Co można zrobić, aby zwiększyć bezpieczeństwo haseł.
Wstęp
Podobnie jak w przypadku sieciowego systemu operacyjnego, najważniejszą częścią zabezpieczeń jest nazwa użytkownika oraz hasło. Istnieją domyślnie utworzeni użytkownicy (jak np. Administrator i Gość), którzy mają hasła powiązane ze swoimi kontami. W momencie, gdy użytkownik próbuje uzyskać uwierzytelnienie lub dostęp do zasobów, wymagane jest podanie hasła do konta użytkownika. Teraz, dzięki Bogu, domena Windows Server 2003 (i nowsza) domyślnie wymaga hasła. Hasło to powinno być chronione na wszelkie sposoby ze względu na ryzyko przechwycenia, odgadnięcia, włamania lub określenia w inny sposób. Istnieje wiele sposobów ochrony haseł w systemie Windows, a ta seria artykułów omówi to, co można zrobić, aby zwiększyć bezpieczeństwo haseł. Po pierwsze, musimy zrozumieć, w jaki sposób hasło jest zakładane i kontrolowane, a następnie, jak może zostać zaatakowane, dzięki czemu możemy podjąć odpowiednie kroki, aby ochronić się przed powszechnymi atakami.
Hasła domyślne w systemie Windows
Gdy próbujesz zalogować się do domeny Active Directory, będziesz musiał wprowadzić trzy kluczowe elementy: nazwę użytkownika, hasło, nazwę domeny.
Kiedy informacja ta zostaje odebrana przez kontrolera domeny, jest analizowana pod kątem hasła dla danej nazwy użytkownika, wymienionej w bazie danych usługi Active Directory. Jeśli hasło pasuje, to kontroler domeny uwierzytelni użytkownika, dostarczając mu tokena uwierzytelniania, aby uzyskał dostęp do innych zasobów w sieci/domeny.
Gdy użytkownik próbuje zmienić hasło do swojego konta, informacja ta jest również przesyłana do kontrolera domeny. Gdy użytkownik wpisuje nowe hasło i zostaje ono przesłane do kontrolera domeny, pojawiają się od razu odpowiednie zasady, mające na celu zapewnienie, że hasło spełnia minimalne wymogi bezpieczeństwa. Kilka uwag dotyczących zasady haseł dla domeny (jak również domyślne dla wszystkich lokalnych kont użytkowników):
- Wymaganych jest przynajmniej 7 znaków dla hasła w systemie Windows (domeny Windows Server 2003 i późniejsze)
- Hasła muszą zawierać trzy z czterech następujących rodzajów znaków: duże litery, małe litery, cyfry, znaki specjalne ($!@*...)
- Nowe hasło musi zostać wygenerowane przed upływem 42 dni, aby konto pozostało aktywne
- Nowe hasło nie może być ponownie użyte zanim nie stworzy się 24 unikatowych haseł.
Wszystkie te ustawienia są ustalane w części GPO „Computer Configuration”, a wymienione są pod polityką haseł (Password Policy). Rysunek 1 pokazuje ustawienia dla konfiguracji polityki haseł.
Rysunek 1: ustawienia Polityki Haseł w GPO są zlokalizowane pod „Computer Configuration”, a nie pod „User Configuration”
Co kontroluje Politykę Haseł Domeny?
Jako długoletni dydaktyk w temacie bezpieczeństwa systemu Windows, od roku 1999 pracowałem z Active Directory i pokazywałem tysiącu specjalistów IT subtelnie punkty zabezpieczeń systemu Windows, w tym szczegóły dotyczące Polityki Haseł w systemie Windows. Bardzo ciekawe wydaje mi się to, że mimo iż Microsoft wypuścił Active Directory już ponad 9 lat temu, to niektórzy specjaliści IT nadal nie orientują się w jaki sposób kontrolowana jest polityka haseł i jakie są opcje do ich modyfikacji. Tak więc: oto rzeczywistość Polityki Haseł w systemie Windows oraz jej możliwości.
Po pierwsze, obiekt GPO Domyślnej Polityki Domeny kontroluje Polityki Haseł dla wszystkich komputerów w całej domenie. Tak, w tym kontrolery domeny, serwery i stacje robocze (które należą do domeny) dla całej domeny Active Directory. Domyślna Polityka Domeny jest podłączona do węzła domeny, który oczywiście obejmuje wszystkie komputery w domenie.
Po drugie, jakikolwiek obiekt GPO podłączony do domeny może być wykorzystany w celu ustalenia i kontroli ustawień polityki haseł. GPO musi tylko mieć najwyższy priorytet na poziomie domeny, co sprawi, że „wygra” w każdym konflikcie dotyczącym ustawień polityk haseł.
Po trzecie, jeżeli obiekt GPO jest powiązany z jednostką organizacyjną (organizational unit - OU), nie będzie kontrolował hasła dla kont użytkowników, które znajdują się w jednostce organizacyjnej. I to jest zdecydowanie najbardziej powszechny błąd, jaki popełniają specjaliści IT. Ustawienia polityk haseł NIE są oparte na użytkownikach, a raczej na komputerach, jak pokazano na rysunku 1 powyżej.
Po czwarte, jeżeli obiekt GPO jest powiązany z OU, ustawienia polityk haseł utworzonych w GPO będą miały wpływ na lokalnego Menedżera Zabezpieczeń Kont (SAM – Security Account Manager) na dowolnym komputerze, który znajduje się pod daną jednostką organizacyjną. Będzie to „atutem” dla ustawień polityk haseł skonfigurowanych w obiekcie GPO połączonego z domeną, ale tylko dla lokalnych kont użytkowników przechowywanych w lokalnych menedżerach SAM tych komputerów.
Po piąte, jeżeli obiekt GPO jest powiązany z domyślnymi kontrolerami domeny (Default Domain Controllers) jednostki organizacyjnej, nie będzie on kontrolował bazy danych usługi Active Directory użytkowników zapisanych na tych kontrolerach domeny. Jedyny sposób, aby zmodyfikować ustawienia polityk haseł dla kont użytkowników domeny znajduje się w obiekcie GPO, który jest podłączony do domeny (chyba, że używasz domen Windows Server 2008, w których można użyć szczegółowych polityk haseł).
Po szóste, LanManager (LM) jest w pełni obsługiwany w większości istniejących środowisk Windows Active Directory. LM jest bardzo starym protokołem uwierzytelniania z bardzo słabą ochroną hasła i z haszowaniem hasła, wygenerowanym do wspierania uwierzytelniania tego protokołu. Istnieją dwa ustawienia GPO (które są faktycznie ustawieniami Rejestru – registry settings), które kontrolują czy LM będzie obsługiwany i czy hasze LM będą przechowywane. W kolejnej części tej serii artykułów opiszę oba te ustawienia, dzięki czemu każdy będzie wiedział jak poprawnie skonfigurować te ustawienia i gdzie dokładnie je zrobić w obiekcie GPO.
Podsumowanie
Domyślne ustawienia polityki haseł w domenie Active Directory nie są straszne, ale można je poprawić. Ustawienia domyślne są konfigurowane i przechowywane w obiekcie GPO Domyślnej Polityki Domeny, który jest powiązany z węzłem domeny. Jeśli chodzi o domeny Windows 2000 i Server 2003, to należy pamiętać, że dla tych domen może być tylko jedna zasada haseł! Oznacza to, że wszyscy użytkownicy (specjaliści IT, programiści, kadra kierownicza, pracownicy HR, itp.) mają takie same ograniczenia zasad haseł. Jeżeli są one słabe dla jednej grupy użytkowników, to są słabe dla wszystkich użytkowników. Zmiany można wprowadzić w lokalnym Menedżerze Zabezpieczeń Kont (SAM) na serwerach i stacjach roboczych (nie na kontrolerach domeny) z obiektów GPO, które są powiązane z jednostkami organizacyjnymi, gdzie znajdują się konta komputerów w AD. Te ustawienia GPO kontrolują tylko konta użytkowników lokalnych, a nie konta użytkowników domeny. LM to stary, niebezpieczny oraz niegodny polecenia protokół uwierzytelniania i powinien być sprawdzony i wyłączony, jeżeli jest to możliwe. W następnym artykule z tej serii omówię nie tylko ochronę przed LM, ale i inne sposoby atakowania haseł w systemie Windows.
Źródło: www.windowsecurity.com |
