امن سازی ویندوز سرور 2012 – بخش سوم

cis-server2012R2

اطمینان از تنظیم Minimum password age به عدد یک یا بیشتر (Scored)

پروفایل قابل اجرا:

Level 1 – Domain Controller
Level 1 – Member Server

توضیحات:

تنظیمات این Policy تعریف می کند که کاربران، پس از حداقل چند روز می توانند کلمه عبور خود را تغییر دهند. بازه ای که می توانید در این Policy تنظیم نمایید بین یک تا 999 روز می باشد. (شما ممکن است مقدار صفر را برای این Policy تنظیم کرده باشید تا کاربران بلافاصله بتوانند رمز عبور خود را تغییر دهند.) مقدار پیش فرض برای این Policy برابر با صفر می باشد.

مقداری که برای این Policy توصیه می گردد، عدد 1 یا بیشتر می باشد.

Rationale

کاربران ممکن است کلمات عبور دلخواه خود را تنظیم کرده باشند و علاقمند باشند تا از همان رمز عبور استفاده نمایند، زیرا بخاطرسپاری این رمز عبور برای آن ها راحت تر می باشد و همچنین معتقد هستند که این کلمات عبور از به خطر افتادن و افشا در امان هستند.

اما متاسفانه، کلمات عبور به خطر خواهند افتاد و اگر نفوذگر یک حساب کاربری شخص خاصی را هدف قرار داده باشد، با آگاهی از داده های مرتبط با کاربر، می تواند موجب نقض امنیت شود. برای حل این مشکل ترکیبی از تنظیمات امنیتی مورد نیاز است.

امن سازی ویندوز سرور 2012 – بخش دوم

به عنوان نمونه، استفاده از Policy مربوط به Enforce Password History، از انتخاب کلمه عبور قدیمی که توسط کاربر استفاده شده است، جلوگیری به عمل می آورد. البته در تنظیم این Policy باید دقت نمایید.

به عنوان مثال اگر مقدار Policy مربوط به Enforce Password History را برابر 12 قرار داده باشید، تا اطمینان حاصل نمایید که کاربران نمی توانند از 12 رمز عبور آخر خود استفاده نمایند، کاربر می تواند در عرض چند دقیقه 13 بار رمز عبور خود را تغییر داده و رمز عبوری که پیش از این استفاده می کرده است را مجدداً انتخاب نماید.

البته این موضوع در صورتی عملی خواهد بود که شما مقدار Policy مربوط به Minimum Password Age را برابر با صفر تنظیم کرده باشید که به صورت پیش فرض نیز، تنظیمات این Policy همین عدد می باشد.

به منظور پیشگیری از چنین مشکلی و تاثیر Policy مربوط به Enforce Password History، می بایست مقدار Minimum Password Age را به عدد یک یا بیشتر از آن تغییر دهید.

Audit

به مسیر بیان شده در بخش Remediation رفته و اطمینان حاصل کنید که مطابق دستورالعمل، تنظیم شده باشد.

Remediation

برای انجام پیکربندی توصیه شده به مسیر زیر از طریق Group Policy رفته و مقدار یک یا بیشتر را برای آن تنظیم نمایید:

Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy\Minimum password age

Impact

در صورتی که ادمین، یک رمز عبور را برای کاربری تنظیم نموده باشد و قصد داشته باشد تا کاربر پس از اولین ورود، رمز عبور خود را تغییر دهد، باید گزینه User must change password at next logon را هنگام تعریف رمز عبور کاربر، انتخاب نماید.

بدین شکل کاربر، پس از تغییر رمز عبور خود، در صورتی که عدد یک برای Policy مربوط به Minimum Password Age، تنظیم شده باشد، امکان تغییر رمز عبور خود تا روز بعد را نخواهد داشت.

Default Value

یک روز برای اعضای دامین و مقدار صفر برای سرورهای stand-alone

مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.

درباره نویسنده: احسان نیک آور

ممکن است دوست داشته باشید