировки учетной записи зависит от параметра Блокировка учетной записи на, который устанавливается в минутах и по умолчанию имеет значение 30 минут. Таким образом, после определенного количества неудачных попы­ток входа в систему, заданного параметром Пороговое значение блокировки, произойдет блокировка системы в течение времени, указанного опцией Блокировка учетной записи на. И если значение первого параметра равно 5, а второго – 30, то через каждые пять неправильно введенных паролей, сис­тема будет блокироваться на тридцать минут. И в течение этого времени вход в систему будет невозможен для любого пользователя, кроме системно­го администратора.

 

 

 
 
Рис.7. Окно Пороговое значение блокировки

 

 
 
Рис.8. Окно настройки числа неудачных попыток входа пользователей в систему  

 

Если пользователь забыл свой пароль и ему нужно срочно войти в систему и сразу начать работать, то он должен обратиться к системному адми­нистратору, если сам им не является. Учетная запись системного админист­ратора никогда не блокируется, и ей всегда можно воспользоваться, чтобы снять блокировку с одного или нескольких пользователей. Это делается в свойствах пользователей. Для этого нужно с соответствующих Учетных записей убрать признак выключения учетной записи (см. ЛР_5, материал, описывающий работу администратора с пользовательскими учетными записями).

Возникает вопрос: как быть с учетной записью системного администратора, если она не может быть автоматиче­ски отключена системой безопасности как учетные записи простых пользователей в случае подбора паролей? В хорошо настроенных системах подобрать пароль администратора практически невозможно. Во-первых, пароль системного администратора выбирается более длинным и сложным, чем пароли простых пользователей, часто пароль может иметь длину до 20-30 символов и состоять из латиницы, разного регистра, а также самых разнообразных символов. Все это факторы делают подбор пароля совершенно нереальной задачей, даже теоретически. Во-вторых, можно переименовать учетную запись системного администратора со стандартного имени «Administrator» или «Администратор» во что-то более экзотичное и нестандартное. В этом случае, не зная имени учетной записи администратора в системе, начать подбор к ней пароля совершенно невозможно. Таким образом достигается надежная защита учетной записи администратора от атаки методом перебора паролей.

Третий параметр Сброс счетчика блокировки через позволяет «забыть» системе через указанное в данной опции время в минутах о том, что до этого были неудачные попытки входа в нее. Это может быть полезно тогда, когда атаки подбора паролей не происходит, просто пользователь забыл пароль и пытался его вспомнить методом подбора.

Ввод в данной опции меньшего значения, чем Блокировка учетной записи не ухудшает безопасность системы. Это связано с тем, что робот взломщиков, подбирающий пароли системы, обычно работает со скоростью большей, чем одна попытка подбора пароля за одну минуту. Это связано с тем, что у него очень много вариантов, каким может быть пароль, и он должен за приемлемое время испытать все варианты, чтобы найти правильный. Поэтому, даже если поставить значение опции Сброс счетчика блокировки через равное одной минуте, то в подавляющем боль­шинстве случае, система не допустит проведение атак с перебором пароля, но раз­решит ошибаться пользователям.

123

Политика блокировки учетной записи

На прошлой неделе Microsoft заявила о намерении усилить шифрование в своих онлайн-сервисах, а теперь компания сообщила о предоставлении пользователям, имеющих учетную запись Microsoft, новые способы защиты своей информации от сторонних лиц.

Учетная запись Microsoft используется для входа в различные сервисы, в том числе Outlook.com, SkyDrive и Xbox Live. По словам представителей компании, теперь пользователю будут видны все недавние действия в учетной записи.

«Как показано на изображении, эта страница отображает различные виды активности, включая успешные и неуспешные входы в сервисы, добавление и удаление информации о безопасности, а также многое другое. Для каждого вида активности мы продемонстрируем, какое устройство и какой браузер был использован, а также откуда был сделан запрос — к этому будет прилагаться небольшая карта от наших друзей из Bing. Если вы заметите что-то подозрительное, нажмите кнопку «This wasn’t me» («Это был не я»), это поможет вам предпринять необходимые меры по защите вашей учетной записи», — говорится в сообщении Microsoft.

Пользователи, имеющие учетные записи Microsoft, которые авторизуются в учетной записи через двухфакторную аутентификацию, могут установить безопасный код восстановления на случай, если у них не будет доступа к телефону или электронной почте.

Кроме того, пользователи теперь могут выбирать место, куда отправлять как электронные письма, так и текстовые сообщения с мобильного телефона.

Как настроить политики паролей в Windows?

Политики паролей операционной системы Windows позволяют довольно гибко настроить возможность выбора паролей для пользователей данной системы. А если выразиться точнее, то данные политики позволяют довольно гибко настроить ограничения по выбору паролей для пользователей Windows. Политики паролей Windows позволяют настроить минимальную длину паролей, их сложность и многие другие параметры. В данной статье мы попробуем разобраться с данными политиками.

Где найти политики паролей Windows?

Все политики, которые позволяют настроить использование паролей в операционной системе от Microsoft хранятся в одном месте, которое гордо носит имя Редактор локальной групповой политики. Стоит отметить, что данный инструмент имеется только в трех самых развитых изданиях Windows. Чтобы открыть данный инструмент Вы можете воспользоваться командной быстрого вызова — , которую необходимо ввести в окно меню Выполнить. После того как Редактор откроется, необходимо последовательно перейти по узлам

  • Конфигурация компьютера
  • Конфигурация Windows
  • Параметры безопасности
  • Политики учетных записей
  • Политика паролей

Тут Вы найдете несколько политик. Их количество может отличаться в зависимости от версии операционной системы. Я ознакомлю Вас с 6 политиками паролей Windows, которые имеются в операционной системы Windows 7.

Политики паролей Windows

  1. Вести журнал паролей. Самая первая политика позволяет настроить количество паролей, которые будут храниться в памяти компьютера. Нужно это для того чтобы пользователь не использовал один и тот же пароль несколько раз. Журнал паролей может хранить от 0 до 24 паролей. И чисто теоретически, пользователь может один и тот же пароль выставить только через несколько лет. В этом ему может помощь следующая политика.
  2. Максимальный срок действия пароля. Думаю что объяснять на пальцах суть данной политики не нужно. Скажу только то, что по умолчанию в данном параметре пароли должны меняться раз в 42 дня.

    И попрошу никого не бояться — система автоматически будет предупреждать пользователей о том, что необходимо поменять пароль. Предупреждения выходят на протяжении 7 дней.

  3. Минимальная длина пароля. Название данной политики так же предельно ясно описывает назначение самой политики: тут Вам необходимо задать минимальное количество символов, которое должно быть в пароле. Чтобы понять всю важность этой политики необходимо прочитать статью Время перебора паролей.
  4. Минимальный срок действия пароля. Использование данной политики оправдано только в связке с первой политикой.

    Политика блокировки учетной записи

    Данная политика не позволит особенно умным «хакерам» прокрутить журнал паролей за несколько минут и снова поставить свой старый пароль.

  5. Пароль должен отвечать требованиям сложности.5-ая политика паролей позволяет одним действием выставить сразу несколько ограничений для выбираемых паролей:
    • Пароль не будет содержать в себе имени учетной записи или частей полного имени пользователя длиной более двух рядом стоящих знаков.
    • Пароли должны будут иметь минимальную длину в 6 символов.
    • Содержать в себе 3 из 4 ниже перечисленных категорий символов.
      • Латинские заглавные буквы (от A до Z)
      • Латинские строчные буквы (от a до z)
      • Цифры (от 0 до 9)
      • Отличающиеся от букв и цифр символы (например, !, $, #, %)
  6. Хранить пароли используя обратимое шифрование. Включать данную политику следует только для совместимости со старыми приложениями. Если у Вас нет в этом надобности, то настоятельно прошу не включать данную политику, так как это отрицательным образом скажется на безопасности компьютера.

Настройка политик выбора паролей для отдельных пользователей

Все вышеперечисленные политики паролей Windows скажутся на жизни всех пользователей данного компьютера. Но кроме вышеперечисленных способов настройки есть еще один инструмент, который позволяет настроить ограничения в выборе пароля для отдельных пользователей или групп пользователей Windows — оснастка Управление компьютером. Если открыть данный инструмент и перейти в узел Локальные пользователи и группы, а после чего открыть Свойства какой-либо группы или пользователя, то мы сможем выбрать следующие параметры:

  • Запретить смену пароля пользователем. Данный параметр особенно полезен для общедоступных учетных данных. Другими словами, если под одной и той же учетной записью сидят сразу несколько человек, то вся эта тема может накрыться сразу после того, как один умник сменит пароль. Чтобы избежать такой радости необходимо активировать данный пункт.
  • Срок действия пароля неограничен. Что делает данный пункт, думаю, всем понятно.

    Особенной честью его обделяют администраторы, которым глубоко по-барабану на корпоративную политику.

Вот такими способами можно настроить политики паролей в операционной системе Windows.

FILED UNDER : IT

Submit a Comment

Must be required * marked fields.

:*
:*