Home Windows ServerWindows Server 2008 R2 הגדרת Password Policy ב Group Policy

הגדרת Password Policy ב Group Policy

by Tal Ben Shushan 04/01/2014 0 comment
נהנתם מהמאמר ? שתפו אותו!

הגדרת Password Policy ב Group Policy

במאמר זה נקבע את תצורת הססמאות בשרת ונחיל זאת על כל המשתמשים בארגון.

דרוש:

1. שרת Windows Server 2008 עם Active Directory

2. הוסט Windows 7 מצורף לדומיין

פתחו את server manager ופתחו את Features -> Group policy managemnt -> forest: shushan.co.il -> domains -> shushan.co.il

Group Policy

Group Policy

לחצו קליק ימני על tbs-it.com ולחצו על Create a GPO in this domain, and link it here

תנו שם לGPO למשל Password Policy

לחצו על הGPO שעכשיו יצרנו קליק ימני ואז Edit

Edit Group Policy

Edit Group Policy

פתחו את  Computer Configuration -> Windows Settings -> Security Settings ->Account Policies -> Password Policy

  1. Enforce Password History – כמה ססמאות אחורה השרת יזכור
  2. Maximum Password Age – מספר הימים המקסימלי שיעברו בו המשתמש יאלץ להחליף את סיסמתו – אם נקיש 0 לא ייאלץ המשתמש להחליף סיסמה כלל
  3. Minimum Password age – מספר הימים המינימלי בו המשתמש חייב להשתמש בססמה שלו לפני שיוכל להחליף אותה בעצמו
  4. Minimum password length – מינימום מספר התווים (אורך) הססמה
  5. Password must meet complexity requirements – האם הססמה חייבת להיות “ססמה מורכבת” –
    1. חייב אות גדולה אחת לפחות (באנגלית)
    2. אות אחת קטנה לפחות (באנגלית)
    3. 9 תווים לפחות
  6. store password using reversivle encrtyption – האם לאחסן את הססמה – לא מומלץ המחשב שומר את הססמא כטקסט רגיל ובכך לגרום ל”לפרצת אבטחה” אם אינכם מכירים טוב את המושג “הצפנה הפוכה” אין לשנות את ברירת המחדל.

נגדיר כך:

Password Policy

Password Policy

נכנס ל Account Lockout Policy

ונגדיר כך:

Enforce Password History?

Enforce Password History?

  1. Account lockout duration – הזמן בו יהיה החשבון נעול לפני שיצא אוטומטית מנעילה – המספר 0 מסמל כי עד שאיש תמיכה\מנהל לא יסיר את הנעילה היא לא תוסר
  2. Account lockout threshold – מספר הססמאות השגויות שיוכל המשתמש להכניס לפני שינעל, אם יטעה 3 פעמים ברצף ינעל החשבון
  3. Reset account lockout counter after – מספר הדקות בין כניסה שגויה לאחרת זאת אומרת אם הקשתי ססמה שגויה פעמיים אם לא אחכה 30 דקות המונה לא יתאפס ל0 ובכך אם שוב הקיש ססמה שגויה חשבוני ינעל!

בצעו gpupdate /force ב Windows 7 שלכם ונסו לטעות 3 פעמים ותראו כי חשבונכם ננעל!

Account Locked!

Account Locked!

ורק על ידי ביטול הנעילה ב AD על ידי משתמש המוסמך \ עם הרשאות מתאימות ניתן יהיה להסיר את הנעילה!

כיצד מסירים את הנעילה?

Unlock Account

Unlock Account

נסמן Unlock Account ואפילו יש לנו אזהרה שחשבון זה ננעל

מאמרים קשורים

Leave a Comment