Максимальный срок действия пароля в реестре

Максимальный срок действия пароля в реестре

Политики учетных записей

Раздел Политики учетных записей по умолчанию содержит три политики. Это Политика блокировки учетной записи, Политика паролей и Политика Kerberos.

Политика паролей — с ее помощью можно настроить параметры создания паролей для учетных записей пользователей компьютера, а также определить параметры хранения паролей пользователей. Для этого применяются следующие правила.

Скорее всего, все приведенные ниже правила хранятся в ветви системного реестра HKEY_LOCAL_MACHINE\SECURITY.

• Максимальный срок действия пароля — указывает количество дней, в течение которого будут действовать пароли пользователей. По истечении указанного срока пользователи должны сменить пароль. Для шаблона безопасности Setup security это правило равно 42 дням.

• Минимальная длина пароля — определяет, из какого количества символов должен состоять (как минимум) создаваемый пароль, чтобы система раз

решила его использование. Для шаблона безопасности Setup security это правило равно 0.

• Минимальный срок действия пароля — указывает количество дней, которое должно истечь, чтобы пользователь смог сменить пароль. Если указанное количество дней не истекло, то пользователю будет запрещено изменять пароль. Значение данной политики должно быть меньше значения политики Максимальный срок действия пароля. Для шаблона безопасности Setup security это правило равно 0.

• Пароль должен отвечать требованиям сложности — если данное правило установлено, то система не разрешит создание паролей, состоящих только из цифр или только из букв. При использовании данного правила все пароли должны содержать не меньше шести символов, находящихся в разных регистрах, а также не принадлежащих к алфавитно-цифровой клавиатуре (например, символы «&», «$», «!»). Для шаблона безопасности Setup security это правило отключено.

• Требовать неповторяемости паролей — значение данного правила определяет количество паролей, которые должны быть добавлены в базу данных SAM (содержит хэши паролей всех учетных записей пользователей), после чего система разрешит в качестве пароля задать уже использовавшийся ранее пароль. Для шаблона безопасности Setup security это правило равно 0 паролей.

• Хранить пароли всех пользователей в домене, используя обратимое шифрование — если данное правило будет включено, то система будет создавать пароли пользователей с возможностью их расшифровки (так называемое обратимое шифрование). Создание паролей с возможностью их расшифровки может потребоваться некоторым приложениям для аутентификации пользователя (например, это необходимо протоколу CHAP). Но перед установкой этого правила следует учесть, что такой способ хранения паролей резко снижает уровень безопасности компьютера. Для шаблона безопасности Setup security это правило отключено.

Политика блокировки учетной записи — с помощью данной политики можно определить правила поведения системы в случае нескольких попыток неудачного ввода пароля при аутентификации пользователя.

• Блокировка учетной записи на — определяет количество минут, на которое будет выполняться блокировка учетной записи после нескольких попыток неудачного ввода пароля. Значение может находиться в диапазоне от 1 до 99999 (если значение равно 0, то учетная запись будет заблокирована до тех пор, пока администратор компьютера ее не разблокирует самостоятельно). Для шаблона безопасности Setup security это правило не определено.

• Пороговое значение блокировки — указывает количество попыток неверного ввода пароля, после которых учетная запись будет заблокирована. Возможные значения лежат в пределах от 0 до 999. Для шаблона безопасности Setup security это 0 ошибок.

• Сброс счетчика блокировки через — определяет количество минут, по истечении которых счетчик неверных попыток ввода пароля будет обнулен. Значение может находиться в пределах от 1 до 99999. Для шаблона безопасности Setup security это правило не определено.

Политика Kerberos — определяет настройки протокола Kerberos, используемые при входе пользователя в систему. В контексте данной книги настройки данной политики рассмотрены не будут, так как они относятся к компьютерам, находящимся в домене, а это большая редкость на домашних компьютерах.

Максимальный срок действия пароля

Область применения

Описание рекомендаций, расположение, значения, групповыми политиками и соображения безопасности для параметра политики безопасности Максимальный срок действия пароля .

Параметр политики Максимальный срок действия пароля определяет период времени (в днях), который пароля можно использовать, прежде чем система потребует его изменить. Вы можете задать пароли истекает в течение количества дней от 1 до 999 или вы можете указать, что паролей никогда не истекает, установив число дней равным 0. Если Максимальный срок действия пароля составляет от 1 до 999 дней, минимальный срок действия пароля должен быть меньше, чем максимальный срок действия пароля. Если Максимальный срок действия пароля равен 0, Минимальный срок действия пароля может иметь любое значение от 0 до 998 дней.

Примечание: Максимальный срок действия пароля значение -1 эквивалентно 0, что означает, что он никогда не истекает. Значение отрицательного числа является эквивалентом значение Не определено.

Возможные значения

  • Указанное пользователем количество дней от 0 до 999
  • Не определен

Задать Максимальный срок действия пароля значение в диапазоне от 30 до 90 дней, в зависимости от среды. Таким образом, злоумышленник имеет ограниченный интервал времени для взлома пароля пользователя и получать доступ к сетевым ресурсам.

Политика Policies\Password Settings\Account Settings\Security Configuration\Windows компьютера

Значения по умолчанию

В следующей таблице перечислены значения по умолчанию фактические и эффективные политики. На странице свойств политики также указаны значения по умолчанию.

Средства управления политикой

В этом разделе описаны возможности, средства и рекомендации, которые помогут вам управлять этой политикой.

Необходимость перезапуска

Нет. Изменения этой политики, вступают в силу без компьютера перезапуска после их локального сохранения или распространения через групповую политику.

Вопросы безопасности

В этом разделе описывается, как злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а возможные отрицательные последствия реализации.

Больше пароль существует, тем выше вероятность того, что он будет снижена подбора, злоумышленнику получить сведения о пользователе или совместного использования пароля пользователем. Настройка Максимальный срок действия пароля параметр политики, чтобы 0, чтобы пользователям не требуется менять пароли позволяет компрометации пароля для использования вредоносных пользователя, пока санкционированный доступ является допустимым пользователем.

Задан устоявшихся безопасности рекомендуется — это изменение пароля, но исследований строго означает, что истечение срока действия пароля имеет отрицательное воздействие. Дополнительные сведения см. в Руководстве пароль Microsoft .

Настройка параметра политики Максимальный срок действия пароля для значения, которое подходит для вашей организации бизнес-требования. Например многих организациях иметь соответствие или страхования предписаниями, требующих короткого зависящая от паролей. Там, где это требование существует, параметр политики Максимальный срок действия пароля может использоваться в соответствии с бизнес-требования.

Возможное влияние

Если этот параметр политики Максимальный срок действия пароля установлено слишком низкое значение, пользователям требуется очень часто менять пароли. Такая конфигурация может снизить безопасности в организации, так как пользователи могут хранить пароли в незащищенные расположения или потеряны. Если значение для этого параметра политики слишком велико, уровень безопасности в организации уменьшается, так как он позволяет злоумышленников больше времени, в котором для обнаружения паролей пользователей или использовать скомпрометированы учетные записи.

Мы бы хотели узнать ваше мнение. Укажите, о чем вы хотите рассказать нам.

Вести журнал паролей

Область применения

Описание рекомендаций, расположение, значения, групповыми политиками и соображения безопасности для параметра политики безопасности журнала паролей .

Этот параметр политики журнала паролей определяет количество уникальных новых паролей, которые должны быть связаны с учетной записью пользователя, прежде чем можно будет повторно старый пароль. За повторного использования пароля является важным аспектом в любой организации. Многие пользователи хотите повторно использовать тот же пароль для учетной записи за длительный период времени. Больше одного и того же пароля используется для конкретного счета, тем больше вероятность того, что злоумышленник сможет определить пароля через методом подбора. Если пользователям необходимо изменить свой пароль, но их можно повторно использовать старый пароль, эффективность политике хороший пароль значительно уменьшается.

Указание меньший для журнала паролей позволяет пользователям постоянно многократно использовать одного и того же небольшое количество паролей. Если также Минимальный срок действия пароляне задан, пользователи могут изменить свой пароль столько раз подряд при необходимости повторно использовать старый пароль.

Возможные значения

  • Указанное пользователем число от 0 до 24
  • Не определен
  • Значение 24 журнала паролей . Это поможет предотвратить уязвимости, которые являются причиной повторного использования пароля.
  • Задать Максимальный срок действия пароля истекает срок действия паролей от 60 до 90 дней. Попробуйте срок действия паролей между основным бизнес циклов для предотвращения потери.
  • Таким образом, чтобы запретить позволяет изменять сразу же пароли, настройте Минимальный срок действия пароля .
Читайте так же:  Посмотреть собственность человека

Политика Policies\Password Settings\Account Settings\Security Configuration\Windows компьютера

Значения по умолчанию

В следующей таблице перечислены значения по умолчанию фактические и эффективные политики. На странице свойств политики также указаны значения по умолчанию.

Средства управления политикой

В этом разделе описаны возможности, средства и рекомендации, которые помогут вам управлять этой политикой.

Необходимость перезапуска

Нет. Изменения этой политики, вступают в силу без устройства перезапуска после их локального сохранения или распространения через групповую политику.

Вопросы безопасности

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.

Больше пользователь использует тот же пароль, тем больше вероятность того, что злоумышленник может определить пароля через атаки методом подбора принудительно атак. Кроме того все учетные записи, которые были взломаны может оставаться воспользоваться для максимально пароль время остаются неизменными. Если требуются изменения пароля, но не осуществляется за повторного использования пароля, или если пользователи постоянно повторно использовать небольшое количество паролей, эффективность политике хороший пароль существенно снижается.

При указании небольшое значение для этого параметра политики, пользователи могут использовать одного и того же небольшое количество паролей несколько раз. Если также Минимальный срок действия пароля параметр политики не настроен, пользователи могут часто менять пароли, пока можно повторно использовать старый пароль.

Примечание: Сброс после взломано учетную запись, простой пароль может не быть достаточно, чтобы ограничить злоумышленник, так как злоумышленник мог изменить пользователя среды таким образом, чтобы пароль меняется обратно на известное значение автоматически в определенное время. Если учетная запись взломано, лучше для удаления учетной записи и назначить пользователю были восстановлены нормальной работы и убедитесь, что они больше не будут скомпрометированы новые системы после выполнения всех особой учетной записи.

Противодействие

Настройка политики журнала паролей параметру значение 24 (установленную максимальную), чтобы свести к минимуму число уязвимости, которые являются причиной повторного использования пароля.

Для этого параметра политики для эффективной необходимо также настроить действительные значения для параметров политики Срок действия пароля минимальный и Максимальный срок действия пароля .

Возможное влияние

Основные влияние настройки параметра журнала паролей , чтобы 24 является, каждый раз, когда они требуются для изменения их старый пользователей необходимо создать новый пароль. Пользователям придется изменить свой пароль для новой уникальными значениями, есть ли повышенному риску пользователей, записывать пароли где-то, чтобы они не забыть их. Другой риск заключается в том, что пользователи могут создавать пароли, изменение постепенно (для примера, password01, password02 и т. д.) для упрощения запоминание, но это облегчает их злоумышленнику для взлома. Кроме того слишком низкое значение для параметра политики Максимальный срок действия пароля , скорее всего повысить административные издержки, так как у пользователей, которые забыл свой пароль может возникнуть вопрос в службу поддержки сбрасывать часто.

Мы бы хотели узнать ваше мнение. Укажите, о чем вы хотите рассказать нам.

Максимальный срок действия пароля в реестре

Продолжение, начало в выпусках: 1 2 3 4 5 6 7 8 9 10

оцените: 1 2 3 4 5

Книга «Недокументированные возможности Windows XP. Библиотека пользователя», Глава 3. Консоль управления Microsoft. Часть 10. Оснастки Windows XP: Шаблоны безопасности.

Оснастка ШАБЛОНЫ БЕЗОПАСНОСТИ является довольно интересной оснасткой, с помощью которой можно создать свой собственный шаблон безопасности или отредактировать уже существующие шаблоны безопасности. Шаблоны безопасности представляют собой файлы, содержащие различные настройки параметров реестра и файловой системы Windows XP. Файлы шаблонов безопасности можно легко импортировать в систему, чтобы настройки, в них содержащиеся, были применены к данному компьютеру.

Шаблоны безопасности нельзя применить к компьютерам, операционная система которых установлена на дисках, отформатированных не в файловую систему NTFS.

Оснастка ШАБЛОНЫ БЕЗОПАСНОСТИ не входит ни в одну стандартную консоль, поэтому для получения доступа к ней необходимо воспользоваться консолью управления Microsoft mmc.exe. Оснастка ШАБЛОНЫ БЕЗОПАСНОСТИ имеет GUID-номер <5ADF5BF6-E452-11D1-945A-00C04FB984F9>, поэтому, если оснастка с таким номером будет запрещена с помощью групповых политик, тогда вы не сможете запустить оснастку ШАБЛОНЫ БЕЗОПАСНОСТИ (она просто исчезнет из списка доступных для открытия оснасток).

После открытия оснастки перед вами отобразится окно, подобное приведенному на рисунке 3.27.

Элемент дерева Шаблоны безопасности по умолчанию содержит в себе подраздел c:\windows\security\templates. А этот подраздел, в свою очередь, содержит в себе набор стандартных шаблонов безопасности. Все отображаемые в оснастке шаблоны безопасности находятся в каталоге файловой системы c:\windows\security\templates. При этом стоит сказать, что каталог, из которого берутся шаблоны безопасности, не статичен. То есть, путь к каталогу можно изменить с помощью реестра (соответственно изменится и название подраздела элемента ШАБЛОНЫ БЕЗОПАСНОСТИ). Для изменения пути к каталогу шаблонов безопасности, необходимо изменить название подраздела C:/WINDOWS/SECURITY/TEMPLATES из ветви реестра HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SECEDIT\TEMPLATE LOCATIONS.

Также вы можете создать и свой собственный подраздел в ветви реестра HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations. Созданный вами подраздел будет отображаться в оснастке наряду со стандартным подразделом. Чтобы создать новый подраздел с помощью механизмов оснастки, нужно выбрать в меню Действие команду Новый путь для поиска шаблонов…

Подраздел C:/WINDOWS/security/templates ветви реестра HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations может содержать в себе параметр строкового типа Description, определяющий описание содержимого каталога. Это описание отображается в столбце Описание правой панели оснастки.

Все шаблоны безопасности, отображенные в оснастке, изменяют одни и те же параметры файловой системы и реестра (просто каждый шаблон устанавливает свои собственные значения этих параметров), поэтому мы с вами сначала подробно рассмотрим изменяемые шаблонами параметры, а потом рассмотрим отличия в значениях этих параметров для разных шаблонов безопасности. Для рассмотрения параметров мы воспользуемся шаблоном безопасности SETUP SECURITY. Этот шаблон используется сразу после установки операционной системы Windows XP для настройки доступа к файловой системе компьютера и ветвям реестра по умолчанию.

Шаблоны безопасности являются обычными файлами с расширением .inf, расположенными в каталоге C:/WINDOWS/security/templates (по умолчанию). При этом, название inf-файла используется в оснастке Шаблоны безопасности как название шаблона. То есть, шаблон Setup security является inf-файлом с именем Setup security.inf.

Все шаблоны безопасности содержат в себе следующие подразделы: ПОЛИТИКИ УЧЕТНЫХ ЗАПИСЕЙ, ЛОКАЛЬНЫЕ ПОЛИТИКИ, ЖУРНАЛ СОБЫТИЙ, ГРУППЫ С ОГРАНИЧЕННЫМ ДОСТУПОМ, СИСТЕМНЫЕ СЛУЖБЫ, РЕЕСТР и ФАЙЛОВАЯ СИСТЕМА. Давайте вкратце рассмотрим каждый из этих подразделов.

Политики учетных записей Политики учетных записей по умолчанию содержат в себе три политики. Это ПОЛИТИКА БЛОКИРОВКИ УЧЕТНОЙ ЗАПИСИ, ПОЛИТИКИ ПАРОЛЕЙ и ПОЛИТИКА KERBEROS.

Политики паролей С помощью политики паролей можно настроить параметры создания паролей для учетных записей пользователей компьютера, а также определить параметры хранения паролей пользователей. Для этого применяются следующие правила.

Скорее всего, все приведенные ниже правила хранятся в ветви реестра HKEY_LOCAL_MACHINE\SECURITY.

  • МАКСИМАЛЬНЫЙ СРОК ДЕЙСТВИЯ ПАРОЛЯ — указывает количество дней, в течение которого будут действовать пароли пользователей. При истечении указанного срока дней пользователи должны сменить пароль. Для шаблона безопасности SETUP SECURITY это правило равно 42 дням.
  • МИНИМАЛЬНАЯ ДЛИНА ПАРОЛЯ — определяет, из скольких символов должен состоять (как минимум) создаваемый пароль, чтобы система разрешила его использование. Для шаблона безопасности SETUP SECURITY это правило равно 0 символам.
  • МИНИМАЛЬНЫЙ СРОК ДЕЙСТВИЯ ПАРОЛЯ — указывает количество дней, которое должно истечь, чтобы пользователь смог сменить пароль. Если указанное количество дней не истекло, тогда пользователю будет запрещено изменять пароль. Значение данной политики должно быть меньше значения политики МАКСИМАЛЬНЫЙ СРОК ДЕЙСТВИЯ ПАРОЛЯ. Для шаблона безопасности SETUP SECURITY это правило равно 0 дням.
  • ПАРОЛЬ ДОЛЖЕН ОТВЕЧАТЬ ТРЕБОВАНИЯМ СЛОЖНОСТИ — если данное правило установлено, тогда система не разрешит создание паролей, содержащих в себе только цифры или только буквы. Также при использовании данного правила все пароли должны содержать в себе символы в разных регистрах, символы, не принадлежащие к алфавитно-цифровой клавиатуре (например, символы &, $, !), а также пароли должны содержать не меньше шести символов. Для шаблона безопасности SETUP SECURITY это правило отключено.
  • ТРЕБОВАТЬ НЕПОВТОРЯЕМОСТИ ПАРОЛЕЙ — значение данного правила определяет количество паролей, которые должны быть добавлены в базу данных SAM (содержит в себе хеши паролей всех учетных записей пользователей), после чего система разрешит в качестве пароля задать уже использовавшийся ранее пароль. Для шаблона безопасности SETUP SECURITY это правило равно 0 паролей.
  • ХРАНИТЬ ПАРОЛИ ВСЕХ ПОЛЬЗОВАТЕЛЕЙ В ДОМЕНЕ, ИСПОЛЬЗУЯ ОБРАТИМОЕ ШИФРОВАНИЕ — если данное правило будет включено, тогда система будет создавать пароли пользователей с возможностью их расшифровки (так называемое, обратимое шифрование). Создание паролей с возможностью их расшифровки может потребоваться некоторым приложениям для аутентификации пользователя (например, это необходимо протоколу CHAP). Но перед установкой этого правила следует учесть, что такой способ хранения паролей резко снижает уровень безопасности компьютера. Для шаблона безопасности SETUP SECURITY это правило отключено.
Читайте так же:  Договор по монтажу сайдинга

Политика блокировки учетной записи С помощью данной политики можно определить правила поведения системы в случае нескольких попыток неудачного ввода пароля при аутентификации пользователя.

  • БЛОКИРОВКА УЧЕТНОЙ ЗАПИСИ НА — значение данного параметра определяет количество минут, на которое будет выполняться блокировка учетной записи после нескольких попыток неудачного ввода пароля. Значение данного правила может находиться в диапазоне от 1 до 99999 (если значение будет равно 0, тогда учетная запись будет заблокирована до тех пор, пока администратор компьютера ее не разблокирует самостоятельно). Для шаблона безопасности SETUP SECURITY это правило не определено.
  • ПОРОГОВОЕ ЗНАЧЕНИЕ БЛОКИРОВКИ — значение данного правила определяет количество попыток неверного ввода пароля, после которых учетная запись будет заблокирована. Возможные значения лежат в пределах от 0 до 999. Для шаблона безопасности SETUP SECURITY это правило 0 ошибок.
  • СБРОС СЧЕТЧИКА БЛОКИРОВКИ ЧЕРЕЗ — значение данного правила определяет количество минут, после истечения которых счетчик неверных попыток ввода пароля будет обнулен. Значение данного правила может находиться в пределах от 1 до 99999. Для шаблона безопасности SETUP SECURITY это правило не определено.

Политика Kerberos Данная политика определяет настройки протокола Kerberos, используемые при входе пользователя в систему. В контексте данной книги настройки данной политики рассмотрены не будут, так как они относятся к компьютерам, находящемся в домене, а это большая редкость на домашних компьютерах.

Локальные политики Подраздел ЛОКАЛЬНЫЕ ПОЛИТИКИ содержит в себе три подраздела: ПОЛИТИКА АУДИТА, НАЗНАЧЕНИЕ ПРАВ ПОЛЬЗОВАТЕЛЯ и ПАРАМЕТРЫ БЕЗОПАСНОСТИ.

Политика аудита Данная политика позволяет определить события, факты происхождения которых будут записываться в журнал БЕЗОПАСНОСТЬ оснастки ПРОСМОТР СОБЫТИЙ. Можно указать запись в журнал БЕЗОПАСНОСТЬ сведений об успешных или неудачных попытках выполнения следующих операций: вход в систему, доступ к объектам, имеющим собственный SACL (например, к принтерам, файлам, папкам), доступ к каталогам Active Directory и других. Для шаблона безопасности SETUP SECURITY все события аудита, кроме аудита доступа к службе каталога (этот аудит не определен), отключены.

Назначение прав пользователя С помощью данной политики можно определить права различных пользователей или групп пользователей на выполнение различных операций с объектами и компонентами операционной системы. Например, с помощью данной политики можно определить пользователей, которым разрешено входить локально в систему, разрешено входить в систему через службу терминалов, разрешено выполнять архивирование файлов и каталогов и т.д.

Параметры безопасности С помощью данной политики можно настроить очень многие параметры реестра, относящиеся к безопасности компьютера. Довольно часто в Интернет можно прочитать советы об изменении тех или иных параметров реестра, настраивающих безопасность компьютера. Многие из параметров, указанных в таких советах, можно изменить и с помощью политики ПАРАМЕТРЫ БЕЗОПАСНОСТИ. Например, к наиболее часто упоминаемым в Интернет способам настройки безопасности с помощью реестра, которые также можно изменить и с помощью политики ПАРАМЕТРЫ БЕЗОПАСНОСТИ являются следующие.

  • Очистка файла подкачки pagefile.sys при завершении работы компьютера. Для шаблона SETUP SECURITY данное правило отключено.
  • Сообщение, отображаемое перед входом пользователя в систему. Для шаблона SETUP SECURITY данное правило не определено.
  • Посылать незашифрованный пароль сторонним SMB-серверам. Для шаблона SETUP SECURITY данное правило отключено.
  • Запретить изменение паролей учетных записей пользователей. Для шаблона SETUP SECURITY данное правило не определено.
  • Пути в реестре, доступные через удаленное подключение. Для шаблона SETUP SECURITY данное правило не определено.
  • Разрешить анонимный доступ к общим ресурсам. Для шаблона SETUP SECURITY данное правило не определено.
  • Отключение или переименование учетных записей администратора и гостя. Для шаблона SETUP SECURITY эти правила не определены (кроме отключения учетной записи гостя, по умолчанию эта запись отключена).

При этом большинство правил списка ПАРАМЕТРЫ БЕЗОПАСНОСТИ хранятся в реестре (то есть, вы и сами можете добавить к данному списку свои правила изменения параметров реестра, чтобы изменять их с помощью шаблона безопасности). Для этого предназначена ветвь реестра HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SECEDIT\REG VALUES. Данная ветвь содержит в себе список подразделов, названия которых соответствуют пути к изменяемому правилом параметру реестра (данный путь должен начинаться не с корневого раздела ветви, а с класса, в котором хранится объект операционной системы (операционная система Windows XP является объектно-ориентированной), например, класс MACHINE определяет корневой раздел HKEY_LOCAL_MACHINE). Данные подразделы содержат в себе следующие параметры.

  • DISPLAYNAME — значение данного параметра строкового типа определяет название правила, отображаемое в списке политики ПАРАМЕТРЫ БЕЗОПАСНОСТИ.
  • DISPLAYCHOICES — значение данного параметра строкового типа определяет описание возможного состояния правила (если для установки правила используется список состояний), а также значение, которое будет присваиваться параметру при установке соответствующего состояния правила.
  • DISPLAYTYPE — значение данного параметра DWORD-типа определяет способ указания состояния правила. Данный параметр может принимать следующие значения: 1 — отобразить счетчик для указания состояния правила; 2 — поле для ввода значения; 3 — раскрывающийся список (для выбора возможного состояния из списка); 4 — список для выбора состояния; 6 — два флажка, с помощью которых можно включить или отключить правило;
  • VALUETYPE — значение данного параметра DWORD-типа определяет тип изменяемого данным правилом параметра реестра. Ниже приведены возможные значения. 1 — строковой тип параметра. 3 — тип параметра REG_BINARY. 4 — тип параметра REG_DWORD. 7 — тип параметра REG_MULTI_SZ.

На рисунке 3.28 можно видеть пример описания правила в реестре.

Журнал событий С помощью данной политики можно настроить параметры стандартных журналов системы, доступ к которым можно получить с помощью оснастки ПРОСМОТР СОБЫТИЙ. Например, с помощью данной политики можно определить максимальные размеры файлов стандартных журналов системы, количество дней хранения этих файлов, а также запретить или разрешить просмотр системных журналов для учетной записи ГОСТЬ. Все параметры реестра, изменяемые этой политикой, мы уже рассмотрели в разделе о настройках оснастки ПРОСМОТР СОБЫТИЙ.

Группы с ограниченным доступом С помощью данной политики можно добавить в группу временного пользователя (для повышения его прав на некоторое время). При этом, после перезагрузки данный пользователь будет удален из группы. Тем самым администратор может делегировать на время права некоторым пользователям не заботясь о снятии делегированных прав с пользователя — это выполнит система. Для добавления ограниченного пользователя в группу, нужно создать саму группу, в которую будет добавляться пользователь. Для этого нужно в контекстном меню подраздела ГРУППЫ С ОГРАНИЧЕННЫМ ДОСТУПОМ выбрать команду ДОБАВИТЬ ГРУППУ…. После этого система предложит вам ввести или выбрать из списка группу, а после этого предложит добавить в нее новых пользователей.

Системные службы С помощью данной политики можно указать тип запуска служб, установленных на компьютере, или вообще отключить запуск некоторых служб.

Реестр С помощью данного подраздела можно указать права доступа к различным ветвям реестра. Чтобы указать права доступа к ветви реестра, необходимо сначала добавить в данный подраздел ветвь реестра. Для этого необходимо в контекстном меню подраздела РЕЕСТР выбрать команду ДОБАВИТЬ РАЗДЕЛ…. После этого консоль управления Microsoft предложит вам указать права для доступа к данной ветви реестра.

Файловая система С помощью данного подраздела можно указать права доступа к различным каталогам файловой системы Windows XP. Чтобы указать права доступа к каталогу, необходимо сначала добавить в подраздел ФАЙЛОВАЯ СИСТЕМА путь к каталогу. Для этого необходимо в контекстном меню подраздела выбрать команду ДОБАВИТЬ ФАЙЛ…. После этого консоль управления Microsoft предложит вам указать права для доступа к данному каталогу или файлу, а после этого предложит указать, будут ли определенные вами права распространятся на все вложенные в каталог папки.

А теперь давайте рассмотрим другие стандартные шаблоны безопасности и их отличие от шаблона по умолчанию.

Compatws.inf Настройки шаблона по умолчанию ограничивают группу ПОЛЬЗОВАТЕЛИ, запрещая ей доступ ко многим ветвям реестра, и каталогам файловой системы. В добавок к группе ПОЛЬЗОВАТЕЛИ, шаблон по умолчанию создает группу ОПЫТНЫЕ ПОЛЬЗОВАТЕЛИ, обладающую большими правами в операционной системе. Создание двух разных групп необходимо для повышения безопасности. Тем не менее, не рекомендуется использовать группу ОПЫТНЫЕ ПОЛЬЗОВАТЕЛИ, так как она в системе имеет очень многие права, которые можно использовать не только на благо, но и во вред. В частности, пользователи из группы опытных имеют больше шансов осуществить различные методы взлома, направленные на получение прав администратора или системы.

Читайте так же:  Договор аренды транспортных средств с экипажем гк рф

Хотя в некоторых случаях без использования группы ОПЫТНЫЕ ПОЛЬЗОВАТЕЛИ обойтись нельзя. В частности, когда пользователи компьютера должны иметь права на установку программ, не сертифицированных для Microsoft. Такие программы используют для своей установки ветви реестра и каталоги файловой системы, доступ к которым закрыт для обычных пользователей. Если необходимо, чтобы пользователи могли устанавливать такие программы, тогда желательно установить шаблон безопасности COMPATWS, а не использовать группу ОПЫТНЫЕ ПОЛЬЗОВАТЕЛИ. Данный шаблон специально разрабатывался для предоставления группе ПОЛЬЗОВАТЕЛИ специальных прав, которых достаточно для установки большинства программ (при этом, другие права, доступные группе ОПЫТНЫЕ ПОЛЬЗОВАТЕЛИ, группе ПОЛЬЗОВАТЕЛИ не передаются, то есть, в остальном группа ПОЛЬЗОВАТЕЛИ остается ограниченной). Также при установке шаблона COMPATWS все члены группы ОПЫТНЫЕ ПОЛЬЗОВАТЕЛИ удаляются из этой группы, а группе опытные пользователи предоставляются следующие права на каталоги файловой системы.

  • %programfiles% — чтение/запись/чтение и выполнение/список содержимого файлов/изменение.
  • %systemroot%\downloaded program files — чтение/запись/чтение и выполнение/список содержимого файлов/изменение.
  • %systemroot%\temp — чтение/запись/чтение и выполнение/список содержимого файлов/изменение.
  • %systemroot%\sysvol — права не определены ни для одной из групп.

Также шаблон безопасности COMPATWS изменяет права на ветви реестра из корневого раздела HKEY_CLASSES_ROOT. Но в данном случае скорее происходит не повышение прав группы ПОЛЬЗОВАТЕЛИ на содержимое данной ветви, а понижение прав группы ОПЫТНЫЕ ПОЛЬЗОВАТЕЛИ, чтобы они не могли выполнять запись в данный корневой раздел реестра.

Securews.inf Настройки данного шаблона повышают общую безопасность рабочей станции. Также существует шаблон безопасности SECUREDC, выполняющий аналогичные действия для контроллера домена. В контексте данной книги мы рассмотрим шаблон SECUREWC, так как второй шаблон предназначен для компьютеров, находящихся в домене и являющихся контролерами доменов, что довольно редко на домашних компьютерах. Итак, основные отличая шаблона SECUREWC от шаблона по умолчанию заключаются в следующем.

  • Минимальная длина пароля 8 символов.
  • Минимальный срок действия пароля 2 дня.
  • Пароль должен отвечать требованиям безопасности.
  • Требовать неповторяемость 24 последних паролей.
  • Блокировка учетной записи на 30 минут.
  • Пороговое значение ошибок ввода пароля равно 5.
  • Сброс счетчика блокировки через 30 минут.
  • Выполняется аудит следующих событий: неправильный ввод пароля при входе в систему, аудит всех событий входа в систему и управления учетными записями, а также любое изменение политик и отказ системы в предоставлении привилегий учетной записи пользователя.
  • Изменений в доступе к реестру и файловой системе нет. Изменения в параметрах безопасности мы не рассматриваем, хотя если кратко, то изменения в основном заключаются в отказе от протоколов аутентификации LM и NTLM.

Hisecws.inf Данный шаблон определяет повышенный уровень безопасности рабочей станции. Как и предыдущие два шаблона, этот шаблон имеет своего двойника, предназначенного для настройки повышенного уровня безопасности контроллера домена (HISECDC). Основные отличия шаблона HISECWS от шаблона SECUREWC заключаются в следующем.

  • Блокировка учетной записи на 0 минут (то есть, до ее явной разблокировки администратором).
  • Аудит всех событий безопасности, кроме событий отслеживания процессов (отключен) и событий доступа к службе каталогов Active Directory (не определено).
  • Изменений в доступе к реестру и файловой системе нет. Изменения параметров безопасности, в основном, заключаются в требовании подписывания передаваемых по сети данных.

Rootsec.inf Данный шаблон безопасности служит лишь одной цели — присвоению прав доступа к системному диску по умолчанию. Именно этот шаблон применяется для настройки прав на доступ к системному диску при установке операционной системы.

Notssid.inf Данный шаблон безопасности предназначен лишь для исключения доступа учетной записи Terminal Server к файловой системе и реестру Windows XP. Если сервер терминалов не используется, тогда можно применить данный шаблон безопасности, для исключения SID сервера терминалов из прав доступа к объектам системы, хотя, как подчеркивает Microsoft, присутствие SID сервера терминалов никоим образом не влияет на безопасность компьютеров.

А теперь давайте для примера попробуем создать свой собственный шаблон безопасности. Как правило, для этого лучше воспользоваться одним из стандартных шаблонов, а не создавать шаблон с нуля.

Создание шаблона безопасности Чтобы создать шаблон безопасности на основе любого другого шаблона, необходимо в контекстном меню шаблона выбрать команду СОХРАНИТЬ КАК…. После этого консоль управления Microsoft предложит вам указать имя нового шаблона, после чего он отобразится в дереве оснастки ШАБЛОНЫ БЕЗОПАСНОСТИ. Также существует возможность копирования отдельных подразделов шаблона в другой шаблон. Для этого необходимо в контекстном меню подраздела эталонного шаблона выбрать команду КОПИРОВАТЬ. После этого необходимо в контекстном меню того же подраздела, но шаблона-приемника, выбрать команду ВСТАВИТЬ.

Например, чтобы быстро создать шаблон на основе шаблона SECUREWS, но с настройками файловой системы из шаблона ROOTSEC, необходимо сначала создать шаблон на основе шаблона SECUREWS (команда СОХРАНИТЬ КАК), а после этого выполнить копирование подраздела ROOTSEC/ФАЙЛОВАЯ СИСТЕМА в подраздел ФАЙЛОВАЯ СИСТЕМА созданного вами шаблона. После этого можно самостоятельно отредактировать состояние отдельных правил политик созданного вами шаблона.

Не рекомендуется изменять состояния правил непосредственно в стандартных шаблонах. Лучше для этого создать новый шаблон на основе одного из стандартных.

Импортирование шаблона безопасности Шаблон безопасности мы создали. Но что нам теперь с ним делать? Для ответа на данный вопрос можно воспользоваться либо оснасткой ГРУППОВАЯ ПОЛИТИКА, либо оснасткой АНАЛИЗ И НАСТРОЙКА БЕЗОПАСНОСТИ. Также можно воспользоваться командой командной строки secedit.exe.

Групповая политика Когда мы рассматривали оснастку ГРУППОВАЯ ПОЛИТИКА, мы пропустили такие ее подразделы, как ПОЛИТИКИ УЧЕТНЫХ ЗАПИСЕЙ и ЛОКАЛЬНЫЕ ПОЛИТИКИ. Теперь мы знаем, что хранится в этих подразделах, а также умеем создавать свои собственные шаблоны. Если вы уже создали свой шаблон с изменениями состояния правил данных подразделов, тогда существует возможность его импортирования в групповую политику, чтобы настройки из шаблона применялись вместе с настройками групповой политики. Для этого необходимо в контекстном меню элемента ПАРАМЕТРЫ БЕЗОПАСНОСТИ консоли ГРУППОВАЯ ПОЛИТИКА выбрать команду ИМПОРТ ПОЛИТИКИ. После этого консоль управления Microsoft попросит указать путь к шаблону безопасности и использует его содержимое для настройки подразделов ПОЛИТИКИ УЧЕТНЫХ ЗАПИСЕЙ и ЛОКАЛЬНЫЕ ПОЛИТИКИ. При этом остальные настройки шаблона безопасности применяться не будут.

Анализ и настройка безопасности С помощью данной оснастки можно не только применить к компьютеру любой созданный шаблон (в отличие от ГРУППОВОЙ ПОЛИТИКИ, данная оснастка использует все содержимое шаблона, а не только настройки подразделов ПОЛИТИКИ УЧЕТНЫХ ЗАПИСЕЙ и ЛОКАЛЬНЫЕ ПОЛИТИКИ), но и проанализировать текущие настройки компьютера с настройками из шаблона безопасности. Оснастка АНАЛИЗ И НАСТРОЙКА БЕЗОПАСНОСТИ имеет GUID-номер <011BE22D-E453-11D1-945A-00C04FB984F9>. После добавления данной оснастки к консоли управления Microsoft, в дереве консоли отобразится единственный элемент — АНАЛИЗ И НАСТРОЙКА БЕЗОПАСНОСТИ. Если вы раньше никогда не использовали данную оснастку, тогда перед началом работы с ней, необходимо создать базу данных текущих настроек безопасности компьютера. Для этого в контекстном меню оснастки необходимо выбрать команду ОТКРЫТЬ БАЗЫ ДАННЫХ… и в отобразившемся диалоге ввести имя новой базы данных. После этого консоль управления Microsoft предложит указать имя шаблона безопасности, настройки которого будут импортированы в созданную базу данных (если вы используете уже существующую базу, тогда можно очисть ее содержимое перед импортом настроек шаблона безопасности).

Несмотря на то, что создаваемая база данных содержит информацию о настройках компьютера в неудобном для чтения виде, тем не менее, злонамеренные пользователи смогут ее использовать для анализа текущих настроек безопасности компьютера.

После создания или открытия базы данных настроек шаблона, в контекстном меню оснастки станут доступными команды АНАЛИЗ КОМПЬЮТЕРА… и НАСТРОИТЬ КОМПЬЮТЕР….

Если вы хотите только определить, соответствуют ли текущие настройки безопасности настройкам, содержащимся в открытой базе данных шаблона безопасности, тогда необходимо воспользоваться командой АНАЛИЗ КОМПЬЮТЕРА…. После этого консоль управления Microsoft предложит вам указать путь к текстовому файлу, в который будет записан лог процесса анализа компьютера. После этого в дереве оснастки отобразятся подразделы, аналогичные подразделам шаблонов безопасности. Эти подразделы будут содержать в себе описание текущего состояния (в вашем компьютере) установленных в шаблоне безопасности правил. Если текущие настройки состояния правила в вашем компьютере соответствуют настройкам из шаблона, тогда напротив правила будет установлена зеленая галочка. Если же настройки состояния правила в шаблоне безопасности отличаются от текущих настроек в вашем компьютере, тогда напротив соответствующего правила будет установлен красный крестик (рис. 3.29).

Чтобы установить настройки компьютера в соответствии с настройками из открытой базы данных, необходимо выбрать команду НАСТРОИТЬ КОМПЬЮТЕР…. После этого консоль управления Microsoft также предложит вам указать путь к текстовому файлу, используемому для хранения лога процесса настройки компьютера.

Максимальный срок действия пароля в реестре