Практическая работа день 3
Тема: «Настройка локальной политики безопасности»
Цель:
научиться настраивать политику учетных записей
научиться настраивать дополнительные параметры безопасности.
Теоретическая часть
Настройка политики учетных записей
Настройка политики паролей
Политика паролей позволяет повысить безопасность системы путем упорядочения процесса создания и обновления паролей. Вы можете задать периодичность изменения пароля. Смена пароля снижает вероятность несанкционированного доступа к системе. Даже если злоумышленник узнает имя и пароль учетной записи пользователя, после очередной обязательной смены пароля он не сможет войти в систему.
Кроме этого можно задать минимальную длину пароля. Чем длиннее пароль, тем сложнее его подобрать. Еще один метод — ведение истории паролей. Если его применить, пользователь не сможет завести себе два пароля и вводить их попеременно.
Для настройки политики паролей на компьютере с Windows служат оснастки Group Policy (Групповая политика) и Local Security Policy (Локальная политика безопасности). Для настройки политики паролей в консоли Групповые политики необходимо:
Создать в ММС (Microsoft Management Console) дополнительную оснастку Group Policy.
Последовательно развернуть папки Local Computer Policy (Локальная
политика безопасности), Computer Configuration (Управление компьютером), Windows Settings (Параметры Windows), Security Settings (Параметры безопасности), Account Policies (Политики учетных записей), а затем щелкнуть Password Policy (Политика паролей).
Выбрать параметры, которые необходимо задать, и затем в меню
Action (Действие) щелкнуть Security (Безопасность).
В правой области окна показаны текущие значения параметров политики паролей.
Таблица 14- Параметры политики паролей
| Параметр | Описание |
| Enforce Password History (Включить ведение истории паролей) | Задает число паролей, хранимых в истории, и принимает значения в диапазоне от 0 до 24. Значение 0 (по умолчанию) указывает, что ведение истории паролей отключено. Значения, отличные от 0, указывают, сколько новых паролей должен выбрать пользователь, прежде чем повторно использовать старый. |
| Maximum Password Age (Максимальный срок Действия пароля) | Указывает, сколько дней можно пользоваться паролем, не меняя его. Значение этого параметра по умолчанию — 42, а диапазон допустимых значений — от 0 до 999. 0 указывает, что пароль менять не обязательно. |
| Minimum Password Age (Минимальный срок Действия пароля) | Указывает, сколько дней пользователь может вводить пароль, прежде чем получит право снова его сменить. Это нужно для того, чтобы после обновления пароля пользователь не мог тут же заменить его старым. Диапазон допустимых значений — от 0 до 999. Значение 0 (по умолчанию) указывает, что пароль можно сменить немедленно. Если история паролей не ведется, задавать значение 0 нельзя. Минимальный срок действия пароля должен быть меньше максимального срока действия. |
| Minimum Password Length (Минимальная длина пароля) | Задает минимальное количество знаков в пароле.Допустимые значения — от 0 до 14 включительно.Значение 0 (по умолчанию) указывает, что пароль не требуется. |
| Passwords Must Meet Complexity Requirements (Пароли должны отвечать требованиям сложности) | Принимает одно из двух значений: включен (по умолчанию) или отключен. Если параметр включен, длина пароля должна быть равна или больше минимальной длины, а сам пароль — соответствовать конфигурации истории паролей и состоять из заглавных букв, цифр или знаков пунктуации. Кроме того, пароль не может содержать имен учетной записи и пользователя. |
| Store Password Using Reversible Encryption For All Users In The Domain (Хранить пароли всех пользователей в домене, используя обратимое шифрование | Принимает одно из двух значений: включен или отключен (по умолчанию). Хранение паролей с применением обратимого шифрования для всех пользователей домена позволяет Windows использовать их, например в протоколе CHAP (Challenge Handshake Authentication Protocol), обратимое шифрование) Возможность существует только на компьютерах с Windows Professional, включенных в состав домена. |
Для выбранного параметра откроется диалоговое окно Local Security Policy Setting (Параметры локальной политики безопасности).
Настройка политики блокировки учетных записей
Повысить безопасность системы позволяет также политика блокировки учетных записей, которая закрывает пользователю доступ к учетной записи при наступлении определенных условий.
Эту политику можно настраивать из оснастки Групповая политика, либо в окне Local Security Policy Settings — как при настройке политики паролей.
Таблица 15- Параметры политики блокировки учетных записей
| Параметр | Описание |
| Account Lockout Duration (Продолжительность блокировки учетной записи) | Указывает, сколько минут учетная запись будет блокирована. Если значение равно 0, учетная запись пользователя будет блокирована в течение неопределенного времени, пока администратор не разблокирует ее. Допустимые значения — от 0 до 99999 мин. (максимальной значение, равное 99999 мин., что составляет примерно 69,4 дня). |
| Account Lockout Threshold (Максимальное число неудачных попыток) | Количество неудачных попыток, по достижении которого все дальнейшие попытки будут отклоняться. Значение 0 отключает механизм блокировки, то есть учетная запись никогда не блокируется, независимо от числа неудачных попыток войти в систему. |
| Reset Account Lockout Counter After (Частота сброса счетчика неудачных попыток) | Задает срок (в мин.), по истечении которого сбрасывается счетчик неудачных попыток. Допустимые значения — от 1 до 99999. |
Настройка параметров безопасности
Выключение компьютера, не требующее входа в систему
По умолчанию в Windows Professional, чтобы выключить компьютер пользователю не обязательно входить в систему. Впрочем, параметры регистрации позволяют отменить такое поведение и потребовать, чтобы пользователи вошли в систему перед тем, как выключить компьютер. Получить доступ к параметрам безопасности можно в оснастке Group Policy (Групповая политика), так же как при настройке параметров политики учетных записей. Открыв оснастку Group Policy, последовательно раскройте узлы (Политика локальной безопасности), затем Computer Configuration (Параметры компьютера), Windows Settings (Параметры Windows), Security Settings (Параметры безопасности), Local Policies (Локальные политики), а затем Security Options (Параметры безопасности).
Очистка страничного файла виртуальной памяти при выключении системы.
По умолчанию при выключении системы Windows Professional не очищает страничный файл виртуальной памяти. В некоторых организациях это рассматривается как нарушение правил безопасности, поскольку доступ к данным этого файла могут получить пользователи, не допущенные к ним. Чтобы отключить эту возможность, откройте оснастку Group Policy (Групповая политика), последовательно раскройте узлы Local Computer Policy (Локальная политика безопасности), затем Computer Configuration (Параметры компьютера), Windows Settings (Параметры Windows), Security Settings (Параметры безопасности), Local Policies (Локальная политика), а затем Security Option (Параметры безопасности). Правой кнопкой мыши щелкните Clear Virtual Memory Pagefile When System Shuts Down (Очистка страничного файла виртуальной памяти при завершении работы) и в контекстном меню выберите Security (Безопасность). Этот параметр может быть либо включен, либо отключен.
Регулирование нажатия клавиш CTRL+ALT+DEL для входа в систему
По умолчанию Windows Professional не требует, чтобы пользователи нажимали Ctrl+Alt+Del для входа в систему. Повысить безопасность системы можно, изменив такое поведение. Нажатие Ctrl+Alt+Del — сочетания клавиш, которое распознается только Windows, гарантирует, пароль попадет именно в систему Windows, а не в троянскую программу, которая может перехватить пароль. Изменить поведение системы можно в оснастке Group Policy (Групповая политика). Лучше всего отключить необязательность нажатия Ctrl+Alt+Del, чтобы при входе в систему пользователи всегда нажимали это сочетание клавиш.
Скрытие имени последнего успешно вошедшего в систему пользователя
По умолчанию Windows Professional отображает имя последнего вошедшего в систему пользователя в диалоговом окне Windows Security (Безопасность Windows) или Log On To Windows (Вход в Windows). Это может создать угрозу безопасности, так как имя учетной записи становится доступным постороннему пользователю, при этом несанкционированно проникновение в систему существенно облегчается.
Чтобы включить эту функцию и предотвратить отображение пользователя, в оснастке Group Policy последовательно раскройте узлы (Локальная политика безопасности), затем Computer Configuration (Параметры компьютера), Windows Settings (Параметры Windows), Security Settings (Параметры безопасности), Local Policies (Локальная политика), а затем Security Options (Параметры безопасности). В правой области окна щелкните правой кнопкой Do Not Display Last User Name In Logon Screen (He отображать последнего имени пользователя в диалоге входа) и в контекстном меню выберите Security (Безопасность), а затем отключите эту функцию.
Практическая часть:
Настройте политику учетных записей на компьютере и убедитесь, что: данные параметры вступили в силу.
Настройте минимальную длину пароля, а затем поэкспериментируйте с длиной пароля, чтобы убедиться, что выбранные параметры вступили в силу.
Задание 1: настройка минимальной длины пароля
Войдите в систему под учетной записью Administrator (Администратор)
В консоли ММС создайте дополнительную консоль с оснасткой Group Policy (Групповая политика).
Открыв консоль Group Policy, последовательно щелкните узлы: (Локальная политика безопасности), (Параметры компьютера), Windows Settings (ПараметрыWindows), Security Settings (Параметры безопасности) и (Политики учетных записей).
В дереве консоли щелкните Password Policy (Политика паролей).
В правой панели щелкните правой кнопкой мыши Minimum Password Length (Минимальная длина пароля) и выберите в контекстном меню Security (Безопасность).
В поле Characters (Длина пароля) введите 6 и щелкните ОК.
Закройте окно Local Security Settings (Параметры локальной безопасности).
Задание 2: проверьте, изменилась ли минимальная длина пароля
Нажмите Ctrl+Alt+Delete, а затем в диалоговом окне Windows Security (Безопасность Windows) щелкните Change Password (Изменить пароль).
В поле Old Password (Старый пароль) введите password, а в поля New Password (Новый пароль) и Confirm Password (Подтверждение) введите water.
Информационное окно Change Password (Изменение пароля) сообщит, что новый пароль должен содержать не менее шести символов. Таким образом, параметр Minimum Password Length настроен верно.
Задание 3: Настройте отдельные параметры политики учетных записей, а затем проверьте правильность настройки.
С помощью оснастки Group Policy (Групповая политика) задайте параметры политики учетных записей:
пользователь должен сменить минимум пять паролей, прежде чем повторно применить старый;
после обновления пароля пользователь может его снова сменить не ранее, чем через 24 часа;
пользователь должен менять пароль каждые три недели.
Какие параметры вам понадобились, чтобы выполнить требования этого списка?
Закройте оснастку Group Policy.
Задание 4: убедитесь, что новые параметры политики учетных записей работают
Войдите в систему под именем User4 и паролем User4.
Примечание: Если диалоговое окно Logon Message (Сообщение системы) сообщит об отмене пароля через определенный промежуток времени и предложит сменить пароль, щелкните No (Нет).
Измените пароль на waters. Получилось ли это? Объясните почему? Измените пароль на papers. Получилось ли это? Объясните почему? Закройте все окна и выйдите из системы.
Задание 5: Настройте параметры политики блокировки учетных записей и убедитесь, что изменения вступили в силу.
Войдите в систему под учетной записью Administrator (Администратор).
Раскройте меню Пуск\Программы\Администрирование, а затем щелкните Group Policy (Групповая политика).
В дереве консоли Group Policy последовательно раскройте узлы: (Локальная политика безопасности), (Управление компьютером), Windows Settings (Параметры Windows), Security Settings (Параметры безопасности), а затем Policies (Политики учетных записей). ||
Щелкните Account Lockout Policy (Политика блокировки учетных записей).
Настройте параметры Account Lockout Policy так, чтобы:
учетная запись пользователя блокировалась после четырех неудачных попыток войти в систему;
разблокировать учетную запись мог только администратор.
Выйдите из системы.
Задание 6: проверьте вступление в силу новых параметров политики блокировки учетных записей
Четыре раза попробуйте войти в систему как User4 с паролем papers. Информационное окно сообщит о блокировке учетной записи.
Щелкните ОК и войдите, в систему под учетной записью администратора.
Задание 7: настройте и проверьте параметры безопасности
Войдите в систему по учетной записи Administrator (Администратор).
Раскройте меню Пуск\Программы\Администрирование и щелкните Group Policy (Групповая политика).
В дереве консоли Group Policy по мере необходимости, последовательно раскройте узлы Local Computer Policy\Computer Configuration\Windows Settings\Security Settings (Локальная политика безопасности\ Параметры компьютера\ Параметры Windows\ параметры безопасности),а затем — Account Policies (Политики учетных записей).
Настройте политику безопасности на компьютере так, чтобы пользователи:
должны были входить в систему, чтобы иметь возможность выключить компьютер;
должны были нажимать Ctrl+Alt+Delete для входа в систему;
не смогли увидеть в окне Windows Security имя последнего пользователя.
Выйдите из системы.
Обратите внимание, что теперь для регистрации нужно нажать Ctrl+Alt+Delete.
Нажмите Ctrl+Alt+Delete.
В диалоговом окне Log On To Windows (Вход в Windows) поле User Name (Пользователь) пустое и кнопка Shutdown (Выключить) неактивна. Если вы не видите кнопку Shutdown, щелкните Options (Параметры).
Контрольные вопросы:
Зачем заставлять пользователей менять пароль?
Зачем проверять длину паролей?
Для чего нужна блокировка учетных записей?
Почему желательно требовать, чтобы пользователи нажимали, Ctrl+Alt+Delete перед входом в систему?
Как предотвратить отображение имени последнего пользователя в диалоговых окнах Windows Security (Безопасность Windows) и Log On To Windows (Вход в Windows)?