Da bi osigurao visoku razinu sigurnosti za račune u domeni Active Directory, administrator mora konfigurirati i implementirati politiku lozinke koja pruža dovoljnu složenost, duljinu lozinke i učestalost promjena lozinke za korisnike i servisne račune. Stoga je napadaču moguće komplicirati mogućnost odabira ili presretanja korisničkih lozinki.
U AD domeni su zadani jedinstveni zahtjevi za korisničke lozinke pomoću grupnih pravila. Politika lozinke domena računa konfigurirana je u pravilima Zadana pravila domene.
- Za konfiguriranje pravila za lozinku otvorite konzolu za upravljanje GPO domenom (Konzola za upravljanje politikama grupe - gpmc.msc).
- Proširite svoju domenu i pronađite pravila Zadana pravila domene. Kliknite desnom tipkom miša na nju i odaberite Uređivanje.
- Pravila o zaporkama nalaze se u sljedećem odjeljku uređivača GPO-a: Konfiguracija računala -> Konfiguracija sustava Windows -> Sigurnosne postavke -> Pravila računa -> Politika lozinke (Konfiguracija računala-> Postavke sustava Windows>> Postavke sigurnosti -> Pravila računa -> Politika lozinke).
- Da biste uredili postavke željenog pravila, dvokliknite ih. Da biste omogućili pravilo, potvrdite okvir. Definirajte ove postavke pravila i odredite potrebnu postavku (u primjeru na snimci zaslona postavio sam minimalnu duljinu korisničke lozinke na 8 znakova). Spremite promjene.
- Nove postavke pravila zaporke primijenit će se na sva računala domene u pozadini neko vrijeme (90 minuta), kada se računalo pokrene ili možete odmah primijeniti postavke pokretanjem naredbe gpupdate / force..
Sada razmotrite sve postavke upravljanja zaporkama koje su dostupne za konfiguraciju. Ukupno ima šest pravila o zaporkama:
- Čuvanje dnevnika lozinke (Uveri povijest povijesti lozinki) - određuje broj starih zaporki koje se pohranjuju u AD, sprječavajući korisnika da ponovno koristi staru lozinku.
- Maksimalna dob zaporke - određuje rok važenja lozinke u danima. Nakon tog razdoblja sustav će zahtijevati da korisnik promijeni lozinku. Korisnicima omogućuje redovite promjene lozinke.
- Minimalna dob zaporke - koliko često korisnici mogu mijenjati zaporku. Ovaj parametar neće dopustiti korisniku nekoliko puta zaredom promjenu zaporke kako bi se vratio na omiljenu staru lozinku prepisujući lozinke u dnevnik povijesti lozinki. U pravilu vrijedi ostaviti jedan dan ovdje kako bi korisniku omogućio da sam promijeni lozinku u slučaju da je ugrožena (u protivnom administrator će morati promijeniti lozinku).
- Minimalna duljina lozinke - Ne preporučuje se lozinka kraća od 8 znakova (ako ovdje navedete 0, lozinka nije potrebna).
- Lozinka mora zadovoljiti zahtjeve za složenost - kada je ovo pravilo omogućeno, korisniku je zabranjeno koristiti ime svog računa u zaporci (ne više od dva znaka u nizu iz korisničkog imena ili imena), a lozinka također mora koristiti 3 vrste znakova sa sljedećeg popisa: brojevi (0 - 9), velika slova, mala slova, posebni znakovi ($, #,%, itd.). Pored toga, da biste isključili upotrebu jednostavnih zaporki (iz rječnika popularnih lozinki), preporučuje se povremena revizija lozinki računa domene.
- Pohranite lozinke pomoću reverzibilne enkripcije - korisničke lozinke u bazi podataka AD pohranjuju se u šifriranom obliku, ali u nekim slučajevima neki programi trebaju omogućiti pristup lozinkama u domeni. Kada omogućite ovo pravilo, lozinke se pohranjuju u manje sigurnom obliku (u osnovi otvorenom), koji nije siguran (možete pristupiti bazi podataka lozinki kada je DC ugrožen, možete koristiti RODC kao jednu od mjera zaštite).
Uz to morate zasebno označiti postavke u odjeljku GPO: Pravila lozinke za blokiranje računa:
- Prag za blokiranje računa - koliko pokušaja unosa pogrešne zaporke korisnik može napraviti prije nego što mu se račun blokira.
- Trajanje blokiranja računa - koliko vremena je potrebno za blokiranje računa (blokiranje pristupa) ako je korisnik nekoliko puta upisao pogrešnu lozinku.
- Vrijeme do resetiranja brojača zaključavanja računa nakon - koliko minuta nakon unosa zadnje pogrešne zaporke, brojač praga za blokiranje računa bit će resetiran. Ako se računi blokiraju prečesto, možete pronaći izvor zaključavanja tako.
U tablici su navedene zadane postavke pravila zaporke za domenu AD:
| politika | Zadana vrijednost |
| Utvrdite povijest lozinki | 24 lozinke |
| Maksimalna dob zaporke | 42 dana |
| Minimalna dob zaporke | 1 dan |
| Minimalna duljina lozinke | 7 |
| Lozinka mora zadovoljiti zahtjeve za složenost | uključen |
| Pohranite lozinke pomoću reverzibilne enkripcije | onesposobljen |
| Trajanje zaključavanja računa | Nije definirano |
| Prag blokiranja računa | 0 |
| Poništi brojač zaključavanja računa nakon | Nije definirano |
U domeni koja je primijenjena na korijen domene može postojati samo jedno takvo pravilo lozinke (postoje, naravno, nijanse, ali o njima je više). Ako primijenite politiku lozinke na OU, njezine će se postavke zanemariti. Kontrolor domene, vlasnik uloge FSMO PDC Emulator, odgovoran je za upravljanje pravilima zaporke domene. Pravilo se odnosi na računala domene, a ne na korisnike. Za uređivanje zadanih postavki politike domena morate imati prava administratora domene.
Postavke pravila za upravljanje lozinkom odnose se na sve korisnike i računala u domeni. Ako trebate izraditi odvojena pravila za lozinku za različite korisničke grupe, trebate koristiti zasebnu funkcionalnost finih-zrnatih lozinki koja se pojavila u AD Windows Server 2008. Granularna pravila o lozinkama omogućuju vam, na primjer, da odredite povećanu duljinu ili složenost lozinki za administracijske račune. (pogledajte članak o zaštiti administrativnih računa u AD-u) ili obrnuto, pojednostavite (onemogućite) lozinku za neke račune.
U radnoj grupi pravila o zaporkama morat ćete se konfigurirati na svakom računalu zasebno pomoću lokalnog uređivača GPO - gpedit.msc ili možete prenijeti postavke lokalnih GPO-a između računala poput ovog.
