Локальные параметры безопасности

В КГ №40 за 2006 год была опубликована моя статья о средствах безопасности, встроенных в Windows XP. В ней я описал те компоненты и возможности, которые имеет XP для обеспечения приемлемого уровня защиты. Тогда я обошел вниманием такую немаловажную утилиту, как менеджер редактирования локальных политик безопасности. Сегодня я хочу исправить это упущение и рассказать именно про эту утилиту (рис. 1). Естественно, она имеется в стандартном наборе утилит, которые поставляются в любом дистрибутиве Windows, который не редактировался при помощи утилит сборки дистрибутивов и т.п. Ну-с, давайте приступим.

Для начала несколько слов о том, как можно добраться до этой самой утилиты. Наиболее простой способ — воспользоваться командой Выполнить, которая доступна в меню Пуск (сочетание клавиш Win+R). В строке необходимо ввести следующее сочетание: secpol.msc /s. Зная, что таким образом можно вызывать приложения из папки system32, мы находим ответ на следующий вопрос, который относился к месту дислокации утилиты. Для тех, что относит себя к фанатам панели управления, могу сказать следующее: ссылка на консоль находится в пункте меню под названием Администрирование. Рассказывая об утилите, я не буду лезть в дебри и пытаться впихнуть обычным пользователям информацию о настройке политики открытого ключа для Encoding File System (EFS — Файловой системы шифрования), о которой я писал в вышеупомянутой статье. В этом просто нет смысла, т.к. обычному пользователю это просто без надобности, а тому, кто хочет все-таки узнать об этом, можно воспользоваться описанием параметра, который имеется в окне редактирования каждой политики на соседней вкладке, носящей название "Объяснение параметра" (рис. 2). Я же остановлюсь подробнее на политиках учетных записей. Дам некоторые рекомендации, подробнее объясню задачу той или иной политики и выскажу свое мнение по поводу использования/неиспользования оной.

Политики учетных записей делятся на две группы: политика паролей и политика блокировки учетных записей. В каждой из групп находится список политик, которые, собственно, и поддаются редактированию. Первым параметром является максимальный срок действия пароля, который определяет время в днях, в течение которого пароль можно использовать, пока система не потребует от пользователя смены пароля. Это очень удобно, т.к. время для взлома ограничивается, соответственно и злоумышленнику придется попотеть, чтобы уложиться и успеть что-либо сделать с документами пользователя. По умолчанию значение равно 42, я бы советовал оставить значение по умолчанию, т.к. для локальной машины конечного пользователя политика не является критичной. Следующая на очереди политика носит название "минимальная длина пароля". Для локальной машины она будет актуальна в редких случаях. Задача политики сводится к ограничению минимального размера пароля. Если вы работаете на компьютере одни, то политика, как говорилось выше, не имеет смысла. Другой вопрос — если локальный компьютер используется разными пользователями. В таком случае стоит настроить политику, чтобы не использовались пароли, скажем, в два символа. Минимальный срок действия пароля — политика, которая определяет, через сколько пользователь сможет сменить пароль на другой. Как и в случае первой политики, время считается днями. Стандартное значение равно 0 и означает, что пользователь может поменять пароль в любое удобное ему время. Политика "пароль должен отвечать требованиям сложности" во включенном режиме требует от пользователя пароль, который будет отвечать следующим требованиям:

. Пароль не должен содержать имя учетной записи пользователя или фрагменты имени пользователя длиной больше двух символов.
. Пароль должен состоять не менее чем из шести символов.
. Пароль должен содержать символы, относящиеся к трем из следующих четырех категорий:
. латинские заглавные буквы (A-Z);
. латинские строчные буквы (a-z);
. цифры (0-9);
. отличные от букв и цифр символы (например, !, $, #, %).
. Проверка соблюдения этих требований выполняется при изменении или создании паролей.

На локальных машинах по дефолту политика отключена, однако на контроллерах домена работает.

Следующая политика позволяет контролировать неповторяемость паролей, при этом она может запоминать прежние пароли от 1 до 24 включительно. На локальной машине она отключена (значение хранимых паролей равно 0) по умолчанию, но на контроллерах домена, опять же, включена, и значение равно 24-м. Она также позволяет хранить пароли, используя обратимое шифрование. Этот параметр безопасности определяет, используется ли в операционной системе обратимое шифрование для хранения паролей. Эта политика обеспечивает поддержку приложений, использующих протоколы, которым для проверки подлинности необходимо знать пароль пользователя. Хранение паролей, зашифрованных обратимыми методами, аналогично хранению их в текстовом виде. Поэтому данную политику следует использовать лишь в исключительных случаях, если потребности приложения оказываются важнее, чем защита пароля. Эта политика является обязательной при использовании протокола проверки подлинности CHAP (Challenge-Handshake Authentication Protocol) в средствах удаленного доступа или службах IAS (Internet Authentication Services). Она также необходима при использовании краткой проверки подлинности в службах IIS (Internet Information Services).

Название следующей политики, которая уже находится в группе политик блокировки учетных записей, говорит сама за себя: Блокировка учетной записи на. Естественно, политикой определяется время блокировки учетной записи при определенном количестве неверно введенных паролей. Значение можно выставлять от 0 (учетная запись не блокируется) и до 99 999 минут. Она имеет смысл только при работающей следующей политике, которая называется Пороговое значение блокировки. Это количество неудачных попыток входа в систему перед блокировкой учетной записи. Значение принимается в диапазоне от 0 (как обычно, значение, при котором политика пассивна) и до 999. После блокировки, если не активирована политика блокировки учетной записи, восстановить аккаунт может только администратор. Неудачные попытки ввода паролей на рабочих станциях или рядовых серверах, заблокированных с помощью сочетания клавиш Ctrl+Alt+Del или с помощью защищенных паролем заставок, считаются неудачными попытками входа в систему. Сброс счетчика блокировки через — параметр, который позволяет сбрасывать счетчик неудачных входов в систему через определенное время (1 — 99 999 минут), удобная вещь, чтобы не получилось, что за месяц вы таки наберете "черное" число, равное пороговому значению блокировки. Параметр напрямую зависит от Блокировки учетной записи на.

Вот, собственно, и все. Коротенький обзор политик учетных записей, изменение которых доступно из утилиты Локальные параметры безопасности, подошло к концу. В статье было рассмотрено всего одно из направлений политик безопасности. Тем, кто заинтересовался, скажу, что имеется возможность настройки локальных политик, среди которых — политика аудита, назначение прав пользователя, параметры безопасности. Я бы советовал просмотреть параметры безопасности, т.к. настройки там наиинтереснейшие и весьма полезные. Можно настроить политики ограниченного пользования программ и политики безопасности IP. Таким образом, покопавшись в локальных параметрах безопасности, можно довольно неплохо поднять уровень защиты на вашем компьютере, но будьте осторожны: читайте внимательно описания политик и не трогайте параметры, назначение которых вам непонятно.

Евгений Кучук, q@sa-sec.org, SASecurity gr.


Компьютерная газета. Статья была опубликована в номере 44 за 2008 год в рубрике безопасность

©1997-2024 Компьютерная газета