Глава 3. Политика домена
Опубликовано 20 апреля 2007 г.
На этой странице
Обзор
Политика домена
Политики учетных записей
Политика паролей
Политика блокировки учетной записи
Политики Kerberos
Параметры безопасности
Заключение
Обзор
В данной главе формирование среды домена используется для демонстрации способов обеспечения безопасности инфраструктуры Microsoft® Windows Server™ 2003 с пакетом обновления 1 (SP1).
В данной главе рассматриваются следующие темы:
параметры безопасности и меры противодействия на доменном уровне;
способы укрепления безопасности домена Windows Server 2003 для сред LC (среда устаревших клиентов), EC (среда корпоративных клиентов) и SSLF (специальная безопасная среда с ограниченной функциональностью), определенных в главе 1 «Введение в руководство по безопасности Windows Server 2003».
Данные сведения обеспечивают основные принципы и представление о процессе, которые можно использовать для развития среды, начиная от среды LC и заканчивая средой SSLF в пределах инфраструктуры домена.
Windows Server 2003 с пакетом обновления 1 (SP1) поставляется со стандартными значениями параметров, которые соответствуют известному состоянию системы с высоким уровнем безопасности. Чтобы обеспечить удобство работы с материалом, в главе рассматриваются только те параметры, значения которых будут отличаться от стандартных. Сведения обо всех параметрах по умолчанию см. в дополнительном руководстве Угрозы и меры противодействия: параметры безопасности в системах Windows Server 2003 и Windows XP, которое можно загрузить по адресу http://go.microsoft.com/fwlink/?LinkId=15159 (на английском языке).
К началу страницы
Политика домена
Параметры безопасности групповой политики можно применять на различных уровнях организации. В базовой среде, которая рассматривается в главе 2 «Механизмы укрепления безопасности Windows Server 2003», групповые политики использовались для применения параметров на трех следующих уровнях инфраструктуры домена:
Уровень домена. Параметры на данном уровне служат для обеспечения общих требований безопасности, таких как политики учетных записей и паролей, которые должны быть реализованы для всех серверов домена.
Базовый уровень. Параметры на данном уровне соответствуют особым требованиям безопасности, общим для всех серверов в инфраструктуре домена.
Уровень, определяемый ролью сервера. Параметры на данном уровне соответствуют требованиям безопасности, определяемым ролью сервера. Например, требования безопасности для сервера инфраструктуры отличаются от требований для серверов со службами Microsoft IIS.
В следующих разделах данной главы подробно рассматривается только политика доменного уровня. Большинство рассматриваемых параметров безопасности связаны с учетными записями пользователей и паролями. При изучении данных параметров и рекомендаций следует учесть, что все параметры применяются ко всем пользователям в пределах домена.
Обзор политики домена
Групповая политика является очень эффективным средством, так как позволяет администратору создавать стандартную конфигурацию компьютера сети. Объекты групповой политики (GPO) представляют собой значительную часть решения для управления параметрами, подходящего для любой организации, так как позволяют администраторам вносить изменения в параметры безопасности одновременно на всех компьютерах в домене или подразделах домена.
Следующие разделы содержат подробные сведения о параметрах безопасности, которые можно использовать для укрепления безопасности операционной системы Windows Server 2003 с пакетом обновления 1 (SP1). Разделы также включают таблицы с описанием параметров и подробное описание способов достижения целей в сфере укрепления безопасности с помощью конкретных параметров. Параметры разделены на несколько категорий, соответствующих порядку их отображения в редакторе конфигураций безопасности Windows Server 2003.
С помощью групповых политик можно одновременно применять следующие типы изменений параметров безопасности:
изменение разрешений для файловой системы;
изменение разрешений для объектов реестра;
изменение параметров в реестре;
изменение назначений прав пользователя;
настройка системных служб;
настройка журналов аудита и событий;
установка политик паролей и учетных записей.
Авторы данного руководства рекомендуют создать новую групповую политику в корне домена для применения политик доменного уровня, которые рассматриваются в данной главе. Это позволит упростить проверку и устранение неполадок новой групповой политики, так как для отката изменений можно просто отключить ее. Однако некоторые приложения, созданные для работы с Active Directory, вносят изменения непосредственно во встроенную стандартную политику домена. При выполнении рекомендаций, содержащихся в данном руководстве, такие приложения не будут получать сведений о новой внедренной групповой политике. Прежде чем развертывать новые корпоративные приложения, их необходимо тщательно проверить. При появлении проблем убедитесь, что приложение не вносило изменений в политики учетных записей, не создавало новых учетных записей пользователей, не изменяло права пользователей и не вносило других изменений в стандартную политику домена или политики локальных компьютеров.
К началу страницы
Политики учетных записей
Политики учетных записей, включающие политику паролей, политику блокировки учетной записи и параметры безопасности политики Kerberos, подходят только для политики домена во всех трех средах, рассматриваемых в настоящем руководстве. Политики паролей обеспечивают установку сложности и расписание изменений для систем с высоким уровнем безопасности. Политика блокировки учетной записи позволяет отслеживать неудачные попытки ввода пароля для входа в систему, чтобы в случае необходимости осуществить блокировку учетной записи. Политики Kerberos используются для учетных записей пользователя домена. Они определяют параметры, связанные с протоколом проверки подлинности Kerberos, такие как время жизни билета и принудительное применение.
К началу страницы
Политика паролей
Сложные пароли при их регулярной смене снижают вероятность успешной атаки на пароль. Параметры политики паролей устанавливают сложность и время жизни паролей. В данном разделе рассматривается каждый параметр политики паролей и их значимость для каждой из трех сред, описываемых в данном руководстве: среды устаревших клиентов, среды корпоративных клиентов и специально безопасной среды с ограниченной функциональностью.
Применение строгих требований к длине и сложности пароля не обязательно означает, что пользователи и администраторы будут использовать надежные пароли. Хотя политика паролей может потребовать от пользователей, чтобы их пароли соответствовали требованиям технической сложности, дополнительная строгая политика безопасности необходима, для того чтобы пользователи создавали пароли, которые трудно взломать. Например, фраза «Доброе утро!» может соответствовать всем требованиям к сложности пароля, но такой пароль не так уж трудно разгадать.
Если злоумышленник знаком с человеком, который создал пароль, он может разгадать его, если в пароле используются слова, имеющие отношение к любимой еде, машине или фильму этого человека. Одним из методов обучения пользователей созданию сложных паролей, который можно использовать в рамках программы по укреплению безопасности организации, — вывешивание плакатов с описанием неудачных паролей в местах общего пользования — возле фонтанчика для питья или копировального аппарата. Необходимо также разработать рекомендации по созданию надежных паролей, которые должны включать следующие советы:
избегайте использования слов из словарей на любом языке, включая слова с типичными и намеренными орфографическими ошибками;
не создавайте новый пароль, просто добавив одну цифру к текущему паролю;
избегайте использования паролей, которые начинаются с цифры или заканчиваются на нее, их легче разгадать, чем пароли, имеющие цифру в середине;
избегайте паролей, которые можно разгадать, просто взглянув на ваш рабочий стол (имен домашних животных, названий спортивных команд и имен родственников);
избегайте слов из лексикона массовой культуры;
старайтесь использовать пароли, которые нужно набирать обеими руками;
старайтесь использовать строчные и прописные буквы, цифры и символы во всех паролях;
старайтесь использовать символ пробела и символы, которые можно ввести только с помощью клавиши ALT.
Этими рекомендациями можно пользоваться для создания паролей всех учетных записей служб в организации.
Параметры политики паролей
В следующей таблице содержатся рекомендуемые параметры политики паролей для всех трех сред, рассматриваемых в данном руководстве. Параметры политики паролей можно настроить в следующем разделе редактора объектов групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\
Политики учетных записей\Политика пароля
Дополнительные сведения о каждом параметре приведены в подразделах, следующих за таблицей.
Таблица 3.1. Рекомендуемые параметры политики паролей
| Требовать неповторяемости паролей |
хранить 24 пароля |
хранить 24 пароля |
хранить 24 пароля |
| Максимальный срок действия пароля |
42 дня |
42 дня |
42 дня |
| Минимальный срок действия пароля |
1 день |
1 день |
1 день |
| Минимальная длина пароля |
8 знаков |
8 знаков |
12 знаков |
| Пароль должен отвечать требованиям сложности |
Включен |
Включен |
Включен |
| Хранить пароль, используя обратимое шифрование |
Отключен |
Отключен |
Отключен |
##### Требовать неповторяемости паролей
Данный параметр политики безопасности определяет количество уникальных новых паролей, которые должны быть использованы для учетной записи пользователя, прежде чем можно будет повторно использовать старый пароль. Для данного параметра может быть задано значение от 1 до 24.
Стандартное значение параметра **Требовать неповторяемости паролей хранимых паролей** в Windows Server 2003 с пакетом обновления 1 (SP1) — максимальное, 24 пароля. Рекомендуется устанавливать данное значение во всех трех средах, так как это помогает избежать постоянного возврата к использованию старого пароля. Самые распространенные типы уязвимости связаны с повторным использованием пароля; маленькое значение данного параметра допускает постоянное использование ограниченного количества паролей. Кроме того, нет сведений о том, что данный способ вызывает проблемы в средах устаревших клиентов.
Чтобы повысить эффективность данного параметра политики, можно настроить параметр **Минимальный срок действия пароля** таким образом, чтобы избежать немедленной смены паролей. Сочетание этих двух способов затрудняет случайный или намеренный возврат к использованию старых паролей.
##### Максимальный срок действия пароля
Данный параметр политики определяет период, в течение которого злоумышленник, взломавший пароль, может пользоваться им для получения доступа к компьютеру в сети до истечения срока действия пароля. Диапазон значений этого параметра политики — от 1 до 999 дней. Параметр **Максимальный срок действия пароля** можно настроить таким образом, чтобы срок действия паролей заканчивался так часто, как это требуется в конкретной среде. Значение параметра по умолчанию — 42 дня.
Регулярная смена пароля позволяет избежать его раскрытия. Большинство паролей можно взломать, если в распоряжении злоумышленника достаточно времени и вычислительных ресурсов. Чем чаще происходит смена паролей, тем меньше времени остается у злоумышленника на взлом пароля. Однако при слишком маленьком значении данного параметра может возрасти количество обращений в службу поддержки.
Рекомендуется сохранять стандартное значение параметра **Максимальный срок действия пароля**, составляющее 42 дня, для всех трех сред, рассматриваемых в данном руководстве. Такая настройка обеспечивает регулярную смену паролей, но при этом пользователю не требуется слишком часто менять пароли. Слишком частая смена паролей может привести к тому, что пользователи будут их забывать. Чтобы обеспечить равновесие между требованиями безопасности и эффективности, можно увеличить значение данного параметра политики в среде устаревших клиентов и в среде корпоративных клиентов.
##### Минимальный срок действия пароля
Данный параметр политики определяет количество дней, в течение которых необходимо использовать пароль, прежде чем пользователь сможет сменить его. Диапазон значений параметра **Минимальный срок действия пароля** составляет 0—999 дней; значение 0 допускает немедленную смену пароля. Значение параметра по умолчанию — 1 день.
Значение параметра **Минимальный срок действия пароля** должно быть меньше значения параметра **Максимальный срок действия пароля**, если для параметра **Максимальный срок действия пароля** не задано значение **0** (означающее, что срок действия пароля не ограничен). Установите для параметра **Минимальный срок действия пароля** значение больше нуля, чтобы обеспечить эффективность параметра **Требовать неповторяемости паролей хранимых паролей**. При отсутствии минимального срока действия пароля пользователи могут менять пароли, пока не вернутся к старому привычному паролю.
Рекомендуется установить стандартное значение параметра **Минимальный срок действия пароля**, равное одному дню, для всех трех сред, рассматриваемых в данном руководстве. Если такое значение данного параметра используется вместе с малым значением параметра **Требовать неповторяемости паролей**, пользователи получат возможность постоянно возвращаться к одному и тому же паролю. Например, если значение параметра **Минимальный срок действия пароля** — 1 день, а параметр **Требовать неповторяемости паролей хранимых паролей** включает два пароля, пользователю потребуется подождать только два дня, прежде чем он сможет вернуться к использованию старого привычного пароля. Однако если значение параметра **Минимальный срок действия пароля** равняется единице, а значение параметра **Требовать неповторяемости паролей хранимых паролей** равняется 24, пользователю потребуется каждый день на протяжении 24-дневного срока менять пароли, чтобы вернуться к старому паролю, а такое поведение маловероятно.
##### Минимальная длина пароля
Данный параметр политики служит для установки минимального числа знаков в пароле. Длинные пароли (больше восьми знаков) обычно более надежны, чем короткие. При использовании параметра **Минимальная длина пароля** пользователи не могут вводить «пустой» пароль, кроме того, создаваемые ими пароли должны содержать заданное количество знаков. Значение этого параметра по умолчанию — 7 знаков.
Авторы руководства рекомендуют установить для параметра **Минимальная длина пароля** значение 8 в средах устаревших клиентов и в средах корпоративных клиентов. Такая длина пароля достаточна для обеспечения определенного уровня безопасности и не создает трудностей при запоминании. Кроме того, такая настройка параметра обеспечивает надежную защиту от распространенных атак методом прямого перебора и атак перебором по словарю.
(При атаке перебором по словарю для получения пароля используются списки слов. При атаке методом прямого перебора используются все возможные пароли или зашифрованные текстовые значения. Вероятность успешной атаки методом прямого перебора зависит от длины пароля, размера возможного набора знаков и вычислительных ресурсов, которыми располагает злоумышленник.)
Авторы руководства рекомендуют в среде специализированной безопасности с ограниченной функциональностью установить для параметра **Минимальная длина пароля** значение 12.
Каждый дополнительный знак в пароле экспоненциально увеличивает его сложность. Например, для пароля из семи знаков количество возможных комбинаций соответствует 267 (или 1 x 107). Для пароля из семи букв различного регистра количество комбинаций — 527. Для пароля из семи букв различного регистра и цифр без знаков пунктуации существует 627 комбинаций. При осуществлении миллиона попыток в секунду взлом такого пароля займет около 40 дней. Количество возможных комбинаций для пароля из восьми знаков — 268 (или 2 x 1011). Хотя данная цифра может показаться невероятно огромной, при осуществлении миллиона попыток в секунду (соответствует возможностям многих программ взлома паролей) перебор всех возможных паролей займет всего 59 часов. Помните, что это время значительно увеличивается при использовании знаков, которые вводятся с помощью клавиши ALT, и других специальных знаков клавиатуры, например «!» или «@».
Пароли хранятся в базе данных диспетчера учетных записей безопасности (SAM) или Active Directory после прохождения одностороннего (необратимого) хэширования. Поэтому единственный известный способ проверки правильности пароля — воспроизвести алгоритм одностороннего хэширования для данного пароля и сравнить полученные результаты. При атаке перебором по словарю для поиска соответствий выполняется шифрование целых словарей. Данный способ прост, но эффективен, и позволяет определить пароли учетных записей, состоящие из простых слов, таких как «пароль» или «гость».
В старых версиях Windows использовался специальный алгоритм хэширования — хэш LAN Manager (LMHash). С помощью данного алгоритма пароль разбивается на блоки из семи или менее знаков и затем для каждого блока подсчитывается отдельное значение хэша. Хотя в операционных системах Windows 2000 Server, Windows XP и Windows Server 2003 используется более современный алгоритм хэширования, допускается подсчет и хранение значений LMHash в целях обеспечения обратной совместимости.
Наличие значений LMHash существенно упрощает жизнь взломщиков паролей. Если пароль содержит семь или менее знаков, вторая половина значения LMHash соответствует определенному значению, которое информирует злоумышленника о том, что пароль содержит менее восьми знаков. Пароли, состоящие из восьми и более знаков, позволяют усилить защиту даже при использовании не слишком эффективного LMHash, так как длинные пароли требуют расшифровки двух частей каждого пароля вместо одной. При параллельной атаке на обе половины LMHash противостоять атаке методом прямого перебора становится практически невозможно, если вторая часть LMHash содержит только один знак. Поэтому наличие всего одного лишнего знака не обеспечивает большого преимущества, если этот знак не является частью набора знаков, вводимых с помощью клавиши ALT.
В связи с этим использование коротких паролей вместо длинных не рекомендуется. Однако если задать для параметра, определяющего минимальную длину пароля, слишком большое значение, увеличится вероятность неверного ввода паролей и последующей блокировки учетных записей, что может привести к росту числа обращений в службу поддержки. Кроме того, слишком длинные пароли могут в итоге привести к снижению безопасности организации, так как пользователи с большей вероятностью будут записывать такие пароли, чтобы не забыть их.
##### Пароль должен отвечать требованиям сложности
Данный параметр политики служит для проверки всех новых паролей при их создании, чтобы гарантировать, что они отвечают требованиям к сложности пароля. Правила политики в Windows Server 2003 нельзя изменить напрямую. Однако можно создать новую версию файла Passfilt.dll для применения другого набора правил. Дополнительные сведения о создании пользовательского файла Passfilt.dll см. в статье MSDN® [Образец фильтра пароля](http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secmgmt/security/sample_password_filter.asp) на веб-узле http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secmgmt/
security/sample\_password\_filter.asp (на английском языке).
Пароль, состоящий из 20 и более знаков, фактически может быть составлен так, что пользователю будет проще запомнить его, чем пароль из 8 знаков. Кроме того, такой пароль более безопасен. Рассмотрим использование пароля из 30 знаков: **№5 на 100% лучше скачет и поет**. Такой пароль (точнее, парольную фразу) пользователю, возможно, будет проще запомнить, чем более короткий пароль, такой как **P@55w0rd**.
В сочетании с параметром **Минимальная длина пароля**, значение которого равняется 8, данный параметр сильно затрудняет осуществление атаки методом прямого перебора. При включении в набор знаков прописных и строчных букв и цифр количество возможных знаков возрастает с 26 до 62. В таком случае количество возможных комбинаций для пароля, состоящего из восьми знаков, составит 2,18 x 1014. При осуществлении миллиона попыток в секунду перебор всех возможных комбинаций займет 6,9 лет.
Поэтому корпорация Майкрософт рекомендует выбрать для параметра **Пароль должен отвечать требованиям сложности** значение **Включено** для всех трех сред, рассматриваемых в данном руководстве.
##### Хранить пароль, используя обратимое шифрование
Данный параметр политики определяет, будет ли использоваться обратимое шифрование для хранения пароля в операционной системе. Он служит для поддержки приложений, использующих протоколы, которые требуют ввода пароля пользователя для проверки подлинности.
Пароли, которые сохраняются с помощью метода обратимого шифрования, проще подобрать, чем пароли, для хранения которых используется необратимое шифрование. Если данный параметр включен, уязвимость среды увеличивается.
Поэтому корпорация Майкрософт рекомендует выбрать для параметра **Хранить пароль, используя обратимое шифрование** значение **Отключено**, если требования приложения не имеют более высокого приоритета по сравнению с защитой сведений о пароле. Кроме того, включение данного параметра политики необходимо для сред, в которых протокол проверки пароля CHAP развертывается посредством удаленного доступа или служб проверки подлинности (IAS), и для сред, в которых для служб IIS используется дайджест-проверка подлинности.
#### Предотвращение смены пароля без необходимости
Хотя описанные в предыдущем разделе параметры политики паролей обеспечивают широкий спектр возможностей, некоторым организациям требуется централизованный контроль над всеми пользователями. В данном разделе описываются способы предотвращения смены паролей пользователями без особой необходимости.
Централизованный контроль над паролями пользователей является основой продуманной схемы безопасности Windows Server 2003. Для того чтобы задать минимальный и максимальный сроки действия пароля, можно использовать групповую политику, как было описано выше, но следует учитывать, что требование частой смены паролей может привести к попыткам обойти настройки параметра журнала паролей со стороны пользователей организации. Слишком большая длина паролей может также привести к увеличению количества обращений в службу поддержки от пользователей, забывших свои пароли.
Пользователи могут изменять пароли в период, определяемый значениями минимального и максимального срока действия пароля. Однако в специальной безопасной среде с ограниченной функциональностью необходимо, чтобы пользователи меняли свои пароли только при поступлении соответствующего запроса операционной системы по истечении **максимального срока действия пароля** (42 дня). Чтобы предотвратить смену пароля (за исключением необходимости), можно отключить вариант «**Смена пароля**» в диалоговом окне «**Безопасность Windows**», которое отображается при нажатии клавиш CTRL+ALT+DELETE. Учтите, что пользователи, уделяющие внимание безопасности, могут попытаться менять пароли чаще необходимого, и им придется обращаться к администратору, чтобы сменить пароль, а это приведет к увеличению расходов на сопровождение.
Можно применить эту настройку для всего домена с помощью групповой политики или внести изменения в реестр, чтобы применить ее для одного или нескольких отдельных пользователей. Более подробные сведения о данной настройке см. в статье базы знаний Майкрософт [Предотвращение смены пароля без необходимости в Windows Server 2003](http://support.microsoft.com/?kbid=324744) по адресу http://support.microsoft.com/?kbid=324744 (на английском языке).
[](#mainsection)[К началу страницы](#mainsection)
### Политика блокировки учетной записи
Политика блокировки учетной записи — это функция обеспечения безопасности операционной системы Windows Server 2003 с пакетом обновления 1 (SP1), которая служит для блокировки учетной записи пользователя после осуществления нескольких неудачных попыток входа в систему за определенный промежуток времени. Количество допустимых попыток и период блокировки зависят от значений, заданных для политики. Windows Server 2003 с пакетом обновления 1 (SP1) отслеживает попытки входа в систему. Программное обеспечение сервера может быть настроено таким образом, чтобы отключать учетные записи после заданного количества неудачных попыток входа в систему в качестве реакции на возможные атаки.
Данные параметры политики позволяют защитить пароли пользователей от злоумышленников, подбирающих пароли, кроме того, они уменьшают вероятность успешных атак на сеть. Однако высока вероятность того, что расходы на сопровождение возрастут при включении политики блокировки учетной записи, так как пользователи, забывшие или несколько раз неправильно указавшие пароль, будут вынуждены обращаться в службу поддержки. Прежде чем включать данный параметр, убедитесь, что организация готова к таким дополнительным расходам. Для многих организаций более эффективным и менее дорогим решением будет автоматическая проверка журналов событий безопасности контроллеров домена и создание административных предупреждений при попытке подбора паролей для учетной записи пользователя. См. главу 2 «Политики доменного уровня» дополнительного руководства [Угрозы и меры противодействия: параметры безопасности в системах Windows Server 2003 и Windows XP](http://go.microsoft.com/fwlink/?linkid=15159), которое можно загрузить по адресу http://go.microsoft.com/fwlink/
?LinkId=15159 (на английском языке), содержащую дополнительное описание данных параметров и их взаимодействия.
#### Параметры политики блокировки учетной записи
В таблице ниже приводятся обобщенные сведения о рекомендуемых параметрах политики блокировки учетной записи. Для настройки этих параметров в групповой политике домена можно воспользоваться следующим разделом редактора объектов групповой политики:
**Конфигурация компьютера\\Конфигурация Windows\\Параметры безопасности\\**
**Политики учетных записей\\Политика блокировки учетной записи**
Дополнительные сведения о каждом параметре приведены в подразделах, следующих за таблицей.
**Таблица 3.2. Параметры политики блокировки учетной записи**
| Блокировка учетной записи на |
30 минут |
30 минут |
15 минут |
| Пороговое значение блокировки |
50 ошибок входа в систему |
50 ошибок входа в систему |
10 ошибок входа в систему |
| Сброс счетчика блокировки через |
30 минут |
30 минут |
15 минут |
##### Блокировка учетной записи на
Данный параметр политики определяет длительность периода блокирования учетной записи, до того как пользователь сможет попытаться повторно войти в систему. Значение задает количество минут, в течение которых заблокированная запись остается недоступной. Если для параметра **Блокировка учетной записи на** установлено значение 0, учетная запись остается заблокированной до тех пор, пока администратор не снимет с нее блокировку. Стандартное значение этого параметра в операционной системе Windows Server 2003 с пакетом обновления 1 (SP1) — **Не определено**.
Хотя установка для параметра **Блокировка учетной записи на** значения, которое не допускает автоматическое снятие блокировки, может показаться разумным, такая настройка может привести к увеличению обращений в службу поддержки по поводу случайно заблокированных учетных записей.
Авторы руководства рекомендуют устанавливать для параметра **Блокировка учетной записи на** значение **30 минут** для сред LC и EC и значение **15 минут** для сред SSLF. Такая настройка позволяет снизить эксплуатационные издержки при атаках типа «отказ в обслуживании» (DoS). При атаке типа «отказ в обслуживании» злоумышленник осуществляет несколько неудачных попыток входа в систему для всех пользователей организации, что приводит к блокировке их учетных записей. Рекомендуемое значение параметра должно предоставлять пользователям возможность повторить вход в систему по истечении достаточного периода времени без необходимости обращаться в службу поддержки. Необходимо сообщить пользователям значение данного параметра.
##### Пороговое значение блокировки
Данный параметр политики определяет количество попыток, которое пользователь может осуществить для входа в систему с определенной учетной записью, прежде чем она будет заблокирована.
Полномочные пользователи могут заблокировать свою учетную запись несколькими способами. Они могут неправильно указать пароль или изменить пароль на одном компьютере при входе в систему с другого компьютера. Компьютер, для которого установлен неправильный пароль, может несколько раз попытаться проверить подлинность пользователя и, так как пароль, используемый для проверки подлинности, неверен, учетная запись пользователя будет в конечном итоге заблокирована. Чтобы избежать случайной блокировки полномочных пользователей, установите для **порогового значения блокировки учетных записей** высокое значение.
В связи с определенными уязвимостями, которые вероятны, если параметр **Пороговое значение блокировки** установлен или не установлен, для каждого из вариантов предусмотрены соответствующие меры по обеспечению безопасности. Организации следует выбрать один из данных вариантов, в зависимости от определенных угроз и рисков, вероятность которых необходимо снизить.
- Чтобы предотвратить блокировку учетных записей, установите для параметра **Пороговое значение блокировки** значение 0.Это позволит снизить количество обращений в службу поддержки, так как пользователи не смогут случайно заблокировать свои учетные записи. Кроме того, это защитит организацию от атак типа «отказ в обслуживании», при которых осуществляется намеренная блокировка учетных записей. Поскольку такое значение параметра не позволяет блокировать атаки методом прямого перебора, его следует использовать, только если выполняются следующие два условия:
- политика паролей требует от всех пользователей создания сложных паролей, состоящих из восьми и более знаков;
- существует надежный механизм аудита, который может оповещать администраторов о серии ошибок входа в систему в среде. Например, механизм аудита должен отслеживать событие безопасности 539 («Ошибка входа. Учетная запись заблокирована во время попытки входа в систему»). Данное сообщение означает, что учетная запись была заблокирована в тот момент, когда было достигнуто пороговое значение попыток входа в систему. Однако событие 539 отображает только блокировку учетной записи, но не неудачную попытку ввода пароля. Поэтому администраторам также следует отслеживать серии неудачных попыток ввода пароля.
- Если данные условия не выполняются, необходимо установить для параметра **Пороговое значение блокировки** достаточно высокое значение, которое позволит пользователям, несколько раз случайно неправильно указавшим пароль, избежать блокировки учетной записи. При этом такое значение должно обеспечивать блокировку учетной записи при атаке методом прямого перебора.
Авторы руководства рекомендуют установить для параметра **Пороговое значение блокировки** значение **50** для сред LC и EC, что позволит обеспечить достаточную безопасность и приемлемую функциональность. Такое значение предотвращает случайную блокировку учетной записи и сокращает количество обращений в службу поддержки, но не защищает от атак типа «отказ в обслуживании», как упоминалось ранее. Однако для среды SSLF рекомендуется выбрать для данного параметра значение **10**.
##### Сброс счетчика блокировки через
Данный параметр безопасности определяет длительность периода, по истечении которого, **пороговое значение блокировки** сбрасывается, и с учетной записи снимается блокировка. Если параметр **Пороговое значение блокировки учетных записей** определен, время сброса не должно превышать значение параметра **Блокировка учетной записи на**.
Параметр **Сброс счетчика блокировки через** взаимосвязан с другими параметрами. Если установить для данного параметра стандартное значение или задать слишком длительный интервал, можно повысить уязвимость среды к атакам типа «отказ в обслуживании», направленным на блокировку учетных записей. Если значение параметра не допускает сброса блокировки учетной записи, администраторы будут вынуждены вручную снимать блокировку всех учетных записей. С другой стороны, если для этого параметра политики задано разумное значение, учетные записи пользователей будут заблокированы в течение установленного времени до автоматической разблокировки всех учетных записей.
Авторы данного руководства рекомендуют установить для параметра **Сброс счетчика блокировки через** значение «30 минут» для сред LC и EC. Такая настройка позволяет определить разумные пределы периода блокировки, который будет приемлем для пользователей и позволит избежать обращений в службу поддержки. Однако для среды SSLF рекомендуется выбрать для данного параметра значение 15 минут.
[](#mainsection)[К началу страницы](#mainsection)
### Политики Kerberos
Политики Kerberos используются для учетных записей пользователя домена. Данные политики определяют параметры, имеющие отношение к протоколу проверки подлинности Kerberos 5, такие как время жизни билета и принудительное применение. Политики Kerberos не входят в локальную политику компьютера. При сокращении времени жизни билетов Kerberos уменьшается и уязвимость к атакам злоумышленников, которые пытаются похитить пароли, чтобы воспользоваться учетными записями подлинных пользователей. Однако необходимость поддерживать эти политики ведет за собой увеличение затрат на проверку подлинности.
Для большинства сред не следует вносить изменения в стандартные значения данных политик. Поскольку параметры политик Kerberos включены в стандартную политику домена и осуществляются с ее помощью, они не включаются в шаблоны безопасности, входящие в настоящее руководстве.
Авторы руководства рекомендуют не вносить изменений в стандартные политики Kerberos. Дополнительные сведения о параметрах данных политик см. в дополнительном руководстве [Угрозы и меры противодействия: параметры безопасности в системах Windows Server 2003 и Windows XP](http://go.microsoft.com/fwlink/?linkid=15159), которое можно загрузить по адресу http://go.microsoft.com/fwlink/?LinkId=15159 (на английском языке).
[](#mainsection)[К началу страницы](#mainsection)
### Параметры безопасности
Три типа политик учетных записей, рассмотренные ранее в данной главе, определяются на уровне домена и осуществляются всеми контроллерами домена в домене. Контроллер домена получает политику учетных записей от объекта GPO стандартной политики домена, даже если к подразделению, которое содержит контроллер домена, применяется другая политика учетных записей.
Существует три параметра безопасности, которые присутствуют во всех политиках учетных записей. Данные параметры следует применять на уровне всего домена, а не для отдельных подразделений. Эти параметры можно настроить в следующем разделе редактора объектов групповой политики:
**Конфигурация компьютера\\Конфигурация Windows\\Параметры безопасности\\**
**Локальные политики\\Параметры безопасности**
#### Параметры безопасности
В таблице ниже приводятся обобщенные сведения о рекомендуемых параметрах безопасности. Дополнительные сведения о каждом параметре приведены в подразделах, следующих за таблицей.
**Таблица 3.3. Параметры безопасности**
| Сервер сети Microsoft: Отключать клиентов по истечении разрешенных часов входа |
Включен |
Включен |
Включен |
| Доступ к сети: Разрешить трансляцию анонимного SID в имя |
Отключен |
Отключен |
Отключен |
| Сетевая безопасность: принудительный вывод из сеанса по истечении допустимых часов работы |
Включен |
Включен |
Включен |
##### Сервер сети Microsoft: Отключать клиентов по истечении разрешенных часов входа
Этот параметр политики определяет, будут ли отключаться пользователи, подключенные к локальному компьютеру, по истечении разрешенного времени входа, заданного для их учетной записи. Данный параметр политики влияет на компонент блока сообщений сервера (SMB). Если этот параметр включен, по истечении разрешенного времени входа клиента сеансы клиента со службой SMB принудительно разрываются. Если этот параметр отключен, по истечении разрешенного времени входа клиента его сеанс сохраняется. При включении данного параметра политики следует также включить параметр **Сетевая безопасность: принудительный вывод из сеанса по истечении допустимых часов работы**.
Если в организации для пользователей заданы допустимые часы работы, может потребоваться включить параметр **Сервер сети Microsoft: отключать клиентов по истечении разрешенных часов входа**. В противном случае пользователи, которые не должны иметь доступ к сетевым ресурсам по истечении допустимых часов работы, могут фактически продолжать пользоваться данными ресурсами с помощью сеанса, установленного во время разрешенных часов.
Авторы данного руководства рекомендуют установить для параметра **Сервер сети Microsoft: отключать клиентов по истечении разрешенных часов входа** значение **Включено** для всех трех сред, рассматриваемых в данном руководстве. Если в организации не практикуется ограничение времени входа в систему, данный параметр не имеет значения.
##### Доступ к сети: Разрешить трансляцию анонимного SID в имя
Данный параметр политики определяет возможность запроса анонимным пользователем идентификатора безопасности (SID) другого пользователя.
Если параметр **Доступ к сети: Разрешить трансляцию анонимного SID в имя** включен на контроллере домена, пользователь, которому известны стандартные атрибуты идентификатора безопасности администратора, может связаться с компьютером, на котором данная политика также включена, и использовать SID для получения сведений об имени администратора. Этот пользователь может затем использовать имя учетной записи для запуска атаки, направленной на подбор паролей.
Поскольку стандартное значение параметра **Доступ к сети: Разрешить трансляцию анонимного SID в имя** на рядовых компьютерах — **Отключено**, они не подвержены связанным с данной настройкой политики угрозам. Однако для контроллеров доменов значение по умолчанию — **Включено**. При отключении данного параметра политики компьютеры с устаревшими версиями операционных систем могут потерять возможность связываться с доменами с Windows Server 2003 с пакетом обновления 1 (SP1). К таким компьютерам относятся:
- серверы служб удаленного доступа с операционной системой Windows NT® 4.0;
- серверы Microsoft SQL Server™ на компьютерах с операционной системой Windows NT 3.x или Windows NT 4.0;
- серверы служб удаленного доступа на компьютерах с операционной системой Windows 2000, размещенных в доменах Windows NT 3.x или Windows NT 4.0.
Авторы данного руководства рекомендуют установить для параметра **Доступ к сети: Разрешить трансляцию анонимного SID в имя** значение **Отключено** для всех трех сред, рассматриваемых в данном руководстве.
##### Сетевая безопасность: принудительный вывод из сеанса по истечении допустимых часов работы
Данный параметр политики определяет, следует ли отключать пользователей, подключенных к локальному компьютеру, по истечении разрешенного времени входа, заданного для их учетной записи. Этот параметр влияет на компонент SMB.
Если параметр **Сетевая безопасность: принудительный вывод из сеанса по истечении допустимых часов работы** включен, по истечении разрешенного времени входа клиента сеансы клиента с сервером SMB принудительно разрываются. Пользователь не сможет войти на компьютер до начала следующего периода запланированного времени доступа. Если этот параметр отключен, по истечении разрешенного времени входа пользователя его сеанс сохраняется. Чтобы данный параметр мог влиять на учетные записи домена, его следует определить в стандартной политике домена.
Авторы данного руководства рекомендуют установить для параметра **Сетевая безопасность: принудительный вывод из сеанса по истечении допустимых часов работы** значение **Включено** для всех трех сред, рассматриваемых в данном руководстве.
[](#mainsection)[К началу страницы](#mainsection)
### Заключение
В данной главе рассматривается необходимость пересмотра всех параметров, имеющих отношение к домену. Для каждого домена можно настроить только один набор политик паролей, блокировки учетной записи и протокола проверки подлинности Kerberos 5. Другие параметры политик протокола и блокировки учетной записи будут влиять только на локальные учетные записи рядовых серверов. Необходимо тщательно спланировать настройку параметров, которые будут применяться ко всем рядовым серверам домена, и убедиться, что эти параметры обеспечивают достаточный уровень безопасности во всей организации.
#### Дополнительные сведения
Следующие веб-узлы содержат дополнительные сведения по темам, имеющим отношение к политике домена для серверов с Windows Server 2003 с пакетом обновления 1 (SP1).
- Сведения о том, как анонимные пользователи могут запросить атрибуты идентификатора безопасности других пользователей, см. в статье [Доступ к сети: Разрешить трансляцию анонимного SID в имя](http://technet.microsoft.com/ru-ru/library/cc728431.aspx) по адресу http://technet2.microsoft.com/WindowsServer/rus/Library/299803be-0e85-4c60-b0b5-1b64486559b31033.mspx (на английском языке).
- Сведения о безопасности сети и о принудительном выводе из сеанса по истечении допустимых часов работы см. в бюллетене [Крот — техническая информация из глубин корпорации Майкрософт №32: перемещение пользователей, общий доступ к принтерам, два основных контроллера домена, выход из системы, повторение](http://www.microsoft.com/technet/archive/community/columns/inside/techan32.mspx) по адресу www.microsoft.com/technet/archive/community/columns/inside/techan32.mspx (на английском языке).
**Загрузить**
[Загрузить руководство по безопасности Windows Server 2003 (на английском языке)](http://go.microsoft.com/fwlink/?linkid=14846)
**Уведомления об обновлении**
[Подпишитесь, чтобы вовремя узнавать об обновлениях и новых выпусках.](http://go.microsoft.com/fwlink/?linkid=54982)
**Обратная связь**
[Присылайте свои комментарии и предложения](mailto:secwish@microsoft.com?subject=windows%20server%202003%20security%20guide)
[](#mainsection)[К началу страницы](#mainsection)