اطمینان از فعال بودن مقدار Password must meet complexity requirements – Scored
پروفایل قابل اجرا:
Level 1 – Domain Controller
Level 1 – Member Server
توضیحات:
تنظیمات این Policy کنترل می کند که کلیه کلمات عبور جدیدی که تنظیم می شوند، دارای پیچیدگی لازم باشند. در صورتی که این Policy فعال باشد، کلمه عبور انتخابی کاربر باید حداقل شرایط لازم را دارا باشد که این شرایط شامل موارد زیر می باشند:
نباید شامل نام کاربری یا بخشی از نام کاربر (Full Name) که دو کاراکتر آن پشت سر هم باشد.
حداقل دارای 6 کاراکتر باشد.
کلمه عبور انتخابی دارای سه ویژگی از موارد زیر باشند:
حروف بزرگ (A – Z)
حروف کوچک (a – z)
عدد (0 – 9)
علائم (به عنوان مثال !، #، % )
اضافه نمودن هر کاراکتر به رمز عبور، میزان پیچیدگی آن را به صورت تصاعدی افزایش می دهد. به عنوان مثال کلمه عبوری با هفت کاراکتر که در آن از حروف کوچک استفاده شده است، حدود 8 میلیارد کلمه عبور مختلف را شامل می شود.
امن سازی ویندوز سرور 2012 – بخش چهارم
در صورتی که یک میلیون بار تلاش در هر ثانیه برای کشف کلمه عبور امتحان شود، (بسیاری از ابزارهای Password Crack این قابلیت را دارند.) حدود 130 دقیقه طول می کشد تا تمام حالت ها امتحان شوند.
حال اگر شما تعداد این کاراکترها را اضافه نموده و یا از کاراکترهای دیگری مانند حروف بزرگ، عدد و یا نشانه ها استفاده نمایید، هم تعداد حالت های موجود بیشتر شده و هم شناسایی آن سخت تر خواهد بود و استفاده صحیح از تنظیمات Policy که مربوط به کلمات عبور هستند، می تواند تا حد بسیار مناسبی از حملات Brute Force پیشگیری نموده و یا انجام این حملات را سخت تر نماید.
مقداری که برای این Policy توصیه می گردد، فعال بودن آن (Enabled) می باشد.
Rationale
کلمات عبوری که فقط شامل حروف باشند با استفاده از ابزارهای معمولی قابل کشف می باشند. پس فعال بودن این Policy می تواند تا حد قابل قبولی منجر به کاهش حملات کلمات عبور شده و انجام چنین حملاتی را سخت تر نماید.
Audit
به مسیر بیان شده در بخش Remediation رفته و اطمینان حاصل کنید که مطابق دستورالعمل، تنظیم شده باشد.
Remediation
برای انجام پیکربندی توصیه شده به مسیر زیر از طریق Group Policy رفته و مقدار Enabled را برای آن تنظیم نمایید:
Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy\Password must meet complexity requirements
Impact
در صورت که Policy مربوط به پیچیدگی کلمات عبور، فعال شده باشد، ممکن است حجم تماس ها به بخش Help Desk افزایش پیدا کند. زیرا ممکن است کاربران به کلمات عبور پیچیده عادت نداشته باشند و حساب کاربری آن ها به علت وارد نمودن بیش از حد کلمات عبور نادرست مسدود شده باشد. با این وجود کلیه کاربران باید قادر به انتخاب و به خاطر سپاری کلمات عبور پیچیده باشند که این امر می تواند با برگزاری کلاس ها و روش های مختلف از آگاهی رسانی تسهیل گردد.
اگر سازمان شما الزامات امنیتی سخت گیرانه تری نسبت به بخش های مشخص شده در این Policy را دارد، شما می توانید یک نسخه سفارشی از Passfilt.dll را ایجاد نمایید که امکان استفاده از قوانین قدرتمندتر جهت انتخاب کلمات عبور را برای شما فراهم می کند.
به عنوان مثال، یک فیلتر رمز عبور سفارشی، ممکن است منجر به عدم استفاده کاربران از upper row character ها شود.( upper row character، کاراکترهایی هستند که شما آن ها را با پایین نگه داشتن کلید SHIFT و فشردن کلید های بین یک تا صفر در بالای صفحه کلید فراخوانی می نمایید.)
همچنین یک فیلتر سفارشی ممکن است کلمات عبور را با یک دیکشنری از لغات مطابقت داده و در صورت انطباق، از انتخاب آن به عنوان کلمه عبور جلوگیری نماید.
علاوه بر این، استفاده از ترکیب کلید ALT با اعداد نیز می تواند پیچیدگی یک رمز عبور را تا حد زیادی بالا ببرد. با این وجود، چنین الزامات سخت گیرانه ای می تواند منجر به نارضایتی کاربران شده و افزایش حجم کار بخش پشتیبانی را نیز به همراه داشته باشد.
از سویی دیگر، سازمان شما می تواند، استفاده از علامت های تولید شده توسط نگه داشتن کلید ALT و فشردن اعداد 0128 تا 0159 را برای کلمات عبور تمامی Administrator ها الزامی نماید. (کاراکترهای خارج از این محدود مربوط به حروف الفبای استاندارد بوده و باعث پیچیدگی در کلمات عبور نخواهند شد.)
Default Value
این Policy بر روی سرورهای عضو دامین فعال بوده و برای سرورهای stand-alone غیرفعال می باشد.
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.