În acest al doilea post dedicat administratorilor de sistem care trebuie să se ocupe de o evaluare a riscurilor, o evaluare a securității, un chestionar de diligență sau de conformitate: dacă l-ați pierdut pe primul, îl puteți citi aici. De data aceasta vom vorbi despre cum să aplicăm o politică de parole prin modificarea setărilor implicite – în ceea ce privește complexitatea și lungimea minimă a parolelor – în Windows Server 2012.
Aceasta este o sarcină care trebuie făcută adesea pentru a respecta cerințele de securitate cerute de majoritatea reglementărilor și standardelor moderne – cum ar fi ISO/IEC 27001:2013, ISO/IEC 27002:2013, ISO/IEC 20000:2011, NIST CyberSecurity Framework, SSAE/SOC2, ITIL, PCI-DSS și așa mai departe – dar poate fi utilă și pentru cei care doresc pur și simplu să își protejeze sistemul într-un mod mai bun – sau să facă exact opusul prin relaxarea acestor controale (ceea ce nu este ceva ce ar trebui să faceți în mod normal – citiți aici pentru a înțelege de ce).
Iată cum putem arunca o privire asupra setărilor actuale ale sistemului în ceea ce privește puterea parolelor și să le modificăm după bunul plac:
Rețele fără Active Directory
În cazul în care aveți nevoie să configurați clienți și/sau servere care nu sunt conectate la un domeniu Active Directory, folosiți următoarele:
- Deschideți panoul de control.
- Navigați la Administrative Tools > Local Security Policy.
- În fereastra modală care se va deschide, extindeți nodul Security Settings > Account Policies > Password Policy.
De acolo, puteți vizualiza și/sau edita diferitele opțiuni disponibile în Windows Server 2012. De exemplu, puteți alege să activați sau să dezactivați cerințele privind complexitatea parolelor, ceea ce înseamnă următoarele:
Dacă această politică este activată, parolele trebuie să îndeplinească următoarele cerințe minime:
- Nu trebuie să conțină numele de cont al utilizatorului sau părți din numele complet al utilizatorului care depășesc două caractere consecutive
- Să aibă o lungime de cel puțin șase caractere
- Conțin caractere din trei dintre următoarele patru categorii:
- Caractere englezești majuscule (de la A la Z)
- Caractere englezești minuscule (de la a la z)
- Cartere de bază 10 (de la 0 la 9)
- Caractere nealfabetice (de exemplu, !, $, #, #, %)
- Exigențele de complexitate sunt puse în aplicare atunci când parolele sunt schimbate sau create.
Acest profil de complexitate standard poate fi comutat modificând politica Parola trebuie să îndeplinească cerințele de complexitate.
Acestea sunt setări destul de bune, cu excepția lungimii minime a parolei: șase caractere ar fi fost discutabil de viabile pentru 2012, dar cu siguranță nu sunt suficiente în 2017. Din fericire, puteți anula această singură opțiune modificând politica Minimum password length (Lungimea minimă a parolei), care ar trebui să fie pusă la (cel puțin) 8 pentru a respinge majoritatea atacurilor de forță brută.
Rețele cu Active Directory
Dacă clientul sau serverul dvs. face parte dintr-un domeniu Active Directory, nu veți putea utiliza consola Local Security Policy: în acest caz, utilizați consola Group Policy Management din Control Panel > Administrative Settings a controlerului dvs. de domeniu AD și editați acolo setările GPO.
Concluzie
Atât: sperăm că aceste sfaturi vor ajuta și alți administratori de sistem să își facă sistemul conform cu cele mai recente standarde de securitate.
Dacă sunteți în căutarea unei modalități de a seta un timp de inactivitate pentru sesiunile Remote Desktop, citiți această altă postare.
.