Усложнение политики паролей в AD
Доброе время суток.
Пришло нам славное распоряжение о требованиях к паролям пользователей, что послужило причиной некоторой мозголомки:
Цитата:
1. длина пароля должна быть не менее 6 символов;
2. в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
3. пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС и т.п.);
4. при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях;
|
И если первые два пункта без особых проблем задаются через групповые политики, то как подступиться к пп. 3 и 4 я даже не могу предположить.
Прошу излагать идеи, или, если кто уже делал, - решения. |
Elven, да воспользуйтесь каким нибудь генератором паролей. Например Online Password Generator
Вроде как удовлетворяет всем условиям.
ПРИМЕР:
6 символов
Цитата:
@4?JJrqL
HQTJJwxd
X6c1AVOQ
yf%a8rb4
?~}5JtTp
533F8q5u
5THLa}*i
Y*cbsJmv
*gRO8Npq
VE8@MHky
|
20 символов
Цитата:
DMC68zppGlP*a27VA5g1
vaY*AJEbToDVV%DkIdH1
a0kbM6biq|ZF6#josp9G
W6feBK5nmDVrAWTaR%KU
~m%y$cLE8lslRgAU%EaX
*abNwoSPg$D@~4gZGIEB
g1F8QMGfwmwjtf~eQna7
*~v2QoF1uQMnuVn~oePk
uENT9fVhR8c9QOxvx176
}I@a~e}~#QZihg$oJaMU
|
|
Воспользоваться генератором - не вопрос, нужно чтобы пользователи меняли пароль именно по таким правилам, т.е. чтобы у них не было возможности установить пароль "вася123" или "321йцукен"
|
Цитата:
Цитата Elven
нужно чтобы пользователи меняли пароль именно по таким правилам, т.е. чтобы у них не было возможности установить пароль "вася123" или "321йцукен" »
|
Я не совсем пойму, это организация и вы админите или это какое то школьное задание?
В первом случае пусть себе сами генерят по ссылке или чем либо ещё и к вам с паролями (или вы к ним) :) Что им это мешает сделать?
Во втором - формулируйте задачу более ясно. |
Цитата:
Цитата Elven
Пришло нам славное распоряжение »
|
Чьё, если не секрет? И чем обосновывается? Ибо:
Цитата:
новое значение должно отличаться от предыдущего не менее чем в 6 позициях
|
вступает в противоречие со стандартным требованием на запрет знания чужого пароля сторонними лицами, будь то сами администраторы. |
yurfed, всегда нужно исходить из того что пользователь - в первую очередь злосный нарушитель всех правил которые выставляет. Мне тупо нужно чтобы при смене пароля на слишком простой или слишком повторяющийся выдавалось соответствующее сообщение и возможности залогиниться у пользователя не было до смены пароля на нормальный.
Iska, винда умееет помнить некоторое количество паролей, при этом доступа к оным у админов нету (правда сравнивает она новые пароли со старыми просто на одинаковость). Чье распоряжение откровенно говоря не в курсе, кого-то сверху, а мы человеки маленькие нам сказали прыгать - мы прыгаем.
|
Цитата:
Цитата Elven
Iska, винда умееет помнить некоторое количество паролей, »
|
Я не проверял, что ОС помнит именно пароли, а не, например, их хэши (для сравнения на совпадение этого вполне достаточно).
Цитата:
Цитата Elven
Мне тупо нужно чтобы при смене пароля на слишком простой или слишком повторяющийся выдавалось соответствующее сообщение и возможности залогиниться у пользователя не было до смены пароля на нормальный. »
|
Пишите свой фильтр. Сие решит хотя бы пп.1-3. |
Цитата:
Цитата Elven
1. длина пароля должна быть не менее 6 символов;
2. в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.); »
|
а вы политику по умолчанию видели? какие там изначально требования? |
exo, а вы мой первый пост до конца дочитали?
Цитата:
Цитата Elven
первые два пункта без особых проблем задаются через групповые политики »
|
Iska, хэш или пароль - в текущей ситуации имхо не существенно. Уточните, пожалуйста, что подразумевается под фильтром, или пример, может, под рукой есть?
|
Последние три пункта встроенными техническими средствами невыполнимы.
|
Цитата:
Цитата Elven
Iska, хэш или пароль - в текущей ситуации имхо не существенно. »
|
Существенно. Достаточно хранить хэши от нескольких предыдущих паролей, вычислить хэш нового пароля и сравнить его с сохранёнными. Доступа к собственно паролям у администратора нет. Как Вы будете исполнять в таком случае п.4? Я лично не знаю.
Цитата:
Цитата WindowsNT
Последние три пункта встроенными техническими средствами невыполнимы. »
|
Разве п.2 не покрывается (с излишним запасом) требованием сложности пароля?
Цитата:
Цитата Elven
Уточните, пожалуйста, что подразумевается под фильтром, или пример, может, под рукой есть? »
|
Под рукой нет и не было, я давно уже не программист. Танцуйте отсюда: Фильтр доменных паролей. |
как это невыполнимо?
Цитата:
Цитата Elven
2. в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.); »
|
или вы имели ввиду последние два пункта? |
exo, Iska, второй пункт стандартной настройкой перекрывается не полностью, для винды достаточно какой-нибудь одной буквы, требования к верхнему-нижнему регистру она уже не волокёт :(
В целом ситация ясна... Будем ухищряться.
|
Цитата:
Цитата Elven
exo, Iska, второй пункт стандартной настройкой перекрывается не полностью, для винды достаточно какой-нибудь одной буквы, требования к верхнему-нижнему регистру она уже не волокёт »
|
Я чего-то не понимаю?
Цитата:
Пароль должен отвечать требованиям сложности
Этот параметр безопасности определяет требования сложности для паролей.
Если эта политика включена, пароли должны удовлетворять следующим минимальным требованиям:
Пароль не должен содержать имя учетной записи пользователя или фрагменты имени пользователя длиной больше двух символов.
Пароль должен состоять не менее чем из шести символов.
Пароль должен содержать символы, относящиеся к трем из следующих четырех категорий:
латинские заглавные буквы (A - Z);
латинские строчные буквы (a - z);
цифры (0 - 9);
отличные от букв и цифр символы (например, !, $, #, %).
Проверка соблюдения этих требований выполняется при изменении или создании паролей.
По умолчанию:
Включен на контроллерах домена.
Отключен на автономных серверах.
|
|
Да, нужно понимать отличие "3" от "4". Windows принимает три (3) категории знаков из возможных пяти (5). В выдвинутых требованиях — четыре (4).
|
WindowsNT, свой фильтр. Всё, что мог, я уже написал вопрошавшему:
При всём желании из меня больше извлечь нечего ;).
Но на мой взгляд, в требованиях просто бред. Видится так: один приказал, другой назначил исполнителя, тот где-то слышал звон, пролистал Google и «скопипастил» подряд всё найденное. Причём криво. И пошла писать губерния. А отдуваться за это придётся, понятно, коллеге Elven'у. Ровно как пишутся книги в «этих наших» университетах: автором — ректор, задание по цепочке — проректор, декан/завкафедрой. Пишут аспиранты. Полученный в итоге бред учат и сдают студенты.
А какой пятый?
|
| El Scorpio |
03-03-2014 05:14 2318369 |
Цитата:
Цитата Iska
Но на мой взгляд, в требованиях просто бред. Видится так: один приказал, другой назначил исполнителя, тот где-то слышал звон, пролистал Google и «скопипастил» подряд всё найденное. Причём криво. И пошла писать губерния. А отдуваться за это придётся, понятно, коллеге Elven'у. »
|
Искомое реализовано (за исключением п.3) в программах класса Dallas Lock, которые поверх системных функций безопасности добавляют свои собственные.
Коллеге Elven'у могу посоветовать одно.
Поискать в гугле разработчиков таких программ, запросить от них коммерческие предложения на over 9000 лицензий, отправить "наверх" запрос на выделение требуемой суммы "для исполнения распоряжения такого-то начальника от такого-то письма".
Результатом будет либо выделение указанной суммы либо отзыв данного распоряжения. |
Iska, про студентов и декана точно подмечено.
El Scorpio, пожалуй так и поступлю.
Всем спасибо.
|
shuri3k, классно: генерить пароли с помощью дяди, который их коллекционирует, и пользоваться скомпрометированными уже в момент создания паролями. КрЫсота! :o
|
Нет ли там случайно опции — «Выслать сгенерированный пароль на почту»? Сгенерированный пароль для само́́й этой почты в том числе :lol:.
|
Время: 01:47.
© OSzone.net 2001-
