اطمینان از تنظیم Maximum password age به عدد 60 یا کمتر (صفر نباشد) (Scored)
پروفایل قابل اجرا:
Level 1 – Domain Controller
Level 1 – Member Server
توضیحات:
تنظیمات این Policy تعریف می کند که کلمه عبور کاربر پس از چه مدت زمانی منقضی می شود. بازه ای که شما می توانید برای این Policy تعریف نمایید بین صفر تا 999 روز می باشد. در صورتی که مقدار این Policy برابر با صفر باشد، کلمه عبور کاربر، هیچ گاه منقضی نخواهد شد.
از آنجا که نفوذگران می توانند اقدام به Crack کلمات عبور نمایند، هرچه شما به تعداد بیشتری رمز عبور خود را تغییر دهید، فرصت کمتری برای نفوذگران وجود دارد تا اقدام به Crack کلمات عبور نمایند.
امن سازی ویندوز سرور 2012 – بخش اول
با این حال هر چه این مقدار پایین تر باشد، تعداد تماس ها به بخش Help Desk افزایش می یابد. زیرا کاربران ممکن است کلمه عبور خود را فراموش نموده و یا در تغییر آن دچار مشکل شوند و این امر منجر به افزایش تماس های ورودی به بخش Help Desk خواهد شد.
مقداری که برای این Policy توصیه می گردد، عدد 60 یا کمتر می باشد(صفر نباشد)
Rationale
در صورتی که یک رمز عبور به مدت زیادی تغییر نکرده باشد، احتمال موفقیت آمیز بودن حملات Brute Force علیه آن توسط نفوذگران که دانش اولیه ای در مورد کاربران دارند، افزایش می یابد. در صورتی که مقدار تنظیم شده در در این بخش برابر با صفر باشد، کاربران دیگر نیازی به تغییر کلمات عبور خود نخواهند داشت و این یک ریسک امنیتی مهم می باشد. بدین صورت اگر رمز عبور یکی از کاربران به خطر بیافتد، دسترسی کاربر مخرب به این حساب تا زمانی که کلمه عبور آن تغییر نکند، امکان پذیر خواهد بود.
Audit
به مسیر بیان شده در بخش Remediation رفته و اطمینان حاصل کنید که مطابق دستورالعمل، تنظیم شده باشد.
Remediation
برای انجام پیکربندی توصیه شده به مسیر زیر از طریق Group Policy رفته و مقدار 60 یا کمتر (صفر نباشد)را برای آن تنظیم نمایید:
Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy\Maximum password age
Impact
اگر مقدار Maximum Password Age خیلی کم باشد، کاربران لازم است تا در بازه های زمانی کوتاه کلمات عبور خود را تغییر دهند. چنین کاری می تواند امنیت سازمان را کاهش دهد، زیرا کاربران ممکن است کلمات عبور خود را در یک مکان نام یاد داشت نموده و یا آن را گم کنند.
همچنین اگر مقدار این تنظیم شده در این Policy خیلی زیاد باشد، باز هم منجر به کاهش سطح امنیتی سازمان خواهد شد، زیرا به نفوذگران بالقوه این اجازه را می دهد تا زمان بیشتری را برای شکستن کلمات عبور در اختیار داشته باشند.
Default Value
42 روز
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
