Минимальная длина пароля
Определяет наименьшее число символов, которые может содержать пароль учетной записи пользователя. Можно задать значение в диапазоне от 1 до 14 символов или отменить использование пароля, установив число символов равным 0. По умолчанию: 0.
Пароль должен отвечать требованиям сложности
Определяет, должны ли пароли отвечать требованиям сложности.
Если эта политика включена, пароли должны удовлетворять следующим минимальным требованиям.
• Пароль не может содержать имя учетной записи пользователя или какую-либо его часть.
• Пароль должен состоять не менее чем из 6 символов.
• В пароле должны присутствовать символы 3 категорий из числа следующих 4:
прописные буквы английского алфавита от A до Z;
строчные буквы английского алфавита от a до z;
десятичные цифры (от 0 до 9);
символы, не принадлежащие алфавитно-цифровому набору (например,! $, #, %).
Проверка соблюдения этих требований выполняется при изменении или создании паролей. По умолчанию: отключен.
Хранить пароли всех пользователей в домене, используя обратимое шифрование Определяет, следует ли в системах Windows 2000 Server, Windows 2000 Professional и Windows XP Professional хранить пароли, используя обратимое шифрование. Эта политика обеспечивает поддержку приложений, использующих протоколы, которым для проверки подлинности нужно знать пароль пользователя. Хранить пароли, зашифрованные обратимыми методами, – это все равно что хранить их открытым текстом. Поэтому данную политику следует использовать лишь в исключительных случаях, если потребности приложения оказываются важнее, чем защита пароля. Эта политика является обязательной при использовании протокола проверки подлинности CHAP в средствах удаленного доступа или службах IAS. Она также необходима при использовании проверки подлинности методом Digest Authentication в информационных службах Интернета (Internet Information Services, IIS). По умолчанию: отключен.
Политика блокировки учетной записи
Блокировка учетной записи на…
Определяет число минут, в течение которых учетная запись остается блокированной, прежде чем будет автоматически разблокирована. Этот параметр может принимать значения от 1 до 99 999 мин. Если установить значение 0, учетная запись будет блокирована на все время до тех пор, пока администратор не разблокирует ее явным образом. Если пороговое значение блокировки определено, данный интервал блокировки должен быть больше или равен интервалу сброса. По умолчанию: не определен, поскольку данный параметр имеет смысл только при заданном параметре «Пороговое значение блокировки».
Пороговое значение блокировки
Определяет число неудачных попыток входа в систему, после которых учетная запись пользователя блокируется. Блокированную учетную запись нельзя использовать до тех пор, пока она не будет сброшена администратором или пока не истечет ее интервал блокировки.
Можно задать значение в диапазоне от 1 до 999 или запретить блокировку данной учетной записи, установив значение 0. Попытки входа с неверным паролем на рабочие станции или рядовые серверы, заблокированные с помощью клавиш CTRL+ALT+DEL или экранных заставок, защищенных паролем, не считаются неудачными попытками входа. По умолчанию:
отключен.
Сброс счетчика блокировки через…
Определяет число минут, которые должны пройти после неудачной попытки входа в систему, прежде чем счетчик неудачных попыток будет сброшен в 0. Этот параметр может принимать значения от 1 до 99 999 минут. Если определено пороговое значение блокировки, данный интервал сброса не должен быть больше интервала «Блокировка учетной записи на…». По умолчанию: не определен, поскольку данный параметр имеет смысл только при заданном параметре «Пороговое значение блокировки».
3.15. Политика Kerberos
Центр распространения ключей
Сетевая служба, предоставляющая билеты сеансов и временные ключи сеансов, используемые протоколом проверки подлинности Kerberos V5. В Windows 2000 и Windows XP центр распределения ключей выполняется как привилегированный процесс на всех контролерах доменов.
Протокол проверки подлинности Kerberos V5
Механизм проверки подлинности, используемый для проверки подлинности пользователя или узла. Протокол Kerberos V5 является стандартной службой проверки подлинности для Windows 2000. Протокол Kerberos используется для проверки подлинности службами безопасности IP (IPSec) и контроля доступа QoS.
Принудительные ограничения входа пользователей
Определяет, должен ли центр распределения ключей Kerberos V5 проверять каждый запрос билета сеанса на соответствие политике прав пользователей, действующей на компьютере назначения. Проверка каждого такого запроса является необязательной, поскольку она требует времени и может замедлить сетевой доступ к службам.
Если эта политика включена, пользователь, запрашивающий билет сеанса, должен для его получения обладать правом на «Локальный вход в систему» (если запрашиваемая служба запущена на том же компьютере) или правом на «Доступ к компьютеру из сети» (если запрашиваемая служба находится на удаленном компьютере). Если данная политика отключена, эта проверка не выполняется. По умолчанию: включен.
Максимальный срок жизни билета службы
Определяет максимальный интервал времени (в минутах), в течение которого полученный билет сеанса разрешается использовать для доступа к конкретной службе. Это значение должно быть больше 10 минут, но не превышать значения «Максимальный срок жизни билета пользователя».
Если клиент, запрашивающий подключение к серверу, предъявляет просроченный билет сеанса, сервер возвращает сообщение об ошибке. Клиент должен запросить новый билет сеанса в центре распределения ключей Kerberos V5. Однако после того как подключение пройдет проверку подлинности, срок действия билета теряет смысл. Билеты сеансов применяются только для проверки подлинности на новых подключениях к серверам. Если во время работы подключения истечет срок действия билета, использовавшегося для проверки подлинности при установке этого подключения, выполняемые операции не прерываются. По умолчанию: 600 минут (10 часов).
Максимальный срок жизни билета пользователя
Определяет максимальный интервал времени (в часах), в течение которого действует пользовательский билет TGT (ticket-granting ticket – билет на выдачу билета). По истечении срока действия билета TGT необходимо запросить новый билет или возобновить существующий. По умолчанию: 10 часов.
Максимальный срок жизни для возобновления билета пользователя
Определяет период времени (в днях), в течение которого можно возобновить пользовательский билет TGT. По умолчанию: 7 дней.
Максимальная погрешность синхронизации часов компьютера
Определяет максимальное расхождение (в минутах) между показаниями часов клиента и сервера, при котором Kerberos V5 считает их идущими синхронно. Для предотвращения атак, основанных на повторном воспроизведении трафика, Kerberos V5 использует отметки времени. Чтобы этот механизм работал надлежащим образом, часы клиента и сервера должны быть синхронизированы с максимально возможной точностью. Иными словами, на обоих компьютерах должно быть установлено одинаковое время и одинаковая дата.
Поскольку часы двух компьютеров часто выпадают из синхронности, администраторы могут с помощью данной политики установить максимальный допуск рассогласования часов, приемлемый для Kerberos V5. Если расхождение между показаниями часов клиента и часов сервера меньше заданного этой политикой значения, любая отметка времени, используемая в сеансе связи между двумя компьютерами, будет считаться достоверной. По умолчанию: 5 минут.
3.16. Локальные политики
Политика аудита
Аудит событий входа в систему
Определяет, подлежит ли аудиту каждая попытка пользователя войти в систему или выйти из нее на другом компьютере, при условии что данный компьютер используется для проверки подлинности учетной записи. Если этот параметр политики определен, можно задать аудит успехов или отказов либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа в систему. Чтобы отключить аудит, в диалоговом окне Свойства данного параметра политики установите флажок «Определить следующие параметры политики» и снимите флажки «Успех» и «Отказ». Если аудит успешных попыток входа в систему включен на контроллере домена, в журнал будет заноситься запись о каждом пользователе, прошедшем проверку на этом контроллере домена, несмотря на то что пользователь на самом деле входит в систему на рабочей станции домена. По умолчанию: «Нет аудита» для контроллеров домена; не определен для рядового компьютера домена.
Аудит управления учетными записями
Определяет, подлежат ли аудиту все события, связанные с управлением учетными записями на компьютере. К таким событиям относятся, в частности, следующие: