Если этот параметр включен, то безопасный канал нельзя будет устанавливать ни с одним контроллером домена, не обеспечивающим шифрование всех данных канала стойким ключом. Если параметр отключен, допускаются 64-разрядные ключи сеансов. По умолчанию: отключен. При использовании этой политики обязательно следует учесть следующие обстоятельства: прежде чем включать этот параметр на рядовом сервере или рабочей станции домена, необходимо убедиться, что все контроллеры этого домена могут шифровать данные безопасного канала с использованием стойкого (128-разрядного) ключа. Это означает, что все такие контроллеры домена должны работать под управлением Windows 2000. Прежде чем включать этот параметр на контроллере домена, необходимо убедиться, что все контроллеры всех доверенных доменов и доменов-доверителей могут шифровать данные безопасного канала с использованием стойкого (128-разрядного) ключа. Это означает, что все такие контроллеры доменов должны работать под управлением Windows 2000.
Отключить изменение пароля учетных записей компьютера
Определяет, должен ли член домена периодически менять свой пароль учетной записи компьютера. Если этот параметр включен, член домена не будет пытаться сменить пароль учетной записи компьютера. Если параметр отключен, член домена будет пытаться сменить пароль учетной записи компьютера в соответствии с параметром "Член домена: максимальный срок действия пароля учетных записей компьютера", который по умолчанию задает смену пароля каждые 30 дней. По умолчанию: отключен.
• Данный параметр включать не следует. Пароли учетных записей компьютеров используются для установки безопасного канала связи между рядовыми членами и контроллерами домена, а также между контроллерами одного домена. По такому каналу передаются особо важные данные, необходимые для выполнения авторизации и проверки подлинности.
• Этот параметр не следует применять в конфигурациях с двумя операционными системами, использующими одну и ту же учетную запись компьютера. Если требуется обеспечить при загрузке возможность выбора из двух систем, присоединенных к одному домену, присвойте им разные имена компьютеров.
3.18. Интерактивный вход в систему как средство политики безопасности
Интерактивный вход в систему: Не отображать последнего имени пользователя Определяет, отображается ли на экране входа в Windows имя последнего пользователя, вошедшего на данный компьютер. Если эта политика включена, то имя последнего пользователя, успешно вошедшего в систему, не отображается в диалоговом окне Вход в Windows. Если политика отключена, имя последнего пользователя должно отображаться на экране. По умолчанию: отключен.
Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL Определяет, должен ли пользователь, прежде чем войти в систему, нажать клавиши CTRL+ALT+DEL. Если эта политика включена на компьютере, пользователь не должен для входа в систему нажимать CTRL+ALT+DEL. В таком случае компьютер становится уязвимым для атак, основанных на перехвате паролей пользователей. Если потребовать нажатия клавиш CTRL+ALT+DEL перед входом в систему, то пользователям будет гарантирован надежно защищенный канал передачи паролей. Если эта политика отключена, то любой пользователь должен будет перед входом в Windows нажимать CTRL+ALT+DEL (если только он не входит в систему с помощью смарт-карты). По умолчанию: отключен на рабочих станциях и серверах домена; включен на автономных рабочих станциях.
Интерактивный вход в систему: текст сообщения для пользователей при входе в систему
Задает текстовое сообщение, показываемое пользователям при входе в систему. В такие сообщения часто включаются сведения юридического характера, например, предупреждения о последствиях неправомерного использования корпоративных данных или о возможном аудите выполняемых пользователями действий. По умолчанию: без сообщения. При использовании данной политики обязательно следует учитывать следующие особенности:
В Windows XP Professional включена поддержка настройки заставок для входа в систему, которые могут содержать свыше 512 символов, в том числе комбинации "возврат каретки/перевод строки". Однако клиенты Windows 2000 не могут интерпретировать и отображать текст сообщений, создаваемых на компьютерах Windows XP Professional. Необходимо воспользоваться компьютером Windows 2000 и создать политику сообщения при входе в систему, применяемую к компьютерам Windows 2000. Если такая политика была создана на компьютере Windows XP Professional и затем обнаружилось, что эти сообщения неправильно отображаются на компьютерах Windows 2000, следует выполнить следующие действия: отменить определение параметра; заново определить параметр на компьютере Windows 2000.
Если просто изменить на компьютере Windows 2000 политику сообщения для входа, определенную в Windows XP Professional, это не даст желаемого результата. Сначала нужно отменить определение параметра.
Интерактивный вход в систему: заголовок сообщения для пользователей при входе в систему
Разрешает задать заголовок, который должен будет отображаться в титульной строке окна, содержащего сообщение политики "Интерактивный вход в систему: текст сообщения для пользователей при входе в систему". По умолчанию: без сообщения.
Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена)
Определяет, сколько раз пользователь может войти в домен Windows, используя учетные данные из кэша. Сведения из учетных записей домена, используемые при входе в систему, могут помещаться в локальный кэш, чтобы в случае, если при очередной попытке входа связаться с контроллером домена не удастся, пользователь все равно мог бы войти в систему.
Данный параметр задает число уникальных пользователей, для которых сведения, необходимые для входа в систему, заносятся в локальный кэш.
Если контроллер домена недоступен и учетные данные пользователя содержатся в кэше, пользователь получает следующее сообщение:
Не удалось подключиться к контроллеру вашего домена. Вход выполнен с использованием учетных данных, сохраненных в кэше. Изменения в профиле, внесенные с момента последнего входа в систему, могут быть недоступны.
Если контроллер домена недоступен и учетных данных пользователя в кэше нет, пользователь получает следующее сообщение:
Подключение к системе сейчас невозможно, так как домен <ИМЯ_ДОМЕНА> недоступен.
По умолчанию: 10. Если установить данный параметр равным 0, локальное кэширование сведений, используемых при входе в систему, отключается. Максимальное значение параметра равно 50.
Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее Определяет, за сколько дней до истечения срока действия пароля следует предупреждать об этом пользователей. Если пользователя заблаговременно предупредить, он успеет подготовить новый, достаточно надежный пароль. По умолчанию: 14 дней.
Интерактивный вход в систему: требовать проверки на контроллере домена для отмены блокировки
Для снятия блокировки с компьютера необходимо предоставить сведения, используемые при входе в систему. Для учетных записей домена данный параметр определяет, нужно ли для снятия блокировки обращаться на контроллер домена. Если этот параметр отключен, пользователь может разблокировать компьютер, используя учетные данные из кэша. Если параметр включен, контроллер домена должен проверить подлинность учетной записи домена, используемой для снятия блокировки с компьютера. По умолчанию: отключен. Этот параметр применяется к компьютерам Windows 2000, но он недоступен при использовании средств диспетчера настройки безопасности на этих компьютерах.
Интерактивный вход в систему: поведение при извлечении смарт-карты
Определяет, что происходит при извлечении смарт-карты пользователя, вошедшего в систему, из устройства чтения смарт-карт. Возможны следующие варианты: нет действия; блокировка рабочей станции; принудительный выход из системы.
Если в диалоговом окне" Свойства данной политики" выбран вариант "Блокировка рабочей станции", станция при извлечении смарт-карты будет заблокирована; таким образом, пользователь может уйти с рабочего места, взяв с собой смарт-карту, – его сеанс доступа останется под защитой. Если в окне "Свойства этой политики" выбран вариант "Принудительный выход из системы", при извлечении смарт-карты произойдет автоматическое завершение сеанса работы пользователя. По умолчанию: никаких действий.
Политики безопасности типа "Клиент сети Microsoft"
К лиент сети Microsoft: использовать цифровую подпись (всегда)
Определяет, всегда ли компьютер должен использовать цифровую подпись в клиентских сеансах связи. Протокол проверки подлинности SMB (Server Message Block) в системах Windows 2000 Server, Windows 2000 Professional и Windows XP Professional поддерживает взаимную проверку подлинности, позволяющую отражать атаки "третьей стороны" (man-in-the-middle), и проверку подлинности сообщений, обеспечивающую защиту от атак через активные сообщения. Средства подписывания SMB обеспечивают такую проверку, помещая в каждый пакет SMB цифровую подпись, которая затем проверяется и клиентом, и сервером.
Чтобы использовать подписи SMB, необходимо разрешить или потребовать добавление подписей как на клиентском компьютере SMB, так и на сервере SMB. Если подписи SMB разрешены на сервере, то клиенты, на которых они также разрешены, будут использовать этот протокол подписывания пакетов во всех последующих сеансах. Если подписи SMB являются обязательными на сервере, клиент сможет установить сеанс только при условии, что на нем подписи SMB по крайней мере разрешены. Если данная политика включена, то клиент SMB обязан будет подписывать пакеты. Если политика отключена, от клиента SMB не требуется подписывать пакеты. По умолчанию: отключен. Использование подписей SMB неблагоприятно отражается на производительности системы. Этот процесс не требует дополнительной полосы пропускания сети, но использует больше ресурсов процессора как на стороне клиента, так и на стороне сервера.
К лиент сети Microsoft: использовать цифровую подпись (с согласия сервера)
Если эта политика включена, клиент SMB (Server Message Block) должен будет подписывать пакеты SMB при взаимодействии с сервером SMB, на котором подписывание пакетов SMB разрешено или является обязательным. По умолчанию: включен.
Клиент сети Microsoft: посылать незашифрованный пароль сторонним SMB-серверам
Если эта политика включена, перенаправителю SMB (Server Message Block) разрешается открытым текстом передавать пароли серверам SMB сторонних разработчиков, не поддерживающим шифрование паролей во время проверки подлинности. По умолчанию:
отключен.
Политики безопасности типа "Сервер сети Microsoft"
С ервер сети M icrosoft: длительность простоя перед отключением сеанса Определяет продолжительность непрерывного интервала простоя сеанса протокола SMB (Server Message Block), который должен пройти, прежде чем сеанс будет приостановлен. С помощью этой политики администраторы могут определять, когда компьютер должен остановить сеанс SMB, на котором не наблюдается никакой активности. Если клиент возобновит работу, сеанс автоматически восстановится.
Значение 0 этого параметра означает, что простаивающий сеанс должен быть отключен сразу, насколько это возможно. Максимальное значение равно 99 999 (208 дней); такое значение фактически отключает политику. По умолчанию: 15 минут для серверов; не определен для рабочих станций.
С ервер сети M icrosoft: использовать цифровую подпись (всегда)
Эта политика, будучи включена, требует, чтобы сервер SMB (Server Message Block) подписывал пакеты SMB. По умолчанию: отключен.
Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента)
Эта политика, будучи включена, требует, чтобы сервер SMB (Server Message Block) подписывал пакеты SMB. По умолчанию: отключен на рабочих станциях; включен на серверах.
Сервер сети Microsoft: отключать клиентов по истечении разрешенных часов входа
Определяет, следует ли отключать пользователей, работающих на локальном компьютере после установленного для них допустимого срока. Этот параметр влияет на работу компонента SMB (Server Message Block). Если эта политика включена, то клиентские сеансы с участием службы SMB будут принудительно прекращаться по истечении периода времени, отведенного клиенту для работы в систему. Если эта политика отключена, установленный сеанс клиента может продолжаться по истечении периода, разрешенного для клиента. По умолчанию: не определен.
Политики сетевого доступа как средства безопасности
Доступ к сети: Разрешить трансляцию анонимного SID в имя
Определяет, может ли анонимный пользователь запрашивать атрибуты идентификатора безопасности (SID) другого пользователя. Если эта политика включена, пользователь, зная идентификатор безопасности администратора, может связаться с компьютером, на котором действует данная политика, и получить имя администратора по этому идентификатору. По умолчанию: отключен на рабочих станциях; включен на серверах. Учетные записи доменов контролируются только одной политикой учетных записей. Она должна быть определена в стандартной политике домена и реализовываться контроллерами этого домена. Контроллер домена всегда получает политику учетных записей из объекта групповой политики "Стандартная политика домена", даже если к подразделению, в котором этот контроллер домена содержится, применяется еще и другая политика учетных записей. Присоединяемые к домену рабочие станции и серверы (т. е. рядовые компьютеры) по умолчанию используют ту же стандартную политику и для своих локальных учетных записей. Однако политики локальных учетных записей рядовых компьютеров могут отличаться от политики учетных записей домена, если они принадлежат подразделению, в котором определена своя политика учетных записей. Параметры Kerberos не применяются к рядовым компьютерам.
Сетевой доступ: не разрешать перечисление учетных записей SAM анонимными пользователями
Определяет, какие дополнительные разрешения будут предоставлены анонимным подключениям к компьютеру. Windows дает возможность анонимным пользователям выполнять определенные операции, например, проводить перепись имен учетных записей домена и сетевых ресурсов. Это удобно, например, если администратору требуется предоставить доступ пользователям в доверенном домене, в котором не поддерживается двустороннее отношение доверия. Анонимный пользователь по умолчанию имеет те же права доступа к конкретному ресурсу, которые предоставляются группе "Все" для этого ресурса. Этот параметр безопасности позволяет наложить на анонимное подключение следующие дополнительные ограничения: отсутствуют – оставить разрешения по умолчанию; не разрешать перечисление учетных записей SAM – этот вариант заменяет в разрешениях на доступ к ресурсам группу "Все" группой "Прошедшие проверку". По умолчанию: включен на рабочей станции; отключен на сервере.
Очень важно обратить внимание на то, что эта политика не действует на контроллерах домена.
Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями
Определяет, разрешается ли анонимным пользователям проводить перепись учетных записей
SAM и общих ресурсов. Windows дает возможность анонимным пользователям выполнять определенные операции, например, проводить перепись имен учетных записей домена и сетевых ресурсов. Это удобно, например, если администратору требуется предоставить доступ пользователям в доверенном домене, в котором не поддерживается двустороннее отношение доверия. Если нужно запретить анонимным пользователям перепись учетных записей SAM и общих ресурсов, включите эту политику. По умолчанию: отключен.
Сетевой доступ: не разрешать средству сохранения имен пользователей и паролей сохранять пароли или учетные данные для проверки в домене
Определяет, должно ли средство сохранения имен пользователей и паролей сохранять пароли или учетные данные, чтобы позднее использовать их при проверке подлинности пользователя домена. Если этот параметр включен, средству сохранения имен пользователей и паролей запрещается сохранять пароли и учетные данные. По умолчанию: отключен.
Сетевой доступ: разрешить применение разрешений для всех к анонимным пользователям Определяет, какие дополнительные разрешения предоставляются при анонимном подключении к компьютеру. Windows дает возможность анонимным пользователям выполнять определенные операции, например, проводить перепись имен учетных записей домена и сетевых ресурсов. Это удобно, например, если администратору требуется предоставить доступ пользователям в доверенном домене, в котором не поддерживается двустороннее отношение доверия. По умолчанию из маркера, создаваемого для анонимных подключений, удаляется идентификатор безопасности "Все". Поэтому разрешения, предоставленные группе "Все", не применяются к анонимным пользователям. Если данный параметр установлен, анонимный пользователь получит доступ только к тем ресурсам, для которых ему явным образом предоставлено разрешение. Если эта политика включена, при создании описателя для анонимного подключения в него добавляется идентификатор безопасности "Все". В таком случае анонимные пользователи будут иметь доступ ко всем ресурсам, на которые группе "Все" предоставлены разрешения. По умолчанию: отключен.
Сетевой доступ: разрешать анонимный доступ к именованным каналам
Определяет, каким сеансам связи (каналам) будут назначаться атрибуты и разрешения, допускающие анонимный доступ. По умолчанию: не определен.
Сетевой доступ: пути в реестре доступны через удаленное подключение
Определяет, будут ли пути в реестре доступны для обращения к разделу winreg с целью получения разрешений на доступ к этим путям. По умолчанию: не определен.
Сетевой доступ: разрешать анонимный доступ к общим ресурсам
Определяет, какие сетевые ресурсы доступны анонимным пользователям. По умолчанию: не определен.
Сетевой доступ: модель общего доступа и безопасности для локальных учетных записей
Определяет метод проверки подлинности при входе в сеть с использованием локальных учетных записей. Если этот параметр имеет значение Классический, то при проверке подлинности локальной учетной записи используются предъявляемые при входе в сеть учетные данные. Если параметр имеет значение Только гости, то при входе в сеть с использованием локальной учетной записи последней автоматически сопоставляется гостевая учетная запись. Классическая модель позволяет с высокой степенью точности контролировать доступ к ресурсам. С ее помощью можно дифференцировать типы доступа к одному и тому же ресурсу для различных пользователей. В гостевой модели все пользователи считаются равноправными. Все они проверяются как пользователи группы "Гость" и обладают одинаковыми разрешениями на доступ к каждому конкретному ресурсу – либо "Только чтение", либо "Изменение".