Ez a második bejegyzés a rendszergazdáknak szól, akiknek kockázatértékeléssel, biztonsági értékeléssel, átvilágítással vagy megfelelőségi kérdőívvel kell foglalkozniuk: ha elvesztette az elsőt, itt olvashatja el. Ezúttal arról lesz szó, hogyan lehet a Windows Server 2012-ben az alapértelmezett beállítások módosításával – a jelszó összetettségét és a jelszó minimális hosszát illetően – jelszópolitikát érvényesíteni.
Ez egy olyan feladat, amelyet gyakran kell elvégezni a legtöbb modern szabályozás és szabvány – például az ISO/IEC 27001:2013, ISO/IEC 27002:2013, ISO/IEC 20000 – által kért biztonsági követelményeknek való megfelelés érdekében:2011, NIST CyberSecurity Framework, SSAE/SOC2, ITIL, PCI-DSS és így tovább – de hasznos lehet azok számára is, akik egyszerűen csak jobban akarják védeni a rendszerüket – vagy éppen az ellenkezőjét teszik azáltal, hogy lazítanak ezeken az ellenőrzéseken (amit általában nem szabad megtenni – olvassa el itt, hogy megértse, miért).
Így megnézhetjük a rendszer aktuális beállításait a jelszavak erőssége szempontjából, és tetszés szerint módosíthatjuk azokat:
Hálózatok Active Directory nélkül
Ha olyan klienseket és/vagy kiszolgálókat kell beállítanunk, amelyek nem kapcsolódnak Active Directory tartományhoz, akkor a következők szerint járjunk el:
- Nyissuk meg a Vezérlőpultot.
- Navigáljon a Felügyeleti eszközök > Helyi biztonsági házirend menüpontra.
- A megnyíló modális ablakban bontsa ki a Biztonsági beállítások > Fiókpolitikák > Jelszóházirend csomópontot.
Ezzel megtekintheti és/vagy szerkesztheti a Windows Server 2012-ben elérhető különböző beállításokat. Például engedélyezheti vagy letilthatja a jelszó összetettségére vonatkozó követelményeket, ami a következőket jelenti:
Ha ez a házirend engedélyezve van, a jelszavaknak a következő minimális követelményeknek kell megfelelniük:
- Nem tartalmazhatja a felhasználó fióknevét vagy a felhasználó teljes nevének két egymást követő karaktert meghaladó részeit
- Nem lehet legalább hat karakter hosszúságú
- A következő négy kategóriából három karaktert tartalmazhat:
- Angol nagybetűs karakterek (A-tól Z-ig)
- Angol kisbetűs karakterek (a-tól z-ig)
- Bázis 10 számjegyek (0-tól 9-ig)
- Nem-alfabetikus karakterek (például !, $, #, %)
- A komplexitási követelmények a jelszavak módosításakor vagy létrehozásakor érvényesülnek.
Ez a szabványos komplexitási profil a Jelszónak meg kell felelnie a komplexitási követelményeknek házirend megváltoztatásával kapcsolható.
Ezek elég jó beállítások, kivéve a jelszó minimális hosszát: hat karakter 2012-ben vitathatóan életképes lett volna, de 2017-ben biztosan nem elég. Szerencsére ezt az egyetlen beállítást felülbírálhatja a Minimális jelszóhosszúság házirend módosításával, amelyet érdemes (legalább) 8-ra tenni a legtöbb nyers erővel végrehajtott támadás elhárításához.
Az Active Directory-t tartalmazó hálózatok
Ha az ügyfél vagy kiszolgáló egy Active Directory tartomány része, nem fogja tudni használni a Helyi biztonsági házirend konzolt: ha ez a helyzet, használja a Csoportházirend kezelése konzolt az AD tartományvezérlő Vezérlőpult > Felügyeleti beállítások menüpontjából, és ott szerkessze a GPO beállításokat.
Következtetés
Ez minden: reméljük, hogy ezek a tippek segítenek más rendszergazdáknak abban, hogy rendszerük megfeleljen a legújabb biztonsági szabványoknak.
Ha a Távoli asztali munkamenetek üresjárati időkorlátjának beállítására keres megoldást, olvassa el ezt a másik bejegyzést.