اطمینان از تنظیم Enforce password history به تعداد 24 یا بیشتر (Scored)
پروفایل قابل اجرا:
Level 1 – Domain Controller
Level 1 – Member Server
توضیحات:
این Policy مربوط به تنظیم تعداد کلمات عبور منحصر به فردی و جدیدی است که کاربر می تواند برای خود انتخاب نماید. هنگامی که کلمه عبور کاربر منقضی می گردد، وی باید اقدام به تغییر کلمه عبور خود نماید و تعداد مشخص شده در این Policy، تعیین می کند که چه تعداد از کلمات عبور انتخاب شده توسط کاربر در سرور ذخیره شده و دیگر نمی تواند از این کلمات عبور استفاده نماید.
مقداری که شما باید برای Enforce password history تعریف نمایید، بین صفر تا 24 می باشد. به عنوان مثال، مقدار پیش فرض در این Policy برای ویندوز ویستا صفر می باشد؛ اما همین مقدار برای یک دامین کنترلر تعداد 24 کلمه عبور است.
برای حفظ اثربخشی این Policy، از تنظیمات مربوط به Minimum Password Age استفاده کنید تا از تغییر مکرر رمز عبور کاربران جلوگیری به عمل آید.
حالت پیشنهادی برای این Policy مقدار 24 یا بیشتر می باشد.
Rationale
هر چقدر کاربر از رمز عبور یکسان استفاده نماید، این احتمال وجود دارد که یک نفوذگر بتواند رمز عبور وی را از طریق حملات Brute Force شناسایی نماید. همچنین در صورت به خطر افتادن یک حساب کاربری، تا زمانی که رمز عبور آن بدون تغییر باقی بماند، این حساب کاربری قابل بهره برداری خواهد بود.
اگر Policy مربوط به تغییر رمز عبور اعمال شود ولی از استفاده مجدد کلمات عبور پیشین جلوگیری به عمل نیاید، یا تعداد کمی از رمزهای عبور کاربران پیشین برای Policy جاری تنظیم شده باشد، اثربخشی یک خط مشی رمز عبور خوب، کاهش پیدا می کند.
بالطبع در صورتی که تعداد کمی برای تنظیمات این Policy، در نظر گرفته شده باشد، کاربران می توانند به طور مکرر از همان کلمات عبور پیشین خود استفاده نمایند.
اگر تنظیمات مربوط به Minimum Password Age را پیکربندی نکنید، ممکن است کاربران بارها و بارها، رمزهای خود را تغییر دهند تا مجدداً بتوانند از رمز اصلی خود استفاده نمایند.
Audit
به مسیر بیان شده در بخش Remediation رفته و اطمینان حاصل کنید که مطابق دستورالعمل، تنظیم شده باشد.
Remediation
برای انجام پیکربندی توصیه شده به مسیر زیر از طریق Group Policy رفته و مقدار 24 یا بیشتر را برای آن تنظیم نمایید:
Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy\Enforce password history
Impact
تاثیر عمده این پیکربندی، این است که کاربران باید هر بار که بخواهند رمز عبور قدیمی خود را تغییر دهند، یک رمز عبور جدید انتخاب نمایند. اگر کاربران مجبور شوند که رمز عوبر خود را به مقادیر منحصر به فرد جدید تغییر دهند، این ریسک وجود دارد که آن ها رمزهای عبور خود را در جایی یادداشت کنند تا آن ها را فراموش نکنند.
خطر دیگر این است که کاربران ممکن است رمزهای عبوری ایجاد کنند که به صورت تدریجی تغییر می کند (به عنوان مثال رمز عبور پیشین کاربر P@ssw0rd1 بوده و رمز عبور جدید انتخابی وی P@ssw0rd2 خواهد بود) تا بخاطر سپاری آن آسان تر بوده ولی حدس آن نیز آسان تر می گردد.
همچنین یک مقدار بیش از حد پایین برای تنظیم Minimum Password Age، احتمالاً منجر به افزایش سربار مدیریتی می شود. زیرا کاربرانی که رمزهای عبور خود را فراموش کرده اند ممکن است از بخش Help Desk بخواهند تا مرتباً رمز عبور حساب آن ها را Reset نماید.
Default Value
مقدار 24 برای اعضای دامین و مقدار صفر برای سرور Stand-alone
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
