Password must meet complexity requirements


Пароль должен соответствовать требованиям сложности (Windows 10) - Windows security

  • Статья
  • Чтение занимает 4 мин
  • 1 участник

Были ли сведения на этой странице полезными?

Да Нет

Хотите оставить дополнительный отзыв?

Отзывы будут отправляться в корпорацию Майкрософт. Нажав кнопку "Отправить", вы разрешаете использовать свой отзыв для улучшения продуктов и служб Майкрософт. Политика конфиденциальности.

Отправить

В этой статье

Область применения

Описывает наилучшие методы, расположение, значения и соображения безопасности для пароля , которые должны соответствовать требованиям к требованиям безопасности.

Справочные материалы

Параметр политики "Пароли" должен соответствовать требованиям к сложности, определяя, должны ли пароли соответствовать серии рекомендаций по надежных паролей. При включении этот параметр требует паролей для удовлетворения следующих требований:

  1. Пароли не могут содержать значение samAccountName пользователя (имя учетной записи) или полное имя отображения (полное имя). Обе проверки не являются чувствительными к делу.

    Имя samAccountName проверяется в полном объеме только для определения того, является ли он частью пароля. Если samAccountName длиной менее трех символов, эта проверка будет пропущена. Имя displayName разборка для делимитеров: запятые, периоды, тире или дефис, подчеркивающие, пробелы, знаки фунта и вкладки. Если какой-либо из этих делимитеров найден, displayName делится, и все разделы (маркеры) подтверждены, что не будут включены в пароль. Маркеры, которые меньше трех символов, игнорируются, а подстройки маркеров не проверяются. Например, имя "Erin M. Hagens" разделено на три маркера: "Erin", "M" и "Hagens". Поскольку второй маркер имеет длину только одного символа, он игнорируется. Таким образом, этот пользователь не мог иметь пароль, который включал в себя либо "erin" или "hagens" в качестве подстройки в любом месте пароля.

  2. Пароль содержит символы из трех следующих категорий:

    • Верхние буквы европейских языков (A through Z, с диакритическими знаками, греческими и кириллическими знаками)
    • Нижние буквы европейских языков (a through z, sharp-s, с диакритическими знаками, греческими и кириллическими символами)
    • Базовые 10 цифр (от 0 до 9)
    • Не-альфанумерные символы (специальные символы): (~!@#$%^&*_-+='|\{}]:". <>,.? /) Символы валюты, такие как евро или британский фунт, не считаются специальными символами для этого параметра политики.
    • Любой символ Unicode, классифицируемый как алфавитный, но не верхний или нижний шкаф. В эту группу входят символы Юникод из азиатских языков.

Требования по сложности применяются при смене или создании паролей.

Правила, включенные в требования Windows пароля сервера, являются частью Passfilt.dll, и их нельзя изменять напрямую.

Если включено, Passfilt.dll может вызвать дополнительные вызовы службы поддержки для заблокированных учетных записей, так как пользователи используются для паролей, содержащих только символы, которые находятся в алфавите. Но этот параметр политики достаточно либерален, что все пользователи должны привыкнуть к этому.

Дополнительные параметры, которые можно включить в настраиваемый Passfilt.dll, — это использование символов, не включаемые в верхний ряд. Чтобы ввести символы верхнего ряда, удерживайте клавишу SHIFT и нажмите один из ключей на строке номеров клавиатуры (от 1 до 9 и 0).

Возможные значения

  • Enabled
  • Отключено
  • Не определено

Рекомендации

Совет

Последние рекомендации см. в руководстве по паролям.

Набор паролей должен соответствовать требованиям сложности к включенной. Этот параметр политики в сочетании с минимальной длиной пароля 8 гарантирует, что для одного пароля существует не менее 159 238 157 238 528 различных возможностей. Этот параметр делает грубую силовую атаку сложной, но все же не невозможной.

Использование комбинаций ключевых символов ALT может значительно повысить сложность пароля. Однако требование, чтобы все пользователи в организации соблюдали такие строгие требования к паролям, может привести к несчастным пользователям и чрезмерной работы службы поддержки. Рассмотрите возможность реализации требования в организации использовать символы ALT в диапазоне от 0128 до 0159 в составе всех паролей администратора. (Символы ALT за пределами этого диапазона могут представлять стандартные буквы, которые не добавляют больше сложности в пароль.)

Короткие пароли, содержащие только буквы, легко компрометировать с помощью общедоступных средств. Чтобы предотвратить это, пароли должны содержать дополнительные символы и/или соответствовать требованиям сложности.

Местонахождение

Конфигурация компьютера\Windows Параметры\security Параметры\Account Policies\Password Policy

Значения по умолчанию

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.

Тип сервера или объект групповой политики (GPO) Значение по умолчанию
Политика домена по умолчанию Включено
Политика контроллера домена по умолчанию Включено
Параметры по умолчанию отдельного сервера Отключено
Эффективные параметры контроллера домена по умолчанию Включено
Параметры сервера-участника по умолчанию Включено
Эффективные параметры по умолчанию GPO на клиентских компьютерах Отключено

Вопросы безопасности

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.

Уязвимость

Пароли, содержащие только буквы, легко обнаружить с помощью нескольких общедоступных средств.

Противодействие

Настройка паролей должна соответствовать требованиям политики сложности для включения и советовать пользователям использовать различные символы в своих паролях.__

В сочетании с минимальной длиной пароля 8, этот параметр политики гарантирует, что количество различных возможностей для одного пароля настолько велико, что это трудно (но возможно) для грубой атаки силы, чтобы добиться успеха. (Если параметр политики минимальной длины пароля увеличивается, увеличивается и среднее время, необходимое для успешной атаки.)

Возможное влияние

Если конфигурация по умолчанию для сложности паролей сохранена, может возникнуть больше вызовов службы поддержки для заблокированных учетных записей, поскольку пользователи могут не использоваться для паролей, содержащих не алфавитные символы, или у них могут возникнуть проблемы с вводом паролей, содержащих акцентные символы или символы на клавиатурах с различными макетами. Тем не менее, все пользователи должны иметь возможность выполнять требования по сложности с минимальными трудностями.

Если в организации более строгие требования к безопасности, можно создать настраиваемую версию файла Passfilt.dll, которая позволяет использовать произвольно сложные правила прочности паролей. Например, для настраиваемого фильтра паролей может потребоваться использование символов не верхнего ряда. (Символы верхнего ряда — это символы, которые требуют нажатия и удержания ключа SHIFT, а затем нажатия клавиш на строке номеров клавиатуры от 1 до 9 и 0.) Пользовательский фильтр паролей может также выполнять проверку словаря, чтобы убедиться, что предложенный пароль не содержит общих слов словаря или фрагментов.

Использование комбинаций ключевых символов ALT может значительно повысить сложность пароля. Однако такие строгие требования к паролям могут привести к дополнительным запросам на службу поддержки. Кроме того, организация может рассмотреть требование для всех паролей администратора использовать символы ALT в диапазоне 0128-0159. (Символы ALT за пределами этого диапазона могут представлять стандартные буквы, которые не будут усложнять пароль.)

Связанные статьи

Куда делась политика блокировки пользователей? / Хабр

В один прекрасный момент администратор решает убедиться, что политика блокировки пользователей работает на всех контроллерах домена. На контроллере домена запускается rsop.msc и выдаёт администратору ожидаемую картину:


Но на втором сервере администратора подстерегает лёгкий шок:


Стоит сразу отметить, что все сервера находятся в «ou=Domain Controllers» и на них распространяются одинаковые политики. ОС контроллеров: 2008 R2.

Предлагаю сделать из этого маленькую пятничную загадку.

Первая мысль, о том, что каким-то образом не применилась политика, сразу отметается выдачей сводных данных по команде

gpresult /R 

набор применённых политик для всех контроллеров одинаковый.

Окончательно подрывает мораль то, что команда:

gpresult /Z /S ad2 

ничего не упоминает о разделе «Политика блокировки учётной записи». В то же время для первого контроллера

gpresult /Z /S ad1 

перечисляет раздел «Политика блокировки учётной записи» со всеми параметрами.

Проверьте свои контроллеры — быть может Вы удивитесь результату.
Самое интересное, что политика работает! Если попытаться заданное количество раз осуществить не успешный вход через второй контроллер (например с помощью LDAP bind), то пользователь блокируется.

Предлагаю сообществу в комментариях изложить свои версии причин происходящего, а также предложения по методике проверки работоспособности политики блокировки пользователя.

Я же обязуюсь к вечеру в любом случае выложить ответ на этот вопрос.

UPD. Судя по количеству предположений в комментариях и по голосованию за этот пост — тема не интересна и устроить обсуждение с «вытягиванием» нюансов работы AD не удастся. Жаль, быть может и я бы для себя что-нибудь новое открыл.

Раз уж обещал выложу ответ

Существует документ

KB927908

в котором описывается, что на контроллерах домена под управлением 2003-го сервера RSoP не отображает установленных значений части политик, а именно:

Политики в разделе Computer Configuration/Windows Settings/Security Settings/Account Policies/Password Policy:


  • Enforce password history
  • Maximum password age
  • Minimum password age
  • Minimum password length
  • Password must meet complexity requirements
  • Store password using reversible encryption for all users in the domain

Политики в разделе Computer Configuration/Windows Settings/Security Settings/Account Policies/Account Lockout Policy:


  • Account lockout duration
  • Account lockout threshold
  • Reset account lockout counter after

Политика в разделе Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options:


  • Network Security: Force logoff when logon hours expire

на практике я наблюдал описанную проблему и на 2008-м и на 2008 R2 серверах.
Там же указано, что для просмотра действующей политике на контролерах домена без роли эмулятора PDC можно использовать утилиту командной строки:

net accounts /domain 
Особенности применения политик на DC

По-поводу особенностей политики блокировки пользователей стоит также прочесть документ

KB259576

повествующий, что часть настроек на контроллерах домена применяется

только из политик, привязанных к корню домена.

И политика блокировки пользователей входит в этот список.

В чём особая роль PDC эмулятора в применении политик блокировки пользователей?

В первую очередь в том как реализована политика — фактически при определении критериев блокировки пользователя DC берёт параметры из атрибутов объекта домена.


Так вот при применении политики эти значения в атрибутах устанавливает контроллер с ролью эмулятора PDC.

Про это можно почитать

интересный детектив

.

Быть может поэтому RSoP не отображает эту политику на остальных контроллерах — она им не нужна — у них есть параметры в каталоге.

Политика паролей в Active Directory / PSO

Ввод пароля при входе на компьютер, является неотъемлемой составляющей безопасности в домене. Контроль за политикой паролей пользователей (сложность пароля, минимальная длина и т.д.) является одной из важных задач для администраторов. В этой статье я подробно опишу изменение политики паролей с помощью GPO для всех пользователей домена, а так же опишу способ как сделать исключения политик паролей для некоторых пользователей или группы пользователей.

Политика паролей домена конфигурируется объектом GPO- Default Domain Policy, которая применяется для всех компьютеров домена. Для того что бы посмотреть или внести изменения в политику паролей, необходимо запустить оснастку "Управление групповой политикой", найти Default Domain Policy, нажать на ней правой кнопкой мыши и выбрать "Изменить".

Зайти "Конфигурация компьютера"- "Политики"- "Конфигурация Windows"- "Параметры безопасности"- "Политики учетных записей"- "Политика паролей", в правом окне вы увидите параметры пароля, которые применяются в вашем домене.

Политика Краткое пояснение Возможные значения
Вести журнал паролей/ Enforce password history Определяет число новых уникальных паролей  0-24
Максимальный срок действия пароля/ Maximum password age Определяет период времени (в днях), в течении которого можно использовать пароль, пока система не потребует сменить его. 1-999
Минимальная длина пароля / Minimum password lenght Параметр определяет минимальное количество знаков, которое должно содержаться в пароле

0- без пароля

1-14

Минимальный срок действия пароля/ Minimum password age  Параметр определяет период времени (в днях)?в течении которого пользователь должен использовать пароль, прежде чем его можно будет изменить. 0-998
Пароль должен отвечать требованиям сложности / Password must meet complexity requirements

Параметр определяет должен ли пароль отвечать сложности:

-не содержать имени учетной записи

- длина не менее 6 знаков

- содержать заглавные буквы (F, G,R)

- содержать строчные буквы (f,y,x)

- содержать цифры

- содержать спец знаки (#,@,$)

Включена/ Отключена
Хранить пароли, используя обратимое шифрование / Store passwords using reversible encryption Параметр указывает использовать ли операционной системой для хранения паролей обратимое шифрование. Включена/ Отключена

 Для того что бы изменить параметр достаточно нажать на нем и указать значение. Напомню указанные параметры будут применяться на все компьютеры домена.

Трудности возникают, если у вас в домене должны быть исключение, т.е. пользователь или группа пользователей для которых необходимы иные условия политики пароля. Для этих целей необходимо использовать гранулированную политику пароля. Эти политики представляют отдельный класс объектов AD, который поддерживает параметры гранулированной политики паролей: объект параметров политики PSO (Password Settings Object).  Гранулированные политики пароля не реализованы как часть групповой политики и не применяются объектами GPO их можно применить отдельно к пользователю или глобальной группе.

Для того, что бы настроить PSO необходимо запустить adsiedit.msc, для этого нажимаете кнопку "Пуск", в окне "Выполнить", введите "adsiedit.msc" и нажмите кнопку "Enter".

В оснастке "Редактор ADSI" щелкните правой кнопкой мыши Редактор ADSI и выберите команду Подключение к...

Нажмите на кнопку "OK", чтобы выбрать настройки по умолчанию в диалоговом окне "Параметры подключения" или в поле Имя введите полное доменное имя для того домена, в котором требуется создать объект параметров паролей, а затем нажмите кнопку "ОК".

Далее зайдите по пути "DC=<имя_домена>"- "CN=System"- "CN=Password Setings Container".

Щелкните правой кнопкой пункт "CN=Password Setings Container", выберите команду "Создать", а затем пункт "Объект".

 В диалоговом окне Создание объекта в разделе Выберите класс щелкните атрибут msDS-PasswordSettings (выбора как такого у вас не будет, поскольку атрибут будет один), затем нажмите кнопку "Далее".


После этого мастер поможет создать объект настроек для пароля Password Settings Object. Необходимо будет указать значение для каждого из следующих 10 атрибутов. Ниже представлена таблица с кратким описанием и возможными значениями атрибутов.

Имя атрибута Краткое описание Возможные значения
Cn <Имя PSO> Любое допустимое имя Windows
msDS-PasswordSettingsPrecedence Параметр, используемый в качестве стоимости или приоритета для различных политик на тот случай, если для одного пользователя настраивается несколько политик PSO. Чем выше приоритет у настройки пароля PSO, тем меньше значение этого параметра. Больше 0
msDS-PasswordReversibleEncryptionEnabled Статус обратимого шифрования пароля для учетных записей пользователей FALSE / TRUE (рекомендуемое значение – FALSE)
msDS-PasswordHistoryLength Длина журнала пароля для учетных записей пользователей От 0 до 1024
msDS-PasswordComplexityEnabled Состояние сложности паролей учетных записей пользователей FALSE / TRUE (рекомендуемое значение – TRUE)
msDS-MinimumPasswordLength Минимальная длина паролей учетных записей пользователей От 0 до 255
msDS-MinimumPasswordAge Минимальный срок действия паролей учетных записей пользователей От 00:00:00:00 до значения атрибута msDS-MaximumPasswordAge (Например 1:00:00:00 -1 день)
msDS-MaximumPasswordAge Максимальный срок действия паролей учетных записей пользователей
  • От значения атрибута msDS-MinimumPasswordAge до (Никогда)
  • Значение msDS-MaximumPasswordAge не может быть равным 0

(Например 90:00:00:00 - 90 дней)

msDS-LockoutThreshold Количество попыток ввода неверного пароля после которого учетная запись будет заблокирована От 0 до 65535
msDS-LockoutObservationWindow Через это время счетчик количества попыток ввода неверного пароля будет обнулен
  • (Не установлен)
  • (Никогда)
  • От значения атрибута msDS-LockoutObservationWindow до (Никогда)

(Например 0:00:30:00 -30 минут)

 После того как создана PSO, необходимо добавить в него пользователя или группу пользователей, к которым будет применяться указанные настройки пароля. Для этого нажимаем правой кнопкой мыши на PSO и выбираем "Свойства".

В редакторе атрибутов находим и выбираем атрибут msDS-PSOAppliesTo и нажимаем кнопку "Изменить".

В открывшемся окне "Редактор многозначных различаемых имен субъектов безопасности" добавляем пользователей или глобальную группу безопасности, к которым должен применяться объект параметров паролей и нажимаем "Ок".

Теперь можно проверить действительно ли примерилась политика паролей PSO, для этого запустите Active Directory Пользователи и компьютеры, если у вас не включены дополнительные компоненты - включите их (нажмите "Вид" и поставьте галочку напротив Дополнительные компоненты), откройте свойства интересующего вас пользователя или группы, выберите вкладку "Редактор атрибутов", нажмите кнопку "Фильтр" в области Показать атрибуты, доступные только для чтения  поставьте галочку Построенные. После этого найдите атрибут msDS-ResultantPSO в нем должен быть указан созданная вами или результирующая политика паролей Password Settings Object.

Если все указано верно настройку политик паролей PSO можно считать успешно завершенной.

Я очень надеюсь, моя статья помогла Вам! Просьба поделиться ссылкой с друзьями:


ITband.ru » Двухфакторная аутентификация в Службе Каталога Active Directory Domain Services. [2]

Методы защиты при использовании аутентификации по паролю. Для защиты паролей от взлома следует настроить соответствующую политику. Для этого необходимо с помощью меню Start->Administrative Tools-> Group Policy Management запустить консоль управления групповыми политиками GPMC, выбрать требуемый объект групповой политики раздел Computer Configuration->Policies->Security Settings->Account Policies->Password Policy См. Рис. 1 (Управление параметрами паролей).

Рис. 1 Управление параметрами паролей.

Можно задать минимальную длину пароля, что позволит нам избежать коротких паролей (Minimum password length). Для того чтобы, пользователь задавал сложные пароли следует включить требование сложности (Password must meet complexity requirements).

Для обеспечения регулярной смены пароля нужно задать его максимальный срок жизни (Maximum password age).

Для того чтобы, пользователи не повторяли старые пароли, требуется настроить хранение истории паролей (Enforce password history).

Ну и наконец, для того, чтобы пользователь не менял свой пароль на старый путем многократной смены паролей, задать минимальный срок, в течение которого пароль нельзя поменять (Minimum password age).

Для того, защиты от атаки по словарю, настроим блокировку учетной записи при неоднократном неправильном вводе пароля. Для этого необходимо в консоли управления групповыми политиками GPMC выбрать требуемый объект групповой политики раздел Computer Configuration->Policies->Security Settings->Account Policies->Account Lockout Policy . См. Рис. 2 (Управление блокировкой учетной записи пользователя).

Рис. 2 Управление блокировкой учетной записи пользователя.

Для настройки окончательной блокировки учетной записи (до разблокирования ее администратором) следует задать нулевое значение параметру продолжительности блокировки (Account lockout duration).

В счетчике количества неуспешных попыток входа в сеть (Account lockout threshold) нужно указать требуемое значение. В большинстве случаев приемлемым вариантом является 3-5 попыток входа.

Наконец, следует задать интервал сброса счетчика неуспешных попыток (Reset account lockout counter after).

Для защиты от «троянских коней» следует использовать антивирусные средства и блокировку несанкционированного программного обеспечения.

Для ограничения возможностей пользователей по внесению вирусов в информационную систему, оправдано: настройка запрета на работу с внешними устройствами (CD, DVD, Flash), строгий режим работы UAC, использование отдельно стоящих Интернет киосков, на базе компьютеров не входящих в состав рабочей сети. И, наконец, внедрение строгих регламентов работы, определяющих правила работы пользователей в корпоративной сети (запрет передачи своих учетных данных кому бы то ни было, запрет оставлять свои учетные данные в доступных местах, требования обязательной блокировки рабочей станции при оставлении рабочего места, и. т. п.).

В результате, мы сможем добиться уменьшение рисков, связанных с нарушением безопасности компании.

Предположим, все это сделано. Тем не менее, говорить о том, что нам удалось обеспечить безопасную аутентификацию в своей системе, пока преждевременно.

Человеческий фактор – самая большая угроза.

Существуют еще угрозы, справиться с которыми нам не удалось. Одна из наиболее существенных – человеческий фактор. Пользователи наших информационных систем не всегда достаточно сознательны и, несмотря на разъяснения администраторов безопасности, записывают свои учетные данные (имя пользователя и пароль) и не заботятся о секретности этой конфиденциальной информации. Мне не раз доводилось обнаруживать стикеры на мониторе см. Рис. 3, или под клавиатурой см. рис. 4 с именем пользователя и паролем.

Рис. 3. Замечательный подарок злоумышленнику, не так ли?

Рис. 4. Еще один подарок взломщику.

Как мы можем видеть, в системе внедрены длинные и сложные пароли и ассоциативный ряд явно не просматривается. Тем не менее, пользователи нашли «эффективный» способ запоминания и хранения учетных данных…

Таким образом, вы видите, что в этом случае как раз и сработала особенность, о которой я говорил выше: Длинные и сложные пароли записываются, и могут храниться не надлежащим образом.

Инсайдинг

Еще одна существенная угроза безопасности заключается в потенциальной возможности физического доступа злоумышленника к рабочей станции легального пользователя и передача конфиденциальной информации третьим лицам. Т. е. речь идет о ситуации, когда внутри компании существует сотрудник, похищающий информацию у своих коллег.

Вполне очевидно, что «физическую» безопасность рабочей станции пользователя обеспечить очень трудно. В разрыв клавиатуры можно без труда подключить аппаратный клавиатурный шпион (keylogger), перехват сигнала от беспроводных клавиатур тоже возможен. Такие устройства существуют. Разумеется, кто попало не пройдет в офис компании, однако всем известно, что самым опасным является внутренний шпион. У него уже есть физический доступ к вашей системе, и разместить клавиатурный шпион, не составит труда, тем более эти устройства доступны широкому кругу лиц. Кроме того, нельзя сбрасывать со счетов программы – клавиатурные шпионы. Ведь, несмотря на все усилия администраторов, возможность установки такого «шпионского» программного обеспечения не исключена. Всегда ли пользователь блокирует свою рабочую станцию, покидая свое рабочее место? Удается ли администратору информационной системы добиться, чтобы пользователю не назначались избыточные полномочия, особенно при необходимости использования старых программных продуктов? Всегда ли администратор, а особенно в небольшой компании, обладает достаточной квалификацией, чтобы внедрить рекомендации производителей программного и аппаратного обеспечения по построению безопасных информационных систем?

Таким образом, можно сделать вывод о ненадежности парольной аутентификации в принципе. Следовательно, требуется аутентификация многофакторная, при этом такого вида, чтобы пароль пользователя не набирался на клавиатуре.

Что нам может помочь?

Имеет смысл, рассмотреть двухфакторную аутентификацию: 1-ый фактор обладание паролем, 2-ой знание пин кода. Доменный пароль больше не набирается на клавиатуре, значит, не перехватывается клавиатурным шпионом. Перехват доменного пароля чреват возможностью входа, перехват пин кода не так опасен, т. к. дополнительно требуется смарт карта.

На это можно возразить, что пользователь вполне может оставить свою карту в считывателе, а пин написать на стикере, как и раньше. Однако существуют системы контроля, которые могут заблокировать оставленную карту как, это реализовано в банкоматах. Дополнительно существует возможность разместить на карте пропуск для входа/выхода из офиса, т. е. мы можем использовать карточку с RFID меткой, объединив тем самым систему аутентификации в службе каталога с системой разграничения физического доступа. В этом случае для того, чтобы открыть дверь пользователю потребуется его смарт карта или USB токен, так что он будет вынужден ее всегда носить с собой.

Кроме того, современные решения для двухфакторной аутентификации предполагают не только возможность аутентификации в AD или AD DS. Использование смарт карт и USB-ключей помогает и во многих других случаях, например при доступе к публичной электронной почте, в Интернет магазины, где требуется регистрация, к приложениям, имеющим свою собственную службу каталога и. т. д.

Таким образом, можно получить практически универсальное средство аутентификации.

Внедрение двухфакторной аутентификации на основе асимметричной криптографии в AD DS.

Служба каталога Active Directory поддерживает возможность аутентификации с помощью смарт карт, начиная с Windows 2000.

По сути своей, возможность аутентификации с помощью смарт карт заложена в расширении PKINIT (public key initialization – инициализация открытого ключа) для протокола Kerberos RFC 4556. См. [1]. Расширение PKINIT позволяет использовать сертификаты открытого ключа на этапе предаутентификации Kerberos.

Благодаря чему и появляется возможность использования смарт карт. Т. е. мы можем говорить о возможности двухфакторной аутентификации в системах Microsoft на основе штатных средств, начиная с ОС Windows 2000, т. к. уже реализована схема Kerberos + PKINIT.

Примечание. Предаутентификация Kerberos – процесс, обеспечивающий дополнительный уровень безопасности. Выполняется до выдачи TGT (Ticket Granting Ticket) от сервера распространения ключей (KDC). Используется в протоколе Kerberos v. 5 для противодействия оффлайн атакам на угадывание пароля. Подробнее о принципах работы протокола Kerberos можно узнать в RFC 4120. Cм [2]

Разумеется, речь идет о компьютерах в составе домена. Если же есть необходимость прибегнуть к двухфакторной аутентификации при работе в рабочей группе, или при использовании более ранних версий операционных систем, то нам придется обратиться к программному обеспечению третьих фирм, например SafeNet (Aladdin) eToken Network Logon 5.1. См. [3]

Вход в систему может быть обеспечен, как при использовании службы каталога домена, так и локальной службы каталога. При этом пароль пользователя не набирается на клавиатуре, а передается из защищенного хранилища на смарт карте.

Аутентификация с помощью смарт карт реализуется посредством расширения Kerberos PKINIT, это расширение обеспечивает возможность использования асимметричных криптографических алгоритмов.

Что касается требований для внедрения использования смарт карт в связке с PKINIT, то для операционных систем Windows 2000, Windows 2003 Server, они следующие:

· Все контроллеры доменов и все клиентские компьютеры в рамках леса, где осуществляется внедрение нашего решения, обязательно должны доверять корневому Удостоверяющему Центру (Центру Сертификации).

· Удостоверяющий центр, выдающий сертификаты для использования смарт карт, должен быть помещен в хранилище NT Authority

· Сертификат должен содержать идентификаторы Smart Card Logon и Client Authentication

· Сертификат для смарт карт должен содержать UPN пользователя.

· Сертификат и частный ключ должны быть помещены в соответствующие разделы смарт карты, при этом частный ключ должен находиться в защищенной области памяти смарт карты.

· В сертификате должен быть указан путь к списку отзыва сертификатов CRL distribution point

· Все контроллеры доменов должны иметь установленный сертификат Domain Controller Authentication, или Kerberos Authentication, т. к. реализуется процесс взаимной аутентификации клиента и сервера.

Целый ряд изменений в требованиях произошел в операционных системах, начиная с Windows Server 2008:

· Больше не требуется CRL extension в сертификатах smart card logon

· Теперь поддерживается возможность установки взаимосвязи между учетной записью пользователя и сертификатом

· Запись сертификата возможна в любой доступный раздел смарт карты

· Расширение EKU не обязано включать Smart Card Logon OID, при этом справедливости ради надо отметить, что если вы планируете использовать единственный шаблон сертификата для клиентов всех операционных систем, то, разумеется, Smart Card Logon OID должен быть включен.

Несколько слов о самой процедуре входа клиента. Если говорить об операционных системах от Windows Vista и выше, то следует отметить, что и тут произошел ряд изменений:

· Во-первых, процедура входа в систему по смарт карте больше не инициируется автоматически, когда вы вставили смарт карту в карт ридер, или подключили ваш USB -ключ к USB порту, т. е. вам придется нажать Ctrl+Alt+Delete.

· Во-вторых, появившаяся возможность использования любого слота смарт карты для хранения сертификатов предоставляет пользователю выбор из множества идентификационных объектов, хранящихся на карте, при этом необходимый в данный момент сертификат отображается как доступный к использованию.

Выводы

Итак, мы разобрали несколько основных аспектов, касающихся теоретической части двухфакторной аутентификации в Active Directory Domain Services, и можно подвести итоги.

Обеспечение безопасности процесса аутентификации в системе критически важно. Существующие на сегодняшний день виды взломов паролей формируют потребность в мультифакторной аутентификации.

Для небольшой компании можно ограничиться строгой политикой защиты учетных данных, внедрением антивирусного программного обеспечения, лишить пользователей возможности работы с внешними носителями информации блокировать запуск несанкционированного программного обеспечения, внедрить регламенты работы пользователей и. т. п.

Когда речь идет крупной компании, или о компании, в которой есть явная заинтересованность со стороны злоумышленников – этих средств недостаточно. Ошибки и инсайдинг могут свести на нет усилия по построению системы защиты, поэтому надо выбрать другой путь. Здесь уже имеет смысл говорить о внедрении безопасной аутентификации.

Использование двухфакторной аутентификации – хорошее решение с точки зрения безопасности.

У нас появляется второй фактор аутентификации, помимо пин кода, пользователю надо обладать еще и смарт картой, или USB ключом.

Использование смарт карт или USB ключей дает нам возможность обеспечить двухфакторную аутентификацию как в среде AD, так и в AD DS.

В одной из следующих статей я расскажу, как осуществляется внедрение двухфакторной аутентификации на практике. Мы рассмотрим развертывание и настройку инфраструктуры удостоверяющих центров (PKI) на основе Windows Server 2008 Enterprise R2.

Список литературы.

[1] http://www.rfc-archive.org/getrfc.php?rfc=4556

[2] http://www.rfc-archive.org/getrfc.php?rfc=4120

[3] http://www.aladdin.ru/catalog/etoken_products/logon

[4] NCSC-TG-017 – "A Guide to Understanding Identification and Authentication in Trusted Systems," опубликованный U.S. National Computer Security Center.

[5] RFC4120 – The Kerberos Network Authentication Service (V5)

[6] RFC4556 – Public Key Cryptography for Initial Authentication in Kerberos (PKINIT)

[7] Brian Komar Windows Server 2008 PKI and Certificate Security

 

Леонид Шапиро,
MCT, MCSE:S, MCSE:M, MCITP EA, TMS Certified Trainer

Windows — archestra.info

Общие вопросы

Обновление для часовых поясов России от сентября 2014

Отключение требований к сложности пароля

  • Start -> Run -> gpedit.msc
  • Computer Configuration -> Windows Settings -> Security Settings -> Account Policy -> Password must meet complexity requirements -> Disabled

Автологон

  • Автологон Tech Note 781 Configuring Automatic Log On for Windows Server 2008 and Windows 7
  • Tech Note 49 Configuring Automatic Log On for Windows NT/2000

Отключение UAC

см. UAC

Обновление Windows

Список обновлений (под админом):

wmic qfe list brief /format:htable > c:\hotfix.html 

Если в ПК нет ни одной сетевой платы

установите адаптер замыкания на себя http://support.microsoft.com/kb/839013/ru

Сглаживае штифтов

Проблема имеет место быть в версии Intouch 10.5 и решается с помощью HF L00118171. В версию 10.6 HF уже включен, но необходимо добавить ключ в реестр ОС для включения сглаживания:

Please add the following Registry key (type DWORD 32bit) and setting: “EnableFontSmoothing” and set to 1 in: •HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Wonderware\InTouch for 64-bit OS. •HKEY_LOCAL_MACHINE\SOFTWARE\Wonderware\InTouch for 32-bit OS.

Также проверьте включена ли настройка системы: smooth edges of screen fonts- сглаживать неровности экранный шрифтов (Компьютер - свойства - Дополнительные параметры - вкладка Дополнительно - раздел Быстродействие "Параметры" )

Установщик Windows не допускает установку через подключение к удаленному рабочему столу

Проблема: Установщик Windows не допускает установку через подключение к удаленному рабочему столу

или

при попытке change user /install выдается сообщение: Режим установки неприменим к серверу, обслуживающему сеансы подключения к удаленному рабочему столу, который настроен для удаленного управления

  • Решение: Отключить DEP

Встроенные группы безопасности Windows

  • Administrators (Администраторы). Пользователи, входящие в эту группу, имеют полный доступ на управление компьютером и могут при необходимости назначать пользователям права пользователей и разрешения на управление доступом. По умолчанию членом этой группы является учетная запись администратора. Если компьютер подключен к домену, группа «Администраторы домена» автоматически добавляется в группу «Администраторы». Эта группа имеет полный доступ к управлению компьютером, поэтому необходимо проявлять осторожность при добавлении пользователей в данную группу;
  • Backup Operators (Операторы архива). Пользователи, входящие в эту группу, могут архивировать и восстанавливать файлы на компьютере независимо от любых разрешений, которыми защищены эти файлы. Это обусловлено тем, что право выполнения архивации получает приоритет над всеми разрешениями. Члены этой группы не могут изменять параметры безопасности.
  • Cryptographic Operators (Операторы криптографии). Членам этой группы разрешено выполнение операций криптографии.
  • Debugger Users (Группа удаленных помощников). Члены этой группы могут предлагать удаленную помощь пользователям данного компьютера.
  • Distributed COM Users (Пользователи DCOM). Членам этой группы разрешено запускать, активировать и использовать объекты DCOM на компьютере.
  • Event Log Readers (Читатели журнала событий). Членам этой группы разрешается запускать журнал событий Windows.
  • Guests (Гости). Пользователи, входящие в эту группу, получают временный профиль, который создается при входе пользователя в систему и удаляется при выходе из нее. Учетная запись «Гость» (отключенная по умолчанию) также является членом данной встроенной группы.
  • IIS_IUSRS. Это встроенная группа, используемая службами IIS.
  • Network Configuration Operators (Операторы настройки сети). Пользователи, входящие в эту группу, могут изменять параметры TCP/IP, а также обновлять и освобождать адреса TCP/IP. Эта группа не имеет членов по умолчанию.
  • Performance Log Users (Пользователи журналов производительности). Пользователи, входящие в эту группу, могут управлять счетчиками производительности, журналами и оповещениями на локальном или удаленном компьютере, не являясь при этом членами группы «Администраторы».
  • Performance Monitor Users (Пользователи системного монитора). Пользователи, входящие в эту группу, могут наблюдать за счетчиками производительности на локальном или удаленном компьютере, не являясь при этом участниками групп «Администраторы» или «Пользователи журналов производительности».
  • Power Users (Опытные пользователи). По умолчанию, члены этой группы имеют те же права пользователя и разрешения, что и учетные записи обычных пользователей. В предыдущих версиях операционной системы Windows эта группа была создана для того, чтобы назначать пользователям особые административные права и разрешения для выполнения распространенных системных задач. В этой версии операционной системы Windows учетные записи обычных пользователей предусматривают возможность выполнения большинства типовых задач настройки, таких как смена часовых поясов. Для старых приложений, требующих тех же прав опытных пользователей, которые имелись в предыдущих версиях операционной системы Windows, администраторы могут применять шаблон безопасности, который позволяет группе «Опытные пользователи» присваивать эти права и разрешения, как это было в предыдущих версиях операционной системы Windows.
  • Remote Desktop Users (Пользователи удаленного рабочего стола). Пользователи, входящие в эту группу, имеют право удаленного входа на компьютер.
  • Replicator (Репликатор). Эта группа поддерживает функции репликации. Единственный член этой группы должен иметь учетную запись пользователя домена, которая используется для входа в систему службы репликации контроллера домена. Не добавляйте в эту группу учетные записи реальных пользователей.
  • Users (Пользователи). Пользователи, входящие в эту группу, могут выполнять типовые задачи, такие как запуск приложений, использование локальных и сетевых принтеров и блокировку компьютера. Члены этой группы не могут предоставлять общий доступ к папкам или создавать локальные принтеры. По умолчанию членами этой группы являются группы «Пользователи домена», «Проверенные пользователи» и «Интерактивные». Таким образом, любая учетная запись пользователя, созданная в домене, становится членом этой группы.

Дополнительные материалы

Блокировка IP выполняющих перебор паролей к RDP серверам

На RDP сервера выставленные в Интернет, как мухи на лакомство, сразу слетаются переборщики паролей. Расплодились они невероятно и безобидный перебор очень часто превращается в приличный DDoS. Внятные специалисты сейчас же мне скажут, что это не кошерно - сервера в Интернете, ламерство какое-то, если не сказать грубее. Кто же так делает?! Как кричал попугай в одном детском стишке: " Только бездельники, только растяпы!".

И они правы, сделайте VPN и все будет OK.

Но как оказалось, кроме банков, операторов мобильной связи и госучреждений, короче говоря людей больших и состоятельных, на свете существует множество маленьких фирм и фирмочек. Для которых организация и поддержка VPN инфраструктуры - удовольствие неподъемное. Сам факт появления RDP сервера для клиентов - уже событие. А тут еще нужен производительный роутер, нужно организовать поддержку пользователей. Потому как для большинства из них максимально сложное поведение - это щелкнуть на готовом RDP-ярлычке и скопировать пароль. А поставить и настроить VPN клиент...

Итак, небольшая фирма с RDP сервером наружу.

Первый признак работы сканеров - большое количество неудачных событий 4625 (An account failed to log on) в которых указаны различные распространенные имена пользователей.

Тут пора позаботится чтобы пароль действительно не подобрали. Для этого нужен комплекс мер: имена пользователей не должны быть стандартными, пароль должен быть сложным, количество неудачных попыток входа для пользователя должно быть ограничено. Как минимум нужно настроить в групповой локальной или доменной политике следующие параметры:

Computer Configuration\Security Settings\Local Policies\Account Policies\Password Policy

Minimum password length = 9
Password must meet complexity requirements = Enabled

Computer Configuration\Security Settings\Local Policies\Account Policies\Account Lockout Policy

Account lockout threshold = 5
Reset account lockout counter after = 30
Account lockout duration = 30

Так же необходимо выставить параметры безопасности на уровне RDP:

Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security

Require secure RPC communication = Enabled
Require use of specific security layer for remote (RDP) connections = SSL
Require user authentication for remote connections by using Network Level Authentication = Enabled
Set client connection encryption level = High

При таких настройках и нестандартных именах пользователей успешный подбор пароля (или его получение из сетевых пакетов) практически невозможны.

Это хорошо, но не снимает нагрузку на сервер из-за обработки неуспешных аутентификаций. При интенсивном переборе вероятна ситуация в которой вместе с паразитными запросами будут отбрасываться и попытки входа реальных пользователей. Которые будут получать отказы на вход через RDP, несмотря на правильно введенные логин и пароль.

Признаком данной ситуации станут события 5817 "Netlogon has failed an additional 129 authentication requests in the last 30 minutes. The requests timed out before they could be sent to domain controller \\server.ourdomain.local in domain OURDOMAIN."

Первый испробованный "метод защиты" - изменение стандартного RDP-порта 3389 на нестандартный. Настройки находятся в реестре:

KEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber

для применения нужен рестарт сервера.

Как оказалось сканеры успешно обрабатывают данную ситуацию и через день-два новый порт уже вовсю используется.

Вторая попытка была сделана на уровне маршрутизатора, который оказался способен блокировать IP если с них создано некое количество сессий за единицу времени. Не помогло. Оказалось, что переборщики работают в рамках одной сессии кидая в ней пакет за пакетом, а RDP сервер, несмотря на большое количество неуспешных попыток и не собирается ее разрывать.

Явно, нужен некий сетевой экран умеющий делать инспекцию пакетов на уровне приложения. Но такие устройства и их поддержка явно выходят за рамки бюджета маленькой фирмы.

На линуксе существует утилита fail2ban парсящая логи и блокирующая на уровне firewall адреса с которых происходит много неуспешных попыток входа. Попробуем написать что-то подобное под Windows Server используя Powershell.

Определим переменные:

# количество неуспешных попыток за единицу времени при которых IP блокируется
# с единицей времени определимся ниже
$ban_treshold = 5

# продолжительность блокировки в часах
$ban_duration = 24

# инициализируем массивы в которых будут добавляться IP для блокировки
$ip2ban = @()
$ip2ban_str = @()

В нашем случае с параметром групповой политики Require use of specific security layer for remote (RDP) connections = SSL и включенным NLA события 4625 не будут содержать IP источника. И для Server 2008, чтобы видеть в событиях 4625 источник перебора прийдется ставить менее защишенный security layer = RDP.

Server 2012 более продвинутый, можно использовать настройки SSL+NLA и при этом ориентироваться на события 140 ( A connection from the client computer with an IP address of xxx.xxx.xxx.xxx failed because the user name or password is not correct. ) в Applications and Services Logs. Не путайте с NTFS событиями 140 ( The system failed to flush data to the transaction log. ) появляющимися в логе System.

# получаем события
$evt140 = Get-WinEvent -ProviderName Microsoft-Windows-RemoteDesktopServices-RdpCoreTS|?{$_.id -eq 140}

# пишем в лог
"--- Get-WinEvent $ban_date_str" >> $log_file

# группируем события по IP, фильтруем по количеству определенному в ban_treshold и записываем в массив
$ip2ban = $evt140.properties.value|Group-Object|?{$_.count -ge $ban_treshold}|select name,count

# пишем в лог IP определенные для блокировки и для информации количество попыток
$ip2ban|%{ "#block_ip "+$_.name+" "+$_.count >> $log_file }

Самое важное - список IP для блокировки - у нас есть. Теперь нужно очистить лог от событий, чтобы не анализировать их при последующих запусках скрипта и создать правила для firewall.

# проверяем что список IP не пустой
if($ip2ban.count -gt 0){

# очищаем лог
  get-winevent -ListLog Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational| % { [System.Diagnostics.Eventing.Reader.EventLogSession]::GlobalSession.ClearLog($_.LogName) }
  $ip2ban|%{$ip2ban_str+=$_.name.tostring()}

# создаем правило firewall
  New-NetFirewallRule -DisplayName "RDP_DYN_BAN_$ban_date_str" -Enabled "True" -Profile Any -Direction Inbound -Action Block -RemoteAddress $ip2ban_str -Protocol TCP

# пишем в лог имя созданного правила
  "--- New-NetFirewallRule RDP_DYN_BAN_$ban_date_str" >> $log_file
}

Дело пошло - правила начинают накапливаться, чтобы их не стало сильно много будем удалять правила которые старше ban_duration.

# читаем текущие правила
$current_frs = Get-NetFirewallRule -DisplayName RDP_DYN_BAN*

$current_frs|%{

# переводим строковое имя правила в datetime
  $date_frs=[datetime]::parseexact($_.displayname, 'RDP_DYN_BAN_ddMMyyyy_HHmmss',$null)

# если разница в часах больше ban_duration удаляем правило
  if( ((get-date) - $date_frs).totalhours -ge $ban_duration ){
    "--- Remove-NetFirewallRule -Displayname "+$_.displayname  >> $log_file
    $_|Remove-NetFirewallRule -Confirm:$false
  }
}

Осталось настроить запуск скрипта в планировщике, например каждый час или 30 минут. Это и будет единицей времени для ban_treshold определенной нами в скрипте.

В идеале скрипт нужно доработать, должны создаваться не правила для firewall операционной системы, а командные файлы на сетевое оборудование, чтобы вредные пакеты даже не попадали внутрь сети.

Скрипт в чистом виде без комментариев.

Двухфакторная аутентификация в домене windows. Система аутентификации доступа с помощью одноразовых паролей (OTP). Установка пользовательского портала

Методы защиты при использовании аутентификации по паролю. Для защиты паролей от взлома следует настроить соответствующую политику. Для этого необходимо с помощью меню Start->Administrative Tools-> Group Policy Management запустить консоль управления групповыми политиками GPMC, выбрать требуемый объект групповой политики раздел Computer Configuration->Policies->Security Settings->Account Policies->Password Policy См. Рис. 1 (Управление параметрами паролей).


Рис. 1 Управление параметрами паролей.

Можно задать минимальную длину пароля, что позволит нам избежать коротких паролей (Minimum password length ). Для того чтобы, пользователь задавал сложные пароли следует включить требование сложности (Password must meet complexity requirements ).

Для обеспечения регулярной смены пароля нужно задать его максимальный срок жизни (Maximum password age ).

Для того чтобы, пользователи не повторяли старые пароли, требуется настроить хранение истории паролей (Enforce password history ) .

Ну и наконец, для того, чтобы пользователь не менял свой пароль на старый путем многократной смены паролей, задать минимальный срок, в течение которого пароль нельзя поменять (Minimum password age ).

Для того, защиты от атаки по словарю, настроим блокировку учетной записи при неоднократном неправильном вводе пароля. Для этого необходимо в консоли управления групповыми политиками GPMC выбрать требуемый объект групповой политики раздел Computer Configuration -> Policies -> Security Settings -> Account Policies -> Account Lockout Policy . См. Рис. 2 (Управление блокировкой учетной записи пользователя).

Рис. 2 Управление блокировкой учетной записи пользователя.

Для настройки окончательной блокировки учетной записи (до разблокирования ее администратором) следует задать нулевое значение параметру продолжительности блокировки (Account lockout duration ).

В счетчике количества неуспешных попыток входа в сеть (Account lockout threshold ) нужно указать требуемое значение. В большинстве случаев приемлемым вариантом является 3-5 попыток входа.

Наконец, следует задать интервал сброса счетчика неуспешных попыток (Reset account lockout counter after ).

Для защиты от «троянских коней» следует использовать антивирусные средства и блокировку несанкционированного программного обеспечения.

Для ограничения возможностей пользователей по внесению вирусов в информационную систему, оправдано: настройка запрета на работу с внешними устройствами (CD, DVD, Flash), строгий режим работы UAC, использование отдельно стоящих Интернет киосков, на базе компьютеров не входящих в состав рабочей сети. И, наконец, внедрение строгих регламентов работы, определяющих правила работы пользователей в корпоративной сети (запрет передачи своих учетных данных кому бы то ни было, запрет оставлять свои учетные данные в доступных местах, требования обязательной блокировки рабочей станции при оставлении рабочего места, и. т. п.).

В результате, мы сможем добиться уменьшение рисков, связанных с нарушением безопасности компании.

Предположим, все это сделано. Тем не менее, говорить о том, что нам удалось обеспечить безопасную аутентификацию в своей системе, пока преждевременно.

Человеческий фактор – самая большая угроза.

Существуют еще угрозы, справиться с которыми нам не удалось. Одна из наиболее существенных – человеческий фактор. Пользователи наших информационных систем не всегда достаточно сознательны и, несмотря на разъяснения администраторов безопасности, записывают свои учетные данные (имя пользователя и пароль) и не заботятся о секретности этой конфиденциальной информации. Мне не раз доводилось обнаруживать стикеры на мониторе см. Рис. 3, или под клавиатурой см. рис. 4 с именем пользователя и паролем.

Рис. 3. Замечательный подарок злоумышленнику, не так ли?

Рис. 4. Еще один подарок взломщику.

Как мы можем видеть, в системе внедрены длинные и сложные пароли и ассоциативный ряд явно не просматривается. Тем не менее, пользователи нашли «эффективный» способ запоминания и хранения учетных данных…

Таким образом, вы видите, что в этом случае как раз и сработала особенность, о которой я говорил выше: Длинные и сложные пароли записываются, и могут храниться не надлежащим образом.

Инсайдинг

Еще одна существенная угроза безопасности заключается в потенциальной возможности физического доступа злоумышленника к рабочей станции легального пользователя и передача конфиденциальной информации третьим лицам. Т. е. речь идет о ситуации, когда внутри компании существует сотрудник, похищающий информацию у своих коллег.

Вполне очевидно, что «физическую» безопасность рабочей станции пользователя обеспечить очень трудно. В разрыв клавиатуры можно без труда подключить аппаратный клавиатурный шпион (keylogger), перехват сигнала от беспроводных клавиатур тоже возможен. Такие устройства существуют. Разумеется, кто попало не пройдет в офис компании, однако всем известно, что самым опасным является внутренний шпион. У него уже есть физический доступ к вашей системе, и разместить клавиатурный шпион, не составит труда, тем более эти устройства доступны широкому кругу лиц. Кроме того, нельзя сбрасывать со счетов программы – клавиатурные шпионы. Ведь, несмотря на все усилия администраторов, возможность установки такого «шпионского» программного обеспечения не исключена. Всегда ли пользователь блокирует свою рабочую станцию, покидая свое рабочее место? Удается ли администратору информационной системы добиться, чтобы пользователю не назначались избыточные полномочия, особенно при необходимости использования старых программных продуктов? Всегда ли администратор, а особенно в небольшой компании, обладает достаточной квалификацией, чтобы внедрить рекомендации производителей программного и аппаратного обеспечения по построению безопасных информационных систем?

Таким образом, можно сделать вывод о ненадежности парольной аутентификации в принципе. Следовательно, требуется аутентификация многофакторная, при этом такого вида, чтобы пароль пользователя не набирался на клавиатуре.

Что нам может помочь?

Имеет смысл, рассмотреть двухфакторную аутентификацию: 1-ый фактор обладание паролем, 2-ой знание пин кода. Доменный пароль больше не набирается на клавиатуре, значит, не перехватывается клавиатурным шпионом. Перехват доменного пароля чреват возможностью входа, перехват пин кода не так опасен, т. к. дополнительно требуется смарт карта.

На это можно возразить, что пользователь вполне может оставить свою карту в считывателе, а пин написать на стикере, как и раньше. Однако существуют системы контроля, которые могут заблокировать оставленную карту как, это реализовано в банкоматах. Дополнительно существует возможность разместить на карте пропуск для входа/выхода из офиса, т. е. мы можем использовать карточку с RFID меткой, объединив тем самым систему аутентификации в службе каталога с системой разграничения физического доступа. В этом случае для того, чтобы открыть дверь пользователю потребуется его смарт карта или USB токен, так что он будет вынужден ее всегда носить с собой.

Кроме того, современные решения для двухфакторной аутентификации предполагают не только возможность аутентификации в AD или AD DS. Использование смарт карт и USB-ключей помогает и во многих других случаях, например при доступе к публичной электронной почте, в Интернет магазины, где требуется регистрация, к приложениям, имеющим свою собственную службу каталога и. т. д.

Таким образом, можно получить практически универсальное средство аутентификации.

Внедрение двухфакторной аутентификации на основе асимметричной криптографии в AD DS.

Служба каталога Active Directory поддерживает возможность аутентификации с помощью смарт карт, начиная с Windows 2000.

По сути своей, возможность аутентификации с помощью смарт карт заложена в расширении PKINIT (public key initialization – инициализация открытого ключа) для протокола Kerberos RFC 4556. См. . Расширение PKINIT позволяет использовать сертификаты открытого ключа на этапе предаутентификации Kerberos.

Благодаря чему и появляется возможность использования смарт карт. Т. е. мы можем говорить о возможности двухфакторной аутентификации в системах Microsoft на основе штатных средств, начиная с ОС Windows 2000, т. к. уже реализована схема Kerberos + PKINIT.

Примечание. Предаутентификация Kerberos – процесс, обеспечивающий дополнительный уровень безопасности. Выполняется до выдачи TGT (Ticket Granting Ticket ) от сервера распространения ключей (KDC ). Используется в протоколе Kerberos v . 5 для противодействия оффлайн атакам на угадывание пароля. Подробнее о принципах работы протокола Kerberos можно узнать в RFC 4120. C м

Разумеется, речь идет о компьютерах в составе домена. Если же есть необходимость прибегнуть к двухфакторной аутентификации при работе в рабочей группе, или при использовании более ранних версий операционных систем, то нам придется обратиться к программному обеспечению третьих фирм, например SafeNet (Aladdin) eToken Network Logon 5.1. См.

Вход в систему может быть обеспечен, как при использовании службы каталога домена, так и локальной службы каталога. При этом пароль пользователя не набирается на клавиатуре, а передается из защищенного хранилища на смарт карте.

Аутентификация с помощью смарт карт реализуется посредством расширения Kerberos PKINIT, это расширение обеспечивает возможность использования асимметричных криптографических алгоритмов.

Что касается требований для внедрения использования смарт карт в связке с PKINIT, то для операционных систем Windows 2000, Windows 2003 Server, они следующие:

· Все контроллеры доменов и все клиентские компьютеры в рамках леса, где осуществляется внедрение нашего решения, обязательно должны доверять корневому Удостоверяющему Центру (Центру Сертификации).

· Удостоверяющий центр, выдающий сертификаты для использования смарт карт, должен быть помещен в хранилище NT Authority

· Сертификат должен содержать идентификаторы Smart Card Logon и Client Authentication

· Сертификат для смарт карт должен содержать UPN пользователя.

· Сертификат и частный ключ должны быть помещены в соответствующие разделы смарт карты, при этом частный ключ должен находиться в защищенной области памяти смарт карты.

· В сертификате должен быть указан путь к списку отзыва сертификатов CRL distribution point

· Все контроллеры доменов должны иметь установленный сертификат Domain Controller Authentication, или Kerberos Authentication, т. к. реализуется процесс взаимной аутентификации клиента и сервера.

Целый ряд изменений в требованиях произошел в операционных системах, начиная с Windows Server 2008:

· Больше не требуется CRL extension в сертификатах smart card logon

· Теперь поддерживается возможность установки взаимосвязи между учетной записью пользователя и сертификатом

· Запись сертификата возможна в любой доступный раздел смарт карты

· Расширение EKU не обязано включать Smart Card Logon OID, при этом справедливости ради надо отметить, что если вы планируете использовать единственный шаблон сертификата для клиентов всех операционных систем, то, разумеется, Smart Card Logon OID должен быть включен.

Несколько слов о самой процедуре входа клиента. Если говорить об операционных системах от Windows Vista и выше, то следует отметить, что и тут произошел ряд изменений:

· Во-первых, процедура входа в систему по смарт карте больше не инициируется автоматически, когда вы вставили смарт карту в карт ридер, или подключили ваш USB -ключ к USB порту, т. е. вам придется нажать Ctrl+Alt+Delete.

· Во-вторых, появившаяся возможность использования любого слота смарт карты для хранения сертификатов предоставляет пользователю выбор из множества идентификационных объектов, хранящихся на карте, при этом необходимый в данный момент сертификат отображается как доступный к использованию.

Выводы

Итак, мы разобрали несколько основных аспектов, касающихся теоретической части двухфакторной аутентификации в Active Directory Domain Services, и можно подвести итоги.

Обеспечение безопасности процесса аутентификации в системе критически важно. Существующие на сегодняшний день виды взломов паролей формируют потребность в мультифакторной аутентификации.

Для небольшой компании можно ограничиться строгой политикой защиты учетных данных, внедрением антивирусного программного обеспечения, лишить пользователей возможности работы с внешними носителями информации блокировать запуск несанкционированного программного обеспечения, внедрить регламенты работы пользователей и. т. п.

Когда речь идет крупной компании, или о компании, в которой есть явная заинтересованность со стороны злоумышленников – этих средств недостаточно. Ошибки и инсайдинг могут свести на нет усилия по построению системы защиты, поэтому надо выбрать другой путь. Здесь уже имеет смысл говорить о внедрении безопасной аутентификации.

Использование двухфакторной аутентификации – хорошее решение с точки зрения безопасности.

У нас появляется второй фактор аутентификации, помимо пин кода, пользователю надо обладать еще и смарт картой, или USB ключом.

Использование смарт карт или USB ключей дает нам возможность обеспечить двухфакторную аутентификацию как в среде AD, так и в AD DS.

В одной из следующих статей я расскажу, как осуществляется внедрение двухфакторной аутентификации на практике. Мы рассмотрим развертывание и настройку инфраструктуры удостоверяющих центров (PKI) на основе Windows Server 2008 Enterprise R2.

Список литературы.

Http://www.rfc-archive.org/getrfc.php?rfc=4556

Http://www.rfc-archive.org/getrfc.php?rfc=4120

Http://www.aladdin.ru/catalog/etoken_products/logon

NCSC-TG-017 – "A Guide to Understanding Identification and Authentication in Trusted Systems," опубликованный U.S. National Computer Security Center.

RFC4120 – The Kerberos Network Authentication Service (V5)

RFC4556 – Public Key Cryptography for Initial Authentication in Kerberos (PKINIT)

Brian Komar Windows Server 2008 PKI and Certificate Security

Леонид Шапиро,
MCT, MCSE:S, MCSE:M, MCITP EA, TMS Certified Trainer

Получил невероятно хорошие комментарии и уточнения от пожелавшего остаться неизвестным товарища:
1) В самом начале настройки сервера, вводите команду:
multiotp.exe -debug -config default-request-prefix-pin=0 display-log=1 после неё не требуется вводить пин-код при настройке пользователя и включается отображение лога каждой операции в консоль.

2) С помощью этой команды можно регулировать bantime, для пользователей, которые ошиблись с паролем (по умолчанию 30 сек):
multiotp.exe -debug -config failure-delayed-time=60
3) То, что будет написано в приложении google Authenticator над 6 цифрами, называется issuer, можно поменять с дефолтного MultiOTP на что-то другое:
multiotp.exe -debug -config issuer=other
4) После проделанных операций, команда по созданию пользователя становится чуть проще:
multiotp.exe -debug -create user TOTP 12312312312312312321 6 (время обновления цифр, равное 30 секундам, я не задаю, кажется оно по умолчанию равно 30).

5) Каждому пользователю можно изменить description (текст под цифрами в приложении Google Auth):
multiotp.exe -set username description=2
6) QR-коды можно создавать сразу в приложении:
multiotp.exe -qrcode username c:\multiotp\qrcode\user.png:\multiotp\qrcode\user.png
7) Можно использовать не только TOTP, но и HOTP (на вход функции хэширования подаётся не текущее время, а значение инкрементального счетчика):
multiotp.exe -debug -create username HOTP 12312312312312312321 6

Пароль является не очень надежным средством защиты. Очень часто используются простые, легко подбираемые пароли или же пользователи не особо следят за сохранностью своих паролей (раздают коллегам, пишут на бумажках и т.д.). В Microsoft уже давно реализована технология, позволяющая для входа в систему использовать SmartCard, т.е. аутентифицироваться в системе по сертификату. Но не обязательно использовать непосредственно смарт-карты, ведь для них нужны еще и считыватели, поэтому проще их заменить на usb токены. Они позволят реализовать двухфакторную аутентификацию: первый фактор — это пароль от токена, второй фактор — это сертификат на токене. Далее на примере usb токена JaCarta и домена Windows я расскажу как внедрить этот механизм аутентификации.

Первым делом в AD создадим группу «g_EtokenAdmin» и уч. запись «Enrollment Agent», входящую в эту группу. Эта группа и пользователь будут рулить центром сертификации.

Дополнительно установим Web службу для запроса сертификатов.

Далее выбираем вариант для предприятия. Выбираем Корневой ЦС (если у нас это первый центр сертификации в домене)
Создаем новый закрытый ключ. Длину ключа можно оставить туже, а вот алгоритм хеширования лучше выбрать SHA2 (SHA256).


Введем имя CA и выберем срок действия основного сертификата.
Остальные параметры оставляем по умолчанию и запускаем процесс установки.


После установки зайдем в оснастку центра сертификации и настроим права на шаблоны.

Нас будут интересовать два шаблона: Агент регистрации (Enrollment Agent) и Вход со смарт-картой (Smartcard logon).
Зайдем в свойства этих шаблонов и на вкладке безопасность добавим группу «g_EtokenAdmin» с правами чтение и заявка.

И они появятся у нас в общем списке.

Следующим шагом настроим групповые политики:
Первым делом расскажем всем компьютерам домена о корневом центре сертификации, для этого изменим Default Domain Policy.
Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Политики открытого ключа -> Доверенные корневые центры сертификации -> Импорт


Выберем наш корневой сертификат, расположенный по пути: C:\Windows\System32\certsrv\CertEnroll. Закрываем Default Domain Policy.
На следующем шаге создадим политику для контейнера, в котором будут находится компьютеры с аутентификацией по токену (Смарт-карте).

По пути Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности. Настроим два параметра «Интерактивный вход в систему: требовать смарт-карту» и «Интерактивный вход в систему: поведение при извлечении смарт-карты».

На этом с настройками все, теперь можно генерировать клиентский сертификат и проверять аутентификацию по токену.
Залогинемся на компьютере под учетной записью «Enrollment Agent» и откроем браузер, перейдя по ссылке http://Имя_сервера_MS_CA/certsrv

Выбираем пункт Запрос сертификата -> Расширенный запрос сертификата -> Создать и выдать запрос к этому ЦС
Если возникнет ошибка вида «Чтобы завершить подачу заявки на сертификат, следует настроить веб-узел для ЦС на использование проверки подлинности по протоколу HTTPS», то нужно на сервере IIS, на котором установлен MS CA, сделать привязку сайта к протоколу https.


Продолжим получение сертификата, для этого на открывшейся странице выберем шаблон: «Агент регистрации» и нажмем кнопку выдать и установить сертификат.


Теперь пользователь Enrollment Agent может выписывать сертификаты для других пользователей. К примеру запросим сертификат для пользователя test. Для этого откроем консоль управления сертификатами certmgr.msc, т.к. через web интерфейс не получится записать сертификат на usb токен.
В этой консоли на папке личное сделаем запрос от имени другого пользователя


В качестве подписи выбираем единственный сертификат «Enrollment Agent» и переходим к следующему шагу, на котором выбираем пункт «Вход со смарт-картой» и нажимаем подробности для выбора криптопровайдера.
В моем случае я использую токены JaCarta, поэтому вместе с драйверами был установлен криптопровайдер «Athena…»:


На следующем шаге выбираем доменного пользователя, для которого выписываем сертификат и нажимаем на кнопку «Заявка».

Вставляем токен, вводим пин код и начинается процесс генерации. В итоге мы должны увидеть диалоговое окно с надписью «Успешно».
Если процесс окончился неудачно, возможно дело в шаблоне получения сертификата, в моем случае его надо было немного подправить.

Приступим к тестированию, проверим работу токена на компьютере, находящемся в OU с групповой политикой входа по смарт-карте.
При попытке войти под учетной записью с паролем мы должны получить отказ. При попытке войти со смарт-картой (токеном) мы получим предложение ввести пин и должны успешно зайти в систему.

P.s.
1) Если не работает автоматическая блокировка компьютера или выход из системы, после вытаскивания токена, смотрите запущена ли служба «Политика удаления смарт-карт»
2) На токен можно записать (сгенерировать сертификат) только локально, через RDP не получится.
3) Если не получается запустить процесс генерации сертификата по стандартному шаблону «Вход с смарт-картой», создайте его копию с такими параметрами.

На этом все, если будут вопросы, задавайте, постараюсь помочь.

Сегодня расскажем, как можно быстро и просто настроить двухфакторную аутентификацию и зашифровать важные данные, причем даже с возможностью использования биометрии. Решение будет актуально для небольших компании или просто для персонального компьютера или ноутбука. Важно, что для этого нам не потребуется инфраструктура открытых ключей (PKI), сервер с ролью центра сертификации (Certificate Services) и даже не потребуется домен (Active Directory). Все системные требования будут сводиться к операционной системе Windows и наличию у пользователя электронного ключа, а в случае биометрической аутентификацией еще и считывателю отпечатка пальцев, который, например, может быть уже встроен в ваш ноутбук.

Для аутентификации будем использовать ПО нашей разработки – JaCarta SecurLogon и электронный ключ JaCarta PKI в качестве аутентификатора. Инструментом шифрования будет штатный Windows EFS, доступ к зашифрованным файлам будет осуществляться также через ключ JaCarta PKI (тот же, который используется для аутентификации).

Напомним, JaCarta SecurLogon - сертифицированное ФСТЭК России программно-аппаратное решение компании Аладдин Р.Д., позволяющее осуществить простой и быстрый переход от однофакторной аутентификации на основе пары логин-пароль к двухфакторной аутентификации в ОС по USB-токенам или смарт-картам. Суть работы решения довольно проста - JSL генерирует сложный пароль (~63 символа) и записывает его в защищенную память электронного ключа. При этом пароль может быть неизвестен самому пользователю, пользователь знает только ПИН-код. Вводя ПИН-код при аутентификации, происходит разблокировка устройства, и пароль передается системе для аутентификации. Опционально можно заменить ввод ПИН-кода сканированием отпечатка пальца пользователя, а также можно применить комбинацию ПИН + отпечаток пальца.

EFS также как и JSL умеет работать в режиме standalone, не требуя кроме самой ОС ничего. Во всех операционных системах Microsoft семейства NT, начиная с Windows 2000 и новее (кроме home версий), существует встроенная технология шифрования данных EFS (Encrypting File System). EFS-шифрование основано на возможностях файловой системы NTFS и архитектуре CryptoAPI и предназначено для быстрого шифрования файлов на жестком диске компьютера. Для шифрования в EFS используется закрытый и открытый ключи пользователя, которые генерируются при первом использовании пользователем функции шифрования. Данные ключи остаются неизменными все время, пока существует его учетная запись. При шифровании файла EFS случайным образом генерирует уникальный номер, так называемый File Encryption Key (FEK) длиной 128 бит, с помощью которого и шифруются файлы. Ключи FEK зашифрованы мастер-ключом, который зашифрован ключом пользователей системы, имеющего доступ к файлу. Закрытый ключ пользователя защищается хэшем пароля этого самого пользователя. Данные, зашифрованные с помощью EFS, могут быть расшифрованы только с помощью той же самой учетной записи Windows с тем же паролем, из-под которой было выполнено шифрование. А если хранить сертификат шифрования и закрытый ключ на USB-токене или смарт-карте, то для доступа к зашифрованным файлам потребуется еще и этот USB-токен или смарт-карта, что решает проблему компрометации пароля, так как будет необходимо наличие и дополнительного устройства в виде электронного ключа.

Аутентификация
Как уже отметили, для настройки не нужен AD или центр сертификации, нужен любой современный Windows, дистрибутив JSL и лицензия. Настройка проста до безобразия.

Нужно установить файл лицензии.

Добавить профиль пользователя.

И начать пользоваться двухфакторной аутентификацией.

Биометрическая аутентификация
Есть возможность использовать биометрическую аутентификацию по отпечатку пальца. Решение работает по технологии Match On Card. Хэш отпечатка записывается на карту при первичной инициализации и в дальнейшем сверяется с оригиналом. Из карты никуда не уходит, в каких-то базах не хранится. Для разблокировки такого ключа используется отпечаток или комбинация ПИН + отпечаток, ПИН или отпечаток.

Для начала использования нужно просто инициализировать карту с необходимыми параметрами, записать отпечаток пользователя.

В дальнейшем такое же окно будет всплывать перед входом в ОС.

В настоящем примере карта инициализирована с возможностью аутентификации по отпечатку или ПИН-коду, о чем и сообщает окно аутентификации.

После предъявления отпечатка или ПИН-кода, пользователь попадет в ОС.

Шифрование данных
Настройка EFS тоже не очень сложная, сводится к настройке сертификата и выпуску его на электронный ключ и настройки директорий шифрования. Как правило, шифровать весь диск не требуется. Действительно важные файлы, получать доступ к которым третьим лицам не желательно, обычно находятся в отдельных директориях, а не разбросаны абы как по диску.

Для выпуска сертификата шифрования и закрытого ключа откройте учетную запись пользователя, выберите - Управление сертификатами шифрования файлов. В открывшемся мастере, создайте самозаверенный сертификат на смарт-карте. Так как мы продолжаем использовать смарт-карту с BIO-апплетом, для записи сертификата шифрования нужно предъявить отпечаток или ПИН.

На следующем шаге укажите директории, которые будут связаны с новым сертификатом, при необходимости можно указать все логические диски.

Сама шифрованная директория и файлы в ней будут подсвечены другим цветом.

Доступ к файлам осуществляется только при наличии электронного ключа, по предъявлению отпечатка пальца либо ПИН-кода, в зависимости от того что выбрано.

На этом вся настройка окончена.

Можно использовать оба сценария (аутентификация и шифрование), можно остановиться на чем-то одном.

Реалии стран где живёт большинство хабровчан таковы, что держать сервера с важной информацией за пределами страны ведения бизнеса стало хорошим тоном, позволяющим сохранить свои нервы и данные.

Первый вопрос, который возникает при переезде в облако после шифрования данных, а может и перед ним, это гарантия того, что доступ к данным с учетной записью пользователя осуществляется именно пользователем, а не кем-то еще. И если неплохой способ шифрования данных, размещенных в частном облаке, рассмотрен в статье моего коллеги , то с аутентификацией все сложнее.

Про пользователей и методы защиты

Природа типичного пользователя такова, что к сохранности паролей от учетных записей отношение достаточно легкомысленное и исправить это невозможно. Наш опыт показывает, что даже если в компании применяются строгие политики, тренинги пользователей и т.д., все равно найдется незашифрованное устройство, покинувшее стены офиса, а просматривая список продуктов одной известной компании понимаешь, что извлечение паролей из незашифрованного устройства лишь дело времени.

Некоторые компании для контроля доступа к данным в облаке устанавливают туннели между облаком и офисом, запрещают удаленный доступ https://habrahabr.ru/company/pc-administrator/blog/320016/ . На наш взгляд - это не совсем оптимальное решение, во-первых, теряется часть преимуществ облачного решения, а во-вторых есть проблемы с производительностью, отмеченные в статье.

Решение с использованием терминального сервера и Remote Desktop Gateway (RDG) более гибкое, можно настроить высокий уровень безопасности, как описал мой коллега https://habrahabr.ru/post/134860/ (статья 2011 года, но сам принцип до сих пор актуален). Данный способ позволяет предотвратить передачу данных из облака, но накладывает ограничения на работу пользователя и не полностью решает проблему аутентификации, скорее это DLP решение.

Возможно лучшим способом гарантировать, что под учетной записью пользователя не работает злоумышленник, является двухфакторная аутентификация . В статьях моего коллеги https://habrahabr.ru/post/271259/ https://habrahabr.ru/post/271113/ описывается настройка MFA от Microsoft и Google для клиентского VPN. Способ хороший, но, во-первых, он требует наличия CISCO ASA, что не всегда легко реализуемо, особенно в бюджетных облаках, а во-вторых, работа через VPN неудобна. Работа с терминальной сессией через RDG значительно комфортнее, да и SSL протокол шифрования выглядит более универсальным и надежным, чем VPN от CISCO.

Решений с двухфакторной аутентификацией на самом терминальном сервере много, вот пример настройки бесплатного решения - http://servilon.ru/dvuhfaktornaya-autentifikaciya-otp/ . Это решение, к сожалению, не работает через RDG.

RDG сервер запрашивает подтверждение авторизации у сервера MFA. MFA в зависимости от выбранного способа аутентификации звонит, отправляет смс или посылает запрос в мобильное приложение. Пользователь подтверждает или отклоняет запрос на предоставление доступа. MFA возвращает результат второго фактора аутентификации на RDG сервер.

Установка и настройка Azure Multi-Factor Authentication Server

Создание поставщика аутентификации в портале Microsoft Azure
Заходим в Microsoft Azure (учетная запись должна иметь подписку или установлена триальная версия) и находим Multi-Factor Authentication (MFA).

На данный момент управление MFA не добавлено в новую версия портала Azure, поэтому откроется старая версия портала.

Для создания нового поставщика многофакторной проверки подлинности необходимо слева внизу нажать «СОЗДАТЬ → Службы приложений → Active directory → Поставщик многофакторной проверки подлинности → Быстрое создание». Указать имя и модель использования.

От модели использования зависит как будет начисляться оплата, либо по количеству пользователей, либо по количеству аутентификаций.


После создания MFA отобразится в списке. Далее переходим к управлению, нажав соответствующую кнопку.


Переходим в загрузки и скачиваем MFA сервер

Развертывание MFA сервера
Устанавливать MFA сервер необходимо на виртуальную машину отличную от RDG сервера. Поддерживаются ОС старше Windows Server 2008 или Windows 7. Для работы необходим Microsoft .NET Framework 4.0.

Должны быть доступны адреса по 443 порту:

Устанавливаем MFA сервер, при установке отказываемся от мастера настроек.

При первом запуске необходимо ввести данные от учетной записи, которые надо сгенерировать на странице загрузки сервера.


Далее добавляем пользователей. Для этого переходим в раздел Users и нажимаем на Import from Active Directory, выбираем пользователей для импорта.


При необходимости можно настроить автоматическое добавление новых пользователей из АД:

«Directory Integration → Synchronization → Add», а т.ж. добавить каталог, который будет автоматически синхронизироваться по указанному интервалу времени.


Проведем тест работоспособности MFA сервера. Переходим в раздел Users. Для своей учетной записи указываем номер телефона (если еще не задан) и выбираем способ аутентификации «Звонок телефона». Нажимаем кнопку Test и вводим логин, пароль. На телефон должен прийти вызов. Отвечаем на него и нажимаем #.

Настройка MFA сервера на работу с Radius запросами
Переходим в раздел Radius Authentication и ставим галочку «Enable RADIUS Authentication».

Добавляем нового клиента, указывая IP адрес NPS сервера и общий секретный ключ. Если аутентификация должна проводиться для всех пользователей, ставим соответствующую галочку (в данном случае все пользователи должны быть добавлены на MFA сервер).

Так же необходимо убедиться, что указанные для соединения порты соответствуют портам, указанным на NPS сервере и их не блокирует брандмауэр.


Переходим на вкладку Target и добавляем Radius сервер.


Примечание: Если в сети нет центрального NPS сервера, IP адреса Radius клиента и сервера будут одинаковыми.
Настройка RDG и NPS сервера на работу совместно с MFA
Шлюз удаленных рабочих столов необходимо настроить на отправку Radius запросов на сервер MFA. Для этого открываем свойства шлюза и переходим на вкладку «RDG CAP Store», выбираем «NPS работает на центральном сервере» и указываем адрес MFA сервера и общий секретный ключ.


Далее производим настройку NPS сервера. Разворачиваем раздел «Клиенты и серверы Radius → Удаленные группы серверов Radius». Открываем свойства группы «TS gateway server group» (группа создаётся при настройке RDG) и добавляем наш MFA сервер.

При добавлении, на вкладке «Load Balancing» увеличиваем лимиты времени ожидания сервера. Выставляем «Число секунд без ответа, после которого запрос считается отброшенным» и «Число секунд между запросами, после которого сервер считается недоступным» в диапазоне 30-60 секунд.

На вкладке «Authentication/Accounting» проверяем правильность указанных портов и задаем общий секретный ключ.


Теперь перейдем в раздел «Клиенты и серверы Radius → Клиенты Radius» и добавим MFA сервер, указав «Friendly name», адрес и общий секрет.


Переходим в раздел «Политики → Политики запросов на подключение». В данном разделе должна быть политика, созданная при настройке RDG. Эта политика направляет запросы Radius на MFA сервер.

Дублируем политику и заходим в ее свойства. Добавляем условие сопоставляющее «Client Friendly Name» c «Friendly name», заданным в предыдущем шаге.


На вкладке «Settings» меняем поставщика услуг аутентификации на локальный сервер.


Данная политика будет гарантировать то, что при получении Radius запроса от MFA сервера, запрос будет обработан локально, что избавит от зацикливания запросов.

Проверяем что данная политика размещена над исходной.


На данном этапе связка RDG и MFA находится в рабочем состоянии. Следующие шаги необходимы тем, кому требуется иметь возможность использовать аутентификацию с помощью мобильного приложения или предоставить пользователям доступ к некоторым настройкам многофакторной авторизации через пользовательский портал.

Установка SDK, веб-службы мобильного приложения и пользовательского портала

Подключение к данным компонентам производиться по HTTPS протоколу. Поэтому, на сервера где они будут развернуты, необходимо установить SSL сертификат.

Пользовательский портал и веб-служба мобильного приложения используют пакет SDK для связи с сервером MFA.

Установка SDK
SDK устанавливается на сервер MFA и требует наличия IIS, ASP.NET, Basic Authentication, которые необходимо предварительно установить, используя Server Manager.

Для установки SDK переходим в раздел Web Service SDK в Multi-Factor Authentication Server и нажимаем кнопку установить, следуем мастеру установки.

Установка веб-службы мобильного приложения
Данная служба необходима для взаимодействия мобильного приложения с сервером MFA. Для корректной работы службы, компьютер, на который она будет установлена, должен иметь выход в интернет и открыт 443 порт для подключения из интернета.

Файл установки службы находиться в папке C:\Program Files\Azure Multi-Factor Authentication на компьютере с установленным MFA. Запускаем установщик и следуем мастеру установки. Для удобства пользователей можно заменить имя виртуального каталога «MultiFactorAuthMobileAppWebService» на более короткое.

После установки заходим в папку C:\inetpub\wwwroot\MultiFactorAuthMobileAppWebService и изменяем файл web.config . В данном файле необходимо задать ключи , отвечающие за учетную запись, входящую в группу безопасности PhoneFactor Admins. Эта учетная запись будет использоваться для подключения к SDK.


В этом же файле необходимо указать URL адрес по которому доступен SDK.

Примечание: Соединение с SDK производиться по SSL протоколу, поэтому необходимо ссылаться на SDK по имени сервера (указанному в SSL сертификате), а не по IP адресу. Если обращение осуществляется по локальному имени, нужно добавить в hosts файл соответствующую запись, чтобы использовать SSL сертификат.


Добавляем URL, по которому доступна веб-служба мобильного приложения, в приложение Multi-Factor Authentication Server в раздел Mobile App. Это необходимо для правильной генерации QR кода в пользовательском портале для подключения мобильных приложений.

Также в этом разделе можно установить галочку «Enable OATH tokens», что позволить использовать мобильное приложения как Software token, для генерации одноразовых паролей на основании времени.

Установка пользовательского портала
Для установки требуется IIS, ASP.NET и роль совместимости мета базы IIS 6 (для IIS 7 или более поздней версии).

Если портал устанавливается на сервере MFA, достаточно в Multi-Factor Authentication Server перейти в раздел User Portal, нажать кнопку установить и следовать мастеру установки. Если компьютер присоединен к домену, то при установке будет создан пользователь, входящий в группу безопасности PhoneFactor Admins. Этот пользователь необходим для защищённого соединения с SDK.


При установке на отдельный сервер, необходимо скопировать файл установки с сервера MFA (файл установки располагается в папке C:\Program Files\Multi-Factor Authentication Server ). Произвести установку и отредактировать файл web.config в расположение C:\inetpub\wwwroot\MultiFactorAuth . В данном файле необходимо изменить ключ USE_WEB_SERVICE_SDK со значения false на true. Указать данные учетной записи, входящей в группу PhoneFactor Admins в ключах WEB_SERVICE_SDK_AUTHENTICATION_USERNAME и WEB_SERVICE_SDK_AUTHENTICATION_PASSWORD . И указать URL адрес SDK службы, не забывая при необходимости поправить hosts файл, чтобы работал SSL протокол.

Добавляем URL, по которому доступен пользовательский портал в приложение Multi-Factor Authentication Server в раздел User Portal.

Демонстрация работы Azure MFA для аутентификации RDG подключений
Рассматривать работу MFA будем со стороны пользователя. В нашем случае вторым фактором аутентификации будет мобильное приложение, так как сотовая сеть имеет ряд уязвимостей, позволяющих при должной подготовке перехватывать звонки и SMS.

Первым делом, пользователю понадобиться зайти на пользовательский портал и указать свой номер телефона (если не указан в AD) и привязать к аккаунту мобильное приложение. Заходим на портал под своей учетной записью и вводим ответы на секретные вопросы (они нам понадобятся в случае восстановления доступа к аккаунту).


Далее выбираем метод аутентификации, в нашем случае мобильное приложение и нажимаем кнопку «Создать код активации». Будет сгенерирован QR код, который надо отсканировать в мобильном приложении.


Так как при импортировании пользователей на MFA сервер была выставлена аутентификация с помощью PIN кода, нам будет предложено создать его. Вводим желаемый PIN код и нажимаем «Проверить мою подлинность». В мобильном приложении необходимо подтвердить появившийся запрос. После данных действий мы имеем привязанное к аккаунту приложение и полноценный доступ к порталу для изменения личных настроек.

Как принудительно использовать безопасные пароли в Windows - Мир ПК

Безопасный пароль длинный и сложный. Однако их трудно запомнить и трудно применять. Поэтому пользователи избегают их. Если вы хотите, чтобы ваша система была безопасной, примените соответствующие меры безопасности с помощью так называемых системных политик.

Пароль для учетной записи пользователя является одним из наиболее важных барьеров безопасности операционной системы. Он должен быть длинным и достаточно сложным, чтобы его было трудно сломать.Однако, если вы предоставите пользователям право выбора, их пароли, вероятно, будут короткими, легко запоминающимися и, следовательно, легко угадываемыми посторонними лицами. Поэтому стоит установить определенные правила использования паролей в системе. Вы также можете временно заблокировать доступ к своей учетной записи, если вы используете неправильный ключ. Это помешает вам попытаться угадать его.

1. Запустите редактор политики, введя в поле Выполнить команду gpedit.msc . Разверните группы Политики учетных записей и Политика паролей .В правой части окна отобразятся 6 правил, которые при правильном определении повысят безопасность использования паролей. Дважды щелкните Пароль должен соответствовать требованиям сложности , и на вкладке Локальные параметры безопасности выберите Включено . Благодаря этому пароли должны будут быть длиннее 6 символов, они не смогут содержать даже часть имени учетной записи пользователя, а также должны будут состоять из букв верхнего и нижнего регистра, цифр и специальных символов.Нажмите Хорошо .

См. также:

Настройка пароля в редакторе локальной политики безопасности

2. 6 символов все еще недостаточно. Минимальная безопасная длина пароля уже должна составлять 12 символов. Вы определяете этот параметр с помощью опции Минимальная длина пароля . Параметр Минимальный срок действия пароля используется вместе с параметром Принудительное создание истории паролей . Чтобы пользователи не слишком быстро применяли один и тот же пароль при изменении, установите второй параметр, например, равным 20.Укажите минимальный срок действия 2 дня (должен быть больше 0). Благодаря этому не получится сразу восстановить старую безопасность, меняя ее много раз, раз за разом.

3. Откройте политику с именем Максимальный срок действия пароля . В поле Срок действия пароля истекает через введите количество дней, по истечении которых пароль необходимо сменить. Значение по умолчанию — 42. Вы можете, например, сократить его до месяца. Чем важнее данные, тем чаще вы должны менять функции безопасности, но это также усложняет вашу работу, поэтому будьте осторожны, не переусердствуйте.

При неправильном вводе пароля доступ к учетной записи будет заблокирован

4. В левой части окна раскройте категорию Политика блокировки учетной записи . Начните с определения количества паролей с ошибками. Дважды щелкните Порог блокировки учетной записи . Наиболее распространенное значение в этом случае — 3. Введите его в соответствующее поле. 0 указывает, что учетная запись не может быть заблокирована.

5. Нажмите кнопку Ok . На экране вы увидите сообщение, предлагающее определить два других правила: Продолжительность блокировки учетной записи и Сброс счетчика блокировки учетной записи после .По умолчанию они установлены на 30 минут. Вы можете оставить эти значения (в этом окне их нельзя изменить). Нажмите Хорошо . Все правила определены. Если вы хотите изменить значения, вы можете сделать это сейчас, открыв отдельные записи.

.

Каковы требования к сложности пароля по умолчанию в Windows 10?

Каковы требования к паролю Windows 10?

Если этот параметр включен, пароли должны соответствовать следующим критериям:

  • Не содержать имя учетной записи пользователя или части полного имени пользователя, длина которых превышает два последовательных символа.
  • Длина не менее шести символов.
  • Содержат символы трех из следующих четырех категорий: Прописные английские буквы (от A до Z).

7 февраля. 2020

Как отключить пароль, который должен соответствовать требованиям сложности в Windows 10?

Способ 1. Используйте редактор политик

  1. Нажмите клавиши Windows и R и откройте новое окно «Выполнить».
  2. Затем введите gpedit. MSc или secpol. Магистр Нажмите Enter, чтобы запустить редактор групповой политики.
  3. Перейти к настройкам безопасности.
  4. Затем выберите «Политика паролей».
  5. Пароль Locate должен соответствовать требованиям сложности.
  6. Отключить этот параметр.

4 декабря 2020 г.

Какова минимальная длина пароля по умолчанию в политике паролей Windows?

Лучшие практики. Установите для параметра «Минимальная длина пароля» значение не менее 8. Если количество символов равно 0, пароль не требуется. В большинстве сред рекомендуется восьмизначный пароль, поскольку он достаточно длинный, чтобы быть безопасным, и достаточно короткий, чтобы пользователи могли легко его запомнить.

Как включить пароль должен соответствовать требованиям сложности?

Откройте консоль управления групповыми политиками (Пуск/Выполнить/GPMC.MSC), откройте домен, щелкните правой кнопкой мыши и отредактируйте «Политику домена по умолчанию». Затем углубитесь в «Конфигурацию компьютера», «Параметры Windows», «Параметры безопасности», «Политики учетных записей» и измените настройку требований к сложности пароля.

Что делать, если я забыл пароль Windows 10?

Сброс пароля локальной учетной записи Windows 10

  1. Выберите ссылку Сбросить пароль на экране входа.Если вместо этого вы используете PIN-код, см. раздел Проблемы при входе с помощью PIN-кода. Если вы используете рабочее устройство, подключенное к сети, вы можете не увидеть возможность сброса пароля или PIN-кода. …
  2. Ответьте на контрольные вопросы.
  3. Введите новый пароль.
  4. Войдите как обычно, используя новый пароль.

Какой хороший пароль Microsoft?

Надежный пароль: не менее 12 символов, но лучше 14 и более. Комбинация прописных и строчных букв, цифр и символов.Не то слово, которое можно найти в словаре.

Что такое сложность пароля?

Теоретически основное преимущество правил сложности паролей заключается в том, что они заставляют использовать уникальные пароли, которые труднее взломать. Чем больше требований вы применяете, тем больше количество возможных комбинаций букв, цифр и символов. … Это суть взлома паролей.

Какие пароли или PIN-коды более безопасны?

«Не структура ПИН-кода (длина, сложность) делает его лучше пароля, а то, как он работает», — говорит Microsoft.Теоретически, поскольку PIN-коды привязаны к устройству, они считаются более безопасными.

Каковы требования к надежному паролю?

ХАРАКТЕРИСТИКИ НАДЕЖНОГО ПАРОЛЯ

  • Минимум 8 символов - чем больше символов, тем лучше.
  • Сочетание прописных и строчных букв.
  • Смесь букв и цифр.
  • Включить хотя бы один специальный символ, например! @#? ]

Как узнать сложность пароля Windows?

Политика сложности паролей Windows

  1. Пароль не должен содержать имя учетной записи пользователя или более двух последовательных символов от полного имени пользователя.
  2. Пароль должен содержать не менее шести символов.
  3. Пароль должен содержать символы трех из следующих четырех категорий: Прописные буквы AZ (латиница)

Какова минимальная длина пароля?

Популярные рекомендации, рекомендуемые сторонниками безопасности программного обеспечения, включают: Используйте пароль с минимальной длиной 20 символов или более, если это разрешено. Включите прописные и строчные буквы, цифры и символы, если это разрешено.

Где находится политика паролей домена по умолчанию?

Политика паролей учетных записей пользователей домена настроена в политике домена по умолчанию. Политика паролей находится в следующем разделе GPO: Конфигурация компьютера->Политики->Параметры Windows->Параметры безопасности->Политики учетных записей->Политика паролей; Дважды щелкните параметр политики, чтобы изменить его.

Как обеспечить сложность пароля?

Если вы хотите, чтобы пароль пользователя соответствовал требованиям к сложности пароля, найдите и дважды щелкните политику «Пароль должен соответствовать требованиям к сложности».Вышеупомянутое действие откроет окно настройки сложности пароля. Выберите переключатель «Включено» и нажмите «ОК», чтобы сохранить изменения.

Каковы требования к сложности рекламного слогана?

Пароль должен соответствовать требованиям сложности

Английские заглавные буквы (от A до Z) Английские строчные буквы (от a до z) 10 цифр (от 0 до 9) Неалфавитные символы (например, !, $ , #,%)

Какие символы можно использовать в паролях?

Пароли должны содержать символы трех из четырех типов:

  • Верхний регистр: AZ.& * () _- + = {[}] |:; "'<,>.?/
.

Как отключить требования к сложности пароля на сервере 2016.

Параметр политики «Пароль должен соответствовать требованиям сложности» в server 2016 указывает минимальные требования при изменении или создании паролей. Правила в требованиях к сложности пароля Windows Server являются частью файла Passfilt.dll и не могут быть изменены напрямую.

По умолчанию в Server 2016 пароли должны соответствовать следующим минимальным требованиям:

1.Пароли не должны содержать имя учетной записи пользователя или части полного имени пользователя, длина которых превышает два последовательных символа.
2. Пароли должны быть не менее семи символов.
3. Пароли должны содержать символы трех из следующих четырех категорий:

а. Английский верхний регистр (от А до Я)
б. Английский нижний регистр (от а до я)
В. Основные 10 цифр (от 0 до 9)
Г. Неалфавитные символы (например!, $, #,%)

В этом руководстве приведены инструкции по отключению требований к сложности пароля на автономном сервере 2016 или контроллере домена Active Directory 2016.

Как убрать требования к сложности пароля в Active Directory Server 2016 или Stand Alone Server 2016.

Часть 1. Как отключить требования к сложности пароля в Active Directory 2016.
Часть 2. Как отключить требования к сложности пароля на автономном сервере 2016.
Часть 1. Как отключить требования к сложности пароля в Active Directory Domain Server 2016.

Для устранения сложности пароля в Active Directory 2016.

1. В контроллере домена AD Server 2016 откройте Диспетчер сервера , а затем в Инструменты откройте Управление групповыми политиками. *

* Дополнительно перейдите в Панель управления -> Административные инструменты -> Управление групповыми политиками.

2. В разделе Domains выберите свой домен, затем щелкните правой кнопкой мыши в Default Domain Policy и выберите Edit .

3. Затем перейдите к:

  • Конфигурация компьютераПолитикиНастройки WindowsНастройки безопасностиНастройки учетных записейПолитика паролей

4. На правой панели дважды щелкните Пароль должен соответствовать требованиям сложности .

5. Выберите Определите этот параметр политики: Отключено , а затем нажмите OK .

6. Наконец, откройте командную строку от имени администратора и введите следующую команду, чтобы обновить групповую политику.

Часть 2. Как отключить требования к сложности пароля на автономном сервере 2016.

1. В диспетчере серверов перейдите в Инструменты и откройте Локальная политика безопасности или (дополнительно) перейдите в Панель управления откройте Административные инструменты и затем откройте Локальная политика безопасности.

2. В разделе Параметры безопасности выберите Политика паролей .
3. На правой панели дважды щелкните Пароль должен соответствовать требованиям сложности .

4. Выберите Disabled и нажмите OK.

5. Наконец, откройте командную строку от имени администратора и введите следующую команду, чтобы обновить групповую политику.

Вот оно! Дайте мне знать, помогло ли вам это руководство, оставив комментарий о своем опыте. Поставьте лайк и поделитесь этим руководством, чтобы помочь другим.

.

Политика паролей для учетных записей Active Directory

Для поддержания высокого уровня безопасности учетных записей в домене Active Directory администратор должен настроить и внедрить политику паролей, обеспечивающую достаточную сложность, длину и частоту смены паролей для пользователей и учетных записей служб. Таким образом, вы можете усложнить злоумышленнику возможность подбора или перехвата паролей пользователей.

По умолчанию в домене AD единые требования к паролям пользователей настраиваются с помощью групповой политики.Политика паролей для учетных записей домена настраивается в политике Default Domain Policy .

  1. Чтобы настроить политику паролей, откройте консоль управления объектами групповой политики домена (консоль управления групповыми политиками — gpmc.msc).
  2. Разверните свой домен и найдите Политику Политика домена по умолчанию . Щелкните его правой кнопкой мыши и выберите Edit .
  3. Политику паролей можно найти в следующем разделе редактора GPO: Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики учетных записей -> Политика паролей (Конфигурация компьютера-> Параметры Windows-> Параметры безопасности -> Политики учетных записей -> Политика паролей).
  4. Чтобы изменить параметры нужной политики, дважды щелкните ее. Чтобы включить политику, установите флажок. Определите эти параметры политики и укажите необходимую настройку (в примере на скриншоте я установил минимальную длину пароля пользователя 8 символов). Сохранить изменения.
  5. Новые параметры политики паролей будут применяться ко всем компьютерам домена в фоновом режиме в течение периода времени (90 минут), пока компьютер загружается, или вы можете применить параметры немедленно, запустив gpupdate / force.

Теперь рассмотрим все параметры управления паролями, доступные для настройки. Всего существует шесть политик паролей:

  • Ведение журнала паролей (Принудительное использование истории паролей) — указывает количество старых паролей, хранящихся в AD, что предотвращает повторное использование пользователем старого пароля.
  • Максимальный срок действия пароля - указывает срок действия пароля в днях. По истечении этого периода система потребует от пользователя изменить пароль. Обеспечивает регулярную смену паролей для пользователей.
  • Минимальный срок действия пароля — Как часто пользователи могут менять свой пароль. Этот параметр не позволит пользователю изменить пароль несколько раз подряд, чтобы вернуться к любимому старому паролю, заменив пароль в журнале истории паролей. Как правило, здесь имеет смысл оставлять 1 день, чтобы пользователь мог сам сменить пароль в случае его компрометации (иначе администратору придется сменить пароль).
  • Минимальная длина пароля - Не рекомендуется, чтобы пароль был короче 8 символов (если вы введете здесь 0, пароль не требуется).
  • Пароль должен соответствовать требованиям сложности — при включении данной политики пользователь не может использовать в пароле имя своей учетной записи (не более двух символов в строке от имени пользователя или имени), пароль также должен содержать 3 типы символов из списка ниже: цифры (0-9), прописные буквы, строчные буквы, специальные символы ($, #,% и т. д.). Кроме того, для исключения использования простых паролей (из словаря популярных паролей) рекомендуется периодически проверять пароли доменных учетных записей.
  • Хранить пароли с помощью обратимого шифрования — Пароли пользователей в базе данных AD хранятся в зашифрованном виде, но в некоторых случаях некоторым приложениям требуется доступ к паролям домена.Когда эта политика включена, пароли хранятся в менее защищенной форме (по сути, открытой), что опасно (вы можете получить доступ к базе паролей при компрометации контроллера домена, вы можете использовать RODC как одну из ваших мер безопасности).

Кроме того, в настройках в разделе GPO необходимо отметить отдельно: Политика блокировки учетной записи :

  • Порог блокировки учетной записи - сколько попыток ввода неправильного пароля может быть сделано пользователем перед его учетной записью заблокирован.
  • Время блокировки учетной записи - сколько времени требуется для блокировки учетной записи (блокировки доступа), если пользователь повторно ввел неверный пароль?.
  • Время сброса счетчика блокировки учетной записи после - Через сколько минут после ввода последнего неправильного пароля счетчик порога блокировки учетной записи будет сброшен. Если ваши учетные записи блокируются слишком часто, вы можете найти источник блокировки.

По умолчанию AD Домен Пароль Пароль Настройки политики перечислены в таблице:

По умолчанию По умолчанию
Обеспечение паролей 24 Пароли
Максимальный пароль Возраст 42 дня
Минимальный пароль Возраст 1 день
Минимальный пароль Длина
7
Пароль должен соответствовать сложности включен
Пароли магазина с использованием обратимого шифрования OFF
разблокировки блокировки Count не указано
0
0
сброс счетов счета отсчитается после не указан
Вы можете проверить текущие параметры политики политики объявлений на любом компьютере в домене, используя команда gpre сульт

На домен может быть только одна такая политика паролей, которая применяется к корню домена (есть нюансы конечно, но о них ниже). Если вы примените политику паролей к организационному подразделению, ее настройки будут проигнорированы. Контроллер домена, владелец роли эмулятора PDM FSMO, отвечает за управление политикой паролей домена. Политика применяется к компьютерам в домене, а не к пользователям. У вас должен быть администратор домена, чтобы изменить параметры политики домена по умолчанию.

Параметры групповой политики управления паролями применяются ко всем пользователям и компьютерам в домене. Если вы хотите создать отдельные политики паролей для разных групп пользователей, вам необходимо использовать отдельную функцию Подробная политика паролей, которая появилась в AD Windows Server 2008. Подробная политика паролей позволяет, например, указать повышенную длину или сложность паролей для учетные записи администратора (см. статью о защите административных учетных записей в AD) или наоборот, упростить (отключить) пароль для некоторых учетных записей.

В рабочей группе политику паролей придется настраивать на каждом компьютере отдельно с помощью локального редактора GPO - gpedit.msc, либо можно таким способом перенести локальные настройки GPO между компьютерами. .

невозможно обновить сообщение о пароле в Windows 10

Решение 4. Отключите требования к сложности пароля

Как мы уже упоминали, иногда появляется сообщение Не удалось обновить пароль, если пароль не соответствует стандартам безопасности. Эта политика применяется с помощью параметров групповой политики, и вы можете легко отключить ее, если хотите.

Помните, что отключение этой политики в сети может сделать ее более уязвимой. С другой стороны, если вы не являетесь сетевым администратором и просто хотите отключить эту политику на своем компьютере, вы можете сделать это, выполнив следующие действия:

  1. Откройте Редактор групповой политики .
  2. На левой панели перейдите к Конфигурация компьютера> Параметры Windows> Параметры безопасности> Политики учетных записей> Политика паролей . На правой панели дважды щелкните значок . Пароль должен соответствовать требованиям сложности .
  3. Установите для этого правила значение Disabled и нажмите Apply и good , чтобы сохранить изменения.

Если эта политика отключена, вы сможете установить любой пароль, независимо от сложности.Это не лучшая политика безопасности, но если у вас есть только один компьютер в сети, вы можете отключить ее. Даже если эта политика отключена, все равно рекомендуется использовать трудно угадываемый пароль, чтобы оставаться в безопасности.

Решение 5. Убедитесь, что параметр «Изменить пароль при следующем входе в систему» ​​включен. Изменить пароль при следующем входе в систему опция.

Несколько пользователей сообщили, что это решение сработало для них, но иногда эта функция может оставить вас на экране входа в систему с тем же сообщением об ошибке, что и раньше. Чтобы быть в безопасности, убедитесь, что у вас есть доступ к безопасному режиму или у вас есть другая учетная запись администратора, которую вы можете использовать для отключения этой функции, если что-то пойдет не так.

Чтобы включить эту функцию, выполните следующие действия:

  1. Нажмите Windows Key + R и введите lusrmgr.msc . Теперь нажмите Введите или нажмите штраф .
  2. На левой панели выберите Users . На правой панели дважды щелкните учетную запись, пароль которой вы хотите изменить.
  3. Отменить выбор Срок действия пароля не ограничен вариант. Теперь проверьте Пользователь должен изменить пароль при следующем входе в систему . Нажмите Использовать и исправить , чтобы сохранить изменения.

После этого вам нужно будет изменить свой пароль, как только вы попытаетесь войти в выбранную учетную запись.Если вы не можете изменить свой пароль на экране входа в систему, вы должны либо войти в безопасный режим, либо использовать другую учетную запись, чтобы отменить эти изменения.

  • Решение 6. Попробуйте изменить пароль из командной строки

    Если другие методы не сработали, и вы по-прежнему не можете обновить сообщение с паролем, вы можете решить проблему, попытавшись изменить пароль с помощью командной строки.

    В командной строке есть команда, которая позволяет легко управлять учетными записями пользователей, и мы будем использовать ее для смены пароля учетной записи.Для этого выполните следующие действия:

    1. нажмите Клавиша Windows + X , чтобы открыть меню Win + X. Вы также можете открыть это меню, щелкнув правой кнопкой мыши кнопку «Пуск» .
    2. При отображении меню выберите Командная строка (администратор) из списка. Если командная строка недоступна, вы также используете PowerShell (администратор) .
    3. Введите имя пользователя сети * и нажмите Введите .Конечно, не забудьте заменить имя пользователя на соответствующее имя пользователя. Теперь вам будет предложено ввести новый пароль дважды.

    После этого пароль должен быть успешно изменен.

    Решение 7. Установите последние обновления

    Иногда появляется сообщение Не удалось обновить пароль, если у вас не установлены последние обновления. В системе может быть ошибка или неисправность, которая может привести к появлению этой ошибки.

    Лучший способ справиться с ошибками и сбоями — поддерживать систему в актуальном состоянии, и, говоря об обновлениях, Windows 10 обычно устанавливает отсутствующие обновления автоматически. Вы также можете проверить наличие обновлений вручную, выполнив следующие действия:

    1. Откройте приложение Settings . Чтобы сделать это быстро, просто нажмите Windows Key + I . После открытия приложения «Настройки» перейдите в раздел Update Security .
    2. Нажмите кнопку Проверить наличие обновлений . Теперь Windows проверит наличие доступных обновлений и загрузит их в фоновом режиме.

    После установки обновления проверьте, сохраняется ли проблема.

    Сообщение о невозможности обновления пароля может раздражать, но обычно это сообщение вызвано вашей политикой безопасности. Чтобы решить эту проблему, убедитесь, что пароль соответствует критериям безопасности, или отключите определенные политики безопасности.

.90 000 1.2. Настройки пароля

После выбора опции Настройки пароля появится окно, в котором пользователь сможет определить требования к сложности пароля для всех пользователей системы:

Рис. 1. Настройки пароля

Варианты установки пароля:

  • Пароль должен соответствовать требованиям сложности — это параметр безопасности, который определяет, что должен указать пользователь для обеспечения надлежащей защиты.Опция включена по умолчанию и недоступна для редактирования. Вводимый пользователем пароль должен содержать символы трех из четырех категорий:
    1. Заглавные буквы латинского алфавита (от А до Я).
    2. Строчные буквы латинского алфавита (от a до z).
    3. Цифры десятичной системы (от 0 до 9).
    4. Небуквенные символы (например, !, $, #,%).
  • Максимальный срок действия пароля (дни) - количество дней действия пароля.Можно ввести от 1 до 999 дней или 0 - чтобы срок действия пароля не истекал. Рекомендуется, чтобы срок действия паролей истекал от 30 до 60 дней, в зависимости от вашей среды.
  • Минимальная длина пароля — минимальное количество символов, которое может содержать пароль. Вы можете установить значения от 6 до 14.
  • Минимальный срок действия пароля (дни) — введенное число указывает количество дней, в течение которых можно использовать пароль, прежде чем система предложит вам изменить его.Минимальный срок действия пароля должен быть меньше максимального срока действия пароля. Если максимальный период равен 0, минимальный период может быть любым значением от 0 до 998 дней. Рекомендуется, чтобы срок действия паролей истекал от 30 до 60 дней, в зависимости от вашей среды.
  • Принудительное создание истории паролей — введенное число указывает количество уникальных паролей, которые должны быть связаны с учетной записью пользователя, прежде чем можно будет повторно использовать старый пароль.Введенное значение должно находиться в диапазоне от 0 до 24 паролей. Введя, например, 0 - система не будет заставлять пользователей вводить новый, другой пароль. С помощью этой опции администраторы могут ограничить использование старых паролей системными пользователями и, таким образом, повысить уровень безопасности.

Для каждой опции создается описание, которое будет отображаться после перемещения курсора в указанную позицию, например:

Рис. 2. Описание функций

После внесения изменений необходимо нажать кнопку Применить настройки.Введенные критерии сложности пароля потребуются при следующем изменении пароля или создании нового.

.

Всесторонне о паролях | CERT Польша

Пароли — широко используемый, простой и известный способ защиты доступа к конфиденциальным данным и сервисам. Однако для того, чтобы они эффективно работали, их необходимо правильно создавать и применять, в том числе адаптированные к текущим техническим и организационным требованиям. Устройства меняются, появляются новые сервисы, проверяются существующие знания об эффективности процедур аутентификации. Отсюда необходимость обновления рекомендаций для пользователей и организаций, прежде всего в области создания и использования паролей и разработки процедур входа в систему.За последние несколько лет были изменены давно действующие рекомендации, в том числе необходимость циклической, профилактической смены пароля или использования для его усиления специальных символов и цифр. Однако во многих организациях эти процедуры все еще используются, что негативно сказывается на безопасности польских учреждений и пользователей. Ниже мы представляем рекомендации CERT Polska, направленные на систематизацию и обновление знаний по этому вопросу и представление методов аутентификации и защиты доступа, отличных от самого пароля. Данные рекомендации основаны на экспертных знаниях и учитывают опыт, накопленный за последние годы.

Аутентификация

Безопасный доступ к информации, предназначенной для определенной группы людей, всегда требует проверки того, что лицо, запрашивающее доступ, является тем, за кого себя выдает. Мы называем процесс подтверждения вашей личности аутентификацией , . Чаще всего требуется передача и проверка т.н. секрет. Это может быть, например, пароль или PIN-код.Важнейшим признаком секрета является его секретность - он должен быть известен только уполномоченным лицам. Это технически простой механизм, но он имеет некоторые недостатки. Стремительное развитие технологий и перенос все большей части нашей жизни в цифровую сферу привели к значительному увеличению количества систем, в которых нам приходится регулярно аутентифицировать себя. В результате запоминание надежных уникальных паролей для каждого из них может быть проблематичным или даже невозможным. Различные механизмы и технологии могут помочь сделать это проще.

Менеджеры паролей

Одним из инструментов, помогающих пользователям работать с большим количеством учетных записей и связанных с ними паролей, являются программы управления паролями, широко известные как менеджеры паролей. Решений такого типа множество — от инструментов, встроенных в браузер, до решений, работающих в облаке. Эти программы предназначены для обеспечения безопасности ваших паролей, чтобы вам не приходилось их запоминать. Они также позволяют вам генерировать пароли и часто позволяют вам автоматически вводить свой пароль, когда вам нужно аутентифицировать себя.Наиболее распространенным примером менеджера паролей является встроенный в веб-браузер. Это решение довольно часто используется и позволяет повысить надежность паролей с небольшими затратами. Однако существует некоторый риск потери доступа к данным, хранящимся в менеджере паролей. Это может произойти, например, в случае сбоя или потери оборудования. Если мы не позаботились о резервном копировании, для восстановления доступа к нескольким учетным записям может потребоваться пройти процедуру восстановления учетной записи у поставщиков услуг.Этот риск ниже в случае облачных решений, поскольку данные не хранятся непосредственно на нашем устройстве.

Поставщики удостоверений

Еще одним решением для разгрузки пользователей являются технологии, называемые «поставщиками удостоверений». Это механизмы, которые позволяют создать единое место для управления идентификацией и делиться ими с другими службами с целью аутентификации пользователей. Примером такого механизма является единый вход (SSO), широко используемый в корпоративной среде.Это позволяет нам делегировать учетную запись пользователя из одного места, чтобы другие службы могли распознавать и аутентифицировать нас. Аналогичным решением является использование механизма OAuth для обмена идентификационной информацией с внешними службами. В настоящее время это очень популярное решение, благодаря которому мы можем, например, войти на платформу музыкального провайдера, используя учетную запись в социальной сети. Таким образом, пользователь получает доступ ко многим услугам, используя только один пароль, который подтверждает его личность с провайдером.

Биометрия

Биометрия — это метод аутентификации, который использует «то, что вы есть» в качестве проверенного фактора. Наиболее часто в этой области используются отпечатки пальцев, сканирование лица или изображение радужной оболочки глаза. Высокая доступность биометрических устройств в телефонах и персональных компьютерах, их удобство и зрелость, достигнутая этой технологией в потребительском оборудовании после многих лет совершенствования, делают ее удобной и часто безопасной формой аутентификации.Однако не все системы и устройства позволяют проводить аутентификацию по этой технологии, и не везде это лучшее решение.

Двухфакторная аутентификация

Аутентификация пользователей разделена на 3 группы в соответствии с проверяемым фактором. Следующие пункты могут быть проверены:

  • То, что вы знаете, например, пароль или PIN-код
  • Что-то, что у вас есть, например аппаратный токен, телефон, смарт-карта
  • То, чем вы являетесь, например, отпечаток пальца или сканирование радужной оболочки глаза

Метод двухфакторной аутентификации проверяет два из трех элементов, указанных выше.Самая распространенная комбинация — это пароль (что-то, что вы знаете) плюс один фактор из одной из других групп. Второй компонент обеспечивает дополнительный уровень безопасности. Вторым обычно используемым ингредиентом является, среди прочего, SMS-коды, коды, сгенерированные аппаратным токеном, или подтверждение операции в соответствующим образом настроенном приложении. Использование этого решения не позволяет злоумышленнику, получившему наш логин и пароль, пройти аутентификацию в сервисе, если он не получит и второй компонент.

Политика паролей

Рекомендации, содержащиеся в этом документе, основаны на текущих международных публикациях, таких как NIST Digital Identity Guidelines или материалах, опубликованных ФБР в рамках кампании Protected Voices, а также на наблюдениях и опыте CERT Polska, построенных в ходе собственного исследования. и обработка многочисленных инцидентов безопасности. Полный список использованных источников и использованных материалов можно найти в конце этой статьи.

Рекомендации CERT Polska

Рекомендуемые требования к политике паролей представлены ниже.Полные технические требования к ИТ-системам, требующим контроля доступа пользователей и позволяющим аутентификацию по паролю, представлены в отдельном документе.

  • Нет периодической принудительной смены паролей пользователей 1
  • Блокировка создания пароля из списка слабых/часто используемых паролей 2
  • Блокировка пароля с предсказуемыми элементами (например, название компании, служба)
  • Минимальная длина пароля - не менее 12 символов 3
  • Лимит символов в пароле не менее 64 символов
  • Нет дополнительных критериев сложности, т.е.специальные символы, цифры или буквы верхнего регистра

Ad.1 : 6 февраля 2019 г., Постановления Министра внутренних дел и администрации от 29 апреля 2004 г. о документации обработки персональных данных и технических и организационных условиях, которым должны соответствовать устройства и ИТ-системы. для обработки персональных данных отменен , требующий периодической смены пароля в системах, обрабатывающих персональные данные. Подробнее по ссылке: https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=wdu20041001024

Объявление. 2 : CERT Polska публикует польскую версию словаря паролей, полученного в результате анализа данных, опубликованных в утечках. Он содержит набор примерно из миллиона самых популярных терминов, отсортированных в порядке убывания самых популярных. Он может использоваться системными администраторами для реализации политики паролей в соответствии с рекомендациями.

Объявление. 3 : Минимальная длина пароля — 12 символов. CERT Polska рекомендует устанавливать более длинные пароли, построенные на основе всего предложения.Дополнительные сведения о создании паролей см. в разделе Надежные и легко запоминающиеся пароли.

Обоснование рекомендации

Основное внимание уделяется длине пароля, а не его сложности, поскольку исследования показывают, что это гораздо более важный фактор безопасности пароля. От периодической смены пароля также отказались, потому что получающиеся в результате новые пароли обычно являются вариациями предыдущих, обычно составленными легко предсказуемым образом. Исследования показывают, что пользователи не могут вспомнить новый надежный пароль, например.каждый месяц. Вместо требований к сложности паролей основное внимание уделялось исключению очевидно простых, наиболее часто используемых, предсказуемых или утекших паролей. К этой группе относятся пароли, построенные, например, по простым шаблонам, а также по наиболее популярным именам, фразам или именам собственным. Фактически, все словари, используемые для взлома паролей, содержат пароли типа 123456, [email protected] или пароль в начале списка. Вы также должны включать легко предсказуемые компоненты пароля, такие как название компании или службы.Добавление этих элементов в пароль лишь незначительно повышает его безопасность. Например, пароль [email protected] CERT может считаться таким же слабым, как [email protected] при использовании сотрудником CERT Polska.

Пароли надежные и легко запоминающиеся

Надежный пароль можно создать разными способами. Самый очевидный из них — нарисовать очень длинную строку символов и использовать менеджер паролей для ее записи. Однако такой лозунг трудно запомнить человеку.Примером ситуации, когда необходим надежный, легко запоминающийся пароль, является пароль к базе данных менеджера паролей, или к учетной записи пользователя в операционной системе — когда у нас еще нет доступа к менеджеру.

Как создавать надежные пароли

Чтобы создать надежный пароль, который мы можем запомнить, можно использовать правило полных предложений . Следует избегать известных цитат или высказываний, но после модификации они могут послужить источником вдохновения. Пароль, созданный таким образом, должен состоять не менее чем из пяти слов.Например:

Wlazl Кубики Na Мост I Knock - это (то есть был, до того, как здесь был опубликован) надежный пароль, который легко запомнить.

Еще один метод, который стоит порекомендовать, это построение пароля из описания воображаемой сцены, образ которой легко запомнить и четко описать:

зеленый Парковка Для 3 Маленькие Самолеты - пример такого пароля. В то же время следует отметить, что сцена, которую описывает наш слоган, должна содержать какой-то нереалистичный или абстрактный элемент.Это связано с тем, что люди склонны использовать, видеть или приближаться к объектам, с которыми они недавно соприкасались, в качестве части воображаемого пароля. Это позволяет использовать меньший словарь при попытке взлома паролей, адаптируя его под конкретного человека или группу людей.

Еще одна идея для создания надежного пароля — использовать слова из нескольких языков. Пример такого пароля может быть:

.

Два белых летающих Сложные Кролики. Сила его в том, что попытки взлома паролей на основе целого предложения должны производиться методом словаря, а такие словари чаще всего содержат слова/фразы из одного языка.

Мы подготовили информационные плакаты, которые можно использовать для продвижения этого подхода к созданию паролей. Мы рекомендуем вам распечатать их и повесить в офисе.

На первый взгляд надежные пароли

Ранее часто используемые рекомендации по созданию паролей не приводили к созданию надежных паролей. На первый взгляд надежные пароли, такие как:

недостаточно сильны, чтобы противостоять атаке в случае утечки базы данных.В базах данных пароли обычно хранятся в защищенном виде — в виде хэша, но можно узнать их первоначальный вид. Схематичные и предсказуемые пароли легко «взломать» с помощью все более сложных инструментов, использующих словари и списки правил, изменяющих каждое слово в словаре. Такой подход к взлому защищенных паролей позволяет легко генерировать вышеуказанные пароли, даже если они не были полностью доступны в используемом словаре.И словари, и наборы правил общедоступны, а вычислительная мощность, необходимая для запуска эффективной атаки, относительно невелика. Время, необходимое для этого, и стоимость такой операции ничтожно малы.

Пример:

Приведенные выше пароли являются примерами паролей, взломанных во время внутреннего тестирования. Сотрудников CERT Polska попросили сгенерировать вероятные пароли и защитить их с помощью устаревшего алгоритма SHA1 .Взлом паролей выше занял менее 5 минут.

С другой стороны, в случае достаточно длинных паролей, построенных в соответствии с представленными ранее рекомендациями, потребность в использовании вычислительных мощностей, а также время и стоимость атаки многократно возрастают.

ПРИМЕЧАНИЕ!

Насколько нам известно, в настоящее время нет общедоступного инструмента или метода, позволяющего эффективно атаковать пароли, построенные в соответствии с представленными ранее рекомендациями.Теоретическая, оптимально проведенная атака на примере пароля WlazlKostekNaMostekIS Art , защищенного устаревшим алгоритмом SHA1 , займет не менее сотни лет. Конечно, с момента публикации в этой статье его значение как секрета ничтожно мало.

Резюме

Правильный подход к политике паролей, а также к их созданию и управлению является серьезной проблемой для администраторов и пользователей ИТ-систем.В этом документе представлены и обсуждаются рекомендации, которым должны соответствовать системы, чтобы обеспечить надлежащий уровень безопасности паролей пользователей. Кроме того, есть советы по созданию надежных паролей и управлению ими, а также примеры технологических решений, упрощающих этот процесс. Также было обращено внимание на устаревшие рекомендации и их негативное влияние на безопасность. На примере, казалось бы, надежных паролей видно, как небольшие финансовые затраты в сочетании со стандартными методами представляют собой реальную угрозу в случае утечки недостаточно защищенных и недостаточно надежных паролей.

Артикул:

.

Смотрите также

Только новые статьи

Введите свой e-mail

Видео-курс

Blender для новичков

Ваше имя:Ваш E-Mail: