Jak sprawić, aby hasło w systemie Windows było wystarczająco mocne do rozwiązania problemów poruszonych w dwóch poprzednich częściach tej serii artykułów.
Wstęp
W pierwszych dwóch częściach tej serii artykułów ukazałem rzeczywistość polityki haseł w systemie Windows oraz sposób, w jaki jest ona kontrolowana w środowisku usługi Active Directory. Omówiłem miejsca, gdzie można znaleźć politykę haseł i ustawienia z nią związane, które są przechowywane dla usługi Active Directory. Jeśli sobie przypominasz, domyślnie znajdują się one w Default Domain Policy. Przeglądnąłem także technologie, wykorzystywane do łamania haseł Windowsa i opisałem ograniczenia każdego z ataków. Teraz chcę omówić sposób, w jaki można sprawić, że hasło w systemie Windows będzie bardziej bezpieczne, co rozwiąże wszystkie problemy, które zostały poruszone w dwóch pierwszych częściach tej serii. Omówię również możliwości, związane z domyślną instalacją usługi Active Directory w systemach Windows 2000/2003/2008, jak również inne technologie, które są dostępne, a służą do zwiększenia ogólnego bezpieczeństwa hasła.
Po kolei: używaj frazy
Od prawie trzech lat rozpowszechniam wśród osób prywatnych oraz organizacji wiedzę, że jeśli popatrzy się na hasło z innej perspektywy, to łatwiej je zapamiętać, łatwiej wystukać na klawiaturze i w ten sposób w dużo łatwiejszy sposób można uzyskać dłuższe hasło. Typowe hasło, które użytkownik może wykorzystać to:
Am3r1c@
Powyższe hasło spełnia wymagania dotyczące złożoności, ale jest trudne do zapamiętania i na pewno nie jest łatwe do wystukania na klawiaturze. Dlatego też użytkownicy zapiszą sobie to hasło na karteczce i przykleją na monitorze albo położą pod klawiaturą, itp. Zamiast czegoś tak archaicznego jak to hasło, należy użyć hasła ... hmm, to znaczy czegoś na kształt hasła-frazy, np.:
Jestem MVP polityki grupowej.
Lub
Pojechałem do Niemiec w czasie ostatnich wakacji.
Uwaga:
Przeczytaj każde z trzech powyższych haseł i haseł-fraz, a następnie spróbuj szybko wystukać każde z nich na klawiaturze. Zobaczysz, że hasła-frazy są znacznie łatwiejsze do napisania, a nawet zapamiętania!
Ponieważ wszystkie hasła-frazy pokonują LM, ataki słownikowe i Tablice Tęczowe, możesz teraz pozwolić swoim użytkownikom na utrzymywanie jednego hasła przez dłuższy czas, nawet cały rok!
W ostatnim artykule z tej serii, omówię jak powinna wyglądać dobra polityka haseł, w jaki sposób zapewnić jej wdrożenie, jak zapewnić, aby była ona taka sama na każdym komputerze (w tym na lokalnym Menedżerze Zabezpieczeń Kont SAM) oraz jakie inne technologie (hasła szczegółowe oraz polityki haseł „specops”) mogą być wykorzystane, aby otrzymać i wdrożyć dobre hasło.
Zapewnienie zgodności polityki haseł dla kont domeny oraz lokalnych użytkowników
Wbudowana konfiguracja usługi Active Directory zapewnia, że wszystkie konta użytkowników (te przechowywane w usłudze Active Directory i te zapisane na lokalnym SAM na każdej stacji roboczej i serwerze) mają tę samą politykę hasła. Jednakże, można to zmienić poprzez powiązanie i skonfigurowanie GPO na poziomie jednostki organizacyjnej (OU), gdzie jednostka organizacyjna przechowuje konta komputera. W takim przypadku stacje robocze i serwery (ale nie kontrolery domeny) mogą mieć lokalny SAM kont użytkowników należący do innej polityki hasła niż SAM kont użytkowników domeny.
W celu utrzymania spójnej polityki haseł dla wszystkich użytkowników, można „narzucić” ją obiektowi GPO, który gromadzi ustawienia polityki haseł dla kont użytkowników domeny. I znowu, domyślnie jest to Default Domain Policy. Aby to zrobić, kliknij prawym przyciskiem myszy na obiekt GPO, a następnie wybierz opcję „Enforce Menu”. Rysunek 1 pokazuje, jak to wygląda po konfiguracji.
Rysunek 1: Narzucenie Domyślnej Polityki Domeny zapewni, że wszyscy użytkownicy kont lokalnych SAM będą używać tej samej polityki haseł
Mechanizm wielu polityk haseł dla domeny wykorzystujący technologię Microsoft Multiple Password Policies per Domain
Microsoft, aby sprostać współczesnym wymogom, daje możliwość posiadania wielu polityk haseł w jednej domenie Active Directory. Nie jest super nowość, ale z pewnością dość istotne udoskonalenie. Technologia ta jest dostępna tylko w domenie Windows Server 2008, gdzie na wszystkich kontrolerach domeny działa system Windows Server 2008. Również na domenie musi być uruchomiony funkcjonalny poziom systemu Windows Server 2008. Technologia ta jest określana jako szczegółowa polityka haseł.
W takim przypadku można skonfigurować wiele polityk haseł. Oznacza to, że możesz mieć następujące rzeczy:
- Użytkownicy IT muszą używać haseł składających się z 25 znaków
- Użytkownicy HR muszą używać haseł składających się z 20 znaków
- Wszyscy pozostali użytkownicy muszą używać haseł składających się z 17 znaków.
Słabą stroną tego rozwiązania jest fakt, że nie jest ono konfigurowane w Polityce Grupowej. Zamiast tego trzeba stworzyć dodatkowe obiekty usługi Active Directory pod Kontenerem Ustawień Haseł. Aby przeglądać i konfigurować te nowe obiekty, można użyć przystawki ADSIEDIT.MSC, pokazanego na rysunku 2.
Rysunek 2: ADSIEDIT.MSC może zostać użyty do stworzenia dodatkowych szczegółowych polityk haseł w domenach Windows Server 2008
Aby utworzyć dodatkowe obiekty, musisz kliknąć prawym przyciskiem myszy na Kontener Ustawień Haseł, a następnie wybrać „New”, a potem „Object”. Kreator prowadzi użytkownika przez to, co musi zostać skonfigurowane.
Przenoszenie polityk haseł na następny poziom
Przez lata firma Microsoft dawała nam możliwość kontroli za pomocą polityki haseł, a teraz tej kontroli mamy nawet więcej, dzięki szczegółowym politykom haseł w systemie Windows Server 2008. Jednak, jeśli chcesz przenieść ustawienia polityki haseł w domenie systemu Windows na poziom, który daje maksymalną kontrolę nad hasłami, musisz pobrać narzędzie takie jak Password Policy ze Special Operations Software. Narzędzie to działa płynnie w usłudze Active Directory oraz jest dopasowane do Polityki Grupowej w taki sposób, jakby działały szczegółowe polityki haseł!
Przy pomocy tego narzędzia możesz dokonać następujących konfiguracji:
- ustanowić dowolną kombinację ograniczeń dotyczących hasła: małe litery, duże litery, cyfry i znaki specjalne
- ustanowić dla każdej polityki różne zasady wygasania hasła, powszechnie nazywane wiekiem hasła
- uniemożliwić ustalania następujących po sobie znaków w haśle
- uniemożliwić ustanawianie haseł pierwotnych
- automatycznie wysłać maila o wygaśnięciu hasła
- ustalić dodatkowe wymogi polityki haseł: wyrażenia powszechne; uniemożliwienie stosowania słów pisanych wspak; uniemożliwienie stosowania cyfr jako ostatniego znaku.
Rysunek 3 ilustruje jak wygląda interfejs dla Polityki Haseł.
Rysunek 3: Specops Password Policy jest szczegółowym narzędziem polityki haseł dla domen w systemie Windows
Podsumowanie
Hasła w systemie Windows zawsze są narażone na ataki. Istnieje wiele narzędzi jak i powodów, dla których atakujący mógłby starać się zdobyć hasło w systemie Windows. Wiele z tych ataków jest aktualnych i dość łatwych. Tak więc, należy chronić własne hasło i hasła użytkowników w sieci, którymi się zarządza. Ustawienia domyślne w środowisku Windows powinny zostać zmienione, w szczególności te, dotyczące uwierzytelniania LanManager. Należy zalecić użytkownikom, aby nie zapisywali ani nie przesyłali swoich haseł, gdyż jest to zbyt łatwe do odkrycia. Kluczem jest tu edukacja na temat tworzenia dobrego, mocnego, skomplikowanego, długiego hasła ..., a raczej hasła-frazy! Wykorzystanie narzędzia, które dostarcza wielu haseł w tej samej domenie, a nawet narzuca bardziej skomplikowane i restrykcyjne hasła, może sprawić, że ochrona będzie lepsza, a hasła bardziej bezpieczne. Jeśli domyślne polityki haseł są przechowywane na miejscu, a atakujący dostanie się do hasza lub SAMa, istniej duże ryzyko utraty ochrony! Lepiej chroń i zabezpieczaj swoje hasła już od dzisiaj!
Żródło: www.windowsecurity.com |
