خوش آموز درخت تو گر بار دانش بگیرد، به زیر آوری چرخ نیلوفری را
آموزش Password Policies در Local Group policy ویندوز
در این قسمت از آموزش Local Group Policy ویندوز به آموزش مهم دیگری خواهیم پرداخت. پسورد برای ویندوز یکی از آیتم های امنیتی بسیار مهم محسوب می شود و شما با تنظیم پسورد می توانید امنیت اطلاعات خود را از دسترسی سایرین بدانها حفظ کنید. حال همین پسورد، شامل تنظیماتی در ویندوز است که با هم آنها را بررسی خواهیم کرد.
پس از وارد شدن به گروپ پالیسی به مسیر زیر بروید:
این چند پالیسی که کاملا به پسورد ویندوز مرتبط می باشد را بررسی خواهیم کرد.
پالیسی Enforce password history تعداد رمزهای عبور جدید منحصر به فرد(Unique) را تعیین می کند. استفاده از رمز ها یا پسوردهای تکراری از جمله نگرانی های هر سازمانی است. بسیاری از کاربران تمایل دارند تا از یک پسورد ساده و تکراری برای مدت طولانی مورد استفاده قرار دهند. اگر کاربر مدام مجبور باشد رمز عبور خود را تغییر دهد و نتواند از رمزهای عبور قدیمی که قبلا استفاده کرده بود، دوباره استفاده کنید، بالطبع امنیت سیستم و پسورد افزایش پیدا خواهد کرد. اگر روی این پالیسی دابل کلیک کنید، پنجره تنظیمات آن نمایش داده خواهد شد. در شکل زیر من مقدار 4 را برای Keep Password history for وارد کردم، پس هر کاربری در این ویندوز هر پسوردی که برای User اش تنظیم می کند، تا 4 بار دیگر نمیتواند از آن پسورد استفاده کند. مثلا الان پسورد را 123 تنظیم کرده ایم و پسورد را 456 تغییر می دهیم و بعد از مدتی اگر بخواهیم پسورد را تغییر دهیم از 123 یا 456 نمی توانیم استفاده کنیم تا 4 پسورد جدید دیگر که مورد استفاده قرار بگیرند تا بتوانیم دوباره از پسوردهای اولی که برای این اکانت تنظیم کرده بودیم، استفاده کنیم. در ضمن بازه ی این پالیسی از 1 تا 24 می باشد. اگر آن را عدد 0 تنظیم کنید، کلا این پالیسی غیرفعال می شود.
البته از طریق دستورات CMD هم این کار مقدور می باشد. برای تنظیم Enforce password history از طریق دستورات خط فرمان، کافیست CMD را اجرا کرده و دستور زیر را وارد کنید:
پالیسی بعدی Maximum password age است که باید در مورد انهم بدانید. هر پسوردی که شما برای اکانت ها در ویندوز ست می کنید، یک طول عمری دارد که در این قسمت این طول عمر پسورد مشخص می شود. بصورت پیشفرض ویندوز 42 روز عمر به یک پسورد تخصیص می دهد که شما بعد از 4 روز باید آن را دوباره عوض کنید. از بابت امنیتی هم بهتر است حتما برای پسورد طول عمر در نظر بگیرید تا کاربران مجبور به تغییر پسورد و تنظیم پسورد جدید برای اکانتهایشان در ویندوز شوند.
اگر مقدار Password Expire will in را عدد 0 تنظیم کنید، کلا این ماگزیموم طول عمر پسورد غیرفعال خواهد شد. هر عددی اینجا وارد کنید، آن عدد حداکثر طول عمر هر پسورد را در این ویندوز مشخص خواهد کرد و در ضمن نهایت طول عمر یک پسورد 999 روز خواهد بود.
پالیسی بعدی Minimum password age خواهد بود. هر پسورد یک مینیموم طول عمری هم دارد. مثلا اگر این پالیسی را عدد 7 تنظیم کرده باشید و سپس برای یک User در ویندوز یک پسورد هم ست کنید، تا 7 روز از مینیموم طول عمر این پسورد نگذشته باشد، نمی توانید این پسورد را تغییر دهید.
پالیسی بعدی Minimum password length خواهد بود، حداکثر طول پسورد در این قسمت مشخص می شود. لطفا روی این پالیسی دابل کلیک کنید:
در قسمت Password must be at least باید همین میزان طول داشته باشد(البته حداقل باید این طول را داشته باشد، اگر طول پسورد بیش از این باشد که چه بهتر). یک پسورد نمی تواند طولی کمتراز این داشته باشد. اگر Password must be at least را عدد 0 تنظیم کنید، کاملا این پالیسی غیرفعال خواهد شد.
پالیسی بعدی Password must meet complexity requirements خواهد بود که بسیار مهم است. اگر دقت کرده باشید، در ویندوزهایی مثل 7، 8 و 10 میتوان پسوردهایی مثل 123 یا چیزی شبیه به اینها که خیلی پسوردهای ساده ای هستند تنظیم کرد. خب، اکنون روی پالیسی Password must meet complexity requirements دابل کلیک کنید:
اگر این پالیسی را Enabled کنید، دیگر از پسوردهای ساده نمی توانید برای اکانتهای ویندوز استفاده کنید و حتما پسورد با Complex یا پیچیده که ترکیبی از اعداد، حروف و کاراکترها باشد باید انتخاب شود. طول آن هم بر اساس آنچه که در پالیسی Minimum password length تنظیم شده این حداقل طول را باید داشته باشد.
پالیسی بعدی Store passwords using reversible encryption خواهد بود که ندرت پیش آمد کند که مجبور به استفاده از این پالیسی کنید. این پالیسی بصورت پیشفرض Disabled است. مکانیزم ذخیره سازی پسورد در ویندوز به این صورت است که ویندوز Hash پسوردها را در ذخیره می کند و همانطور که می دانید Hash مقدار برگشتی ندارد و این برای امنیت، خصوصا در پسوردهای لاگین بسیار تاثیرگذار است. وقتی این پالیسی را فعال کنید، پسورد به جای Hash در واقع Encrypt می شوند که قابل برگشت هستند. وقتی نرم افزار یا سیستم عامل دیگری (غیر ویندوزی) قصد اتصال به این ویندوز را داشته باشد که از سازگاری با Hashing مایکروسافت نداشته باشد، نمی تواند با این ویندوز ارتباط برقرار کرده و پس از Authenticate به سیستم وارد شود. این گزینه امنیت پسوردها را کاهش می دهد ولی در جایی واقعا نیاز بود، چاره ای نیست باید از آن استفاده کنید.
هر پالیسی ای که در این قسمت تنظیم کنید، به هر حال باید این پالیسی را در ویندوز اعمال کنید:
پس از وارد شدن به گروپ پالیسی به مسیر زیر بروید:
Computer Configuration > Windows Settings > Security Settings > Account Policies > Password Policy
این چند پالیسی که کاملا به پسورد ویندوز مرتبط می باشد را بررسی خواهیم کرد.
پالیسی Enforce password history تعداد رمزهای عبور جدید منحصر به فرد(Unique) را تعیین می کند. استفاده از رمز ها یا پسوردهای تکراری از جمله نگرانی های هر سازمانی است. بسیاری از کاربران تمایل دارند تا از یک پسورد ساده و تکراری برای مدت طولانی مورد استفاده قرار دهند. اگر کاربر مدام مجبور باشد رمز عبور خود را تغییر دهد و نتواند از رمزهای عبور قدیمی که قبلا استفاده کرده بود، دوباره استفاده کنید، بالطبع امنیت سیستم و پسورد افزایش پیدا خواهد کرد. اگر روی این پالیسی دابل کلیک کنید، پنجره تنظیمات آن نمایش داده خواهد شد. در شکل زیر من مقدار 4 را برای Keep Password history for وارد کردم، پس هر کاربری در این ویندوز هر پسوردی که برای User اش تنظیم می کند، تا 4 بار دیگر نمیتواند از آن پسورد استفاده کند. مثلا الان پسورد را 123 تنظیم کرده ایم و پسورد را 456 تغییر می دهیم و بعد از مدتی اگر بخواهیم پسورد را تغییر دهیم از 123 یا 456 نمی توانیم استفاده کنیم تا 4 پسورد جدید دیگر که مورد استفاده قرار بگیرند تا بتوانیم دوباره از پسوردهای اولی که برای این اکانت تنظیم کرده بودیم، استفاده کنیم. در ضمن بازه ی این پالیسی از 1 تا 24 می باشد. اگر آن را عدد 0 تنظیم کنید، کلا این پالیسی غیرفعال می شود.
البته از طریق دستورات CMD هم این کار مقدور می باشد. برای تنظیم Enforce password history از طریق دستورات خط فرمان، کافیست CMD را اجرا کرده و دستور زیر را وارد کنید:
net accounts /uniquepw:Number
به جای Number باید عدد مورد نظر خودتان را وارد کنید.پالیسی بعدی Maximum password age است که باید در مورد انهم بدانید. هر پسوردی که شما برای اکانت ها در ویندوز ست می کنید، یک طول عمری دارد که در این قسمت این طول عمر پسورد مشخص می شود. بصورت پیشفرض ویندوز 42 روز عمر به یک پسورد تخصیص می دهد که شما بعد از 4 روز باید آن را دوباره عوض کنید. از بابت امنیتی هم بهتر است حتما برای پسورد طول عمر در نظر بگیرید تا کاربران مجبور به تغییر پسورد و تنظیم پسورد جدید برای اکانتهایشان در ویندوز شوند.
اگر مقدار Password Expire will in را عدد 0 تنظیم کنید، کلا این ماگزیموم طول عمر پسورد غیرفعال خواهد شد. هر عددی اینجا وارد کنید، آن عدد حداکثر طول عمر هر پسورد را در این ویندوز مشخص خواهد کرد و در ضمن نهایت طول عمر یک پسورد 999 روز خواهد بود.
پالیسی بعدی Minimum password age خواهد بود. هر پسورد یک مینیموم طول عمری هم دارد. مثلا اگر این پالیسی را عدد 7 تنظیم کرده باشید و سپس برای یک User در ویندوز یک پسورد هم ست کنید، تا 7 روز از مینیموم طول عمر این پسورد نگذشته باشد، نمی توانید این پسورد را تغییر دهید.
پالیسی بعدی Minimum password length خواهد بود، حداکثر طول پسورد در این قسمت مشخص می شود. لطفا روی این پالیسی دابل کلیک کنید:
در قسمت Password must be at least باید همین میزان طول داشته باشد(البته حداقل باید این طول را داشته باشد، اگر طول پسورد بیش از این باشد که چه بهتر). یک پسورد نمی تواند طولی کمتراز این داشته باشد. اگر Password must be at least را عدد 0 تنظیم کنید، کاملا این پالیسی غیرفعال خواهد شد.
پالیسی بعدی Password must meet complexity requirements خواهد بود که بسیار مهم است. اگر دقت کرده باشید، در ویندوزهایی مثل 7، 8 و 10 میتوان پسوردهایی مثل 123 یا چیزی شبیه به اینها که خیلی پسوردهای ساده ای هستند تنظیم کرد. خب، اکنون روی پالیسی Password must meet complexity requirements دابل کلیک کنید:
اگر این پالیسی را Enabled کنید، دیگر از پسوردهای ساده نمی توانید برای اکانتهای ویندوز استفاده کنید و حتما پسورد با Complex یا پیچیده که ترکیبی از اعداد، حروف و کاراکترها باشد باید انتخاب شود. طول آن هم بر اساس آنچه که در پالیسی Minimum password length تنظیم شده این حداقل طول را باید داشته باشد.
پالیسی بعدی Store passwords using reversible encryption خواهد بود که ندرت پیش آمد کند که مجبور به استفاده از این پالیسی کنید. این پالیسی بصورت پیشفرض Disabled است. مکانیزم ذخیره سازی پسورد در ویندوز به این صورت است که ویندوز Hash پسوردها را در ذخیره می کند و همانطور که می دانید Hash مقدار برگشتی ندارد و این برای امنیت، خصوصا در پسوردهای لاگین بسیار تاثیرگذار است. وقتی این پالیسی را فعال کنید، پسورد به جای Hash در واقع Encrypt می شوند که قابل برگشت هستند. وقتی نرم افزار یا سیستم عامل دیگری (غیر ویندوزی) قصد اتصال به این ویندوز را داشته باشد که از سازگاری با Hashing مایکروسافت نداشته باشد، نمی تواند با این ویندوز ارتباط برقرار کرده و پس از Authenticate به سیستم وارد شود. این گزینه امنیت پسوردها را کاهش می دهد ولی در جایی واقعا نیاز بود، چاره ای نیست باید از آن استفاده کنید.
هر پالیسی ای که در این قسمت تنظیم کنید، به هر حال باید این پالیسی را در ویندوز اعمال کنید:
لطفا جهت مشاهده سرفصل هاي آموزشي دوره Local Group Policy ويندوز به اين لينک مراجعه کنيد.
دسته بندی مطالب خوش آموز
نمایش دیدگاه ها (1 دیدگاه)
دیدگاه خود را ثبت کنید: