Администрирование сети Windows NT 4.0. Учебный курс

Настройка параметров блокировки учетных записей


Блокировка учетных записей защищает Windows NT от тех, кто пытается получить доступ к сети подбором пароля учетной записи. Параметры блокировки учетных записей определяют различные характеристики блокировки, выполняемой после одной или нескольких неудачных попыток регистрации.

Параметр

Описание

Account Lockout

(Блокировка учетной записи)

Выбор этого переключателя делает доступными следующие три параметра

Lockout After

(Блокировка после Х неудачных попыток входа)

Число неудачных попыток регистрации, после которого учетная запись будет блокирована. Диапазон допустимых значений — от 1 до 999

Reset Count After

(Сброс счетчика через Х мин)

Интервал (в минутах) обнуления счетчика неудачных попыток. Диапазон допустимых значений — от 1 до 99999 минут

Lockout Duration

(Длительность блокировки)

Forever [Постоянная (до снятия блокировки администратором)] блокирует учетные записи, пока их не разблокирует администратор; встроенная учетная запись Administrator (Администратор) не блокируется. Duration (Блокировать на Х мин) блокирует учетные записи на указанное время (в минутах). По истечении этого времени учетная запись будет автоматически разблокирована. Диапазон допустимых значений — от 1 до 99999 минут

Forcibly disconnect remote users from server when logon hours expire (Принудительно отключать удаленных пользователей по истечении разрешенного для работы времени)

Если этот флажок установлен, то по истечении разрешенного времени работы пользователь принудительно отключается от всех серверов домена. Если этот флажок сброшен, то по истечении разрешенного времени работы пользователь не будет автоматически отключен, но новые подключения будут запрещены. Этот параметр доступен только в Windows NT Server



> Планирование стратегии учетных записей

В этом упражнении Вы спланируете стратегии учетных записей для Вашего домена.

ответ

Вам нужно выработать:

  • ограничения на пароли;
  • требования к блокировке учетных записей.
  • Принимая решение, учтите приведенные ниже советы.


    • Требуйте от пользователей ежемесячной смены паролей.


    • Не позволяйте пользователям повторно использовать пароли в течение, по крайней мере, шести месяцев.


    • Сделайте все возможное для предотвращения проникновения в сеть неавторизованных пользователей.


    • Отключайте от сети пользователей, у которых закончилось разрешенное время работы.


    • Отметьте Ваши решения прямо на приведенном ниже рисунке в диалоговом окне Account Policy (Политика учетных записей).




    • > Реализация стратегии учетных записей

      В этом упражнении Вы определите стратегию учетных записей для всех учетных записей пользователей домена сети со средними требованиями к защите.


      1. Зарегистрируйтесь в системе по учетной записи Administrator (Администратор).


      2. В меню Policies утилиты User Manager for Domains (Диспетчер пользователей доменов) (Политика) выберите пункт Account (Учетные записи).


      3. Появится диалоговое окно Account Policy (Политика учетных записей).


      4. Установите перечисленные ниже ограничения, чтобы обеспечить защиту сети со средними требованиями к безопасности.


      5. Параметры паролей и блокировки

        Предлагаемые значения

        Maximum Password Age (Максимальный срок действия)

        90 дней

        Minimum Password Age (Минимальный срок действия)

        30 дней

        Minimum Password Length (Минимальная длина пароля)

        8 символов

        Password Uniqueness (Уникальность пароля)

        Хранить 8 ранее использованных паролей

        Account Lockout (Блокировка учетной записи)

        Выбран

        Lockout After (Блокировка после Х неудачных попыток входа)

        3 неудачные попытки

        Reset Count After (Сброс счетчика через Х мин)

        30 минут

        Lockout Duration (Длительность блокировки)

        Forever (until administrator unlocks) [Постоянная (до снятия блокировки администратором)]

      6. Щелкните кнопку ОК, чтобы установить стратегию учетных записей.


      7. > Проверка действия стратегии учетных записей для парольных ограничений

        Здесь Вы проверите действие ограничений, заданных новой стратегией учетных записей.


        1. Попытайтесь создать учетную запись пользователя с пустым паролем.


        Появится сообщение о его недопустимости. Эта ошибка возникла потому, что стратегия учетных записей устанавливает минимальную длину пароля — 8 символов. Таким образом, пользователю не удастся воспользоваться пустым паролем.



      8. Щелкните кнопку ОК.


      9. В полях Password (Пароль) и Confirm Password (Подтверждение) введите пароль длиной по меньшей мере 8 символов и нажмите кнопку Add (Добавить).

        Убедитесь, что установлен флажок User Must Change Password at Next Logon

        (Потребовать смену пароля при следующем входе в систему).

      10. Выйдите из системы и зарегистрируйтесь по новой учетной записи.

        Появится окно с сообщением о необходимости смены пароля при первой регистрации в системе. Несмотря на то что для выбора стратегии учетных записей этого не требуется, параметр был установлен по умолчанию при создании данной учетной записи.

      11. Щелкните кнопку ОК.


      12. В полях New Password (Новый пароль) и Confirm New Password (Подтверждение) наберите watermelon и щелкните кнопку ОК.

        Появится сообщение о том, что пароль был изменен.

      13. Нажмите комбинацию клавиш CTRL+ALT+DELЕTE, чтобы вызвать диалоговое окно Windows NT Security (Безопасность Windows NT), а затем щелкните кнопку Change Password (Смена пароля).


      14. В поле Old Password (Старый пароль) наберите watermelon.


      15. В полях New Password (Новый пароль) и Confirm New Password (Подтверждение) наберите cantaloupe и щелкните ОК.

        Появится сообщение о том, что в данный момент пароль нельзя изменить. Это происходит потому, что стратегия учетных записей не позволяет изменять пароль раньше, чем через 30 дней после предыдущего изменения. Первая смена пароля (при первой регистрации по новой учетной записи) была разрешена при создании учетной записи.

      16. Щелкните кнопку ОК.


      17. > Проверка действия стратегии блокировки учетных записей

        Здесь Вы проверите действие блокировки учетных записей, несколько раз набрав неправильный пароль.


        1. Выйдите из системы и попытайтесь зарегистрироваться в ней снова по той же учетной записи, но без указания пароля.


        Появится сообщение, что регистрация невозможна.

      18. Щелкните кнопку ОК.


      19. Дважды повторите попытку зарегистрироваться без указания пароля.


      20. Теперь попытайтесь зарегистрироваться по правильному паролю.

        Почему Вам не удалось зарегистрироваться в системе, даже указав правильный пароль?

        ответ

        Как следует пользователям решать эту проблему?

        ответ

      21. Щелкните кнопку ОК.



      22. Содержание раздела