Минимальная длина пароля windows xp

• 
  Дата статьи: 02.09.2010
• 
  Автор:
  

Как вы знаете, длинные пароли труднее поддаются взлому. Смена минимальной длины пароля в Windows XP весьма необходима, если вы заботитесь о том, чтобы ваша система была меньше подвержена риску взлома.

Из этого совета вы узнаете о том, как создать в Windows оснастку, позволяющую изменить или увеличить минимальную длину пароля, сделав вашу систему более безопасной.

Для того, чтобы увеличить минимальную длину паролей в Windows XP, вам необходимо выполнить следующие действия:

1. Нажмите на Пуск и, затем, на «Выполнить».
2. Введите mmc в поле Открыть и нажмите на «ОК»: Откроется пустая консоль управления MMC:
3. Нажмите на пункт меню Консоль и, затем, выберите подпункт «Добавить или удалить оснастку»:
4. В появившемся окне нажмите на кнопку «Добавить»:
5. Среди списка доступных изолированных оснасток, выберите «Редактор объекта групповой политики» и нажмите на «Добавить»:
6. В окне приветствия мастера групповой политики, поставьте отметку на чекбоксе «Разрешить изменение ..» и нажмите на «Готово»:
7. У вас на экране появится окно следующего вида:
8. В левой части окна, поочередно раскрывайте следующие пункты: Политика «Локальный компьютер», Конфигурация компьютера, Конфигурация Windows, Параметры безопасности, Политики учетных записей. Нажмите на пункте «Политика паролей». В правой части вы увидите строку политики «Минимальная длина пароля«:
9. Дважды нажмите (левой клавишей мыши) на политике «Минимальная длина пароля«. Откроется окно свойств политики, в котором укажите минимальную длину пароля, которую вы хотите установить в вашей системе (я указал длину пароля в 8 символов) и нажмите на «ОК»:
10. Как мы видим, значение минимальной длины пароля, в политике, будет успешно изменено:
11. Сохраните созданную вами оснастку, нажав на Консоль и, затем, выбрав подпункт «Сохранить как..»:

Я назвал созданную мной оснастку minlengthpas.msc (вы можете назвать ее по своему усмотрению и желанию):

Теперь, когда вам будет необходимо изменить минимальную длину пароля в системе, вы с легкостью сможете это сделать, просто выполнив (дважды нажав на нее) созданную вами оснастку.

Для того, чтобы оснастку можно было запускать из окна Выполнить, вам следует сохранить ее в каталоге С:WindowsSystem32.

---

Немаловажным моментом в
настройке системы безопасности
является редактирование и
активирование политик
безопасности. В операционной
системе Windows XP (а именно о её
политиках безопасности будет идти
сегодня речь) имеются политики,
которые отвечают за основные
параметры безопасности. Имеется и
утилита, которая помогает их
редактировать и оптимизировать под
свои нужды.

Остановлюсь на утилите. Описывать
я её не буду, просто в этом нет
необходимости, а вот каким образом
до неё добраться, расскажу.
Приложение находится в папке system32,
которая, как известно,
располагается в корне системы.
Программа носит имя secpol.msc. Вот
первый вариант запуска программы.
Второй заключается в следующем: все
приложения, которые находятся в
папке system32, могут запускаться при
запуске команды выполнить (Пуск >
Выполнить; Win+R), поэтому открываем
окно команды, вводим имя файла, жмём
Enter и программа запускается. Ещё
одним вариантом является запуск
программы из группы
«Администрирование» в
системной панели управления. В
общем, это всё по поводу запуска,
перейдём к самим политикам.

Политики учётных записей делятся
на две группы: политика паролей и
политика блокировки учётных
записей. В каждой из групп
находится список политик, которые,
собственно, и поддаются
редактированию. Первым параметром
является максимальный срок
действия пароля, который
определяет время в днях, в течение
которого пароль можно
использовать, пока система не
потребует от пользователя смены
пароля. Это очень удобно, т.к. время
для взлома ограничивается,
соответственно, и злоумышленнику
придётся попотеть, чтобы уложиться
и успеть что-либо сделать с
документами пользователя. По
умолчанию значение равно 42, я бы
советовал оставить его, т.к. для
локальной машины конечного
пользователя политика не является
критичной. Следующая на очереди
политика носит название
«Минимальная длина пароля».
Для локальной машины она будет
актуальна в редких случаях. Задача
политики сводится к ограничению
минимального размера пароля. Если
вы работаете на компьютере один, то
политика, как говорилось выше, не
имеет смыла. Другой вопрос, если
локальный компьютер используется
разными пользователями. В таком
случае стоит настроить политику,
чтобы не использовались пароли,
скажем, в два символа.

Минимальный срок действия пароля
— политика, которая определяет,
через сколько пользователь сможет
сменить пароль на другой, как и
первая политика, время считается
днями. Стандартное значение равно 0
и означает, что пользователь может
поменять пароль в любое удобное ему
время. Политика «Пароль должен
отвечать требованиям сложности»
во включённом режиме требует от
пользователя пароль, который будет
отвечать следующим требованиям:

• Пароль не должен содержать имя
  учётной записи пользователя
  или фрагменты имени
  пользователя длиной больше
  двух символов.
• Пароль должен состоять не
  менее чем из шести символов.
• Пароль должен содержать
  символы, относящиеся к трём из
  следующих четырёх категорий:
  латинские заглавные буквы (A — Z);
  латинские строчные буквы (a — z);
  цифры (0 — 9); отличные от букв и
  цифр символы (например, !, $, #, %).
• Проверка соблюдения этих
  требований выполняется при
  изменении или создании
  паролей.

На локальных машинах по умолчанию
политика отключена, однако на
контролёрах домена работает.

Следующая политика позволяет
контролировать неповторяемость
паролей, при этом она может
запоминать прежние пароли от 1 до 24
включительно. На локальной машине
отключена (значение хранимых
паролей равно 0) по умолчанию, но на
контролёрах домена, опять же,
включена и значение равно 24-м.
«Хранить пароли, используя
обратимое шифрование» — этот
параметр безопасности определяет,
используется ли в операционной
системе обратимое шифрование для
хранения паролей. Эта политика
обеспечивает поддержку приложений,
использующих протоколы, которым
для проверки подлинности
необходимо знать пароль
пользователя. Хранение паролей,
зашифрованных обратимыми методами,
аналогично хранению их в текстовом
виде. Поэтому данную политику
следует использовать лишь в
исключительных случаях, если
потребности приложения
оказываются важнее, чем защита
пароля. Эта политика является
обязательной при использовании
протокола проверки подлинности CHAP
(Challenge-Handshake Authentication Protocol) в
средствах удалённого доступа или
службах IAS (Internet Authentication Services). Она
также необходима при использовании
краткой проверки подлинности в
службах IIS (Internet Information Services).

Название следующей политики,
которая уже находится в группе
политик блокировки учётных
записей, говорит само за себя —
«Блокировка учётной записи
на». Естественно, политикой
определяется время блокировки
учётной записи при определённом
количестве неверно введённых
паролей. Значение можно выставлять
от 0 (учётная запись не блокируется)
и до 99 999 минут. Она имеет смысл
только при работающей следующей
политике, которая называется
«Пороговое значение
блокировки». Это количество
неудачных попыток входа в систему
перед блокировкой учётной записи.
Значение принимается в диапазоне
от 0 (как обычно, значение при
котором политика пассивна) и до 999.
После блокировки, если не
активирована политика блокировки
учётной записи, восстановить
экаунт может только администратор.
Неудачные попытки ввода паролей на
рабочих станциях или рядовых
серверах, заблокированных с
помощью сочетания клавиш Ctrl+Alt+Del
или с помощью защищённых паролем
заставок, считаются неудачными
попытками входа в систему.

«Сброс счётчика блокировки
через» — параметр, который
позволяет сбрасывать счётчик
неудачных входов в систему через
определённое время (от 1 до 99 999
минут), удобная вещь, чтобы не
получилось, что за месяц вы
наберёте-таки «чёрное» число,
равное пороговому значению
блокировки. Параметр напрямую
зависит от политики «Блокировка
учётной записи на».

На этом закончу. Как я уже говорил,
имеется ещё много настроек, не
вошедших в эту статью. Если вы
заинтересовались, то без проблем
сможете найти описание каждой
политики в соседней с
редактированием вкладке.

Напоследок позволю себе дать
небольшой совет по поводу
редактирования политик. Это
является очень важным моментом в
налаживании защиты локальной
машины, но не стоит редактировать
настройки, которые вам непонятны,
т.к. результат после перезагрузки
может вас шокировать. Удачи в
нелёгком поддерживании
безопасности вашего компьютера.

Евгений КУЧУК

7.3. Права пользователей

Перечень задач, которые пользователю разрешено выполнять на локальном компьютере или в домене, называется правами пользователя (User Rights). Существуют два типа прав пользователей: привилегии и права на вход в систему. В отличие от разрешений, права пользователей применяются к учетным записям пользователей, а не к объектам.

Права пользователей в Windows ХР Professional определяют их возможности на локальном компьютере. Хотя права пользователей и могут применяться к учетным записям отдельных пользователей, рекомендуется администрировать права пользователей на основе групп, так как это намного удобнее.

Права, назначенные группе, автоматически наследуются всеми пользователями, входящими в систему под учетной записью, состоящей в этой группе. И если всем пользователям группы требуются одинаковые права, можно один раз назначить набор прав группе, вместо того чтобы назначать один и тот же набор прав каждому пользователю в отдельности.

Пользователь может иметь более одного набора прав, так как права пользователей, являющихся членами нескольких групп, суммируются.

Права, назначенные группе, применяются ко всем членам группы до тех пор, пока они в ней состоят, и чтобы лишить пользователя прав, администратору достаточно удалить его из группы.

Как уже было сказано выше, существуют два типа прав пользователей:

□ Привилегии (Privileges) – права пользователя выполнять конкретную задачу. Обычно действуют не для конкретного объекта, а для системы в целом. Привилегии назначаются администраторами отдельным пользователям или группам пользователей как часть настроек безопасности компьютера;

□ Права на вход в систему (Logon Rights) – права, присвоенные пользователю и определяющие способы его входа в систему. Примером права на вход в систему может служить право на удаленное подключение.

С помощью групповой политики в Windows ХР Professional можно назначить пользователям и группам следующие привилегии.

□ Архивирование файлов и каталогов – определяет, какие пользователи могут архивировать содержимое системы, невзирая на имеющиеся разрешения для файлов и каталогов. Эта привилегия эквивалентна предоставлению указанным пользователям и группам следующих разрешений на доступ ко всем файлам и папкам системы:

• Обзор папок / Выполнение файлов;

• Содержание папки / Чтение данных;

• Чтение атрибутов;

• Чтение дополнительных атрибутов;

• Чтение разрешений.

Однако эта привилегия используется только при попытке приложения получить доступ к архивации NTFS через интерфейс программирования приложений (API, application programming interface). В противном случае применяются разрешения для обычных файлов и каталогов. По умолчанию этим правом обладают группы Администраторы и Операторы архива.

□ Восстановление файлов и каталогов – определяет, какие пользователи могут восстанавливать архивированные файлы и каталоги, невзирая на имеющиеся у них разрешения для этих файлов и каталогов, а также предоставлять любому действительному участнику безопасности право становиться владельцем объекта. По умолчанию этой привилегией обладают группы Администраторы и Операторы архива.

□ Добавление рабочих станций к домену – предоставляет группам и пользователям возможность добавлять рабочие станции в домен. Хотя и имеется в Windows ХР Professional, действует только на контроллерах домена.

□ Завершение работы системы – указывает, какие пользователи могут, войдя на локальный компьютер, завершить работу операционной системы. По умолчанию присваивается группам Администраторы, Опытные пользователи, Пользователи и Операторы архива.

□ Загрузка и выгрузка драйверов устройств – позволяет динамически загружать и выгружать драйверы самонастраивающихся устройств и не влияет на возможность установки драйверов для устройств, не являющихся самонастраивающимся. Эта привилегия необходима для установки драйверов устройств Plug and Play. По умолчанию присвоена только группе Администраторы, и не рекомендуется назначать эту привилегию другим пользователям, так как пользователь может непреднамеренно (или же умышленно) установить вредоносную программу, выглядящую как драйвер устройства.

□ Закрепление страниц в памяти – определяет, какие учетные записи могут использовать процесс для хранения данных в физической памяти, избегая подкачки страниц в виртуальную память на диск. Применение этой привилегии может существенно сказаться на системной производительности, поскольку приводит к уменьшению объема свободной оперативной памяти.

□ Замена маркера уровня процесса – позволяет учетным записям пользователей инициировать процесс замены стандартного маркера, связанного с запущенным подпроцессом.

□ Запуск операций по обслуживанию тома – предоставляет пользователям и группам полномочия на выполнение процедур обслуживания томов, таких как очистка диска и дефрагментация диска. По умолчанию таким правом обладают только администраторы.

□ Извлечение компьютера из стыковочного узла – определяет, может ли пользователь отключать переносной компьютер от стыковочного узла, не входя в систему.

□ Изменение параметров среды оборудования – разрешает изменение общесистемных параметров среды либо при помощи свойств системы, либо через процесс, с использованием интерфейса API.

□ Изменение системного времени – указывает, какие пользователи и группы могут изменять время и дату на встроенных часах компьютера.

□ Настройка квот памяти для процесса – определяет, какие учетные записи могут использовать процесс с правом изменения свойств другого процесса для увеличения квоты ресурсов процессора, назначенной другому процессу.

□ Обход перекрестной проверки – позволяет пользователю проходить через папки, к которым иначе у него нет доступа на пути к объекту в файловой системе NTFS или в реестре. Эта привилегия не разрешает пользователю выводить список содержимого папки, а только проходить через него. По умолчанию этой привилегией обладают все пользователи.

□ Овладение файлами или иными объектами – разрешает пользователю становиться владельцем любого объекта системы, контролируемого средствами безопасности, в том числе файлов и папок NTFS, принтеров, разделов реестра, служб, процессов и потоков. По умолчанию таким правом обладают только администраторы.

□ Отладка программ – определяет пользователей, которые могут запускать программу отладки для любого процесса. Эта привилегия обеспечивает большие возможности доступа к важным компонентам, необходимым для функционирования операционной системы и по умолчанию предоставлена только администраторам.

□ Принудительное удаленное завершение – указывает, каким пользователям разрешено завершать работу компьютера из удаленного узла сети.

□ Профилирование загруженности системы – предоставляет возможность работать со средствами наблюдения за производительностью для отображения рабочих характеристик системных процессов.

□ Профилирование одного процесса – позволяет работать со средствами наблюдения за производительностью для наблюдения за несистемными процессами.

□ Работа в режиме операционной системы – разрешает процессу проходить проверку подлинности как обычному пользователю и таким образом получать доступ к тем же ресурсам, что и любой пользователь. Эта привилегия требуется только для низкоуровневых служб проверки подлинности.

□ Создание журналов безопасности – позволяет выполнять процесс создания записей журнала безопасности.

□ Создание маркерного объекта – разрешает процессу создавать маркер, который может затем быть использован для получения доступа к любым локальным ресурсам, если процесс использует программный интерфейс создания маркера.

□ Создание страничного файла – предоставляет возможность создавать и изменять размер страничного файла. По умолчанию этой привилегией обладают только администраторы.

□ Увеличение приоритета диспетчирования – предоставляет право изменять приоритет процесса, например, с помощью Диспетчера задач.

□ Управление аудитом и журналом безопасности – предоставляет возможность указывать параметры аудита доступа к объекту для отдельных ресурсов. Аудит доступа к объектам не выполняется, пока не включен Аудит доступа к объектам в политике аудита. С помощью этой привилегии пользователь имеет возможность просматривать и очищать журнал безопасности в окне просмотра событий. По умолчанию присваивается только группе Администраторы.

Кроме предоставления привилегий, в права пользователей могут входить следующие способы входа в систему.

□ Вход в качестве пакетного задания – предоставляет пользователю право входить в систему с помощью средства обработки пакетных заданий. Например, если с помощью планировщика заданий инициируется задание пользователя, планировщик обеспечивает его вход в систему как пакетного пользователя, а не как интерактивного.

□ Вход в качестве службы – позволяет выполнять вход в качестве службы. Службы можно настроить для запуска под учетными записями локальной системы, локальной службы или сетевой службы, для которых существует встроенное право на вход в качестве службы. Любая служба должна быть наделена этим правом, чтобы можно было запустить ее с отдельной учетной записью.

□ Доступ к компьютеру из сети – определяет пользователей и группы, которым разрешается подключаться к компьютеру через сеть. По умолчанию доступ разрешен для всех пользователей.

□ Запретить вход в систему через службу терминалов – определяет, каким пользователям и группам запрещается входить в систему в качестве клиента служб терминалов.

□ Локальный вход в систему – определяет, какие пользователи могут локально входить в систему. По умолчанию вход разрешен членам групп Администраторы, Операторы архива, Опытные пользователи, Пользователи, а также учетной записи Гость.

□ Отказ в доступе к компьютеру из сети – определяет, каким пользователям запрещается доступ к данному компьютеру через сеть. Эта политика отменяет политику Доступ к компьютеру из сети, если учетная запись пользователя указывается в обеих политиках.

□ Отказ во входе в качестве пакетного задания – определяет, какие учетные записи запрещается использовать при входе в систему в качестве пакетного задания. Эта политика отменяет действие политики Вход в качестве пакетного задания, если учетная запись пользователя указывается в обеих политиках.

□ Отказать во входе в качестве службы – определяет, каким учетным записям запрещается регистрировать процесс в качестве службы. Перекрывает право доступа Вход в качестве службы, если учетная запись пользователя указывается в обеих политиках.

□ Отклонить локальный вход – отменяет для указанных учетных записей политику Локальный вход в систему и запрещает регистрироваться в системе под этими учетными записями.

□ Разрешить вход в систему в качестве службы терминалов – позволяет пользователю выполнить вход в систему при помощи подключения к удаленному рабочему столу.

7.4. Политики учетных записей

Для управления параметрами безопасности учетных записей локального компьютера служат две политики: политика паролей и политика блокировки учетных записей. С помощью этих двух политик можно повысить уровень защиты системы от попыток несанкционированного входа.

Для учетных записей пользователей домена используется еще одна политика, не входящая в состав политики локального компьютера – политика Kerberos. Она определяет параметры протокола аутентификации Kerberos, такие как, например, срок жизни билета. На экзамене вопросы, связанные с политикой Kerberos, не встречаются, и здесь эта политика рассматриваться не будет.

7.4.1. Политика паролей

С помощью этой политики устанавливаются требования, значительно затрудняющие подбор злоумышленником верного пароля к учетной записи пользователя или администратора. Пароли администраторов должны быть защищены особо тщательно, так как, зная пароль администратора системы, злоумышленник обладает полным доступом ко всем системным и пользовательским файлам.

Для усиления защиты политикой паролей Windows ХР Professional применяются следующие параметры.

□ Максимальный срок действия паролей – период времени (в днях), в течение которого можно использовать пароль. Можно задать значение в диапазоне от 1 до 999 дней или снять всякие ограничения срока действия, установив число дней равным 0. По умолчанию установлено 42 дня. Перед истечением срока действия пароля пользователю при каждом входе в систему будет выдаваться соответствующее сообщение и предложение изменить пароль. После того как срок истечет, система потребует от пользователя изменить пароль.

□ Минимальный срок действия пароля – период времени (в днях), в течение которого необходимо использовать пароль, прежде чем пользователь сможет заменить его. Можно задать значение в диапазоне от 1 до 999 дней или разрешить изменение в любое время, установив число дней равным 0.

□ Минимальная длина пароля – наименьшее число символов, которое может содержать пароль учетной записи. Можно задать значение в диапазоне от 1 до 14 символов или же разрешить использовать пустые пароли, установив число символов равным 0.

□ Пароль должен отвечать требованиям сложности – если эта политика включена, пароли должны удовлетворять следующим минимальным требованиям сложности:

• пароль не может содержать имя учетной записи пользователя или какую-либо его часть;

• пароль должен состоять не менее чем из шести символов;

• в пароле должны присутствовать символы трех категорий из числа следующих четырех:

□ прописные буквы английского алфавита от А до Z;

□ строчные буквы английского алфавита от а до z;

□ десятичные цифры (от 0 до 9);

□ символы, не принадлежащие алфавитно-цифровому набору (такие как !, @, #, $, % и др.).

Проверка соблюдения этих требований выполняется при изменении и создании паролей, и если пароль оказывается «слабым», система потребует изменить его так, чтобы требования сложности выполнялись.

□ Требовать неповторяемости паролей – задает число новых паролей, которые должны быть использованы, прежде чем можно будет снова использовать старый пароль. Это значение должно принадлежать диапазону от 0 до 24. Данное требование позволяет администраторам повышать уровень безопасности, запрещая пользователям все время использовать одни и те же старые пароли. Чтобы эта политика действовала эффективно, следует установить минимальный срок действия пароля, отличный от нуля. Если этого не сделать, пользователь сможет перебрать требуемое количество паролей и вернуться к старому паролю, который ему нравится.

□ Хранить пароли всех пользователей в домене, используя обратное шифрование – эта политика обеспечивает поддержку приложений, использующих протоколы, которым для проверки подлинности нужно знать пароль пользователя. Хранить пароли, зашифрованные обратимыми методами, категорически не рекомендуется, так как это значительно снижает их защиту. Поэтому данную политику следует использовать лишь в исключительных случаях, если потребности приложения оказываются важнее, чем защита пароля.

7.4.2. Политика блокировки учетной записи

Политика блокировки учетных записей позволяет блокировать (или, другими словами, временно отключать) учетную запись пользователя, если определенное количество раз в течение заданного промежутка времени при попытке входа в систему был неверно указан пароль. Блокированную учетную запись нельзя использовать до тех пор, пока она не будет разблокирована администратором или пока не истечет интервал ее блокировки.

Политика блокировки учетных записей состоит из следующих параметров.

□ Блокировка учетной записи на – число минут, в течение которых учетная запись остается блокированной, прежде чем будет автоматически разблокирована. Этот параметр может принимать значения от 1 до 99 999 минут. Если установить значение 0, учетная запись будет блокирована на все время до тех пор, пока администратор явным образом не разблокирует ее. Если определено пороговое значение блокировки, данный интервал блокировки должен быть больше или равен интервалу сброса.

□ Пороговое значение блокировки – число неудачных попыток входа в систему, после которых учетная запись пользователя блокируется. Можно задать значение в диапазоне от 1 до 999 или запретить блокировку данной учетной записи, установив значение 0. Попытки входа с неверным паролем на компьютеры, заблокированные с помощью клавиш <Ctrl>+ +<Alt>+<Del> или экранных заставок, защищенных паролем, не считаются неудачными попытками входа.

□ Сброс счетчика блокировки через – число минут, которые должны пройти после неудачной попытки входа в систему, прежде чем счетчик неудачных попыток будет сброшен на 0. Этот параметр может принимать значения от 1 до 99 999 минут. Этот параметр имеет смысл только при заданном параметре Пороговое значение блокировки. При этом интервал сброса не должен быть больше интервала Блокировка учетной записи на.

Определяя политику блокировки учетных записей, следует учитывать, что пользователи, неуверенно владеющие клавиатурой, могут довольно часто ошибаться при вводе своих паролей, и если установить низкое пороговое значение блокировки, такие пользователи будут постоянно жаловаться на то, что они не могут войти в систему.

Кроме того, это средство обеспечения безопасности может превратиться в орудие «разборок» между пользователями, когда один сотрудник намеренно пытается войти в систему с помощью учетной записи и неверного пароля досадившего ему сотрудника. В результате, «жертва» такого акта не может войти в систему или получить доступ к необходимым ресурсам.

7.5. Шаблоны безопасности

Windows ХР Professional обеспечивает администратора предопределенными наборами параметров безопасности, соответствующими базовым требованиям безопасности на компьютерах, выполняющих различные роли. Такие предопределенные наборы называются шаблонами безопасности (Security Template). Кроме того, можно создавать собственные шаблоны безопасности для их дальнейшего применения на других системах.

Взяв за основу шаблон безопасности, администратор может с меньшими усилиями настроить требуемые параметры безопасности для определенного компьютера или группы компьютеров. Отдельные компьютеры могут быть настроены путем импортирования шаблона с помощью оснастки Локальные параметры безопасности (Secpol.msc) или утилиты командной строки Secedit.exe. Также можно воспользоваться оснасткой Анализ и настройка безопасности, которая, кроме того, позволяет проверять компьютер на соответствие требованиям указанного уровня безопасности и находить уязвимые места. Для применения одинаковых настроек к группам компьютеров, объединенным в сеть, следует импортировать шаблоны безопасности в Групповую политику.

7.5.1. Предопределенные шаблоны безопасности

По умолчанию предопределенные шаблоны безопасности хранятся в папке %systemroot%SecurityTemplates. Windows ХР Professional предлагает следующие готовые шаблоны безопасности.

□ Совместимый (Compatws.inf). Изменяет настройки безопасности по умолчанию, чтобы позволить членам локальной группы Пользователи запускать приложения, не сертифицированные для Windows ХР Professional или Windows 2000. По умолчанию члены группы Пользователи могут успешно работать только с сертифицированными приложениями, а с несертифицированными могут работать члены группы Опытные пользователи. Поскольку члены группы Опытные пользователи обладают дополнительными возможностями, такими как создание пользователей, групп, принтеров и общих ресурсов, в некоторых случаях более предпочтительным будет предоставление дополнительных разрешений группе Пользователи, вместо добавления пользователей в группу Опытные пользователи. Именно для этих целей служит шаблон Совместимый. Он изменяет разрешения для файлов и реестра для группы Пользователи, так чтобы они соответствовали требованиям большинства несертифицированных приложений.

□ Защита (Secure*.inf). Определяются параметры безопасности, относящиеся к поведению операционной системы и сетевых протоколов. К таким настройкам относятся параметры паролей, протоколов проверки подлинности, политики аудита и системного реестра. Кроме того, определяются дополнительные ограничения для анонимных пользователей.

□ Повышенная защита (Hisec*.inf). Обеспечивает самый высокий уровень безопасности, налагая дополнительные ограничения на уровни кодировки и подписи, необходимые для проверки подлинности и для данных, передаваемых по безопасным каналам между клиентами SMB (Server Message Block, блок сообщений сервера) и серверами. Кроме того, удаляются все члены группы Опытные пользователи, и производится проверка того, что членами группы Администраторы являются только администраторы домена и локальная учетная запись администратора.

□ Безопасность системного корневого каталога (Rootsec.inf). Этот шаблон можно использовать, чтобы повторно применить разрешения для корневого каталога, если они были случайно изменены. По умолчанию эти разрешения определяются для корневого каталога системного диска, но так же могут быть изменены и разрешения для корневых каталогов других томов. Явно установленные разрешения, определенные для всех дочерних объектов, не изменяются. Применяются только наследованные дочерними объектами разрешения.

□ Безопасность по умолчанию (Setup Security.ini). Устанавливает настройки безопасности, используемые по умолчанию при «чистой» установке системы. Этот шаблон можно использовать полностью или частично с целями аварийного восстановления или для приведения уровня безопасности в соответствие со стандартным после обновления операционной системы до Windows ХР Professional. Этот шаблон нельзя применять при помощи оснастки Групповая политика.

Примечание

SMB – стандартный протокол, который используется для совместного использования файловых и принтерных сервисов.

Чтобы применить шаблон безопасности к локальному компьютеру, откройте оснастку Групповая политика, раскройте ветвь Конфигурация компьютера, там выберите Конфигурация Windows, щелкните правой кнопкой мыши по элементу Параметры безопасности и выберите команду Импорт политики. Затем выберите нужный шаблон безопасности в стандартном диалоговом окне открытия файла.

Михаил Разумов, по материалам SecurityFocus

Миф №1: хэши паролей достаточно надежны при использовании NTLMv2

Многие читатели хорошо знакомы со слабостью хэшей паролей LanManager (LM), что
сделало столь популярным L0phtcrack. NTLM делает хэши несколько устойчивее, так
как используется более длинный хэш и различаются символы в верхнем и нижнем
регистрах. NTLMv2 является более совершенным, при этом вычисляется 128-битный
ключ, и используются отдельные ключи для целостности и конфиденциальности. Кроме
того, он использует алгоритм HMAC-MD5 для более высокой целостности. Однако
Windows 2000 по-прежнему часто пересылает LM и NTLM хэши по сети, а NTLMv2
уязвим к атакам при передаче (также известным как replay). И, поскольку хэши
паролей LM и NTLM по-прежнему хранятся в реестре, вы уязвимы и к атакам на SAM.
Должно еще пройти какое-то время до тех пор, когда мы, наконец, освободимся от
ограничений LanManager. А до тех пор не стоит надеяться, что хэши ваших паролей
надежны.

Миф №2. Dj#wP3M$c – наилучший пароль

Общепринят миф, что полностью случайные пароли, полученные с помощью генератора
паролей – наилучшие. Это не совсем так. Хотя они и могут быть действительно
устойчивыми, такие пароли обычно сложны для запоминания, медленно набираемы и
иногда уязвимы к атакам на алгоритм генерации паролей. Легко создать пароли,
которые будут устойчивы к взлому, но труднее создать такие пароли запоминаемыми.
Для этого существует несколько простых приемов. Например, рассмотрим пароль
«Makeit20@password.com». Этот пароль использует буквы в верхнем и нижнем
регистрах, две цифры и два символа. Длина пароля 20 символов, но он может быть
запомнен с минимумом усилий, возможно, вы его уже непроизвольно запомнили. Более
того, этот пароль очень быстро набирается. В части «Makeit20» чередуются на
клавиатуре клавиши левой и правой руки, что увеличивает скорость набора,
сокращает количество опечаток и уменьшает шанс того, что кто-либо сможет
подсмотреть ваш пароль, наблюдая за движениями ваших пальцев (давно созданы
списки английских слов, чередующих клавиши под правую и левую руку, которые
удобно использовать, как часть своего пароля. К примеру, список из восьми тысяч
таких слов можно найти на http://www.xato.net/downloads/lrwords.txt)
Лучшая техника для создания сложных, но легко запоминаемых паролей –
использование структур, которые мы привыкли запоминать. Такие структуры также
делают простым включение знаков препинания в пароль, как в примере адреса e-mail,
использованном выше. Другие структуры, которые легки для запоминания – это
телефонные номера, адреса, имена, пути к файлам, и т.д. Обратите внимание на
некоторые элементы, которые позволяют нам упростить запоминание. Например,
включение шаблонов, повторений, рифм, юмора и даже грубых (в том числе и
матерных) слов создает пароли, которые мы никогда не забудем.

Миф №3. 14 символов – оптимальная длина пароля

В LM хэши паролей разделены на два 7-символьных хэша. Это фактически делает
пароли более уязвимыми, поскольку атака грубой силы (brute-force) может быть
применена к каждой половине пароля одновременно. То есть, пароли длиной 9
символов разделены на один 7-символьный хэш и один 2-символьный. Очевидно, что
взлом 2-символьного хэша не займет много времени, а 7-символьная часть обычно
взламывается за несколько часов. Часто короткая часть может существенно
облегчить взлом длинного фрагмента. Из-за этого, многие профессионалы
безопасности определили оптимальную длину пароля в 7 или 14 символов,
соответствующую двум 7-символьным хэшам.
NTLM несколько улучшил ситуацию за счет использования всех 14 символов для
сохранения хэшей паролей. Хотя это действительно и облегчает жизнь, но
диалоговое окно NT ограничивает пароль максимумом в 14 символов; таким образом,
определяя пароли длиной ровно в 14 символов оптимальными для безопасности.
Но все иначе в более новых версиях Windows. Пароли в Windows 2000 и XP могут
иметь длину до 127 символов, таким образом, 14 символов уже не будет
ограничением. Более того, одно маленькое обстоятельство, открытое Urity на
SecurityFriday.com, состоит в том, что если длина пароля 15 символов или более,
Windows даже не сохраняет корректно LanMan хэши. Если ваш пароль состоит из 15
или более символов, Windows сохраняет константу AAD3B435B51404EEAAD3B435B51404EE
в качестве LM хэша, что эквивалентно нулевому паролю. А так как ваш пароль,
очевидно, не нулевой, попытки взломать этот хэш ни к чему не приведут.
Принимая это во внимание, использование паролей более 14 символов могло бы быть
хорошим советом. Но если вы захотите сделать обязательным использование таких
длинных паролей, используя политику групп или шаблоны безопасности, то
столкнетесь с затруднением – ничто не даст вам возможность установить
минимальную длину пароля более 14 символов.

Миф №4. J0hn99 – Хороший пароль

Хотя пароль «J0hn99» проходит по требованиям сложности Windows 2000, он не столь
сложен, как кажется на первый взгляд. Многие программы-взламыватели паролей
перебирают миллионы вариантов слов в секунду. Замена буквы “o” на цифру “0” и
добавление пары цифр – ерунда для таких программ. Некоторые
программы-взламыватели даже проверяют наборы методов, которые обычно используют
пользователи, что позволяет им подбирать даже довольно длинные и, на первый
взгляд, удачные пароли.
Лучший подход – быть менее предсказуемым. Вместо того чтобы заменять “o” на “0”,
попробуйте заменить “o” на два символа “()”, как в “j()hn”. И, конечно, удлиняя
пароль, вы увеличиваете его устойчивость.

Миф №5. Любой пароль рано или поздно может быть взломан.

Хотя любой пароль может быть вскрыт несколькими способами (например, через
«клавиатурный шпион» или с помощью социотехники), тем не менее, существуют
способы создания паролей, которые не могут быть взломаны за приемлемое время.
Если пароль достаточно длинный, его взлом займет так много времени, или
потребует так много вычислительной мощности, что это, по существу, то же самое,
что если бы он был невзламываемым (по крайней мере, для большинства хакеров).
Конечно, в конце концов, любой пароль может быть взломан, но это событие может
произойти и не в течение нашей жизни, и даже не во время жизни наших правнуков.
Таким образом, если, конечно не государственные структуры пытаются вычислить ваш
пароль, то его шансы могут быть очень даже высоки. Хотя, возможно, достижения
компьютерной технологии могут однажды сделать этот миф реальностью.

Миф №6. Пароли нужно менять каждые 30 дней.

Несмотря на то, что это — хороший совет для некоторых паролей с высокой степенью
риска, он не подходит средним пользователям. Требование частой смены пароля
зачастую заставляет пользователей создавать предсказуемые модели в своих паролях
или использовать другие способы, которые реально значительно снижают их
эффективность. Обывателю не нравится постоянно придумывать и запоминать новые
пароли каждые 30 дней. Вместо того, чтобы ограничивать возраст пароля, лучше
сосредоточиться на более устойчивых паролях и большей компетентности
пользователей. Приемлемое время для среднего пользователя – от 90 до 120 дней.
Если вы дадите пользователям больше времени, вам будет проще убедить их
использовать более сложные пароли.

Миф №7. Никогда не следует записывать свой пароль

Хотя это и хороший совет, иногда просто необходимо записывать свои пароли.
Пользователи чувствуют себя гораздо комфортнее при создании сложных паролей,
если они уверены, что смогут его прочитать в надежном месте, если вдруг забудут.
Однако важно обучить пользователей, как правильно записывать пароли. Наклейка на
мониторе – это, бесспорно, глупо, но хранение пароля в сейфе или даже
запирающемся ящике может быть достаточным. И не пренебрегайте безопасностью,
когда приходит время выбрасывать бумагу со старым паролем: помните, многие
крупные взломы произошли именно из-за того, что хакеры не поленились
просматривать мусор организации в поисках записанных паролей.
Может возникнуть идея позволить пользователям хранить свои пароли в программных
утилитах для хранения паролей. Эти утилиты позволяют пользователю сохранять
множество паролей в одном месте, закрытом главным мастер-паролем. Но если кто-то
узнает мастер-пароль, то получит доступ к полному списку всех паролей. Поэтому,
прежде чем позволить пользователям сохранять пароли в таком месте, рассмотрите
следующие опасности: во-первых, этот метод программный, и, следовательно, уязвим
для атаки, во-вторых, поскольку тут все держится на одном мастер-пароле, он
может стать тем единственным пунктом для глобального провала всех паролей всех
пользователей. Лучшая методика – совместить технологию, физическую безопасность
и политику компании.
Кроме того, пароли бывает просто необходимо документировать. Нет ничего
необычного в ситуации, когда системный администратор заболел или уволился. А в
ряде организаций – это единственный человек, который знал все пароли, в том
числе и пароль сервера. Так что иногда приходится даже одобрять записывание
паролей, но только в случае, когда это действительно необходимо и продумано.

Миф №8. Пароль не может содержать пробелов

Несмотря на то, что большинство пользователей этим не пользуется, Windows 2000 и
Windows XP позволяют использование пробелов в паролях. Фактически, если вы
можете видеть такой символ в Windows, то вы можете использовать его и в пароле.
Следовательно, пробел – совершенно правомерный символ для пароля. Однако,
поскольку некоторые приложения обрезают пробелы, лучше не начинать и не
заканчивать пароль пробелом.
Пробелы облегчают пользователям создание более сложных паролей. Поскольку пробел
может использоваться между словами, то его использование может дать
пользователям реальную возможность использовать длинные пароли из нескольких
слов.
Вообще, с пробелом очень интересная ситуация, он не попадает ни под одну
категорию требований сложности пароля Windows. Это и не цифра, и не буква, и
даже не считается символом. Таким образом, если вы желаете сделать ваш пароль
более сложным, то пробел ничем не хуже любого символа и в большинстве случаев не
снижает сложность паролей.
Но хотелось бы сказать про один существенный недостаток, связанный с
использованием пробела – его клавиша издает при нажатии уникальный звук, который
ни с чем не спутать. Совсем несложно услышать, если кто-то использует пробел в
своем пароле. В общем, используйте пробелы, но не злоупотребляйте ими.

Миф №9. Всегда используйте Passfilt.dll

Passfilt.dll – библиотека, вынуждающая пользователей использовать устойчивые
пароли. В Windows 2000 и XP это осуществляется с помощью политики “Пароль должен
удовлетворять требованиям сложности”. Хотя зачастую это хорошая политика,
некоторые пользователи могут огорчиться, когда их пароли отвергаются как
недостаточно сложные. Даже опытным администраторам иногда приходится вводить
несколько паролей, пока один из них не пройдет требования сложности. Огорченные
пользователи, безусловно, не станут выражать поддержку в адрес вашей политики
паролей.
Если вы видите, что пользователям не нравятся требования сложности, пожалуй,
лучшим выходом будет требование длинных паролей вместо этой политики. Если вы
подсчитаете, вы увидите, что 9-символьный пароль, состоящий из букв в нижнем
регистре, приблизительно такой же по сложности, как 7-символьный пароль, в
котором используются буквы как нижнего, так и верхнего регистра и цифры.
Единственная разница в том, как программы для взламывания паролей обрабатывает
различные подмножества символов; некоторые взламыватели грубой силы перебирают
все комбинации букв в нижнем регистре перед тем, как использовать цифры и другие
символы.
Другой вариант – взять Platform SDK sample в директории
\samples\winbase\Security\WinNT\PwdFilt\ и изменить его так, чтобы он был более
снисходителен в выборе пароля.
Также можно обучить пользователей тому, как можно усложнить пароли и подсказать
им несколько идей для этого.

Миф №10. Используйте ALT+255 для наиболее устойчивого пароля

Рассмотрим использование символов с большим ASCII-кодом для окончательного
усложнения пароля. Эти символы не могут быть естественным образом набраны на
клавиатуре, но вводятся удержанием кнопки ALT и набором ASCII-кода на цифровой
клавиатуре. Например, последовательность ALT-0255 создает символ <ÿ>.
Несмотря на то, что в некоторых ситуациях это полезно, следует также рассмотреть
недостатки. Во-первых, удержание кнопки ALT и набор на цифровой клавиатуре могут
быть легко замечены посторонними. Во-вторых, создание такого символа требует
пять нажатий клавиш, что нужно запомнить и впоследствии вводить каждый раз при
наборе пароля. Возможно, имело бы смысл создание пароля на пять символов
длиннее, что сделало бы ваш пароль гораздо устойчивее при том же самом
количестве нажатий клавиш.
Например, 5-символьный пароль, созданный из символов с большим ASCII-кодом
потребует 25 нажатий клавиш. Учитывая 255 возможных кодов для каждого символа и
всего пять символов, получаем общее количество комбинаций 255^5 (или
1,078,203,909,375). Однако, 25-символьный пароль, созданный только из букв
нижнего регистра имеет 26^25 (или
236,773,830,007,968,000,000,000,000,000,000,000) возможных комбинаций. Очевидно,
лучше создавать более длинные пароли.
Другой момент, о котором стоит подумать — клавиатуры некоторых портативных
компьютеров затрудняют ввод с цифровой клавиатуры и некоторые утилиты командной
строки не поддерживают символы с большим ASCII-кодом. Например, вы можете
использовать символ ALT+0127 в Windows, но не сможете набрать его в командной
строке. И наоборот, коды некоторых символов, таких как Tabs (ALT+0009),
LineFeeds (ALT+0010), и ESC (ALT+0027) могут быть использованы при наборе из
командной строки, но не могут быть использованы в диалоговых окнах Windows (что
может оказаться желательным побочным эффектом в некоторых редких случаях).
Тем не менее, есть несколько случаев, когда полезно использование расширенных
символьных кодов. Если у вас есть эккаунты сервиса или локального
администратора, которые редко используются, иногда использование расширенных
символов заслуживает несколько лишних нажатий клавиш. Поскольку мало
взламывателей паролей настроены на обработку расширенных символов, этого может
быть вполне достаточно, чтобы сделать пароль крайне сложным для взлома. Но в
этом случае не останавливайтесь на большом ASCII-коде: существует малоизвестный
факт, состоящий в том, что в действительности вы можете воспользоваться полным
набором Unicode символов, который составляет 65,535 возможных символов. Тем не
менее, такой символ, как ALT+65206 не столь устойчив, как эквивалентное
количество нажатие клавиш с использованием обычных символов.
И, наконец, обратим внимание на использование неразрывного пробела (ALT+0160) в
наборе расширенных символов. Этот символ отображается как обычный пробел и
зачастую может обмануть тех, кто каким-то образом увидел ваш пароль. К примеру,
скажем, что взломщик смог установить логгер клавиатуры в вашу систему. Если вы
используете неразрывный пробел в пароле, в лог-файле он будет выглядеть, как
обычный пробел. И если взломщик не знает о неразрывном пробеле и не увидит
действительный ASCII-код, то его пароль, на который он так надеялся, не даст ему
ничего. А ведь многие люди просто не знают о существовании этого символа, хотя,
похоже, после прочтения этой статьи уже будут знать.

Заключение

Кто-то может не согласиться с некоторыми представленными моментами, но они и не
претендуют на роль конечной неоспоримой истины. Не в этом была цель написания
этой статьи. Миф – это наполовину правда. Многие мифы, которые здесь
критикуются, когда-то были прекрасными советами, или даже все еще являются
таковыми в специфических случаях. Но для многих эти советы стали набором
жестких, непреложных правил, которые необходимо применять всегда. Но любые
советы про пароли, включая и приводимые в этой статье – не более, чем просто
советы. Вы сами должны решить, какие правила вам подходят, а какие нет. Пожалуй,
наибольший и самый ошибочный миф из всех и состоит в том, что существуют единые
жесткие правила в отношении паролей.
Иногда John99 – это хороший пароль, а иногда пароли приходится менять гораздо
чаще, чем один раз в месяц. Некоторые пароли, к примеру, администраторские,
нуждаются в гораздо большей защите, чем другие — пользовательские. Чтобы создать
политику паролей, которая защитит вас наилучшим образом, следует взять все свои
знания и добавить к ним то, что вы нашли полезным из здесь написанного.
Хороший пароль – это больше, чем просто сложный пароль. Хороший пароль – это
тот, который крайне трудно угадать или подобрать, но очень легко запомнить. Он
должен быть длинным и состоять из букв, цифр и символов, но в то же время должен
легко и безошибочно набираться. Он должен содержать случайные элементы, которые
может предоставить только компьютер, и в тоже время оставаться родственным тому,
что может создать человек.
Но наилучший из всех паролей – тот, который пользователь выбирает, основываясь
на научном понимании системы создания паролей. И наилучшая политика паролей –
та, что помогает пользователям в создании таких паролей.