(Продолжительность занятия 20 минут)

Стратегия учетных записей' определяет требования к паролям учетных записей компьютера или домена, а также условия и методы блокировки учетных записей. На этом занятии Вы познакомитесь с различными концепциями стратегий учетных записей и научитесь выбирать и применять их на практике.

Прежде чем приступать к изучению этого занятия, необходимо проработать занятие 1.

• реализовать стратегию учетных записей для всех учетных записей домена;
• изменить пароль записи пользователя;
• разблокировать учетную запись пользователя.

Выбор стратегии

Стратегия учетных записей позволяет администратору выбрать:

• максимальный и минимальный сроки действия паролей;
• минимальную длину пароля;
• уникальность пароля;
• параметры блокировки учетной записи. Изменения, внесенные в стратегию учетных записей, вступают в силу:
• при следующей регистрации пользователя в системе;
• при следующей попытке пользователя изменить параметр, определяемый стратегией; например, изменение минимальной длины пароля не распространяется на уже существующий пароль, но при следующей попытке пользователя поменять его это ограничение уже будет действовать.

Планирование стратегии

При создании новой учетной записи пользователя единственное требование к паролю — это изменение его пользователем при первой регистрации в системе. Чтобы обеспечить дополнительные меры защиты учетных записей примите к сведению приведенные ниже рекомендации.

• Не разрешайте пустые пароли (то есть не содержащие ни одного символа): они не обеспечивают никакой защиты. Строго запретите использование пустых паролей в системах, подключенных к Интернету, и в системах, к которым возможен доступ по телефонной линии.
• Установите минимальную длину для всех паролей; чем длиннее пароль, тем сложнее его подобрать.
  • В сетях со средними требованиями к защите ограничьтесь 6—8 символами.
  • В сетях с высокими требованиями к защите рекомендованная длина — от 8 до 14 символов.
• Требуйте, чтобы пользователи регулярно изменяли свои пароли: это еще более усложнит их подбор.
  • В сетях со средними требованиями к защите требуйте смены пароля каждые 45-90 дней.
  • В сетях с высокими требованиями к защите требуйте смены пароля каждые 14—45 дней.
• Требуйте, чтобы пользователи при каждой смене пароля придумывали новую комбинацию. Обеспечьте невозможность применения недавно использованных паролей.
  • В сетях со средними требованиями к защите храните 8—12 ранее использованных паролей.
  • В сетях с высокими требованиями к защите храните 12—24 ранее использованных паролей.
• Блокируйте учетные записи после нескольких неудачных попыток регистрации: это уменьшит вероятность несанкционированного доступа к сети.
  • В сетях со средними требованиями к защите блокируйте учетные записи после пяти неудачных попыток регистрации в системе.
  • В сетях с высокими требованиями к защите блокируйте учетные записи после трех неудачных попыток регистрации в системе.
• Не разрешайте пользователям самостоятельно разблокировать учетную запись — передайте этот вопрос в ведение администратора. Это позволит регистрировать попытки подбора пароля.
• Установите режим принудительного отключения пользователей с ограничением часов регистрации по окончании разрешенного времени.

Настройка параметров пароля

Стратегия учета позволяет задать требования к паролям учетных записей.

Параметр	Описание
Maximum Password Age (Максимальный срок действия)	Период времени, в течение которого пользователь может применять данный пароль. По истечении этого времени пользователю будет предложено сменить пароль. Диапазон допустимых значений — от 1 до 999 дней
Minimum Password Age (Минимальный срок действия)	Период времени, в течение которого пользователь не сможет изменить новый пароль. Это обеспечит уникальность паролей. Значение Minimum Password Age должно быть меньше, чем значение Maximum Password Age. Диапазон допустимых значений — от 1 до 999 дней
Minimum Password Length (Минимальная длина пароля) Password Uniqueness (Уникальность пароля)	Минимально допустимое число символов в пароле. Диапазон допустимых значений — от 1 до 14 символов Число новых паролей, которые должен использовать пользователь, прежде чем сможет повторить один из ранее использованных. Пользуясь этим ограничением, не разрешайте немедленного изменения только что введенного пароля (установите параметр Minimum Password Age). Диапазон допустимых значений — от 1 до 24 паролей
Users must log on in order to change password (Для смены пароля пользователь должен войти в систему)	Если флажок установлен, пользователи не смогут самостоятельно изменить просроченный пароль. Если флажок сброшен, самостоятельная замена просроченного пароля разрешена

Настройка параметров блокировки учетных записей

Блокировка учетных записей защищает Windows NT от тех, кто пытается получить доступ к сети подбором пароля учетной записи. Параметры блокировки учетных записей определяют различные характеристики блокировки, выполняемой после одной или нескольких неудачных попыток регистрации.

Параметр	Описание
Account Lockout (Блокировка учетной записи)	Выбор этого переключателя делает доступными следующие три параметра
Lockout After (Блокировка после Х неудачных попыток входа)	Число неудачных попыток регистрации, после которого учетная запись будет блокирована. Диапазон допустимых значений — от 1 до 999
Reset Count After (Сброс счетчика через Х мин)	Интервал (в минутах) обнуления счетчика неудачных попыток. Диапазон допустимых значений — от 1 до 99999 минут
Lockout Duration (Длительность блокировки)	Forever [Постоянная (до снятия блокировки администратором)] блокирует учетные записи, пока их не разблокирует администратор; встроенная учетная запись Administrator (Администратор) не блокируется. Duration (Блокировать на Х мин) блокирует учетные записи на указанное время (в минутах). По истечении этого времени учетная запись будет автоматически разблокирована. Диапазон допустимых значений — от 1 до 99999 минут
Forcibly disconnect remote users from server when logon hours expire (Принудительно отключать удаленных пользователей по истечении разрешенного для работы времени)	Если этот флажок установлен, то по истечении разрешенного времени работы пользователь принудительно отключается от всех серверов домена. Если этот флажок сброшен, то по истечении разрешенного времени работы пользователь не будет автоматически отключен, но новые подключения будут запрещены. Этот параметр доступен только в Windows NT Server

> Планирование стратегии учетных записей

В этом упражнении Вы спланируете стратегии учетных записей для Вашего домена.

ответ

Вам нужно выработать:

• ограничения на пароли;
• требования к блокировке учетных записей.

Принимая решение, учтите приведенные ниже советы.

• Требуйте от пользователей ежемесячной смены паролей.
• Не позволяйте пользователям повторно использовать пароли в течение, по крайней мере, шести месяцев.
• Сделайте все возможное для предотвращения проникновения в сеть неавторизованных пользователей.
• Отключайте от сети пользователей, у которых закончилось разрешенное время работы.
• Отметьте Ваши решения прямо на приведенном ниже рисунке в диалоговом окне Account Policy (Политика учетных записей).

> Реализация стратегии учетных записей

В этом упражнении Вы определите стратегию учетных записей для всех учетных записей пользователей домена сети со средними требованиями к защите.

1. Зарегистрируйтесь в системе по учетной записи Administrator (Администратор).
2. В меню Policies утилиты User Manager for Domains (Диспетчер пользователей доменов) (Политика) выберите пункт Account (Учетные записи).
3. Появится диалоговое окно Account Policy (Политика учетных записей).
4. Установите перечисленные ниже ограничения, чтобы обеспечить защиту сети со средними требованиями к безопасности.

Параметры паролей и блокировки	Предлагаемые значения
Maximum Password Age (Максимальный срок действия)	90 дней
Minimum Password Age (Минимальный срок действия)	30 дней
Minimum Password Length (Минимальная длина пароля)	8 символов
Password Uniqueness (Уникальность пароля)	Хранить 8 ранее использованных паролей
Account Lockout (Блокировка учетной записи)	Выбран
Lockout After (Блокировка после Х неудачных попыток входа)	3 неудачные попытки
Reset Count After (Сброс счетчика через Х мин)	30 минут
Lockout Duration (Длительность блокировки)	Forever (until administrator unlocks) [Постоянная (до снятия блокировки администратором)]

4. Щелкните кнопку ОК, чтобы установить стратегию учетных записей.

> Проверка действия стратегии учетных записей для парольных ограничений

Здесь Вы проверите действие ограничений, заданных новой стратегией учетных записей.

1. Попытайтесь создать учетную запись пользователя с пустым паролем.

   Появится сообщение о его недопустимости. Эта ошибка возникла потому, что стратегия учетных записей устанавливает минимальную длину пароля — 8 символов. Таким образом, пользователю не удастся воспользоваться пустым паролем.

2. Щелкните кнопку ОК.
3. В полях Password (Пароль) и Confirm Password (Подтверждение) введите пароль длиной по меньшей мере 8 символов и нажмите кнопку Add (Добавить).

   Убедитесь, что установлен флажок User Must Change Password at Next Logon

   (Потребовать смену пароля при следующем входе в систему).

4. Выйдите из системы и зарегистрируйтесь по новой учетной записи.

   Появится окно с сообщением о необходимости смены пароля при первой регистрации в системе. Несмотря на то что для выбора стратегии учетных записей этого не требуется, параметр был установлен по умолчанию при создании данной учетной записи.

5. Щелкните кнопку ОК.
6. В полях New Password (Новый пароль) и Confirm New Password (Подтверждение) наберите watermelon и щелкните кнопку ОК.

   Появится сообщение о том, что пароль был изменен.

7. Нажмите комбинацию клавиш CTRL+ALT+DELЕTE, чтобы вызвать диалоговое окно Windows NT Security (Безопасность Windows NT), а затем щелкните кнопку Change Password (Смена пароля).
8. В поле Old Password (Старый пароль) наберите watermelon.
9. В полях New Password (Новый пароль) и Confirm New Password (Подтверждение) наберите cantaloupe и щелкните ОК.

   Появится сообщение о том, что в данный момент пароль нельзя изменить. Это происходит потому, что стратегия учетных записей не позволяет изменять пароль раньше, чем через 30 дней после предыдущего изменения. Первая смена пароля (при первой регистрации по новой учетной записи) была разрешена при создании учетной записи.

10. Щелкните кнопку ОК.

> Проверка действия стратегии блокировки учетных записей

Здесь Вы проверите действие блокировки учетных записей, несколько раз набрав неправильный пароль.

1. Выйдите из системы и попытайтесь зарегистрироваться в ней снова по той же учетной записи, но без указания пароля.

   Появится сообщение, что регистрация невозможна.

2. Щелкните кнопку ОК.
3. Дважды повторите попытку зарегистрироваться без указания пароля.
4. Теперь попытайтесь зарегистрироваться по правильному паролю.

   Почему Вам не удалось зарегистрироваться в системе, даже указав правильный пароль?

   ответ

Как следует пользователям решать эту проблему?

ответ

1. Щелкните кнопку ОК.

Разблокировка учетной записи

Если в выбранную Вами стратегию учетных записей включена блокировка учетных записей пользователей после нескольких неудачных попыток регистрации в системе, Вам нужно научиться разблокировать такие учетные записи.

> Разблокировка учетной записи

1. Зарегистрируйтесь в системе по учетной записи Administrator (Администратор) и запустите утилиту User Manager for Domains (Диспетчер пользователей доменов).
2. В списке Username (Пользователь) дважды щелкните заблокированную учетную запись (из предыдущего упражнения).
3. Сбросьте флажок Account Locked Out (Заблокировать учетную запись).
4. Щелкните кнопку ОК.
5. Закройте User Manager for Domains.

> Проверка разблокированной учетной записи

• Зарегистрируйтесь в системе по только что разблокированной учетной записи.

Изменение пароля учетной записи пользователя

Если пароль пользователя стал недействительным раньше, чем пользователь смог его сменить, или если пользователь забыл свой пароль, Вы можете удалить его и ввести новый.

> Изменение пароля учетной записи пользователя

1. Зарегистрируйтесь в системе по учетной записи Administrator (Администратор).
2. Запустите утилиту User Manager for Domains (Диспетчер пользователей доменов).
3. Дважды щелкните имя пользователя, использованное в предыдущем упражнении. Появится диалоговое окно User Properties (Свойства пользователя).
4. В поле Password (Пароль) дважды щелкните старое значение и нажмите клавишу DELETE.
5. В поле Password (Пароль) введите новый пароль.
6. В поле Confirm Password (Пароль) еще раз введите новый пароль, а затем щелкните кнопку ОК.
7. Закройте User Manager for Domains.

Резюме

• Стратегия учетных записей устанавливает ограничения на пароли и параметры блокировки для всех учетных записей домена.
• Для защиты учетных записей от несанкционированного доступа не разрешайте пользователям применять пустые пароли. Чтобы пароли было труднее подобрать, установите для них минимально допустимую длину.
• Требуйте, чтобы пользователи регулярно изменяли свои пароли и каждый раз — на новые. Это поможет предотвратить несанкционированный доступ.
• Чтобы воспрепятствовать взлому, установите режим блокировки учетных записей после нескольких неудачных попыток регистрации в системе.

Дополнительную информацию о ...	Вы найдете в ...
методах защиты домена	главе 1, «Managing Windows NT Server Domains», документа Microsoft Windows NT Server Concepts and Planning