На страже безопасностиПолитики паролей доменов Windows
Дерик Мелбер (Derek Melber)
Если вы занимаетесь администрированием домена Windows, то слишком хорошо знаете все ограничения, связанные с политиками паролей для учетных записей пользователей домена. Однако в Windows Server 2008 некоторые из этих ограничений будут упразднены. Давайте посмотрим, как в новой операционной системе решена одна проблема: невозможность использования нескольких политик паролей.
Если сейчас запустить любую версию домена Windows® (Windows NT®, Windows 2000 Active Directory®или Windows Server® 2003 Active Directory), в каждом домене может быть только одна политика паролей. На самом деле, ограничена не только политика паролей, но и более широкий набор параметров, относящихся к политикам учетных записей. На рис. 1 показаны эти политики и параметры.
Figure 1 Account policies
| Политика паролей |
| Вести журнал паролей |
| Максимальный срок действия пароля |
| Минимальный срок действия пароля |
| Минимальная длина пароля |
| Пароль должен отвечать требованиям сложности |
| Хранить пароли, используя обратимое шифрование |
| Политика блокировки учетной записи |
| Продолжительность блокировки учетной записи |
| Порог блокировки учетной записи |
| Время до сброса счетчика блокировки |
| Политика Kerberos |
| Принудительные ограничения входа пользователей |
| Максимальный срок жизни билета службы |
| Максимальный срок жизни билета пользователя |
| Максимальный срок жизни для возобновления билета пользователя |
| Максимальная погрешность синхронизации часов компьютера |
Эти параметры политики по умолчанию применяются ко всем учетным записям домена и пользователей, связанных с доменом. Вызвано это тем, как групповая политика наследует параметр в структуре Active Directory. Чтобы лучше понять, как эти политики влияют на учетные записи домена и локальных пользователей, нужно разобраться, где эти политики устанавливаются и как наследование групповой политики влияет на все учетные записи. (Обратите внимание, что параметры политики Kerberos применяются только к учетным записям пользователей домена, поскольку Kerberos используется для проверки подлинности только учетными записями домена. Локальные учетные записи используют для проверки подлинности NTLMv2, NTLM или LM.)
Установка политик учетных записей
В Active Directory групповая политика устанавливает политики учетных записей для всего домена. Это происходит при первоначальной установке домена Active Directory и осуществляется посредством установки объекта групповой политики по умолчанию, связанного с узлом домена в Active Directory. Этот объект групповой политики, называемой политикой домена по умолчанию, содержит конфигурацию по умолчанию для всех трех разделов политик учетных записей. На рис. 2 показан полный список первоначальных параметров для объектов политики паролей в домене Windows Server 2003.
Figure 2** Default password policies for Windows Server 2003 domain **(Щелкните изображение, чтобы увеличить его)
Параметры в этом объекте групповой политики управляют политиками учетных записей для всех учетных записей пользователей домена и для всех компьютеров домена. Обратите внимание, что на всех компьютерах домена (как настольных ПК, так и серверах) есть локальный диспетчер учетных записей безопасности (SAM). Этот диспетчер управляется параметрами в объекте групповой политики. Кроме того, локальный диспетчер SAM содержит локальные учетные записи пользователей для каждого компьютера.
Параметры политики домена по умолчанию влияют на все компьютеры домена посредством наследования объектов групповой политики в структуре Active Directory. Поскольку данный объект групповой политики связан с узлом домена, от него будут зависеть все учетные записи компьютеров домена.
Что нельзя сделать с текущими политиками паролей
Существует ряд неверных предположений об управлении паролями в текущей реализации Active Directory (в Windows Server 2003), невзирая на годы тщательного тестирования и полное отсутствие подтверждения этих предположений. Совершенно ясно, что политика работает в точности так, как это предусмотрено.
Например, многие администраторы считают, что для пользователей одного домена может быть несколько политик паролей. Они предполагают, что можно создать объект групповой политики и связать его с подразделением. Идея состоит в том, чтобы переместить учетные записи в подразделение, чтобы на них влиял объект групповой политики. Внутри объекта групповой политики изменяются политики учетных записей и создается более безопасная политика паролей, например путем указания максимальной длины паролей равной 14 знакам. Однако по ряду причин такая конфигурация не даст желаемого результата. Во-первых, параметры политики паролей основаны на компьютерах, а не на пользователях. По этой причине они не будут влиять на учетные записи пользователей. Во-вторых, единственный способ изменения параметров политики учетных записей для учетной записи пользователя домена обеспечивается объектом групповой политики, связанным с доменом. Объекты групповой политики, связанные с подразделениями, которые настроены для изменения политик учетных записей, изменят локальный диспетчер учетных записей безопасности компьютеров, находящихся в подразделении или во вложенных подразделениях связанного подразделения.
Второе неверное предположение заключается в том, что параметры политик учетных записей, установленных в корневом домене (начальном домене леса Active Directory) будут унаследованы дочерними доменами леса. Это неверно. Заставить параметры работать таким образом — невозможно. Объекты групповой политики, связанные с доменом и подразделениями внутри одного домена, не повлияют на объекты в другом домене, даже если домен со связанными объектами групповой политики является корневым. Единственный способ распространения параметров объектов групповой политики в различных доменах — связать объекты групповой политики с сайтами Active Directory.
Как обрабатываются пароли
Как мы только что видели, в текущих версиях Windows пароли учетных записей пользователей обрабатываются простым и понятным образом. Для всех учетных записей домена используется единый набор правил паролей, так же как и для управления политиками учетных записей посредством объекта групповой политики, связанного с узлом домена в Active Directory. Однако в Windows Server 2008 все это изменено.
В Windows Server 2008 и инфраструктуре поставляющейся с ним службы каталогов Active Directory используется другой подход. Вместо размещения политик учетных записей в объекте групповой политики (это позволяло использовать только одну политику для всех учетных записей пользователей домена) параметры перемещены на более глубокий уровень Active Directory. Политики учетных записей больше не основаны на учетных записях компьютеров. Теперь объектами управления паролями могут быть отдельные пользователи и группы пользователей. Это принципиальное новшество для администраторов Windows, поскольку до этого управление учетными записями в течение долгого времени осуществлялось посредством политик учетных записей.
Политики учетных записей в Windows Server 2008
В Windows Server 2008 не нужно устанавливать политики учетных записей с политикой домена по умолчанию. Более того, вообще не надо будет использовать объекты групповой политики для создания политик учетных записей пользователей домена. В Windows Server 2008 изменения будут производиться в базе данных Active Directory. В частности, для изменения объекта Active Directory и связанных с ним атрибутов будет применяться программа, такая как ADSIEdit.
Причина этого изменения заключается в том, что групповая политика не поддерживает несколько политик паролей в одном домене. Реализация поддержки нескольких политик паролей в одном домене в Windows Server 2008 весьма изящна, но не слишком проста. Впрочем, со временем интерфейс для настройки параметров станет проще. В настоящее время для внесения изменений в систему требуется изменять базу данных Active Directory, а это непросто и требует высокой квалификации.
Впрочем, нет необходимости использовать ADSIEdit для изменения параметров политик учетных записей, если вы предпочитаете делать это иначе. Можно использовать любые другие средства редактирования LDAP, способные изменять базу данных Active Directory, и даже сценарии. При реализации политик паролей в Windows Server 2008 подход будет коренным образом отличаться от того, что вы делали раньше. Прежде всего, придется обдумать, какие параметры паролей нужно назначить определенным пользователям и группам.
Следует учесть не только длину паролей, но и дополнительные ограничения, включая минимальный и максимальный срок действия, число последовательных уникальных паролей и т.д. Кроме того, следует подумать о том, как настроить параметры блокирования пользователей и параметры Kerberos. Между нынешними параметрами политики учетных записей и параметрами в базе данных Active Directory в Windows Server 2008 существует однозначное соответствие, однако следует учитывать, что имена всех параметров изменились, поскольку они теперь стали объектами и атрибутами Active Directory.
Для применения новых параметров паролей следует создать в контейнере параметров паролей объект параметров паролей (PSO) под названием msDS-PasswordSettings с путем LDAP "cn=Password Settings,cn=System,dc=domainname,dc=com." Обратите внимание, что функциональный уровень домена, в котором вы работаете, следует установить равным Windows Server 2008. В новом объекте нужно заполнить данные для нескольких атрибутов, как показано на рис. 3.
Figure 3 Password attributes in Active Directory
| Атрибут Active Directory | Описание |
| msDS-PasswordSettingsPrecedence | Устанавливает приоритет в случая, когда пользователь состоит в нескольких группах с различными политиками паролей. |
| msDS-PasswordReversibleEncryptionEnabled | Указывает, включено ли обратимое шифрование. |
| msDS-PasswordHistoryLength | Указывает, сколько последовательных паролей должны быть уникальными перед повторным использованием старого пароля. |
| msDS-PasswordComplexityEnabled | Указывает количество и тип знаков, обязательных в пароле. |
| msDS-MinimumPasswordLength | Указывает минимальную длину. |
| msDS-MinimumPasswordAge | Указывает, сколько времени пользователь должен использовать пароль перед тем, как сменить его. |
| msDS-MaximumPasswordAge | Указывает, сколько времени пользователь может использовать пароль перед тем, его придется сменить. |
| msDS-LockoutThreshold | Указывает разрешенное число ошибочных попыток ввода пароля, после которого учетная запись будет заблокирована. |
| msDS-LockoutObservationWindow | Указывает время, после которого счетчик неверно введенных паролей будет обнулен. |
| msDS-LockoutDuration | Указывает, на какое время будет заблокирована учетная запись после превышения разрешенного числа ошибочных попыток ввода пароля. |
Как можно увидеть, все параметры групповой политики, относящиеся к параметрам политики учетных записей, продублированы в виде атрибутов. Следует учесть, что нужно установить и приоритет. Это необходимо для применения нескольких политик паролей в одном домене, поскольку неизбежно возникнут конфликты между политиками, и потребуется механизм для их устранения.
Указание на параметры политики учетных записей
Для каждого создаваемого объекта следует заполнить все атрибуты, чтобы политика учетных записей применялась к каждому пользователю. Есть один новый атрибут msDS-PSOAppliesTo, определяющий, к каким объектом будет применен набор параметров политики. Это самый важный атрибут, с помощью которого можно установить разные параметры для разных пользователей. Этот атрибут применяется к списку, в котором могут находиться как пользователи, так и группы, однако рекомендуется использовать группы вместо отдельных пользователей, как и во всех прочих случаях при работе со списками управления доступом. Группы стабильней, наглядней и намного проще в управлении.
Подведем итоги
Многие годы всем нам хотелось использовать различные политики паролей внутри одного домена Active Directory, и теперь это наконец возможно. Больше не нужно применять для всех пользователей целого домена один и тот же уровень безопасности в том, что касается паролей. Теперь, к примеру, можно настроить параметры так, чтобы у обычных пользователей были пароли длиной 8 знаков, а у ИТ-специалистов (у которых могут быть права администраторов) — пароли длиной 14 знаков.
Потребуется некоторое время, чтобы привыкнуть к тому, что для установки или изменения параметров политики учетных записей нужно изменять базу данных Active Directory. Однако, к счастью, вы уже знакомы с синтаксисом новых параметров. Обязательно ознакомьтесь с новыми параметрами сразу же, как только начнете работать с Windows Server 2008, поскольку эти параметры будут в числе самых первых, которые вам понадобится настроить.
**Дерик Мелбер (Derek Melber)**обладатель сертификатов MCSE, CISM, MVP — независимый консультант и преподаватель. Он преподает технологии Майкрософт и специализируется на Active Directory, групповой политике, безопасности и управлении настольными ПК. Дерик выпустил несколько книг в области ИТ, включая «Руководство по групповой политике Microsoft Windows» (изд-во Microsoft Press, 2005 г.). С ним можно связаться по адресу derekm@braincore.net.
© 2008 Корпорация Майкрософт и компания CMP Media, LLC. Все права защищены; полное или частичное воспроизведение без разрешения запрещено.