Политики учетных записей в Windows XP

Немаловажным моментом в настройке системы безопасности является редактирование и активирование политик безопасности. В операционной системе Windows XP (а именно о её политиках безопасности будет идти сегодня речь) имеются политики, которые отвечают за основные параметры безопасности. Имеется и утилита, которая помогает их редактировать и оптимизировать под свои нужды.

Остановлюсь на утилите. Описывать я её не буду, просто в этом нет необходимости, а вот каким образом до неё добраться, расскажу. Приложение находится в папке system32, которая, как известно, располагается в корне системы. Программа носит имя secpol.msc. Вот первый вариант запуска программы. Второй заключается в следующем: все приложения, которые находятся в папке system32, могут запускаться при запуске команды выполнить (Пуск > Выполнить; Win+R), поэтому открываем окно команды, вводим имя файла, жмём Enter и программа запускается. Ещё одним вариантом является запуск программы из группы "Администрирование" в системной панели управления. В общем, это всё по поводу запуска, перейдём к самим политикам.

Политики учётных записей делятся на две группы: политика паролей и политика блокировки учётных записей. В каждой из групп находится список политик, которые, собственно, и поддаются редактированию. Первым параметром является максимальный срок действия пароля, который определяет время в днях, в течение которого пароль можно использовать, пока система не потребует от пользователя смены пароля. Это очень удобно, т.к. время для взлома ограничивается, соответственно, и злоумышленнику придётся попотеть, чтобы уложиться и успеть что-либо сделать с документами пользователя. По умолчанию значение равно 42, я бы советовал оставить его, т.к. для локальной машины конечного пользователя политика не является критичной. Следующая на очереди политика носит название "Минимальная длина пароля". Для локальной машины она будет актуальна в редких случаях. Задача политики сводится к ограничению минимального размера пароля. Если вы работаете на компьютере один, то политика, как говорилось выше, не имеет смыла. Другой вопрос, если локальный компьютер используется разными пользователями. В таком случае стоит настроить политику, чтобы не использовались пароли, скажем, в два символа.

Минимальный срок действия пароля - политика, которая определяет, через сколько пользователь сможет сменить пароль на другой, как и первая политика, время считается днями. Стандартное значение равно 0 и означает, что пользователь может поменять пароль в любое удобное ему время. Политика "Пароль должен отвечать требованиям сложности" во включённом режиме требует от пользователя пароль, который будет отвечать следующим требованиям:

  • Пароль не должен содержать имя учётной записи пользователя или фрагменты имени пользователя длиной больше двух символов.
  • Пароль должен состоять не менее чем из шести символов.
  • Пароль должен содержать символы, относящиеся к трём из следующих четырёх категорий: латинские заглавные буквы (A - Z); латинские строчные буквы (a - z); цифры (0 - 9); отличные от букв и цифр символы (например, !, $, #, %).
  • Проверка соблюдения этих требований выполняется при изменении или создании паролей.

На локальных машинах по умолчанию политика отключена, однако на контролёрах домена работает.

Следующая политика позволяет контролировать неповторяемость паролей, при этом она может запоминать прежние пароли от 1 до 24 включительно. На локальной машине отключена (значение хранимых паролей равно 0) по умолчанию, но на контролёрах домена, опять же, включена и значение равно 24-м. "Хранить пароли, используя обратимое шифрование" - этот параметр безопасности определяет, используется ли в операционной системе обратимое шифрование для хранения паролей. Эта политика обеспечивает поддержку приложений, использующих протоколы, которым для проверки подлинности необходимо знать пароль пользователя. Хранение паролей, зашифрованных обратимыми методами, аналогично хранению их в текстовом виде. Поэтому данную политику следует использовать лишь в исключительных случаях, если потребности приложения оказываются важнее, чем защита пароля. Эта политика является обязательной при использовании протокола проверки подлинности CHAP (Challenge-Handshake Authentication Protocol) в средствах удалённого доступа или службах IAS (Internet Authentication Services). Она также необходима при использовании краткой проверки подлинности в службах IIS (Internet Information Services).

Название следующей политики, которая уже находится в группе политик блокировки учётных записей, говорит само за себя - "Блокировка учётной записи на". Естественно, политикой определяется время блокировки учётной записи при определённом количестве неверно введённых паролей. Значение можно выставлять от 0 (учётная запись не блокируется) и до 99 999 минут. Она имеет смысл только при работающей следующей политике, которая называется "Пороговое значение блокировки". Это количество неудачных попыток входа в систему перед блокировкой учётной записи. Значение принимается в диапазоне от 0 (как обычно, значение при котором политика пассивна) и до 999. После блокировки, если не активирована политика блокировки учётной записи, восстановить экаунт может только администратор. Неудачные попытки ввода паролей на рабочих станциях или рядовых серверах, заблокированных с помощью сочетания клавиш Ctrl+Alt+Del или с помощью защищённых паролем заставок, считаются неудачными попытками входа в систему.

"Сброс счётчика блокировки через" - параметр, который позволяет сбрасывать счётчик неудачных входов в систему через определённое время (от 1 до 99 999 минут), удобная вещь, чтобы не получилось, что за месяц вы наберёте-таки "чёрное" число, равное пороговому значению блокировки. Параметр напрямую зависит от политики "Блокировка учётной записи на".

На этом закончу. Как я уже говорил, имеется ещё много настроек, не вошедших в эту статью. Если вы заинтересовались, то без проблем сможете найти описание каждой политики в соседней с редактированием вкладке.

Напоследок позволю себе дать небольшой совет по поводу редактирования политик. Это является очень важным моментом в налаживании защиты локальной машины, но не стоит редактировать настройки, которые вам непонятны, т.к. результат после перезагрузки может вас шокировать. Удачи в нелёгком поддерживании безопасности вашего компьютера.

Евгений КУЧУК

Версия для печатиВерсия для печати

Номер: 

45 за 2008 год

Рубрика: 

Защита информации
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!