Политика паролей

  • Статья

 

Применимо к:Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Этот раздел справки безопасности политики для ИТ-специалистов Обзор политик паролей для Windows и ссылки на сведения для каждого параметра политики.

В большинстве операционных систем наиболее распространенный метод для проверки подлинности удостоверения пользователя является использование секретной парольной фразы или пароля. В среде защищенной сети требуется всем пользователям использовать надежные пароли, которые имеют по крайней мере 8 символов и содержать сочетание букв, цифр и символов. Эти пароли предотвращают раскрытие учетных записей пользователей и администратора неавторизованные пользователи, использующие методы вручную или автоматизированные средства для взлома слабых паролей. Надежные пароли, которые регулярно изменять снизить вероятность атак успешно пароль.

Представленные в Windows Server 2008 R2 и Windows Server 2008, Windows поддерживает подробные политики паролей. Эта функция предоставляет организациям возможность определить разные пароли и политики блокирования учетных записей для разных групп пользователей в домене. В доменах Windows 2000 Server и Windows Server 2003 Active Directory только одну политику паролей и политики блокировки учетных записей может быть применена ко всем пользователям в домене. Подробные политики паролей применяются только к объектам пользователя (или объектов inetOrgPerson, если они используются вместо пользовательских объектов) и глобальные группы безопасности.

Для применения политики паролей для пользователей подразделения, можно использовать группу тени. Теневая группа является глобальной группой безопасности, логически сопоставлен Подразделение для принудительного применения политики паролей. Добавлять пользователей подразделения в качестве членов группы вновь созданный тени и затем применить политику паролей в эту группу тени. Можно создать дополнительную теневую группы для других подразделений, при необходимости. При перемещении пользователя из одного Подразделения в другое, необходимо обновить членство в соответствующих группах тени.

Подробные политики паролей включают атрибуты для всех параметров, которые могут быть определены в политике домена по умолчанию (за исключением параметров Kerberos) помимо параметры блокировки учетной записи. При указании политики паролей, необходимо указать все эти параметры. По умолчанию только члены группы администраторов домена могут устанавливать детально настроенные политики паролей. Однако вы также можете делегировать возможность настройки этих политик другим пользователям. Домен должен работать под управлением Windows Server 2008 R2 или Windows Server 2008 использовать подробные политики паролей. Подробные политики паролей не может напрямую применяться с подразделением (OU).

Подробные политики паролей не мешали фильтры паролей, которые можно использовать в том же домене. Организации, реализовавшие фильтры паролей для контроллеров домена под управлением Windows 2000 Server или Windows Server 2003 можно продолжать использовать эти фильтры паролей накладывает дополнительные ограничения для паролей. Дополнительные сведения о политиках паролей см. в разделе Доменных службах Active Directory: детально настроенные политики паролей.

Можно принудительно задать использование надежных паролей через политику соответствующий пароль. Существуют параметры политики паролей, управляющие сложность и время существования пароли, такие как пароль должен отвечать требованиям сложности параметр политики.

Используя консоль управления групповыми политиками на контроллере домена, можно настроить параметры политики паролей в следующем расположении:

Политика учетных безопасности\Политики Settings\Security Конфигурация компьютера

Если отдельные группы требуется политики различных паролей, эти группы должны быть разделены в другом домене или лесу, на основе дополнительных требований.

Сведения о настройке политик безопасности см. в разделе Настройка параметров политики безопасности.

В следующих разделах приводятся сведения о реализации политики паролей и лучшие вопросы и рекомендации, расположения политики, значения по умолчанию для типа сервера или GPO, соответствующие различия в версиях операционных систем, вопросы безопасности (включая возможные уязвимости каждого параметра), контрмер может занять, что может повлиять на для каждого параметра.