Обзор продукта: политика паролей Specops

Опубликовано: 6 Апреля, 2023
Обзор продукта: политика паролей Specops

Продукт: Политика паролей Specops

Домашняя страница продукта: нажмите здесь

Бесплатная пробная версия: нажмите здесь

Введение

Создание эффективной политики паролей критически важно для администраторов ИТ-безопасности. В конце концов, злоумышленники обычно ищут способы получить доступ к данным, используя действительные, надежные учетные данные. Слабые пароли являются легким вектором атаки, а с появлением облачных вычислений и практически неограниченных вычислительных мощностей, доступных по запросу, взлом простых и даже умеренно сложных паролей больше не является сложной задачей. Еще больше усложняет ситуацию бесчисленное множество утечек данных, приводящих к миллионам и миллионам учетных записей пользователей и паролей, что дает киберпреступникам четкое представление об используемых общих паролях и типичных шаблонах для создания нестандартных паролей. Использование интеллектуальных инструментов для подбора паролей и радужных таблиц способствует относительно легкому взлому большого процента паролей. Для администраторов безопасности применение надежных политик паролей имеет жизненно важное значение для защиты их сетей.

Ограничения политики паролей Windows

В организациях, развернувших Active Directory, политика паролей применяется по умолчанию для всех пользователей (параметры применяются как часть объекта групповой политики «Политика домена по умолчанию»). Параметры по умолчанию — хорошая отправная точка, но во многих случаях администраторам безопасности рекомендуется усилить безопасность этих политик. Однако имеет ли смысл применять одну и ту же политику паролей ко всем пользователям в домене? Как правило, нет. Например, может быть более подходящим иметь очень строгие политики паролей для пользователей с высоким уровнем привилегий, таких как администраторы домена. Однако непривилегированные пользователи не предъявляют таких требований, поэтому может потребоваться менее строгая политика паролей.

Начиная с Windows Server 2008, Microsoft представила функцию Fine Grained Password Policies. Это было лишь незначительно полезно, в основном из-за сложности его реализации и отсутствия каких-либо интуитивно понятных инструментов управления. В Windows Server 2012 ситуация улучшилась, и подробные политики паролей можно было реализовать с помощью Центра администрирования Active Directory (ADAC). Однако и здесь процесс, используемый для реализации этих политик, оказался ограничивающим.

Политика паролей Specops

Specops Password Policy — это инструмент, который позволяет простым способом создавать подробные политики паролей и управлять ими. Он преодолевает ограничения собственных инструментов политик паролей Windows и позволяет реализовать множество различных политик паролей по мере необходимости. Политика паролей Specops использует объекты групповой политики Active Directory (GPO) для реализации детальных политик паролей, которые можно применять к пользователям, группам, организационным единицам (OU) и сайтам. Средства администрирования политик паролей Specops интегрируются с собственной консолью управления групповыми политиками (GPMC), что позволяет администраторам эффективно управлять политиками паролей в своей организации с помощью знакомых инструментов и процедур.

Монтаж

Установка программного обеспечения Specops Password Policy занимает совсем немного времени. Все этапы установки можно выполнить с рабочей станции управления. После загрузки и распаковки программного обеспечения нажмите «Начать установку» в меню «Ассистент настройки Specops ».

Изображение 10386
фигура 1

Примите лицензионное соглашение с конечным пользователем (EULA), а затем установите средства администрирования. При желании вы можете установить расширения меню «Пользователи и компьютеры Active Directory» (ADUC). После успешной установки инструментов администрирования необходимо установить Sentinel контроллера домена на все контроллеры домена в домене. Необходимо будет создать общий сетевой ресурс или использовать существующий сетевой ресурс для распространения программного обеспечения на контроллеры домена. Скопируйте установочные файлы и из папки, в которую вы извлекли установочные файлы (в папке /Products/SpecopsPasswordPolicy), в созданную или выбранную сетевую папку. Выберите все контроллеры домена и нажмите «Установить».

Изображение 10387
фигура 2

Примечание:
Контроллеры домена необходимо будет перезапустить после установки Sentinel контроллера домена.

Наконец, при желании вы можете установить клиент Specops Password. Этот необязательный компонент позволяет сообщать клиенту о конкретных требованиях политики паролей, если они не соответствуют установленной политике паролей. Кроме того, клиент паролей можно использовать для упреждающего информирования пользователей об истечении срока действия их паролей. Установка Password Client может быть развернута автоматически с использованием различных механизмов распространения программного обеспечения, таких как установка программного обеспечения групповой политики Active Directory, System Center Configuration Manager (SCCM) или любого стороннего решения.

Создание политики паролей

После перезапуска всех контроллеров домена откройте консоль администрирования домена Specops Password Policy. Прежде чем продолжить, необходимо будет предоставить лицензию на продукт. Нажмите «Изменить информацию о лицензии» и укажите необходимые сведения о лицензии. Кроме того, убедитесь, что политика паролей Specops включена для домена.

Изображение 10388
Рисунок 3

Выделив в дереве навигации Настроенные политики паролей, вы увидите все GPO политик паролей для домена. Здесь вы можете внести изменения в политику домена по умолчанию, если это необходимо. Для создания пользовательских политик паролей рекомендуется создать шаблон политики паролей. Выберите Шаблоны политики паролей, а затем выберите Новый шаблон политики паролей.

Изображение 10389
Рисунок 4

Укажите имя для шаблона и, при желании, укажите описание. У вас есть возможность включить правила паролей, парольные фразы или и то, и другое. Выберите подходящий вариант и нажмите «Общие настройки».

Изображение 10390
Рисунок 5

Скорее всего, вы получите сообщение о том, что политика паролей несовместима со встроенной политикой паролей домена. Вы можете нажать на сообщение, чтобы увидеть эти подробности.

Изображение 10391
Рисунок 6

Как минимум вам придется настроить политику паролей, которая определяет параметры, не конфликтующие с параметрами политики домена по умолчанию. На вкладке «Общие настройки» мы установим количество запоминаемых паролей на 24 и минимальный срок действия пароля на 1, чтобы устранить этот конфликт. На этой странице есть множество параметров для настройки дополнительных параметров для применения политики паролей.

Изображение 10392
Рисунок 7

Такие настройки, как «Запретить добавочные пароли», «Минимальное количество измененных символов » и «Запретить повторное использование части текущего пароля», требуют использования обратимого шифрования. Этот параметр можно установить, выделив Настройки домена в дереве навигации и выбрав параметр Сохранить предыдущий пароль с обратимым шифрованием.

Изображение 10393
Рисунок 8

Выберите вкладку «Правила паролей» и укажите минимальную длину пароля, равную или превышающую политику паролей домена по умолчанию. Укажите также требования к сложности пароля, равные или лучше политики паролей домена по умолчанию.

Изображение 10394
Рисунок 9

Обязательно ознакомьтесь с правилами ограничения содержимого пароля, так как предотвращение использования полного или частичного имени пользователя в пароле, а также запрещение использования цифр в качестве первого или последнего символа в пароле жизненно важны для безопасного создания пароля. Вы также можете предотвратить использование последовательных одинаковых символов и словарных слов (даже в обратном порядке!). Ограничения содержимого пароля требуют использования обратимого шифрования.

Завершив создание шаблона политики паролей, нажмите Сохранить в правом нижнем углу окна.

Реализация политики паролей

Реализация политики паролей осуществляется с помощью собственной консоли управления групповыми политиками Windows (GPMC). Разверните домен, затем щелкните правой кнопкой мыши Объекты групповой политики и выберите Создать. Укажите описательное имя для нового объекта групповой политики и нажмите «ОК». Теперь щелкните правой кнопкой мыши только что созданный объект групповой политики и выберите «Редактировать». Разверните User Configuration, Policies, а затем Windows Settings и выделите Specops Password Policy.

Изображение 10395
Рисунок 10

Примечание:
Если вы не видите политику паролей Specops в редакторе управления групповыми политиками, у вас не установлен администратор политики паролей Specops. Либо установите инструменты администрирования политики паролей, либо откройте консоль управления групповыми политиками с компьютера, на котором эти инструменты уже установлены.

В главном окне выберите «Создать новую политику паролей из шаблона». Выберите подходящий шаблон и нажмите «ОК». Выберите параметр, чтобы включить правила паролей, парольные фразы или и то, и другое, а затем щелкните вкладку Общие настройки. Подтвердите параметры политики паролей и укажите любые дополнительные параметры для истечения срока действия пароля, параметры блокировки учетной записи, параметры сброса пароля и сообщение клиента.

Изображение 10396
Рисунок 11

Выберите вкладку «Правила пароля» и при необходимости внесите окончательные изменения в политику. Нажмите «ОК», чтобы продолжить.

Изображение 10397
Рисунок 12

Отображается сводка параметров политики паролей, настроенных в GPO.

Изображение 10398
Рисунок 13

Если вас устраивают параметры политики, закройте редактор управления групповыми политиками. Вы можете использовать любой метод, который вам нравится, чтобы нацелить определенных пользователей на получение этой групповой политики, включая ссылку на сайт, домен или конкретную организационную единицу (OU), используя фильтрацию групп безопасности или любую их комбинацию.

Вы можете повторить описанные выше шаги, чтобы создать столько политик паролей, сколько потребуется. Часто для пользователей с доступом к критически важной инфраструктуре или конфиденциальным данным определяются уникальные политики паролей, которые включают строгий контроль, в то время как непривилегированным пользователям может быть предоставлена более мягкая политика паролей.

Политика паролей Specops в действии

Когда пользователь входит в систему, в которой установлен клиент политики паролей Specops, и ему требуется изменить свой пароль, пользователю отображается полезное сообщение, содержащее конкретные сведения о политике, если его новый пароль не соответствует минимальным требованиям.

Изображение 10399
Рисунок 14

Резюме

Политика паролей Specops — это важный инструмент, который могут использовать как крупные, так и малые организации, чтобы значительно улучшить общее состояние безопасности за счет детального применения политик паролей по всему предприятию. Инструмент очень прост в использовании, быстро устанавливается и использует существующие процедуры администрирования Windows для реализации детальных политик паролей. Существующие системные администраторы обнаружат, что интеграция политики паролей Specops требует очень мало времени и усилий, а кривая обучения использованию продукта минимальна.

Рейтинг продукта

Этот продукт быстро устанавливается, прост в освоении и использовании, и за считанные минуты я смог внедрить детализированные политики паролей для пользователей в моей организации. Он чрезвычайно мощный и гибкий, и я настоятельно рекомендую этот продукт. Я присуждаю Specops Password Policy Золотую награду WindowSecurity.com с оценкой 5 из 5.

WindowSecurity.com Рейтинг: 5/5

Изображение 23062