Одні з найбільш важливих політик безпеки Windows, знайомі кожному адміністратору Windows, - політики паролів. Ці політики дозволяють призначити вимоги до якості паролів (наприклад, мінімальну довжину і максимальний вік пароля) локальних і доменних облікових записів користувача. Як відомо, у політик паролів Windows Server 2003 і Windows Server 2000 є ряд істотних обмежень. Далі в статті роз'яснюються ці обмеження і способи використання політик паролів Server 2008. На момент підготовки статті компанія Microsoft випустила Server 2008 Release Candidate 0 (RC0) і готує до виходу в світ остаточну версію.

гнучке рішення

Істотне обмеження політик паролів в Windows 2003 і Windows 2000 полягає в тому, що адміністратори можуть визначити лише одну політику паролів, яка застосовується до всіх облікових записів користувачів в домені. Глобальну доменну політику паролів можна задати параметрами Password Policy об'єкта групової політики (GPO) Default Domain Policy або з будь-якого іншого GPO, пов'язаного з об'єктом домену Active Directory (AD). Для доступу до інтерфейсу налаштування політик паролів слід звернутися до GPO-контейнеру Computer ConfigurationWindows SettingsSecurity SettingsAccount Policies. В об'єктах GPO можна визначати різні політики паролів і пов'язувати їх з організаційними одиницями (OU) AD або обліковими записами комп'ютерів, але політики паролів не застосовуються до облікових записів в домені. Вони застосовуються до локальних облікових записів, певним в базах даних безпеки облікових записів комп'ютерів, на які впливають об'єкти GPO.

Часто компанії висувають особливі вимоги до якості паролів певних категорій облікових записів домену. Типовий приклад - різні політики паролів для облікових записів адміністраторів і рядових користувачів. Логіка безпеки проста: облікові записи адміністраторів мають більше прав, ніж облікові записи простих користувачів, тому до адміністратора природно застосувати більш сувору перевірку справжності, ніж до звичайного співробітнику. Інший спосіб підвищити надійність перевірки - ввести для облікових записів адміністраторів реєстрацію за допомогою смарт-карт.

У Windows 2003 і Windows 2000 застосовується два обхідних прийому для компаній, яким потрібно визначити різні політики паролів в одному домені, хоча обидва способи досить складні. Один з них - розгорнути окремі домени для кожної категорії облікових записів, якій призначається спеціальний пароль. Інший обхідний прийом - підготувати спеціальну DLL-бібліотеку «фільтрації паролів» і розгорнути її на всіх контролерах домену (DC). Другий варіант застосовується рідко, так як він ще більш трудомісткий, ніж перший.

У Server 2008 проблема вирішена завдяки детальним політикам паролів, які дозволяють адміністраторам визначити різні політики паролів для різних категорій облікових записів в одному домені. Нову деталізовану функціональність можна застосовувати тільки до облікових записів домену, але не до локальних облікових записів.

Така ж функціональність з'явилася в Server 2008 для політик блокування облікових записів, які в попередніх версіях Windows Server мали ті ж обмеження (можна визначити лише одну політику блокування для всіх облікових записів домену). Політики блокування облікових записів гарантують, що облікові записи користувачів автоматично стають недоступні, якщо користувач певне число раз вводить невірний пароль. Налаштовуючи політику блокування облікових записів, адміністратор повинен визначити поріг для невірних паролів.

Налаштування деталізованих політик паролів

Налаштування деталізованих політик паролів Server 2008 докорінно відрізняється від визначення звичайної політики паролів доменної або локального облікового запису в попередніх версіях Windows (описаних раніше). Не можна використовувати налаштування GPO для деталізованих політик паролів, так як тут застосовується інший (не на основі GPO) механізм для зберігання і застосування цих політик.

Деталізовані політики паролів Server 2008 зберігаються в новому контейнері AD, іменованому AD Password Settings Container, який знаходиться в контейнері System контексту іменування домену AD. Щоб визначити нову деталізовану політику паролів, необхідно створити в цьому контейнері новий об'єкт AD класу msDS-PasswordSettings. У документації Microsoft об'єкти цього класу іменуються об'єктами налаштувань пароля (Password Settings object, PSO). За замовчуванням тільки члени групи Domain Admins можуть створювати об'єкти PSO, так як тільки члени цієї групи мають дозволу AD Create Child і Delete Child в контейнері Password Settings. Інструменти, використовувані для створення і налаштування об'єктів PSO, будуть розглянуті нижче.

Щоб застосувати підготовлені об'єкти PSO, необхідно пов'язати PSO з об'єктом користувача або групи AD. Для цього не потрібно дозволів власне в об'єкті AD; досить дозволу записи в об'єкті PSO. За замовчуванням цей дозвіл мають лише члени групи Domain Admins. Тому тільки члени групи Domain Admins можуть зв'язати об'єкт PSO з групою або користувачем, хоча, звичайно, дозволу можна делегувати іншим адміністраторам.

В таблиці приведена зведення атрибутів, пов'язаних з об'єктами PSO в Windows Server 2008. Зверніть увагу, що в об'єкті PSO можуть зберігатися не тільки настройки політики паролів, але і налаштування політики блокування облікових записів. Пам'ятайте, що Server 2008 підтримує деталізовані як політики паролів, так і блокування облікових записів. Два важливих атрибута PSO - msDS-PSOAppliesTo і msDS-PasswordSettingsPrecedence.

PSOAppliesTo - атрибут з багатьма значеннями, який визначає, до яких облікових записів користувачів або груп AD прив'язаний об'єкт PSO. Хоча політики паролів і блокування облікових записів можуть бути пов'язані з будь-яким об'єктом користувача, групи або комп'ютера AD або організаційною одиницею (OU), об'єкти PSO діють тільки для облікових записів користувачів і глобальних груп, з якими вони пов'язані. Крім того, об'єкти PSO діють тільки в тому випадку, якщо домен AD знаходиться на власному функціональному рівні Windows Server 2008, т. Е. Все контролери домену (DC) в домені повинні працювати з Windows Server 2008.

Атрибут msDS-PasswordSettingsPrecedence об'єкта PSO містить цілочисельне значення, яке використовується для усунення конфліктів при застосуванні декількох об'єктів PSO до об'єкта користувача або групи. Мале значення msDS-PasswordSettings Precedence вказує, що пріоритет даного об'єкта PSO вище, ніж у інших PSO. Наприклад, якщо з об'єктом користувача пов'язані два об'єкти PSO, один із значенням msDS-PasswordSettings Precedence, рівним 10, а інший зі значенням 40, то об'єкт PSO зі значенням атрибута 10 (меншим) має більш високий ранг і буде застосований до об'єкта користувача. Якщо з групою або користувачем пов'язано кілька об'єктів PSO, то Windows Server 2008 вибирає PSO за наступними критеріями.

• Об'єкт PSO, пов'язаний безпосередньо з об'єктом користувача, є результуючим PSO. Якщо більше одного PSO безпосередньо пов'язані з об'єктом користувача, то результуючим буде об'єкт PSO з найменшим значенням msDS-PasswordSettingsPrecedence.

• Якщо з об'єктом користувача не пов'язане ні одного PSO, але об'єкти PSO пов'язані з глобальними групами, в які входить користувач, то Windows Server 2008 порівнює значення msDS-PasswordSettingsPrecedence різних об'єктів PSO глобальних груп. І знову результуючим буде об'єкт PSO з найменшим значенням msDS-PasswordSettingsPrecedence.

• Якщо за цими умовами не вдається визначити об'єкт PSO, то застосовується традиційна політика домену за замовчуванням.

Щоб адміністратори могли без праці визначити об'єкт PSO, в кінцевому підсумку застосовується до користувача, компанія Microsoft доповнила кожен об'єкт користувача AD новим атрибутом msDS-ResultantPSO. Цей атрибут містить складене ім'я (DN) об'єкта PSO, застосованого до даного користувачеві.

Інструменти створення і налаштування об'єктів PSO

Компанія Microsoft не планує випуск інструменту з графічним інтерфейсом або оснащення консолі Microsoft Management Console (MMC) для настройки деталізованих політик в першому випуску Windows Server 2008. Однак можна використовувати існуючі інструменти запитів LDAP, такі як LDP або LDIFDE, або оснащення ADSI Edit консолі MMC, щоб визначити і налаштувати об'єкти PSO. Ці інструменти доступні в будь-яку установку AD в Windows Server 2008. Незважаючи на складність цих трьох інструментів, досвідчені адміністратори AD зможуть без проблем призначати з їх допомогою нові політики паролів.

Початківці адміністратори AD або досвідчені фахівці, які бажають спростити завдання, можуть скористатися інструментом командного рядка Джо Річардса, psomgr.exe або програмою Specops Password Policy фірми Special Operations Software. Завдяки Specops Password Policy можна використовувати спеціальне оснащення MMC для настройки об'єктів PSO з графічного інтерфейсу Windows. Обидва інструменти приховують складність AD за деталізованими політиками паролів і суттєво спрощують їх налаштування. Інструмент PSOMgr можна завантажити за адресою www.joeware.net/freetools/tools/psomgr . Повнофункціональна комерційна версія Specops Password Policy опублікована за адресою www.specopssoft.com/products/specopspasswordpolicy ; безкоштовну версію з обмеженими можливостями, Specops Password Policy Basic, можна отримати за адресою www.specopssoft.com/wiki/index.php/specopspasswordpolicybasic . Повнофункціональна версія розширює звичайну політику паролів Windows, доповнюючи її такими можливостями, як заборона використання в паролі імен користувачів і певних слів і може автоматично повідомляти про закінчення терміну дії пароля по електронній пошті.

Щоб застосувати ADSI Edit для визначення нового об'єкта PSO, необхідно запустити ADSI Edit і підключитися до домену, в якому належить визначити деталізовану політику паролів. Потім потрібно перейти до контейнера SystemPassword Policy Settings. Клацніть на контейнері правою кнопкою миші і виберіть New, Object. У діалоговому вікні Create Object (екран 1) виберіть клас об'єкта msDSPasswordSettings і введіть потрібний пароль і значення політики блокування облікових записів для різних атрибутів PSO.

Щоб застосувати LDP для визначення нового об'єкта PSO, необхідно ініціювати кілька команд LDAP з інтерфейсу LDP. Додаткові відомості про використання LDP см. В статті Microsoft «Using Ldp.exe to Find Data in the Active Directory» за адресою support.microsoft.com/kb/224543 . Перш ніж застосувати утиліту командного рядка LDIFDE, щоб визначити новий PSO, необхідно створити файл конфігурації LDF, який задає різні атрибути PSO. Інформацію щодо використання LDIFDE можна знайти в статті Microsoft «Using LDIFDE to import and export directory objects to Active Directory» за адресою support.microsoft.com/kb/237677 . Більш докладні інструкції наведені в статті «Step-by-Step Guide for Fine-Grained Password and Account Lockout Policy Configuration» за адресою technet2.microsoft.com/windowsserver2008/en/library/2199dcf7-68fd-4315-87cc-ade35f8978ea1033.mspx?mfr=true .

При використанні версії ADSI Edit, що поставляється разом з Windows Server 2008 для визначення об'єктів PSO, потрібно ввести чотири тимчасових атрибута PSO (msDS-MaximumPasswordAge, msDS-MinimumPasswordAge, msDS-LockoutObservationWindow і msDS-LockoutDuration) в форматі дні: годинник: хвилини: секунди. Наприклад, щоб задати максимальний термін дії пароля 40 днів, потрібно вказати термін 40: 00: 00: 00. При використанні команди ldifde або старої (попередньої Server 2008) версії ADSI Edit для створення об'єктів PSO необхідно вводити значення цих атрибутів у форматі I8 (цілочисельне уявлення в 8 байт). Час в форматі I8 зберігається в інтервалах -100 нс. Це означає, що при використанні LDIFDE або старої версії ADSI Edit для присвоєння атрибутам PSO значень потрібно перетворити час в хвилинах, годинах і днях під час в інтервалах в 100 нс, а потім поставити перед одержаним значенням знак «мінус» (-).

Формат I8 використовувати незручно, тому рекомендується визначати об'єкти PSO за допомогою версії ADSI Edit для Server 2008, PSOMgr або Specops Password Policy. У статті Microsoft «Step-by-Step Guide for Fine-Grained Password and Account Lockout Policy Configuration» ( technet2.microsoft.com/windowsserver2008/en/library/2199dcf7-68fd-4315-87cc-ade35f8978ea1033.mspx?mfr=true ) Наведено більш докладне пояснення перетворення I8.

Поряд з використанням ADSI Edit, LDP, LDIFDE, PSOMgr або Specops Password Policy, для прив'язки об'єктів PSO до користувачів або глобальним групам можна задіяти оснащення Active Directory Users and Computers консолі MMC. Щоб зв'язати PSO з користувачем або групою з цієї оснастки, слід відкрити оснастку і перевірити, активізовано чи уявлення Advanced Features. Щоб включити його, скористайтеся розділом Advanced Features в меню View. Потім потрібно відкрити контейнер Passwords Settings в контейнері System, натиснути правою кнопкою миші на PSO, який належить прив'язати, і вибрати пункт Properties. У діалоговому вікні Properties слід вибрати вкладку Attribute Editor, атрибут msDS-PSOAppliesTo і клацнути на кнопці Edit. Нарешті, в вікні Edit (екран 2) необхідно ввести складене ім'я користувача або групи, яке можна отримати з оснащення Active Directory Users and Computers. В області подробиць оснащення клацніть правою кнопкою миші на імені користувача або глобальної групи безпеки, виберіть пункт Properties, вкладку Attribute Editor і подивіться значення атрибута distinguishedName користувача або групи в списку Attributes.

цінний додаток

Деталізовані політики паролів і блокування облікових записів Server 2008 - цінний додаток до набору засобів управління безпекою Windows. Хоча в першому випуску Server 2008 визначити і налаштувати ці політики непросто (настійно рекомендується використовувати інструмент PSOMgr або Specops Password Policy), політики значно підвищують гнучкість управління. Наприклад, завдяки детальним політикам паролів Server 2008 відпадає необхідність в розгортанні додаткових доменів Windows або проектуванні спеціальних фільтрів паролів.

Жан де Клерк ( [email protected] ) - член Security Office корпорації HP. Спеціалізується на проблемах управління ідентичністю і питаннях безпеки продуктів Microsoft

Використання політик паролів Server 2008

Крок 1. Політики паролів Windows Server 2003 і Windows Server 2000 дозволяють адміністраторам визначити тільки одну політику паролів, яка застосовується до всіх облікових записів користувачів в домені.

Крок 2. У Windows Server 2008 з'явилися деталізовані політики паролів, за допомогою яких адміністратор може визначити різні політики паролів для різних категорій облікових записів в одному домені.

Крок 3. Необхідно створити об'єкти Password Settings (PSO), щоб визначити нові деталізовані політики паролів.

Крок 4. Щоб визначити і налаштувати створені об'єкти PSO, слід використовувати інструмент запитів LDAP (наприклад, LDP, LDIFDE, ADSI Edit), PSOMgr або Specops.