Пароли
Администраторы и специалисты служб поддержки тратят много времени на разрешение проблем, связанных с паролями. Пользователи забывают пароли, процедуры смены пароля не работают должным образом, и пользователи недовольны слишком высоким уровнем сложности, который вы требуете для паролей. В конце концов, проблемы паролей и жалобы становятся повседневным фактом работы администраторов.
Большинство администраторов позволяют пользователям создавать их собственные пароли, поэтому имеет смысл распространить инструкции по выполнению этой задачи. Вы можете дать ваше собственное определение хорошего пароля вместе с некоторыми предлагаемыми правилами (вы могли бы назвать их «абсолютными» правилами, но некоторые из них трудно осуществлять).
Наиболее подходит пароль, который никак не ассоциируется с данным пользователем, иначе злоумышленник, который знает этого пользователя, может взломать его пароль. Например, пользователь, на столе которого находится фото его собаки, может использовать ее имя для пароля.
С другой стороны, пароль, никак не ассоциируемый с данным пользователем, может оказаться очень трудным для запоминания. Пользователи решают эту проблему довольно «занятно», приклеивая листочек с паролем к своему монитору или оставляя запись в незапертом столе.
Новые требования к паролям
В Windows Server 2003 включено новое средство, которое проверяет сложность пароля для учетной записи Administrator во время установки операционной системы. Если поле для пароля оставлено пустым или пароль не отвечает требованиям сложности, то появляется диалоговое окно, которое предупреждает, насколько опасно использовать пустой или слабый пароль для учетной записи Administrator.
Что касается паролей, то Windows Server 2003 запрещает доступ к определенным возможностям, если у пользователя нет пароля.
- Если оставить пустым поле пароля учетной записи Administrator (нуль-пароль),то вы не имеете доступа к этой учетной записи через сеть.
- Любому пользователю с пустым паролем запрещается доступ к средствам администрирования remote control (дистанционный доступ). Это означает, что ваш собственный пользовательский вход, который дает вам административные полномочия (если вы, конечно, не используете учетную запись Administrator), не позволяет вам выполнять административные задачи через сеть, если соответствующая учетная запись имеет пустой пароль.
Сильные пароли
Сильный пароль должен содержать буквы, числа и специальные символы (, . ; : * % & !) или хотя бы две из этих трех категорий. Но многим пользователям трудно запоминать такие пароли, и я уверен, что ваши службы поддержки могут подтвердить этот факт. Одно из предложений — это слияние прилагательных и существительных в одно слово, например, sillyrug или smartsink.Еще эффективнее использовать эту схему, если вы помещаете число или специальный символ между прилагательным и существительным.
Программы взлома паролей все более усложняются, и слабые пароли становятся «жертвами» этих программ за доли секунд. Конечно, при достаточном количестве времени автоматизированные методы, используемые программами взлома паролей, могут взломать любой пароль. Однако сильные пароли обеспечивают более мощную защиту от злоумышленников.
Вы можете обеспечить использование сильных паролей с помощью групповой политики (см. следующий раздел).
Внимание. Пароли Windows Server 2003 могут содержать до 127 символов, но компьютеры Windows 9x, не могут работать с паролями, длина которых больше 14 символов. Не назначайте длинные пароли пользователям этих компьютеров или перемещающимся пользователям, которые могут, в частности, выполнять вход с компьютеров Windows 9x.
Политики доменных паролей
Вы можете не только вырабатывать для своих пользователей правила и предложения, повышающие уровень безопасности, но также можете использовать дополнительные правила в форме политик Windows Server 2003, которые описываются в этом разделе.
Вам следует тщательно проверить и обдумать имеющиеся политики паролей в Windows Server 2003, поскольку ваши пользователи (и, тем самым, ваш отдел ИТ) будут постоянно подчиняться этим правилам.
Политики паролей доступны только для домена, а не для OU. Конфигурируйте политики паролей для домена в редакторе групповых политик Group Policy Editor на уровне Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy.
Независимо от доменных политик, которые вы вводите в действие, настройки паролей, которые вы задаете для отдельных пользователей во вкладке Account диалогового окна Properties пользователя, переопределяют действие доменных политик. Это упрощает создание новых пользователей, поскольку вы можете при этом ввести любой пароль — независимо от правил, налагаемых вашими политиками. Затем, когда пользователь изменяет свой пароль, начинают действовать политики. Конечно, это означает, вы должны при этом всегда устанавливать флажок User must change password at next logon, чтобы устанавливалось соответствие с вашими настройками безопасности.
Это также означает, что вы можете исключать определенных пользователей из политик паролей, вводя пароль, который не соответствует настройкам вашей политики и устанавливая флажок Password never expires (Срок действия пароля не ограничен).
Эта политика позволяет вам задавать количество уникальных новых паролей, которые должен задать пользователь, прежде чем он сможет повторно применить использовавшийся ранее пароль. По умолчанию эта политика определена и требует ввода трех новых паролей, прежде чем повторно использовать старый пароль. Допускается значение от 0 до 24 уникальных паролей. Эта политика позволяет администраторам повышать уровень безопасности за счет того, что старые пароли не будут использоваться непрерывно. Если пароль должен изменяться, то некоторые пользователи все время чередуют пароль A и пароль B. Если один из этих паролей распознан (или украден), то при следующем переходе пользователя на этот пароль злоумышленник сможет выполнить вход. Требование ввода нескольких уникальных паролей, прежде можно будет повторить ранее использовавшийся пароль, снижает вероятность того, что злоумышленник сможет выполнить вход под именем этого пользователя.
Эта политика определяет количество дней использования пароля, после которых пользователь должен будет изменить его. Допускаются значения от 1 до 999. Значение по умолчанию — 0, и оно означает, что срок действия паролей не ограничен. Если вы задаете любое значение, отличное от 0, то оно должно быть больше, чем значение минимального срока действия паролей (см. следующий раздел). Но если вы оставили максимальный срок действия равным 0, то минимальный срок действия должен быть значением от 0 до 998 дней.
Эта политика определяет количество дней, в течение которых должен использоваться пароль, прежде чем пользователь сможет изменить его. Вы можете задать любое значение от 1 до 998 или оставить значение по умолчанию 0, если хотите разрешить изменения по желанию пользователя. Проследите, чтобы это значение было меньше максимального срока действия паролей (если значение максимального срока не задано равным 0).
Совет. Обязательно задайте минимальный срок действия паролей отличным от 0, если вы включаете политику Enforce password history. Без минимального срока действия паролей пользователи могут прокручивать пароли каждый день, стремясь вернуться к своим излюбленным старым паролям, что лишает смысла то, чего вы пытаетесь добиться с помощью политики журнала паролей.
Эта политика определяет минимальное количество символов, которое может иметь пароль. Вы можете задать значение от 1 до 14 символов. Если оставить значение по умолчанию, равное 0, то вы фактически сообщаете пользователям, что можно не указывать пароли, поскольку без минимальной длины разрешается пустой пароль (их также часто называют нуль-паролями).
Именно здесь вы повышаете уровень безопасности паролей. Включение этой политики означает, что вы налагаете требование сильных паролей. Все пароли должны отвечать следующим требованиям.
- Он не может содержать частично (или полностью) имя из учетной записи пользователя.
- Он должен содержать не менее шести символов.
- Он должен содержать символы, по крайней мере, из трех категорий среди следующих четырех категорий:
- английские прописные буквы (от A до Z);
- английские строчные буквы (от a до z);
- цифры от 0 до 9;
- неалфавитные символы (например, !, $, #, %).
Блокировки по неверным паролям
Включение какой-либо политики блокировки означает, что пользовательская учетная запись блокируется от сети, если неверный пароль введен определенное число раз за определенный период. Это, возможно, поможет вам воспрепятствовать доступу к вашей сети хакеров, которые пытаются «угадать» какой-либо пользовательский пароль.
Но прежде чем прибегнуть к этому средству безопасности, учтите, какую цену вы платите, когда блокированный пользователь оказывается сотрудником, который забыл свой пароль или плохо работает с клавиатурой. Этот сценарий наиболее часто вызывает блокировку. Если активизирована политика блокировки, то у вас есть два способа на тот случай, когда блокирован допустимый пользователь.
- Пусть этот пользователь подождет, пока не пройдет заданный промежуток времени, после чего блокировка будет снята. Это нежелательно, поскольку за это время пользователь ничего не сделает для компании. Кроме того, если пользователь не может вспомнить пароль, то последующие попытки, видимо, тоже не дадут результата.
- Прекратить то, что вы делаете, и выполнить шаги, необходимые для снятия блокировки вручную. Это нелегкая задача.
Вы можете активизировать и конфигурировать блокировки для домена, OU или локального компьютера.
Чтобы активизировать и сконфигурировать блокировки для домена или организационной единицы (OU), откройте редактор групповых политик (GPE) и раскройте дерево консоли до уровня Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policy. В правой панели сконфигурируйте политики, которые описаны в этом разделе. Вы можете конфигурировать эти политики в любом порядке, и как только вы сконфигурировали одну политику, система автоматически задает две другие политики, используя подходящие для этого опции. Вы можете изменить автоматические настройки, открыв нужную политику и задав свои собственные значения.
Account Lockout Duration (Длительность блокировки учетной записи).Количество минут, в течение которых учетная запись остается блокированной, прежде чем произойдет ее автоматическое разблокирование. Допустимый диапазон автоматического разблокирования — от 1 минуты до 99999 минут. Включите эту политику и задайте длительность, равную 0, чтобы указать, что учетная запись должна разблокироваться вручную администратором.
Account Lockout Threshold (Предельное число попыток перед блокировкой учетной записи).Это количество неудачных попыток входа, после которых происходит блокировка учетной записи. Допустимые значения — от 1 до 999.Если задать значение 0, то учетная запись никогда не будет блокироваться. Ввод неверного пароля на рабочих станциях или рядовых серверах, который был сброшен с помощью комбинации CTRL-ALT-DELETE или путем запуска защищенной паролем заставки (screen saver), тоже засчитывается как неудачная попытка входа.
Reset Account Lockout Counter After (Сброс счетчика попыток через).Это длительность интервала в минутах, который должен пройти после неудачной попытки входа, чтобы произошел сброс (установка в 0) счетчика неудачных попыток входа. Задайте значение от 1 минуты до 99999 минут. Максимальное значение счетчика должно быть не больше значения для Account Lockout Duration.
Чтобы активизировать и сконфигурировать блокировки для компьютера (рабочей станции или рядового сервера), откройте оснастку Local Security Policy (Локальная политика безопасности) из меню Administrative Tools. В дереве консоли раскройте объекты до уровня Account Policies\Account Lockout Policy. В правой панели сконфигурируйте настройки, как это описано в предыдущем разделе.
Если пользовательская учетная запись блокирована, то Windows Server 2003 выводит следующее сообщение: «Unable to log you on because your account has been locked out, please contact your administrator» (Вы не можете выполнить вход, потому что ваша учетная запись была блокирована, пожалуйста, обратитесь к своему администратору).
После обращения этого пользователя (который может быть смущен или зол в зависимости от его характера) вам нужно разблокировать его учетную запись. Но если пользователь забыл свой пароль и собирается продолжить его «угадывание», что вызовет снова блокировку учетной записи, то ее разблокирование не поможет. Поэтому вы должны сбросить этот пароль и предоставить пользователю новый пароль.
Обновление пользовательского пароля.Чтобы выполнить обновление пользовательского пароля, щелкните правой кнопкой на записи этого пользователя в оснастке Active Directory Users and Computers и выберите пункт Reset Password (Обновить пароль). (Для локальной учетной записи используйте оснастку Computer Management (Local).) Введите новый пароль, подтвердите его и щелкните на кнопке OK. Вы можете также установить флажок User must change password at next logon.
Обновление пользовательского пароля имеет некоторые негативные побочные эффекты. Теряется следующая информация пользователя.
- Все файлы, которые шифровал этот пользователь.
- Пароли интернет, которые сохраняются на локальном компьютере.
- Сообщения электронной почты, которые шифруются открытым ключом этого пользователя.
Для учетных записей локального компьютера вы можете создать и использовать диск обновления пароля, который позволяет не терять информацию пользователя. См. следующий раздел «Диск обновления пароля».
Разблокирование блокированной учетной записи.Чтобы разблокировать блокированную учетную запись, дважды щелкните на записи этого пользователя в оснастке Active Directory Users and Computers и перейдите во вкладку Account. (Для локальной учетной записи используйте оснастку Computer Management (Local).) Рядом с надписью The account is locked out (Учетная запись блокирована) будет установлен флажок. Щелкните на этом флажке, чтобы сбросить его, и щелкните на кнопке OK.
- Forums
- Windows Hosting
- How To Change Minimum Password Length In Windows 2003 Server
This Page Contains information about How To Change Minimum Password Length In Windows 2003 Server By Webune in category Windows Hosting with 13 Replies. [1494], Last Updated: Mon Jun 24, 2024
Webune
Fri Aug 29, 2008
13 Comments
1747 Visits
to specify a minimum legnth for passwords in windows server 2003, modify the local security policy and change the minimum pass word legnth option. to change the setting or properties, follow these steps:
1. go to: start > administrative tools > Local Security Policy or Domain Security Policy > Account Policy > Minimum password length then you will see a window like this.
2. make the changes and click ok
that’s it. hope this tutorial helps you
When using certificates on Windows Server 2003, the length of the certificate’s password is restricted to at most 31 characters. This can cause issues when using certificates created in other operating systems.
For example, if a certificate is created in Windows 7 that has a password of 32 or more characters in length, Windows Server 2003 will be unable to open this certificate. Attempting to use it will return the error:
Cannot open certificate store: The specified network password is not correct. (56)
In order to prevent this issue from occurring you must ensure that certificate passwords do not exceed 31 characters in length.
We appreciate your feedback. If you have any questions, comments, or suggestions about this article please
contact our support team at support@nsoftware.com.
Maximum password age
Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2
Maximum password age
Description
This security setting determines the period of time (in days) that a password can be used before the system requires the user to change it. You can set passwords to expire after a number of days between 1 and 999, or you can specify that passwords never expire by setting the number of days to 0. If the maximum password age is between 1 and 999 days, the Minimum password age must be less than the maximum password age. If the maximum password age is set to 0, the minimum password age can be any value between 0 and 998 days.
Minimum password age
Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2
Minimum password age
Description
This security setting determines the period of time (in days) that a password must be used before the user can change it. You can set a value between 1 and 998 days, or you can allow changes immediately by setting the number of days to 0.
The minimum password age must be less than the Maximum password age, unless the maximum password age is set to 0, indicating that passwords will never expire. If the maximum password age is set to 0, the minimum password age can be set to any value between 0 and 998.
Configure the minimum password age to be more than 0 if you want Enforce password history to be effective. Without a minimum password age, users can cycle through passwords repeatedly until they get to an old favorite. The default setting does not follow this recommendation, so that an administrator can specify a password for a user and then require the user to change the administrator-defined password when the user logs on. If the password history is set to 0, the user does not have to choose a new password. For this reason, Enforce password history is set to 1 by default.
Default:
• 1 on domain controllers.
• 0 on stand-alone servers
source: http://technet.microsoft.com/en-us/library/cc779758(WS.10).aspx
NOTE: keep in mind that Maximum Password
age does not apply to users whose account properties are configured with “password never expires”
This entry was posted on October 13, 2009 at 4:38 am and is filed under Uncategorized. You can follow any responses to this entry through the RSS 2.0 feed.
You can leave a response, or trackback from your own site.
I’ve for long been an advocate of using long passwords, using entire phrases/sentences instead of a single more complex but short password.
Some Windows Server 2003 documentation states the maximum password length is 28 characters (e.g. Enforcing Strong Password Usage Throughout Your Organization says “Although Windows 2000, Windows XP, and Windows Server 2003 support passwords up to 28 characters, … “). The Change Password dialog box that users normally use (the one that shows up when you choose Change Password after hitting CTRL-ALT-DEL) lets you enter only 26 characters. Using AD Users & Computers, you can reset it to 32 characters.
Adding to the confusion, the help text for the Reset Password dialog box states that it provides space to type a password up to 127 characters (which it doesn’t, as we’ve seen in the above screenshot – it’s limited to 32 characters).
What’s the real maximum?
The Answer: The ResetPassword dialog box does provide a space for up to 127 characters. However, the way the edit box controls work (in the above Reset Password dialog box), when you continue to enter characters past the 32-character width of the control, it does not scroll characters to the left, but continues to accept the longer password. This can be observed when you delete the long password – it deletes the 32 visible characters (though it doesn’t visibly display the scrolling effect, it has indeed scrolled), then scrolls to the left to display the remaining characters in the 32-character window. Here’s a Flash demo that shows that. 
In the above demo, when the password being entered reaches the visible limit of the edit box, you feel it’s not taking the rest of the password. Wait a few seconds till the password is being deleted.
The Change Password dialog box behaves similarly.
Tags
Security Windows