Политика паролей

date image 2015-07-03
views image 804
Поделись с друзьями: 
45678910

Политика создания паролей это проводник для выбора удовлетворительного пароля. Обычно она представляет собой:

Помощь пользователем в выборе мощного пароля.

Гарантия того, что пароли будут подходить к целевой аудитории.

Рекомендации пользователям в отношении обращения с их паролями.

Требования изменить любой пароль, который был потерян или дискредитирован и возможно использовался дольше определенного времени.

Некоторые политики содержат шаблон символов, которые должен содержать пароль.

В политику создания паролей часто включают истечение срока годности. Срок годности служит двум целям:

Если время взлома пароля оценивается в 100 дней, то срок годности менее 100 дней может помочь гарантировать, что атакующему не хватит времени для взлома.

Если пароль был дискредитирован, требование, регулярно его изменять, должно ограничить время доступа атакующего к системе.

У политик паролей есть ряд существенных ограничений. В первую очередь это ограничение связано с тем, что администраторы могут определить лишь одну политику паролей, которая применяется ко всем учетным записям пользователя в домене.

22 Настройка детализированных политик паролей,- позволяют администраторам определить разные политики паролей для различных категорий учетных записей в одном домене. Новую детализированную функциональность можно применять только к учетным записям домена, но не к локальным учетным записям.

1 Политики блокирования учетных записей гарантируют, что учетные записи пользователей автоматически становятся недоступны, если пользователь определенное число раз вводит неверный пароль. Настраивая политику блокирования учетных записей, администратор должен определить порог для неверных паролей.

Настройка детализированных политик паролей Server 2008 коренным образом отличается от определения обычной политики паролей доменной или локальной учетной записи в предшествующих версиях Windows (описанных раньше). Нельзя использовать настройки GPO для детализированных политик паролей, так как здесь применяется другой (не на основе GPO) механизм для хранения и применения этих политик.

2 Active Directory («Активные директории», AD) — LDAP-совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows NT. Active Directory позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, развёртывать программное обеспечение на множестве компьютеров через групповые политики или посредством Microsoft Systems Management Server или System Center Configuration Manager, устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в сети, используя Службу обновления Windows Server. Active Directory хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких сотен до нескольких миллионов объектов.

AD объединяет логическую и физическую структуру сети. Логическая структура AD состоит из следующих элементов:

организационное подразделение (organizational unit) – подгруппа компьютеров, как правило, отражающая структуру компании;

домен (domain) – группа компьютеров, совместно использующих общую базу данных каталога;

дерево доменов (domain tree) – один или несколько доменов, совместно использующих непрерывное пространство имен;

лес доменов (domain forest) – одно или несколько деревьев, совместно использующих информацию каталога.

К физической структуре относятся следующие элементы:

подсеть (subnet) – сетевая группа с заданной областью IP-адресов и сетевой маской;

сайт (site) – одна или несколько подсетей. Сайт используется для настройки доступа к каталогу и для репликации.

LDAP (англ. Lightweight Directory Access Protocol это — «облегчённый протокол доступа к каталогам») протокол прикладного уровня для доступа к службе каталогов X.500, разработанный IETF как облегчённый вариант разработанного ITU-T протокола DAP. LDAP — относительно простой протокол, использующий TCP/IP и позволяющий производить операции авторизации (bind), поиска (search) и сравнения (compare), а также операции добавления, изменения или удаления записей. Обычно LDAP-сервер принимает входящие соединения на порт 389 по протоколам TCP или UDP. Для LDAP-сеансов, инкапсулированных в SSL, обычно используется порт 636.

25 Настройка и управление контроллером домена

Контроллер домена в компьютерных сетях - сервер, контролирующий область компьютерной сети (домен).

Существует два типа контроллера домена:

первичный контроллер домена (PDC)

резервный контроллер домена (BDC

Контроллеры домена, работающие под управлением Windows Server 2003, хранят данные каталога и управляют взаимодействиями пользователя и домена, включая процессы входа пользователя в систему, проверку подлинности и поиски в каталоге. Контроллеры домена создаются при использовании мастера установки Active Directory.

Сама процедура создания резервного контроллера домена элементарна – мы просто запускаем на любом сервере сети мастер dcpromo. При помощи мастера dcpromo создаём контроллер домена в существующем домене. В результате проделанных манипуляций мы получаем развернутую службу каталогов AD на нашем дополнительном сервере (я буду называть его pserver, а основной контроллер - dcserver).

Дальше, если dcpromo сам не предложил – запускаем установку DNS сервера. Никаких настроек изменять не надо, зону создавать также не надо – она хранится в AD, и все записи автоматически реплицируются на резервный контроллер. Внимание – основная зона в DNS появится только после репликации, для ускорения которой сервер можно перезагрузить. В настройках TCP/IP сетевой карты резервного контроллера домена адресом первичного DNS сервера должен быть указан ip-адрес основного контроллер домена.

Теперь можно легко проверить работоспособность резервного контроллера домена pserver. Мы можем создать пользователя домена как на основном так и на резервном контроллере домена. Сразу после создания он появляется на дублирующем сервере, но где-то в течении минуты (пока происходит репликация) – он показан как отключенный, после чего начинает отображаться одинаково на обоих контроллерах.

26 Подключение к удаленному серверу

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

45678910

double arrow
Сейчас читают про:

article image
Цели, задачи и функции предпринимательства
article image
Индукция и дедукция. Анализ и синтез
article image
Анализ актива баланса
article image
Правовое положение сословий в Российском государстве в XVIII веке
article image
Калибры, виды и назначение. Контроль параметров макрогеометрии деталей калибрами
article image
Классификация методов обучения
article image
Самый сильный аргумент, почему эволюция человека не могла быть

Не усвоив приличий, не утвердишься. © Конфуций ==> читать все изречения...
like icon 7445
like icon 7383
Понравился сайт? Поделись им с друзьями: