Doménová politika - složitost hesla
Zdravím,
nevím opět jak dál, tak jdu požádat o radu.
Přes doménovou politiku (která funguje, nastavuju s ní několik věcí a vše OK) jsem nakonfiguroval zásady pro složitost hesla uživatelů. Přesněji ve větvi Konfigurace počítače - Zásady - Nastavení systému windows - Nastavení zabezpečení - Zásady účtů - Zásady hesla
Zde je:
Heslo musí splňovat požadavky na složitost - nakonfigurováno (aktivní)
Maximální stáří hesla - 35 dní
Minimální stáří hesla - 25 dní
Minimální délka hesla - 8 znaků
Vynutit použití historie hesel - 10 hesel zapamatováno
Pokud zapnu konzolu secpol.msc na lokálním PC v doméně, tak tam přesně toto nastavení je zreplikované taky. Ale stále si uživatelka může nastavit jednoduché heslo např. "michala" takže to vůbec nefunguje. Nevím už jak dále, můžete mi někdo poradit jak by to šlo vyřešit?? Zkoušel jsem nespočet restartů a přihlášení, ale bez úspěchu. Zajímavé je, že při pokusu zadat heslo kratší než 6 znaků to hlásí, že to nesplňuje požadavky na zásady hesla. Ale nevím, kde jinde by to ještě mohlo být nastaveno.
Díky
http://www.samuraj-cz.com/clanek/group-policy-poli tiky-hesel-a-zamykani-uctu/
Tak Default Domain Policy tam složitost hesla nastavená je, ale tahle politika je zakázaná. Nicméně jsem to zkusil nastavit přes ní a taky nejde. Pak jsem tu mojí politiky (kontejner) přesunul teda na doménovou úroveň, aby měla nejvyšší prioritu a taky nic. Není to tím, že je nějaká časová prodleva než se projeví změny v GPO? (třeba přesunutí nebo úprava politiky že by se projevila třeba za 30 minut?) Zkouším to hned po změně. Sice dělám gpupdate /force a i gpresult /R mi ukazuje, že politika na PC proběhla, ale stále bez výsledku.
netuším, proč máš zakáazanou default domain policy, ale budiž. pokud je tato politika zakázána, pak LOGICKY nemá smysl ji měnit, protože se neaplikuje.. (BLIK!)
Takže: buď si vytvoříš nový objekt jen s tímto nastavením a aplikuješ jej na správnou OU a se správným filtrem (default je buď nic (pak je třeba přidat na koho/co se to má aplikovat) nebo authenticated users - to se i už z hlavy nepamatuju, ale myslím, že to druhé)
koneckonců v GPMC (což je "k dostání" už od Win2003 - tam jako doinstalovatelná komponenta, od 2003R2 už jako integrovaná část) si můžeš aplikaci policies namodelovat až na konkrétního uživatele a PC.
edit: je rovněž možné, že tvá politika je přebita jinou politikou s "vyšším číslem" - co a jak se aplikuje zjistíš modelováním.
To je důvod proč jsem psal. Moje politika, která se jmenuje users_default nastavuje například vypnutí firewallu, spouštění určitých skriptů po startu a vše funguje. Dokonfiguroval jsem do ní pouze zásady pro hesla, a ty nefungují (tak jak jsem to popsal výše). Pokud si vymodeluju politiku na konkrétního uživatele na konkrétním počítači, kde zkouším měnit heslo, tak tam se tato politika aplikuje. Jen mi to pořád bere heslo například "michala" nebo "mnova12" což by nemělo. Už jen proto, že minimální délka hesla je 10 a je vyžadováno velké písmeno, malé písmeno a číslo v hesle (nebo zvláštní znaky).
A to se zkousis jen prihlasit, nebo to heslo menit?
Samozřejmě že změnit heslo.
už sis to namodeloval?
edit: pokud ano, tak na cílovém stroji je třeba provést gpupdate /boot /force
edit2: pokud to i tak nefunguje, je možné, že problém je v HW - typicky to dělají gigabitové síťovky, které se při restartu neincializují včas na to, aby stihly sestavit spojení před tím, než se začne spouštět a nastavovat doménová politika.
Jak jsem psal, ostatní nastavení z té politiky se projeví, takže politika asi prochází, jen ta složitost hesla ne.
gpupdate /boot /force nepomohlo taktéž :( .... jsem v koncích
moment, a nastavuješ to pod tím uživatelem, nebo pod adminem?
Přihlásím se pod uživatelem na jeho PC a dam CTRL - ALT - DEL a změnit heslo :) Zkoušel jsem to na XP i na Win 7. Například úprava nabídky start se nakonfiguruje přesně podle tý politiky. Stejně tak i jiný věci. Zkusím povolit asi to Default Domain Policy jestli to nepůjde z toho, tam to defaultně bylo nastavený.
Neporadím sice s nastavením domény, ale měl bych pár rad k nastavené politice.
Ač si to někteří nemyslí, nastavení politik časté změny hesla s patřičnou složitostí a nemožností zadávat po deset následujících pokusů to předchozí podle mých zkušeností a názoru bezpečnost naopak snižuje.
Dvě varianty:
Uživatel si heslo nepamatuje (kdo by si pamatoval každý měsíc nové složité heslo), tak ho má někde napsané a to ideálně v pěněžence nebo ještě lépe poblíž počítače. Na monitoru, ze spodu klávesnice, v šuplíku.
Uživatel v hesle systematicky mění jen jeden znak, typicky číslo, třeba podle čísla aktuálních měsíců. Sice to nemá nikde napsané, ale efekt to má totožný s tím, když má heslo stálé. Před kontinuálním útokem typu bruteforce změna jednoho znaku nehraje žádnou roli, pochybuji, že se uživateli podaří změnit heslo ve chvíli, kdy útočník otestoval Franta01 a jestě nestačil otestovat Franta02.
Suma sumárum. Patřičně složité a dlouhé heslo je výrazně bezpečnější, než heslo často měněné. Patřičně složité znamená, že musí obsahovat malá, velká písmeno, číslo i speciální znak. Tím uživatel nemůže využít své běžné slabé heslo (Franta, 08041972 nebo 6653134532) a dlouhé heslo je 10+, aby bylo dostatečně robustní před útokem typu bruteforce.
No ono je celkem divne, davat tu Minimální stáří hesla - 25 dní.
Tzn. zmeni heslo, a pak ho 25 dni nezmeni. K cemu to je dobre..?
My jsme kdysyk meli nastaveno myslim 3 dny, a taky to delalo paseku.
Zmenit slo, ale neslo se pod nim prihlasit (porad bralo to stare).
Az jsme zrusili to minimalni stari a ejhle, zaclo to fungovat.
Zkus to zrusit (nebo nastavit na 0 - nebo jak to tam je)...
to se dělá kvůli tomu, aby si někdo nezměnil 10x heslo zase zpátky na to své původní. Paranoia, to je sviňa
Tak už jsem zkusil snad všechno. Ze všech ostatních politik jsem toto nastavení hesla smazal, nechal to jen v Default domain policy a povolil jí. Níže zasílám část výpisu z příkazu : gpresult /S POCITAC /U JNOVA /SCOPE COMPUTER /Z kde jsou vidět všechny politiky aplikované na danou uživatelku a počítač, zde je nastavení vidět (délka hesla 10 znaků, složitost povolena).
Přesto lze změnit heslo na michaela.
Napadá někoho ještě co bych mohl vyzkoušet ?? Díky moc, už jsem zoufalej.
************************************************** ******************************************
Skripty pýi vypnutˇ
-------------------
Nenˇ k dispozici
Z sady Łźt… ----------- Objekt z sad skupiny: Default Domain Policy Z sada: PasswordHistorySize Nastavenˇ poźˇtaźe: Nenˇ k dispozici Objekt z sad skupiny: Default Domain Policy Z sada: MinimumPasswordAge Nastavenˇ poźˇtaźe: Nenˇ k dispozici Objekt z sad skupiny: Default Domain Policy Z sada: PasswordHistorySize Nastavenˇ poźˇtaźe: Nenˇ k dispozici Objekt z sad skupiny: Default Domain Policy Z sada: MaximumPasswordAge Nastavenˇ poźˇtaźe: 4294967295 Objekt z sad skupiny: Default Domain Policy Z sada: MinimumPasswordLength Nastavenˇ poźˇtaźe: 10 Objekt z sad skupiny: Default Domain Policy Z sada: MinimumPasswordAge Nastavenˇ poźˇtaźe: Nenˇ k dispozici Objekt z sad skupiny: Default Domain Policy Z sada: MinimumPasswordLength Nastavenˇ poźˇtaźe: 10 Objekt z sad skupiny: Default Domain Policy Z sada: MaximumPasswordAge Nastavenˇ poźˇtaźe: 4294967295 Z sady auditu ------------- Nenˇ k dispozici U§ivatelsk pr va ----------------- Nenˇ k dispozici Mo§nosti zabezpeźenˇ -------------------- Objekt z sad skupiny: Default Domain Policy Z sada: RequireLogonToChangePassword Nastavenˇ poźˇtaźe: Nepovoleno Objekt z sad skupiny: Default Domain Policy Z sada: RequireLogonToChangePassword Nastavenˇ poźˇtaźe: Nepovoleno Objekt z sad skupiny: Default Domain Policy Z sada: PasswordComplexity Nastavenˇ poźˇtaźe: Povoleno Objekt z sad skupiny: Default Domain Policy Z sada: LSAAnonymousNameLookup Nastavenˇ poźˇtaźe: Nepovoleno Objekt z sad skupiny: Default Domain Policy Z sada: ForceLogoffWhenHourExpire Nastavenˇ poźˇtaźe: Nepovoleno Objekt z sad skupiny: Default Domain Policy Z sada: PasswordComplexity Nastavenˇ poźˇtaźe: Povoleno Objekt z sad skupiny: Default Domain Policy Z sada: ForceLogoffWhenHourExpire Nastavenˇ poźˇtaźe: Nepovoleno Objekt z sad skupiny: Default Domain Policy Z sada: LSAAnonymousNameLookup Nastavenˇ poźˇtaźe: Nepovoleno Objekt z sad skupiny: Default Domain Policy Z sada: ClearTextPassword Nastavenˇ poźˇtaźe: Nepovoleno Objekt z sad skupiny: Default Domain Policy Z sada: ClearTextPassword Nastavenˇ poźˇtaźe: Nepovoleno Objekt z sad skupiny: Default Domain Policy Z sada: @wsecedit.dll,-59058 N zev hodnoty: MACHINE\System\CurrentControlSet\Control\Lsa\NoLMH ash Nastavenˇ poźˇtaźe: 1 Objekt z sad skupiny: Default Domain Policy Z sada: @wsecedit.dll,-59058 N zev hodnoty: MACHINE\System\CurrentControlSet\Control\Lsa\NoLMH ash Nastavenˇ poźˇtaźe: 1 Nastavenˇ protokolu ud lostˇ ---------------------------- Nenˇ k dispozici Skupiny s omezeněm źlenstvˇm ---------------------------- Nenˇ k dispozici Syst‚mov‚ slu§by ---------------- Nenˇ k dispozici Nastavenˇ registru ------------------ Nenˇ k dispozici Nastavenˇ syst‚mu soubor… ------------------------- Nenˇ k dispozici Z sady veýejněch klˇź… ----------------------
zkus jiné PC.
To zkouším průběžně na třech - testovací, moje a pak u uživatele :(
Zdravím, tak je to vyřešeno. Pro ty co by řešili stejný problém, chyba byla v tom, že se daná politika neaplikovala na doménový řadič (kde se ověřují uživatelé) ale pouze na stanice. Stačí přidat skupinu Domain Controllers.
Díky všem za trpělivost :)
OMG!! ale tam to je přece defaultně?! To si s tím musel napřed někdo nepěkně pohrát