записки ремесленника

АЛЕКСАНДР ПРИХОДЬКО

Спецвыпуск: Хакер, номер #065, стр. 065-096-4

Для начала разрешим всем пользователям простые пароли длиной не менее четырех символов. Это правило распространяется на абсолютно всех пользователей нашего домена, поэтому будем воздействовать на них политикой домена — Default Domain Policy.

Запускаем консоль. Если ты установил gpmc.msi, то увидишь такую же картину, какая наблюдается на рисунке. Я выделил контейнер доменной групповой политики. На нем правой кнопкой мыши выбираем пункт меню Edit.

Теперь попадаем в Group Policy Object Editor. Открываем Computer Configuration-> Windows Setting-> Security Setting-> Account Policies-> Password Policy. Ставим длину пароля в четыре символа. Двойной щелчок на Minimum Password Length. Если хочешь закрутить гайки на пароли не по-детски, то проделываешь следующее.

Enforce password history — отвечает за то, сколько неповторяющихся паролей будет помнить контроллер домена. Если поставишь число 30, пользователь окажется вынужден придумать 30 разных паролей, прежде чем сможет возвратиться к первому.

Maximum password age — отвечает за срок жизни пароля. Если в свойствах пользователя поставишь (закладка Account) Password never expires, то эта ветка политики автоматом отключится. Если наоборот, то за несколько дней до истечения срока действия при логине пользователю будет выдано предупреждение о том, чтобы пароль изменили. Если выставить значение и активировать Enforce password history, то пользователь не сможет ввести старый пароль.

Password must meet complexity requirements отвечает за сложность пароля. При активации этой политики пароль должен будет содержать строчные и прописные буквы, символы типа «@», цифры. Получается, что если ты хочешь быть застрелен своими сослуживцами через пару месяцев, делаешь следующее:

Enforce password history — 24.

Maximum password age — 5.

Minimum Password Length — 8.

Password must meet complexity requirements — активировать.

Затем в свойствах пользователя (закладка Account) очистить поля User cannot change password и Password never expires.

Смерть тебе гарантирована. Если ты страдаешь манией преследования, в ветке Account Lockout Policy активируй подветку Account Lockout threshold. Выставленное здесь число обозначает количество неудачных наборов пароля/имени, после которых учетная запись заблокируется. Автоматически будут активированы и временные пороги, в пределах которых учетная запись останется заблокированной.

Напоследок и прежде чем перейти к тонкой настройке политик, к любому OU можно привязать множество объектов GPO (Group Policy Object). Сначала спокойно создаешь нужные тебе GPO, а потом еще спокойнее привязываешь их к OU. Где лежат все объекты GPO, отлично видно на рисунке.

Чтобы создался новый объект групповой политики, правая кнопка мыши прижимается к Group Policy Object.

Пожелание: когда создаешь GPO, наделяй их внятными подписями, чтобы по названиям было понятно, на какое действие направлена данная политика. Например, создадим GPO, отвечающее за пароли, — вот и назовем его «Пароли».

Объект GPO «Пароли» сейчас полностью чистый. Чтобы отредактировать его, щелкни по нему правой кнопкой крысы и выбери пункт меню Edit. Для того чтобы привязать созданный объект GPO к существующему OU, на нужном OU щелкаем правой кнопкой мыши и выбираем пункт меню Link an Existing GPO.