V tomto druhém příspěvku věnovaném správcům systému, kteří se musí vypořádat s hodnocením rizik, hodnocením zabezpečení, due diligence nebo dotazníkem shody: pokud jste ztratili první příspěvek, můžete si ho přečíst zde. Tentokrát si povíme o tom, jak prosadit zásady hesla změnou výchozího nastavení – pokud jde o složitost a minimální délku hesla – v systému Windows Server 2012.
Jedná se o úkol, který je často nutné provést, aby bylo možné splnit požadavky na zabezpečení, které požaduje většina moderních předpisů a norem – například ISO/IEC 27001:2013, ISO/IEC 27002:2013, ISO/IEC 20000:2011, NIST CyberSecurity Framework, SSAE/SOC2, ITIL, PCI-DSS a tak dále – ale může být užitečná i pro ty, kteří chtějí svůj systém prostě jen lépe chránit – nebo udělat přesný opak tím, že tyto kontroly zmírní (což by se běžně dělat nemělo – přečtěte si zde, abyste pochopili proč).
Takto se můžeme podívat na aktuální nastavení systému z hlediska síly hesla a změnit je podle libosti:
Sítě bez Active Directory
V případě, že potřebujete nastavit klienty a/nebo servery nepřipojené k doméně Active Directory, použijte následující postup:
- Otevřete Ovládací panely.
- Přejděte na Nástroje pro správu > Místní zásady zabezpečení.
- V otevřeném modálním okně rozbalte uzel Nastavení zabezpečení > Zásady účtů > Zásady hesel.
Odtud můžete zobrazit a/nebo upravit různé možnosti dostupné v systému Windows Server 2012. Můžete například povolit nebo zakázat požadavky na složitost hesel, což znamená následující:
Pokud je tato zásada povolena, musí hesla splňovat následující minimální požadavky:
- Nesmí obsahovat jméno účtu uživatele nebo části celého jména uživatele, které přesahují dva po sobě jdoucí znaky
- Musí mít délku alespoň šest znaků
- Musí obsahovat znaky ze tří z následujících čtyř kategorií:
- Anglické velké znaky (A až Z)
- Anglické malé znaky (a až z)
- Číslice základního čísla 10 (0 až 9)
- Nealfabetické znaky (například !, $, #, %)
- Požadavky na složitost se uplatňují při změně nebo vytváření hesla.
Tento standardní profil složitosti lze přepínat změnou zásad Heslo musí splňovat požadavky na složitost.
Tato nastavení jsou docela dobrá, až na minimální délku hesla: šest znaků by bylo pravděpodobně použitelných pro rok 2012, ale v roce 2017 rozhodně nestačí. Naštěstí můžete tuto jedinou možnost potlačit změnou zásad Minimální délka hesla, která by měla být nastavena na (alespoň) 8, aby se odrazila většina útoků hrubou silou.
Sítě s Active Directory
Pokud je váš klient nebo server součástí domény Active Directory, nebudete moci použít konzolu Místní zásady zabezpečení: v takovém případě použijte konzolu Správa zásad skupiny z Ovládacích panelů > Nastavení správy řadiče domény AD a upravte nastavení GPO tam.
Závěr
To je vše: doufáme, že tyto rady pomohou dalším správcům systému zajistit soulad jejich systému s nejnovějšími bezpečnostními standardy.
Pokud hledáte způsob, jak nastavit časový limit nečinnosti pro relace vzdálené plochy, přečtěte si tento další příspěvek.
Pokud hledáte způsob, jak nastavit časový limit nečinnosti pro relace vzdálené plochy, přečtěte si tento další příspěvek.