Читаем Полное руководство по Microsoft Windows XP полностью

Папка Политики учетных записей (Account Policies) задает доступ в систему для каждого пользователя. Она состоит из вложенных папок Политика паролей (Password Policy) и Политика блокировки учетной записи (Account Lockout Policy) – см. рис. 22.1. Можно рассматривать первую папку как средство предоставления доступа, а вторую – как средство отказа в доступе. Из всех папок, которые вы можете изменять, эти наиболее важные. Помните: лучший способ предотвратить разрушение системы заключается в том, чтобы не впустить туда взломщиков.

Папка Политика паролей содержит пункты, которые задают способ входа в систему для различных пользователей. Рис. 22.1 показывает настройки по умолчанию для этой папки. Как видите, средства, используемые по умолчанию, не очень многообещающие. Чтобы сделать условия доступа на компьютер более жесткими, включите опцию Требовать неповторяемости паролей (Password History), которая будет напоминать пользователям о периодической смене пароля. Я рекомендую задавать максимум 30 дней между заменами пароля. Однако, если вы работаете с секретными данными, не помешает даже еженедельная замена (можно, конечно, предложить и ежедневные замены, но они быстро измотают вас).

Одна настройка в папке Политика паролей особенно важна. Обратите внимание на опцию Пароль должен отвечать требованиям сложности (Password Must Meet Complexity Requirements). Включите ее, и пользователям придется выбрать уникальные пароли, содержащие три категории символов из четырех доступных: числа, прописные буквы, символы нижнего регистра и специальные символы. Когда вы добавляете это требование к минимальной длине пароля (по крайней мере, шесть символов), разгадать его станет еще труднее.

Windows XP обеспечивает три параметра блокировки учетной записи. Параметры блокировки запрещают доступ к системе после наступления некоторых событий. Значение порога блокировки – ключ к настройкам. Установка по умолчанию (0) предполагает, что пользователи могут вводить неправильный пароль целый день, и вы никогда не узнаете об этом. Установка значений 3 или 4 в графе Количество неправильных входов в систему (Incorrect Logins) обычно гарантирует, что система отследит проникновение, но даст взломщику небольшой шанс для вторжения. Остальные параметры устанавливают продолжительность блокировки и интервал времени, которые должны пройти между неправильными входами в систему до сброса счетчика блокировки. Значения по умолчанию (30 мин) на самом деле недостаточно, чтобы помешать злоумышленникам. Кроме того, это вынудит служащих ждать окончания блокировки. Я обычно устанавливаю оба счетчика минимум на 1440 мин, что составляет 24 ч.

Блокировка учетной записи происходит, когда пользователь несколько раз введет неверный пароль при входе в систему. В таком случае Windows XP выдает сообщение, что система заблокирована и нужно обратиться к сетевому администратору.

На рис. 22.2 показаны результаты блокировки. Включите учетную запись, сняв флажок Заблокировать учетную запись (Account Is Locked Out). Выключать ли опцию Потребовать смену пароля при следующем входе в систему (User Must Change Password at Next Login), зависит от причины блокировки. В большинстве случаев удобно, чтобы пользователь создал новый пароль для своей учетной записи.

Рисунок 22.2. Одно из последствий политики блокировки учетной записи: пользователь должен сменить пароль