Вести журнал паролей
Описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности Вести журнал паролей.
Справка
Параметр политики Вести журнал паролей указывает количество уникальных новых паролей, которые должны быть сопоставлены с учетной записью пользователя, прежде чем можно будет повторно использовать старый пароль.
Повторное использование пароля — важный вопрос в любой организации. Многие пользователи хотят повторно использовать один и тот же пароль для своей учетной записи в течение длительного времени. Чем больше времени один и тот же пароль используется для конкретной учетной записи, тем выше вероятность, что злоумышленник сможет определить его методом подбора. Если требуется, чтобы пользователи изменяли свои пароли, но при этом они имеют возможность повторно использовать старые пароли, эффективность хорошей политики паролей значительно уменьшается.
Если вы укажете маленькое значение для параметра Вести журнал паролей, то пользователи смогут постоянно использовать небольшое количество одних и тех же паролей. Кроме того, если вы одновременно с этим не зададите значение для параметра Минимальный срок действия пароля, пользователи смогут изменять свои пароли столько раз подряд, сколько необходимо для повторного использования их исходных паролей.
Возможные значения
Заданное пользователем число от 0 до 24
Не определено
Рекомендации
Задайте для параметра Вести журнал паролей значение 24. Это позволит уменьшить опасность уязвимостей, вызванных повторным использованием паролей.
Задайте параметр Максимальный срок действия пароля так, чтобы срок действия пароля истекал через 60–90 дней. Попробуйте задать сроки действия паролей так, чтобы они заканчивались в промежутках между основными бизнес-циклами, чтобы не допустить возможные помехи работе.
Настройте параметр Минимальный срок действия пароля так, чтобы не разрешать пользователям изменять пароли немедленно.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика паролей
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
24 сохраненных пароля |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
0 сохраненных паролей |
Действующие параметры контроллера домена по умолчанию |
24 сохраненных пароля |
Действующие параметры рядового сервера по умолчанию |
24 сохраненных пароля |
Действующие параметры объекта групповой политики по умолчанию на клиентских компьютерах |
24 сохраненных пароля |
Управление политикой
В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Чем больше времени пользователь применяет один и тот же пароль, тем выше вероятность, что злоумышленник сможет определить его методом подбора. Кроме того, злоумышленник может использовать все взломанные учетные записи, пока для них не будут изменены пароли. Если требуется изменять пароли, но при этом не запрещено повторно использовать их или пользователи постоянно используют небольшое количество паролей, то эффективность хорошей политики паролей значительно снижается.
Если вы укажете небольшое число для этого параметра политики, пользователи смогут постоянно использовать небольшое количество одних и тех же паролей. Кроме того, если вы не настроите параметр политики Минимальный срок действия пароля, пользователи смогут быстро сменить несколько паролей и в итоге задать необходимые им старые пароли.
Примечание
После взлома учетной записи может оказаться недостаточно просто сбросить пароль, чтобы ограничить возможности злоумышленника. Это связано с тем, что к этому моменту злоумышленник, возможно, уже изменил свою среду пользователя так, что через некоторое время будет автоматически задан известный ему пароль. Если учетная запись взломана, лучше всего удалить ее и назначить пользователю новую учетную запись после восстановления нормальной работы всех затронутых систем и проверки того, что они больше не скомпрометированы.
Меры противодействия
Задайте для параметра политики Вести журнал паролей значение 24 (максимально возможное значение для этого параметра), чтобы свести к минимуму количество уязвимостей, вызванных повторным использованием паролей.
Чтобы этот параметр политики вступил в силу, вам также следует настроить эффективные значения для параметров политик Минимальный срок действия пароля и Максимальный срок действия пароля.
Возможные последствия
Если задать для параметра Вести журнал паролей значение 24, то основным следствием этого станет то, что пользователям придется создавать новый пароль при каждом требовании изменить старый пароль. Если от пользователей требуется изменять свои пароли на новые уникальные пароли, возрастает риск того, что они будут записывать свои пароли, чтобы не забыть. Другой риск состоит в том, что пользователи могут создавать пароли, изменяющиеся последовательно (например, пароль01, пароль02 и т. д.), чтобы легче было запомнить их. Такой подход значительно упрощает для злоумышленника задачу по подбору паролей. Кроме того, если задать для параметра политики Максимальный срок действия пароля слишком маленькое значение, это может привести к увеличению управленческих издержек, так как пользователи, забывающие свои пароли, будут часто просить службу технической поддержки сбрасывать их.