Иллюстрированный самоучитель по администрированию Windows 2000/2003

Настройка политик учетных записей

Максимальный срок действия паролей

Политика "Максимальный срок действия паролей" определяет, как долго пользователи могут пользоваться паролями перед их обязательной сменой. Целью этой политики является периодически заставлять пользователей менять их пароли. При использовании этой возможности установите значение, которое более всего подходит для вашей сети. Как правило, следует указывать тем меньший срок, чем выше уровень безопасности, и наоборот.

Срок действия пароля по умолчанию составляет 42 дня, но Вы можете присвоить ему любое значение от 0 до 999. Значение 0 означает, что срок действия пароля никогда не истекает. Несмотря на то, что, возможно, Вы хотели бы установить неистекающий срок действия пароля, пользователи должны менять пароль регулярно для поддержания безопасности сети. Если требования к безопасности высоки, подойдут значения 30, 60 или 90 дней. Если безопасность не очень важна, то подойдут значения 120, 150 или 180 дней.

Примечание
Windows 2000 уведомляет пользователей о приближении окончания срока действия пароля. Если до окончания срока действия пароля остается менее 30 дней, то пользователи каждый раз во время входа в систему видят предупреждение о необходимости сменить пароль в течении определенного срока
.

Минимальный срок действия паролей

Политика "Минимальный срок действия паролей" определяет, как долго пользователи должны сохранять свой пароль перед тем, как смогут его сменить. Вы можете использовать это поле, чтобы помешать пользователям обманывать систему паролей путем ввода нового пароля и дальнейшей его замены на старый.

Windows 2000 по умолчанию позволяет пользователям изменять пароли немедленно. Чтобы помешать этому, установите определенный минимальный срок. Приемлемые значения этого параметра находятся в промежутке от трех до семи дней. Таким образом, ваши пользователи будут менее склонны к использованию бывших в употреблении паролей, располагая при этом возможностью при желании поменять их в приемлемый срок.

Минимальная длина пароля

Политика "Минимальная длина пароля" устанавливает минимальное количество символов для пароля. Если Вы не меняли параметры, установленные по умолчанию, Вам придется это сделать очень скоро. По умолчанию разрешены пустые пароли (пароли, в которых нет символов), что определенно не является правильным подходом.

Как правило, из соображений безопасности, Вам понадобятся пароли по меньшей мере из восьми символов. Причиной этому является то, что длинные пароли обычно труднее взломать, чем короткие. Если Вам необходимо обеспечить более серьезную безопасность, установите минимальную длину паролей 14 символов.

Пароль должен отвечать требованиям сложности

Помимо основных политик для управления паролями и учетными записями, Windows 2000 включает средства для создания дополнительных элементов управления паролями. Эти возможности доступны в фильтрах паролей, которые могут быть установлены на контроллер домена. Если Вы установили фильтр пароля, разрешите политику "Пароль должен отвечать требованиям сложности". В этом случае все пароли должны будут соответствовать требованиям безопасности фильтра.

Например, стандартный фильтр Windows NT (PASSFILT.DLL) требует использования безопасных паролей, которые соответствуют следующим рекомендациям:

  • Пароли должны быть не менее шести символов в длину.
  • Пароль не должен содержать имя пользователя, такие как "stevew", или части его полного имени, такие как Steve.
  • Пароли должны использовать три или четыре доступных типа символов: строчные буквы, заглавные буквы, цифры и специальные символы.

Хранить пароли, используя обратимое шифрование

Пароли, хранящиеся в базе данных паролей, зашифрованы. В общем случае, шифрование не может быть снято. Если Вы хотите разрешить отмену шифрования, примените политику "Хранить пароли всех пользователей в домене, используя обратимое шифрование". Пароли будут храниться с использованием обратимого шифрования и смогут быть восстановлены в аварийной ситуации. Случаи с забыванием пароля к таковым не относятся. Любой администратор может изменить пароль пользователя.

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.