x
تبلیغات


Fine-Grained Password and Lockout Policy قابلیتی  است که مایکروسافت برای اولین بار در سرویس Active Directory Domain Services و یا به اختصار AD DS ارائه شده در Windows Server 2008، معرفی نموده است (توجه داشته باشید که به منظور استفاده از این قابلیت، Domain Functional Level موجود می بایست حداقل Windows Server 2008 باشد).

 

سناریوهای متعددی وجود دارد که استفاده از Fine-Grained Password and Lockout Policy می تواند باعث ارتقاء توان امنیتی شبکه های مبتنی بر دامین گردد. در ادامه به اهم این سناریوها می پردازیم:


سناریوی اول: ارتقاء توان امنیتی شبکه به دلیل پایین آوردن ریسک سوء استفاده از حساب های کاربری اختصاص داده شده به کاربران خاص.

حساب های کاربری متعلق به مدیران شبکه، از سطح دسترسی بسیار بالایی بر خوردار هستند. به همین علت، اگر چنانچه این حساب های کاربری، توسط افراد مغرض مورد سوء استفاده قرار گیرند، می توان صدمات جبران ناپذیری بر پیکره شبکه سازمان شما به جای بگذارد. لذا می توان با در نظر گرفتن سیاست های سخت تری در خصوص انتخاب رمز عبور برای این گونه حساب های کاربری، در مقایسه با حساب های کاربری متعلق به کاربران معمولی، توان امنیتی شبکه را تا حد بسیار بالایی ارتقاء داد. به عنوان مثال، اگر چنانچه حداقل طول رمز عبور انتخاب شده از سوی کاربران معمولی، می بایست 8 کارکتر باشد، می توان برای حساب های کاربری متعلق به مدیران شبکه، اجبار در انتخاب رمز عبوری با طول 14 کارکتر در نظر گرفت. به منظور ارائه راه حل مناسب برای این سناریو، می توان از قابلیت Fine-Grained Password and Lockout Policy سود جست.


سناریوی دوم: ارتقاء توان امنیتی شبکه به دلیل پایین آوردن ریسک سوء استفاده از حساب های کاربری اختصاص داده شده برای اجرای سرویس های گوناگون.

حساب های کاربری ایجاد شده برای اجرای سرویس های مرتبط با نرم افزارهای سرویس دهند، از اهمیت بسیار بالایی برخوردارند. این گونه حساب های کاربری از سوی سرویس ها به منظور توانایی در انجام فعالیت های آنها، مورد استفاده قرار می گیرند. از آنجایی که اغلب سرویس های کنونی، فاقد توانایی در تغییر رمز عبور حساب کاربری اختصاص داده شده به آنها هستند، لذا شاهد فعال بودن گزینه Password Never Expires برای این گونه حساب های کاربری هستیم. در چنین شرایطی، اگر چنانچه بخواهیم امنیت زیر ساخت شبکه را با فرض فعال بودن این گزینه افزایش دهیم، می بایست رمز عبور این گونه حساب های کاربری را به گونه ایی پیکربندی کنیم که ریسک سوء استفاده از این حساب های کاربری، به حداقل ممکن کاهش یابد.

 

نکته: اگر چه می توان با استفاده از قابلیت Fine-Grained Password and Lockout Policy، میزان حداقل رمز عبور مرتبط با این گونه حساب های کاربری را در مقایسه با دیگر حساب های کاربری، متفاوت در نظر گرفت، اما به منظور افزایش ضریب امنیت شبکه، می توان از قابلیتی که مایکروسافت در این خصوص در Windows Server 2008 R2 معرفی نموده است، استفاده کرد. این قابلیت Managed Service Account نام دارد و در این سری مقالات قصد نداریم به چگونگی پیکربندی آن بپردازیم.

 

ممکن است این سوال برای شما پیش آید که به منظور مرتفع نمودن نیازمندی های ارائه شده برای هر دو سناریو، می توان از سیاست های رمز عبور ارائه شده در Group Policy سود جست. پس دلیل ارائه این قابلیت از سوی مایکروسافت چیست؟ اگر چه می توان از سیاست هایی که برای اولین بار در Group Policy ارائه شده در دامین های مبتنی بر Windows NT سود جست، اما می بایست توجه داشته باشید که تغییر در این سیاست ها، بر روی تمامی حساب های کاربری موجود در دامین تاثیر می گذارد. به عنوان مثال، اگر چنانچه سیاست های رمز عبور موجود در Default Domain Policy را تغییر دهید، این سیاست بر روی تمامی حساب های کاربری، تاثیر می گذارد. این در حالیست که با استفاده از قابلیت Fine-Grained Password and Lockout Policy، می توان سیاست های گوناگونی را بر اساس حساب های کاربری و یا گروه های که اعضاء آنها حساب های کاربری هستند، ایجاد و اعمال نمود.

 

نکته: به منظور مدیریت این قابلیت، نمی توان از ابزارهای معمول مدیریت Group Policy مانند GPMC استفاده نمود. استفاده از ابزار Active Directory Service Interface Editor و یا به اختصار ADSI Edit، ابزاریست که می توان از آن برای مدیریت این قابلیت در حتی جدیدترین نسخه سیستم عامل ارائه شده از سوی مایکروسافت، استفاده نمود. این در حالیست که استفاده از این ابزار بسیار سخت بوده (جالب است که بدانید، از آنجایی که استفاده از این ابزار کار دشواری می باشد، شاهد تولید ابزاری با نام Password Policy Basic، ارائه شده از سوی شرکت Specops Software هستیم. لذا به منظور مدیریت این قابلیت در Windows Server 2008 / 2008 R2 پیشنهاد می گردد از این ابزار استفاده کنید) و لذا شاهد آن هستیم که مایکروسافت در Windows Server 2012، امکان مدیریت این قابلیت را در کنسول Active Directory Administrative Center گنجانده است.

 

در قسمت دوم از این سری مقالات، به شما در درک بهتر Password Settings Objectها کمک خواهیم نمود.

 

 

 

 

لینک های مرتبط با این مقاله:

  1. پیکربندی قابلیت Fine-Grained Password and Lockout Policy – (قسمت دوم)