پسورد ویندوز 7 منقضی نمی شود.

آیا شما یک مدیر شبکه هستید و می خواهید تاریخ انقضای رمز عبور را برای همه حساب های کاربری تعیین کنید؟ انجام این کار در سیستم عامل جدید ویندوز 10 آسان خواهد بود.

همانطور که می دانید سیستم عامل به شما این امکان را می دهد که از حساب محلی یا مایکروسافت انتخابی خود استفاده کنید. اولین در عملکرد خود اجازه استفاده از برخی از عملکردهای سیستم را نمی دهد. دومی دسترسی کامل به آنها را فراهم می کند.

علاوه بر این و اجباری در هنگام ورود به سیستم، در حالت دوم، همیشه باید رمز عبور را وارد کنید. اگر این وضعیت را دوست ندارید، می توانید از .

تعداد زیادی از کاربران نمی دانند که ویندوز مدت هاست که این قابلیت را دارد که یک دوره اعتبار رمز عبور تعیین کند و کاربر را مجبور کند پس از انقضا یک رمز عبور جدید تنظیم کند. این اول از همه نگرانی مدیر در مورد امنیت است.

با Local Users and Groups Manager، انجام این کار آسان است. به یاد داشته باشید که این ویژگی فقط در نسخه حرفه ای سیستم عامل موجود است. در نسخه خانگی موجود نیست.

اگر به این موضوع علاقه مند هستید، پس بیایید به اجرای آن ادامه دهیم. و فراموش نکنید، شما باید حقوق مدیر را بر روی کامپیوتر داشته باشید.

انقضای رمز عبور

بیایید با ابزار Run شروع کنیم که با استفاده از کلیدهای Win + R روی صفحه کلید راه اندازی می شود. پس از راه اندازی آن، در قسمت “Open” نام فایل زیر را وارد کنید:

Lusrmgr.msc

و دکمه OK یا کلید Enter را فشار دهید.

در قسمت سمت چپ پنجره، پوشه “Users” را انتخاب کنید و در قسمت سمت راست نامی را که برای فعال کردن عملکرد مورد نظر نیاز دارید انتخاب کنید. سپس با ماوس روی آن دوبار کلیک کنید.

در پنجره خصوصیات نمایه بعدی، به برگه «عمومی» بروید، تیک «رمز عبور هرگز منقضی نمی‌شود» را بردارید و به نوبه خود روی دکمه‌های «اعمال» و «OK» کلیک کنید.

این کل روند را کامل می کند. شمارش معکوس 30 روزه آغاز خواهد شد. پس از سپری شدن این مدت، نمی توانید بدون تنظیم رمز عبور جدید وارد حساب کاربری خود شوید. این یک ابزار قابل اعتماد است که مدیران شبکه از آن برای وادار کردن همه افراد در یک دامنه برای حفظ امنیت استفاده می کنند.

نکات کامپیوتری ما در انتظار شماست. آیا می خواهید در فیس بوک یا +Google به ما بپیوندید؟ در بالا سمت راست دکمه های مورد نیاز خود را پیدا خواهید کرد.

در اینجا چندین سیاست را خواهید دید. تعداد آنها ممکن است بسته به نسخه سیستم عامل متفاوت باشد. من شما را با 6 سیاست رمز عبور ویندوز که در سیستم عامل ویندوز 7 موجود است آشنا می کنم.

سیاست های رمز عبور ویندوز

1. ثبت رمز عبور نگه دارید. اولین خط مشی به شما امکان می دهد تعداد رمزهای عبور ذخیره شده در حافظه رایانه را پیکربندی کنید. این امر برای اینکه کاربر چندین بار از یک رمز عبور استفاده نکند ضروری است. گزارش رمز عبور می تواند از 0 تا 24 رمز عبور را ذخیره کند. و صرفاً از نظر تئوری، کاربر تنها پس از چند سال می تواند رمز عبور مشابه را تنظیم کند. سیاست زیر می تواند به او در این امر کمک کند.
2. حداکثر سن رمز عبور. من فکر می کنم که لازم نیست ماهیت این سیاست را در انگشتان دست توضیح داد. فقط می گویم که به طور پیش فرض، در این پارامتر، رمزهای عبور باید هر 42 روز یکبار تغییر کنند. و از شما می خواهم که از کسی نترسید - سیستم به طور خودکار به کاربران هشدار می دهد که لازم است رمز عبور را تغییر دهید. اخطارها به مدت 7 روز صادر می شود.
3. حداقل طول رمز عبور. نام این خط‌مشی نیز به وضوح هدف خود خط‌مشی را توضیح می‌دهد: در اینجا باید حداقل تعداد کاراکترهایی را که باید در رمز عبور باشد تعیین کنید. برای درک اهمیت این سیاست باید مقاله Password brute force time را مطالعه کنید.
4. حداقل سن رمز عبور. استفاده از این سیاست تنها در رابطه با سیاست اول موجه است. این خط‌مشی از «هکرهای» به‌ویژه باهوش از پیمایش در تاریخچه رمز عبور در چند دقیقه و بازنشانی رمز عبور قدیمی خود جلوگیری می‌کند.
5. رمز عبور باید الزامات پیچیدگی را برآورده کندخط مشی رمز عبور .5 به شما امکان می دهد با یک عمل چندین محدودیت برای رمزهای عبور انتخاب شده به طور همزمان تعیین کنید:
   • رمز عبور شامل نام حساب کاربری یا قسمت هایی از نام کامل کاربر بیش از دو کاراکتر مجاور نخواهد بود.
   • پسوردها باید حداقل 6 کاراکتر داشته باشند.
   • شامل 3 از 4 دسته کاراکترهای فهرست شده در زیر است.
     • حروف بزرگ لاتین (A تا Z)
     • حروف کوچک لاتین (a تا z)
     • اعداد (0 تا 9)
     • نویسه هایی غیر از حروف و اعداد (به عنوان مثال !، $، #، %)
6. رمزهای عبور را با استفاده از رمزگذاری برگشت پذیر ذخیره کنید. شما باید این خط مشی را فقط برای سازگاری با برنامه های قدیمی فعال کنید. اگر نیازی به این کار ندارید، از شما می‌خواهم که این خط‌مشی را فعال نکنید، زیرا این امر بر امنیت رایانه شما تأثیر منفی می‌گذارد.

پیکربندی سیاست های انتخاب رمز عبور برای تک تک کاربران

تمام سیاست های رمز عبور ویندوز فوق بر زندگی همه کاربران این رایانه تأثیر می گذارد. اما علاوه بر روش‌های پیکربندی بالا، ابزار دیگری وجود دارد که به شما امکان می‌دهد محدودیت‌های رمز عبور را برای تک تک کاربران یا گروه‌هایی از کاربران ویندوز تعیین کنید - snap. مدیریت کامپیوتر. اگر این ابزار را باز کنید و به گره بروید کاربران و گروه های محلیو سپس باز کنید خواصهر گروه یا کاربر، سپس می توانیم گزینه های زیر را انتخاب کنیم:

• جلوگیری از تغییر رمز عبور توسط کاربر. این گزینه به ویژه برای اعتبار عمومی مفید است. به عبارت دیگر، اگر چندین نفر به طور همزمان در یک حساب کاربری بنشینند، پس از اینکه یک پسر باهوش رمز عبور را تغییر داد، می توان کل این موضوع را بلافاصله پوشش داد. برای جلوگیری از چنین لذتی، باید این مورد را فعال کنید.
• انقضای رمز عبور نامحدود است. من فکر می کنم این مورد چه کاری انجام می دهد برای همه روشن است. او به ویژه توسط مدیرانی که عمیقاً به سیاست های شرکتی اهمیت می دهند مورد احترام قرار می گیرد.

این روش هایی است که می توانید سیاست های رمز عبور را در سیستم عامل ویندوز پیکربندی کنید.

حداکثر سن رمز عبور

خط مشی "حداکثر سن رمز عبور" تعیین می کند که کاربران چه مدت می توانند از گذرواژه ها قبل از تغییر استفاده کنند. هدف از این سیاست این است که به صورت دوره ای کاربران را مجبور به تغییر رمز عبور خود کند. هنگام استفاده از این ویژگی، مقداری را که برای شبکه شما مناسب تر است را تنظیم کنید. به عنوان یک قاعده کلی، هر چه دوره کوتاهتر باشد، سطح امنیت بالاتر است و بالعکس.

انقضای رمز عبور پیش‌فرض 42 روز است، اما می‌توانید آن را روی هر مقداری بین 0 تا 999 تنظیم کنید. مقدار 0 به این معنی است که رمز عبور هرگز منقضی نمی‌شود. اگرچه ممکن است بخواهید یک رمز عبور منقضی نشده تنظیم کنید، کاربران باید رمز عبور خود را به طور مرتب تغییر دهند تا امنیت شبکه حفظ شود. اگر الزامات امنیتی بالا باشد، 30، 60 یا 90 روز خوب است. اگر امنیت خیلی مهم نیست، 120، 150 یا 180 روز جواب می دهد.

توجه داشته باشید
ویندوز 2000 به کاربران اطلاع می دهد که رمز عبور آنها در شرف منقضی شدن است. اگر کمتر از 30 روز تا انقضای رمز عبور باقی مانده باشد، کاربران هر بار که وارد سیستم می شوند هشداری را مشاهده می کنند که در یک بازه زمانی مشخص باید رمز عبور خود را تغییر دهند..

حداقل سن رمز عبور

خط مشی "حداقل سن رمز عبور" تعیین می کند که کاربران چه مدت باید رمز عبور خود را قبل از تغییر آن حفظ کنند. شما می توانید با وارد کردن رمز عبور جدید و جایگزینی آن با رمز عبور قدیمی، از این فیلد برای جلوگیری از تقلب سیستم رمز عبور توسط کاربران استفاده کنید.

ویندوز 2000 به طور پیش‌فرض به کاربران اجازه می‌دهد تا بلافاصله پسوردها را تغییر دهند. برای جلوگیری از این، حداقل محدودیت زمانی مشخصی را تعیین کنید. مقادیر قابل قبول برای این پارامتر در محدوده سه تا هفت روز است. بنابراین، کاربران شما کمتر از رمزهای عبور دست دوم استفاده می کنند، در حالی که این امکان را دارند که در صورت تمایل آنها را در یک بازه زمانی معقول تغییر دهند.

حداقل طول رمز عبور

خط مشی "حداقل طول رمز عبور" حداقل تعداد کاراکترها را برای رمز عبور تعیین می کند. اگر تنظیمات پیش فرض را تغییر نداده اید، باید خیلی زود این کار را انجام دهید. به طور پیش فرض، پسوردهای خالی (گذرواژه های بدون کاراکتر) مجاز هستند، که قطعاً رویکرد درستی نیست.

به عنوان یک قاعده کلی، به دلایل امنیتی، به رمزهای عبور حداقل هشت کاراکتری نیاز دارید. دلیل این امر این است که شکستن رمزهای عبور طولانی معمولا سخت تر از رمزهای کوتاه است. اگر نیاز به تامین امنیت جدی تری دارید، حداقل طول رمز عبور را 14 کاراکتر تنظیم کنید.

رمز عبور باید الزامات پیچیدگی را برآورده کند

ویندوز 2000 علاوه بر سیاست‌های اساسی برای مدیریت رمز عبور و حساب‌ها، دارای ابزارهایی برای ایجاد کنترل‌های رمز عبور اضافی است. این قابلیت ها در فیلترهای رمز عبور قابل نصب بر روی کنترلر دامنه موجود است. اگر فیلتر رمز عبور راه‌اندازی کرده‌اید، خط‌مشی «گذرواژه باید الزامات پیچیدگی را برآورده کند» را فعال کنید. در این حالت، تمام رمزهای عبور باید الزامات امنیتی فیلتر را برآورده کنند.

به عنوان مثال، فیلتر استاندارد ویندوز NT (PASSFILT.DLL) نیاز به استفاده از رمزهای عبور ایمن دارد که با دستورالعمل های زیر مطابقت داشته باشد:

• رمز عبور باید حداقل شش کاراکتر باشد.
• رمز عبور نباید شامل نام کاربری مانند "steve" یا قسمت هایی از نام کامل او مانند Steve باشد.
• رمزهای عبور باید از سه یا چهار نوع کاراکتر موجود استفاده کنند: حروف کوچک، حروف بزرگ، اعداد و کاراکترهای خاص.

رمزهای عبور را با استفاده از رمزگذاری برگشت پذیر ذخیره کنید

رمزهای عبور ذخیره شده در پایگاه داده رمزگذاری شده است. به طور کلی، رمزگذاری را نمی توان حذف کرد. اگر می‌خواهید اجازه لغو رمزگذاری را بدهید، خط‌مشی «ذخیره رمزهای عبور همه کاربران در دامنه با استفاده از رمزگذاری برگشت‌پذیر» را اعمال کنید. گذرواژه‌ها با استفاده از رمزگذاری برگشت‌پذیر ذخیره می‌شوند و در مواقع اضطراری قابل بازیابی هستند. رمزهای عبور فراموش شده یکی از آنها نیست. هر مدیری می تواند رمز عبور کاربر را تغییر دهد.

هنگام ایجاد ویندوز 10، توسعه دهندگان مایکروسافت توجه زیادی به امنیت سیستم داشتند. چه چیزی ارزش احراز هویت بیومتریک را دارد Windows Hello یا Windows Defender بهبود یافته. اما امروز می خواهم در مورد ویژگی کمتر شناخته شده ای صحبت کنم که اساساً کاربران ویندوز 10 را مجبور می کند رمزهای عبور خود را به صورت دوره ای تغییر دهند. در اصل، این کار را می توان در هر زمانی انجام داد، اما نظم و انضباط اضافی در مورد امنیت هرگز به کسی آسیب نرسانده است.

بسته به اینکه کدام نسخه ویندوز 10 را نصب کرده اید و اینکه آیا از حساب مایکروسافت استفاده می کنید، سه راه برای انجام این کار وجود دارد. برای مثال، اگر Windows 10 Pro، Enterprise یا Education دارید، می‌توانید از ویرایشگر سیاست گروه محلی استفاده کنید.

اولین قدم این است که gpedit.msc را باز کنید (Win + R را فشار داده و تایپ کنید gpedit.msc) و به مسیر زیر بروید: Windows Configuration → Security Settings → Account Policy → Password Policy

در پنجره ای که باز می شود، باید پارامتر "حداکثر سن رمز عبور" را انتخاب کنید و مشخص کنید پس از چه مدت سیستم از شما می خواهد رمز عبور را تغییر دهید. یک استاندارد خاص 72 روز در نظر گرفته می شود، اما شما می توانید تعداد روزها را به صلاحدید خود انتخاب کنید.

همچنین در مورد “Password Policy” می توانید حداقل طول رمز عبور، حداقل مدت اعتبار آن را انتخاب کنید و همچنین آرشیو رمز عبور را فعال کنید (به طوری که کاربران نتوانند رمز عبوری را که قبلاً به عنوان رمز عبور جدید استفاده شده است تعیین کنند).

اما در Windows 10 Home، ویرایشگر خط مشی گروه محلی وجود ندارد، بنابراین صاحب این نسخه از سیستم عامل باید از خط فرمان استفاده کند.

اول از همه، شما باید خط فرمان را باز کنید با حقوق مدیر(این یک پیش نیاز است)، و سپس به سادگی دستور "wmic UserAccount set PasswordExpires=True" را وارد کنید. پس از به روز رسانی ویژگی ها، دستور دیگری را بنویسید: "net accounts / maxpwage: 72". به جای 72، می توانید تعداد روزهای مورد نیاز خود را جایگزین کنید.

اگر می خواهید انقضای رمز عبور را فقط برای یک حساب خاص در رایانه تنظیم کنید، می توانید از دستور "wmic UserAccount where Name='Username' set PasswordExpires=True" استفاده کنید.

اما اگر از اکانت مایکروسافت استفاده می کنید، این دو روش برای شما کارایی ندارند. درست است، هنوز هم می توانید این گزینه را فعال کنید. برای انجام این کار، باید وارد حساب کاربری خود در وب سایت مایکروسافت شوید، مورد "تغییر رمز عبور" را در آنجا پیدا کنید و کادر کنار "تغییر رمز عبور هر 72 روز" را علامت بزنید.

در این صورت، تغییرات نه تنها روی رمز عبور حساب کاربری ویندوز 10، بلکه بر روی OneDrive، Outlook.com، Skype و سایر سرویس‌ها نیز تأثیر می‌گذارد.

به هر حال، این راهنما برای ویندوز 7، ویندوز 8 و ویندوز 8.1 نیز مناسب است. اگر این مقاله برای شما مفید بود، لطفا آن را لایک کنید. و اگر چنین گرمایی قبلاً از بین رفته است ، حتی می توانید در ما مشترک شوید

در بخش قبلی مقاله سیاست‌های امنیتی محلی، نحوه استفاده از سیاست‌های امنیتی محلی را برای مدیریت تنظیمات مربوط به امنیت برای رایانه خانگی و رایانه‌هایی که در محیط دامنه سازمان شما قرار دارند، یاد گرفتید. با شروع این مقاله، تمام دسته‌بندی‌های خط‌مشی‌هایی که با امنیت رایانه‌های شما مرتبط هستند به تفصیل مورد بحث قرار خواهند گرفت. در این مقاله با مدیریت احراز هویت حساب کاربری، به ویژه هاست آشنا خواهید شد "سیاست های حساب". این سیاست ها در شرکت هایی با محیط دامنه رایج است. برای اطمینان از امنیت رایانه های خود، اعمال سیاست های این گروه بر روی رایانه هایی که بخشی از یک محیط دامنه نیستند (مثلاً استفاده از سیاست ها در رایانه خانگی) به شما کمک می کند تا امنیت رایانه خود را به میزان قابل توجهی افزایش دهید.

بدون شک، حساب های شرکتی مورد توجه هکرهایی هستند که ممکن است به سرقت اطلاعات شرکت و همچنین دسترسی به رایانه های شرکت شما علاقه مند باشند. بنابراین یکی از راه حل هایی که می تواند زیرساخت یک سازمان را به میزان قابل توجهی ایمن کند، استفاده از رمزهای عبور پیچیده امن برای کاهش احتمال نفوذ مزاحمان است. همچنین، فراموش نکنید که مهاجمان می توانند بسیار نزدیکتر از آنچه تصور می کنید باشند. من به شدت توصیه می کنم زورکاربران از رمزهای عبور پیچیده، از جمله حروف مختلط، اعداد، و کاراکترهای ویژه برای رمزهای عبور حساب کاربری خود استفاده کنند و هرگز رمز عبور خود را در معرض دید قرار ندهند. منظورم این است که آنها را روی کاغذ یادداشت نکنید و آنها را در محل کار خود، در کنار رایانه قرار ندهید، و حتی بیشتر از آن - آنها را روی مانیتور خود ثابت نکنید (که اغلب اتفاق می افتد). همچنین کاربران باید پس از مدتی که شما تعیین کرده اید رمز عبور خود را تغییر دهند. به عنوان مثال، با تعیین انقضای رمز عبور 30 ​​روزه، پس از انقضای آن قبل از ورود کاربر به حساب کاربری خود، یک گفتگو نمایش داده می شود که از آنها می خواهد رمز عبور فعلی را تغییر دهند.

برای یافتن خط‌مشی‌های مدیریت حساب، در ویرایشگر مدیریت خط‌مشی گروه، آن را باز کنید پیکربندی رایانه\ تنظیمات امنیتی\ سیاست های حساب. بیایید نگاهی دقیق‌تر به هر یک از سیاست‌های امنیتی که برای مدیریت گذرواژه‌ها و قفل کردن حساب‌های کاربری استفاده می‌شود، بیندازیم.

خط مشی رمز عبور

با استفاده از این سایت، می‌توانید تنظیمات رمز عبور حساب‌های کاربری را که هم در دامنه و هم در گروه‌های کاری عضو هستند، تغییر دهید. در سازمان‌ها، می‌توانید با استفاده از کنسول مدیریت خط مشی گروه. در گره "سیاست رمز عبور"می توانید حداکثر از شش خط مشی امنیتی استفاده کنید که می توانید از آنها برای تعیین مهمترین تنظیمات امنیتی مورد استفاده برای مدیریت رمزهای عبور حساب استفاده کنید. اکیداً توصیه می کنم که این سیاست ها را نادیده نگیرید. حتی اگر کاربران خود را متقاعد کنید که از رمزهای عبور پیچیده استفاده کنند، مطمئن نیستید که واقعاً این کار را انجام دهند. اگر هر شش خط مشی امنیتی موجود در این سایت را به درستی پیکربندی کنید، امنیت رمز عبور کاربران سازمان شما به میزان قابل توجهی بهبود می یابد. با وجود همه سیاست‌ها، کاربران در واقع باید رمزهای عبور ایمن ایجاد کنند، برخلاف آنچه که «دشوار» می‌دانند. سیاست های امنیتی زیر در دسترس است:

برنج. 1 گره خط مشی رمز عبور

ثبت رمز عبور نگه دارید. مهم نیست رمز عبور شما چقدر امن است، مهاجم دیر یا زود می تواند آن را دریافت کند. بنابراین، رمز عبور حساب کاربری باید به صورت دوره ای تغییر کند. با این خط‌مشی، می‌توانید تعداد رمزهای عبور جدیدی را که قبل از استفاده مجدد از رمز عبور قدیمی به حساب‌ها اختصاص داده می‌شوند، مشخص کنید. پس از پیکربندی این خط‌مشی، کنترل‌کننده دامنه حافظه پنهان کدهای هش قبلی کاربران را بررسی می‌کند تا مطمئن شود که کاربران نمی‌توانند از رمز عبور قدیمی خود به عنوان رمز عبور جدید استفاده کنند. تعداد رمزهای عبور می تواند از 0 تا 24 متغیر باشد. یعنی اگر عدد 24 را به عنوان پارامتر مشخص کنید، کاربر می تواند از 25 بار از رمز عبور قدیمی استفاده کند.

حداکثر سن رمز عبور. این خط‌مشی مدت زمانی را مشخص می‌کند که کاربر می‌تواند رمز عبور خود را قبل از تغییر بعداً استفاده کند. در پایان مدت زمان تعیین شده، کاربر موظف است رمز عبور خود را تغییر دهد، زیرا بدون تغییر رمز عبور نمی تواند وارد سیستم شود. مقادیر موجود را می توان بین 0 تا 999 روز تنظیم کرد. اگر روی 0 تنظیم شود، رمز عبور منقضی نمی شود. با توجه به اقدامات امنیتی، مطلوب است که از چنین انتخابی خودداری کنید. اگر حداکثر سن رمز عبور از 1 تا 999 روز باشد، حداقل مقدار سن باید کمتر از حداکثر باشد. بهتر است از مقادیر بین 30 تا 45 روز استفاده کنید.

حداقل طول رمز عبور. با این خط مشی، می توانید حداقل تعداد کاراکترهایی را که یک رمز عبور باید داشته باشد، تعیین کنید. اگر این تنظیم را فعال کنید، پس از وارد کردن رمز عبور جدید، تعداد نویسه‌ها با نویسه‌ای که در این خط‌مشی تنظیم شده است مقایسه می‌شود. اگر تعداد کاراکترها کمتر از مقدار مشخص شده باشد، باید رمز عبور را مطابق با سیاست امنیتی تغییر دهید. شما می توانید یک مقدار سیاست از 1 تا 14 کاراکتر را مشخص کنید. مقدار بهینه برای تعداد کاراکترها برای رمز عبور کاربران 8 و برای سرورها از 10 تا 12 است.

حداقل سن رمز عبور. بسیاری از کاربران نمی خواهند به خاطر سپردن یک رمز عبور پیچیده جدید به خود زحمت بدهند و ممکن است سعی کنند به همان تعداد رمز عبور جدید را تغییر دهند تا از رمز عبور اولیه شناخته شده خود استفاده کنند. برای جلوگیری از چنین اقداماتی، سیاست امنیتی فعلی تدوین شده است. می توانید حداقل تعداد روزهایی را که کاربر باید از رمز عبور جدید خود استفاده کند، تعیین کنید. مقادیر موجود برای این خط مشی از 0 تا 998 روز متغیر است. با تنظیم مقدار روی 0 روز، کاربر می تواند بلافاصله پس از ایجاد رمز عبور جدید، رمز عبور را تغییر دهد. لطفاً توجه داشته باشید که حداقل مدت اعتبار رمز عبور جدید نباید از مقدار حداکثر مدت اعتبار بیشتر باشد.

رمز عبور باید الزامات پیچیدگی را برآورده کند. این یکی از مهم ترین سیاست های رمز عبور است و مسئول این است که آیا رمز عبور باید الزامات پیچیدگی را هنگام ایجاد یا تغییر رمز عبور داشته باشد یا خیر. با توجه به این الزامات، رمزهای عبور باید:

• حاوی حروف بزرگ و کوچک به طور همزمان؛
• شامل اعداد از 0 تا 9 است.
• شامل کاراکترهایی است که با حروف و اعداد متفاوت هستند (به عنوان مثال، !، @، #، $، *)؛
• نام حساب کاربری یا قسمت‌هایی از نام کامل کاربر که بیش از دو نویسه متوالی باشد را شامل نشود.

در صورتی که کاربر رمز عبوری را ایجاد کرده یا تغییر داده است که الزامات مورد نیاز را برآورده می کند، رمز عبور از طریق یک الگوریتم ریاضی منتقل می شود که آن را به یک کد هش (همچنین به نام تابع یک طرفه) تبدیل می کند، که در خط مشی مورد بحث قرار گرفت. "گزارش رمز عبور را نگه دارید".

رمزهای عبور را با استفاده از رمزگذاری برگشت پذیر ذخیره کنید. برای جلوگیری از رهگیری رمزهای عبور توسط برنامه ها، Active Directory فقط یک کد هش را ذخیره می کند. با این حال، اگر نیاز به پشتیبانی از برنامه‌هایی دارید که از پروتکل‌هایی استفاده می‌کنند که برای احراز هویت به دانش رمز عبور کاربر نیاز دارند، می‌توانید از خط‌مشی فعلی استفاده کنید. رمزگذاری برگشت پذیر به طور پیش فرض غیرفعال است، زیرا استفاده از این خط مشی سطح امنیت رمزهای عبور و به ویژه کل دامنه را تا حد زیادی کاهش می دهد. استفاده از این ویژگی مشابه ذخیره رمز عبور در متن ساده است.

خط مشی قفل کردن حساب

حتی پس از ایجاد یک رمز عبور پیچیده و تنظیم صحیح خط مشی های امنیتی، حساب های کاربری شما همچنان می تواند مورد حمله افراد بدخواه قرار گیرد. به عنوان مثال، اگر حداقل سن رمز عبور را 20 روز تعیین کنید، یک هکر زمان کافی برای حدس زدن رمز عبور یک حساب کاربری را دارد. دانستن نام حساب برای هکرها مشکلی ایجاد نمی کند، زیرا اغلب نام حساب کاربری با نام آدرس صندوق پستی یکی است. و اگر نام مشخص باشد، حدس زدن رمز عبور حدود دو تا سه هفته طول خواهد کشید.

سیاست‌های گروه امنیتی ویندوز می‌توانند با استفاده از مجموعه سیاست میزبان با چنین اقداماتی مقابله کنند "خط مشی قفل حساب". با این مجموعه از سیاست ها، شما می توانید تعداد تلاش های نادرست برای ورود به سیستم کاربر را محدود کنید. البته، این می تواند برای کاربران شما مشکل ایجاد کند، زیرا همه نمی توانند در تعداد مشخصی از تلاش ها رمز عبور وارد کنند، اما امنیت حساب را به "سطح جدیدی" می برد. فقط سه خط مشی برای این گره موجود است که در زیر به آنها پرداخته می شود.

برنج. 2 "خط مشی قفل کردن حساب"

زمان بازنشانی شمارنده های مسدود کننده است. Active Directory و Group Policy به شما این امکان را می دهد که قفل حسابی را که بیش از حد آستانه ای که برای تلاش برای ورود تعیین کرده اید، به طور خودکار باز کنید. این خط‌مشی تعداد دقیقه‌هایی را تعیین می‌کند که باید پس از تلاش ناموفق برای باز کردن خودکار قفل سپری شود. می توانید مقدار را از یک دقیقه به 99999 تنظیم کنید. این مقدار باید کمتر از مقدار سیاست باشد.

آستانه بلوک. با استفاده از این خط‌مشی، می‌توانید تعداد تلاش‌های نامعتبر برای ورود به سیستم را قبل از قفل شدن حساب مشخص کنید. پایان دوره قفل حساب توسط خط‌مشی تنظیم می‌شود "مدت قفل شدن حساب"یا مدیر می تواند قفل حساب را به صورت دستی باز کند. تعداد تلاش‌های ناموفق برای ورود می‌تواند از 0 تا 999 متغیر باشد. توصیه می‌کنم تعداد مجاز را بین سه تا هفت بار تنظیم کنید.

مدت زمان قفل شدن حساب. با این تنظیم، می توانید مدت زمانی را که یک حساب قبل از باز شدن خودکار قفل آن قفل شود، مشخص کنید. می توانید مقدار را از 0 تا 99999 دقیقه تنظیم کنید. اگر این خط‌مشی روی ۰ تنظیم شود، حساب قفل می‌شود تا زمانی که سرپرست آن را به صورت دستی باز کند.

سیاست کربروس

دامنه های Active Directory از پروتکل Kerberos برای احراز هویت کاربران دامنه و حساب های رایانه استفاده می کنند. بلافاصله پس از احراز هویت کاربر یا رایانه، این پروتکل جزئیات مشخص شده را احراز هویت می کند و سپس یک بسته داده خاص به نام صادر می کند. "بلیت اعطای بلیط (TGT)". قبل از اینکه کاربر برای درخواست سند به سرور متصل شود، درخواست به همراه یک TGT که کاربر احراز هویت شده توسط Kerberos را شناسایی می کند به کنترل کننده دامنه ارسال می شود. سپس کنترل کننده دامنه بسته دیگری از داده را به کاربر ارسال می کند که به آن بلیط دسترسی به سرویس می گویند. کاربر یک بلیط دسترسی به یک سرویس در سرور ارائه می دهد که آن را به عنوان مدرک احراز هویت می پذیرد.

شما فقط می توانید این گره را در کنترل کننده های دامنه پیدا کنید. پنج خط مشی امنیتی زیر موجود است:

برنج. 3. سیاست Kerberos

حداکثر خطای همگام سازی ساعت کامپیوتر. برای جلوگیری از "حملات بازپخش"، یک خط مشی امنیتی فعلی وجود دارد که حداکثر اختلاف زمانی را که Kerberos بین زمان مشتری و زمان روی کنترل کننده دامنه برای ارائه احراز هویت اجازه می دهد، تعیین می کند. اگر این خط‌مشی تنظیم شده باشد، هر دو ساعت باید روی یک تاریخ و زمان تنظیم شوند. مهر زمانی که در هر دو رایانه استفاده می‌شود، اگر تفاوت بین ساعت رایانه مشتری و کنترل‌کننده دامنه کمتر از حداکثر اختلاف زمانی تعریف‌شده توسط این خط‌مشی باشد، واقعی در نظر گرفته می‌شود.

حداکثر طول عمر بلیط کاربر. با خط مشی فعلی، می توانید حداکثر مدت زمانی را که می توان از یک بلیط ارائه بلیط (TGT) استفاده کرد، تعیین کرد. هنگامی که یک بلیط TGT منقضی می شود، باید بلیط موجود خود را تمدید کنید یا یک بلیط جدید درخواست کنید.

حداکثر طول عمر بلیط خدمات. با استفاده از این خط مشی امنیتی، اگر مشتری درخواست اتصال به سرور، یک بلیط جلسه منقضی شده را ارائه دهد، سرور یک پیام خطا صادر می کند. می‌توانید حداکثر دقیقه‌ای را تعیین کنید که یک بلیط جلسه معین مجاز است برای دسترسی به یک سرویس خاص استفاده شود. بلیط های جلسه فقط برای احراز هویت در اتصالات جدید به سرورها استفاده می شود. پس از تأیید اعتبار، بلیط منقضی شده دیگر معنایی ندارد.

حداکثر طول عمر برای تمدید بلیط کاربر. با استفاده از این خط‌مشی، می‌توانید تعداد روزهایی را تنظیم کنید که طی آن بلیط کمک هزینه بلیت می‌تواند بازیابی شود.

محدودیت های ورود کاربر را اعمال کنید. این خط‌مشی به شما امکان می‌دهد تعیین کنید که آیا مرکز توزیع کلید Kerberos باید هر درخواست بلیط جلسه را با خط‌مشی حقوق موجود برای حساب‌های کاربر بررسی کند یا خیر.

نتیجه

امروزه، بیشتر و بیشتر باید از امنیت حساب‌ها، هم برای ایستگاه‌های کاری مشتری در سازمان و هم برای رایانه‌های خانگی مراقبت کنید. بدخواهانی که می خواهند کنترل کامپیوتر شما را در دست بگیرند، نه تنها می توانند هکرهایی باشند که در هزاران و صدها هزار کیلومتر دورتر از شما قرار دارند، بلکه کارمندان شما نیز هستند. خط‌مشی‌های حساب به محافظت از حساب‌های شما کمک می‌کنند. این مقاله تمام خط‌مشی‌هایی را که مربوط به گذرواژه‌های حساب شما، قفل کردن حساب هنگام تلاش برای حدس زدن رمز عبور است، و خط‌مشی‌های Kerberos، پروتکلی که برای احراز هویت کاربران دامنه و حساب‌های رایانه استفاده می‌شود، توضیح می‌دهد. در مقاله بعدی با سیاست های حسابرسی آشنا خواهید شد.