User account security

From ICO wiki
Jump to navigationJump to search

Sissejuhatus

Tutvustus windowsi turvalisuse tõstmisest. Ei ole kahtlust et kõik uued turvalisuse uuendused aitavad sinu arvutit turvalisemaks teha. Kuigi need seaded ei aita sind üldse kui need pole sisse lülitatud. Tavaliselt ei ole automaatselt sisse lülitatud parooli turvalisus ja konto audentimine. Lühike ülevaade millele võiks tähelepanu pöörata.

Local Security Policy

Avame Local Security Policy.
Esimene varjant on seda teha: Start -> Control Panel -> Admistrative Tools -> Local Security Policy
Teine varjant: vajuta klaviatuuril windows märgiga nuppu ja hakka kirjutama Local Security Policy
Kolmas varjant: ava start menüü ja lahtrisse kirjuta secpol.msc
Vasakul asub menüü, lähme esimese valiku peale Account Policies
Selle valiku all asub kaks alammenüüd millest tuleb juttu:
Password Policy
Account Lockout Policy

Password Policy

Siin näeme vaikesätetena selliseid tulemusi.
Mida soovitaks muuta:
Enforce Password History(Rakenda parooli ajalugu) – Et kasutaja ei muudaks oma parooli pidevalt samaks siis võiks rakendada selle võimaluse. Ei soovita liiga pikkalt ajalugu hoida, sest kogemusest ütlen et, kasutajad omavad healjuhul 2-3 parooli, rohkemaid hakkavad kirutama paberile ja mis kipub arvuti lähedal olema.
Maximum password age(Maksimaalne parooli vanus) – Parooli aegumise aega saab sättida 1-999 päevani. Tuleks leida ideaalne parooli vahetamise pikkus, 60 päeva puhul oleks see 6 korda aastas(Microsofti soovitus on 30-90 päeva).
Minimum Password Age(Minimaalne parooli vanus) – Parooli minimaalne vahetamise aeg, parooli ei saa ennem vahetada kui see aeg on läbitud, maksimaalselt on see väiksem kui maksimaalne vahetamise aeg.
Minimum password length(Minimaalne parooli pikkus) – Minimaalne pikkus paroolil, võimalus valida 1-14 sümoli vahel, 0 märgistab parooli mitte lisamist.
Password must meet complexity requirements(Parool peab vastama keerulise parooli tingimusele) - Sellisel juhul ei tohi parool vastata nendele kriteeriumitele:
sisladama kasutajanime
sisaldama kasutaja täieliku nime
Parool peab sisaldama 3 järgnevat kriteeriumi:

  • Suured tähed(euroopa keel)
  • väiksed tähed(euroopa keel)
  • numbrid
  • Erimärgid: ~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/
  • Suvaline Unicode sümbol mis on tähestiku täht kuid mis ei ole seotud esimese 2 punkitga.

Store Passwords Using Reversible Encryption(Hoida paroole kasutades pöörduvat krüpteerimist) – Jäta see valimata.

Account Lockout Policy


Account lockout duration(Konto lukustumise aeg) – Kui parooli on mitmeid kordi valesti sisestatud siis konto lukustub just selliseks ajaks mille määrad sellel valikul. Konto lukustatakse vähemalt 30 minutiks.
Account lockout threshold(Konto lukustamise künnis) – Parooli valesti sisestamise kordade arv, pärast seda konto lukustatakse. Soovitaks vähemalt 3 valesti sisestamise korda.
Reset account lockout counter after(Konto lukustamise taastamine) – Aeg millal nullib konto valsesti parooli sisestamise kordade arvu. Soovitamalt sama aeg mis konto lukus hoidmise aeg(30 minutit).

Local Policy


Audit Policy(Auditeerimine) – Määrab kas salvestatakse logimis sündmuste ajalugu. Nii edukad kui ka ebaõnnestunus logimised.
User Rights Assignment(Kasutajate õiguste määramine ) - Määrab millistel kasutajatel või gruppidel on olemas õigus logida sellesse arvutisse. Näiteks millisel grupil on õigus logida arvutisse kasutades Kaughaldust(Remote Desktop) või kohaliku arvutit, muuta aja sätteid, suleda süsteemi(Shut Down) jne.
Security Options(Turvalisuse Valikud) – Siin saab lubada või keelata gruppidel/kasutajatel turvaseadeid. Kasutada väisseadmeid, draiverite installeerimist jne. Näiteks sisse ehitatud Administraatori ja Guest kontode lubamine/keelamine, kas kohalikud kontod saavad sisse logida ka tühja parooliga kasutades kaughaldust, tavakasutajatel installida printeri draivereid, mitu päeva ennem parooli aegumist saab kasutaja parooli vahetada, jne.

Kasutatud materjal

http://tweaks.com/windows/39412/fine-tune-user-account-control/
http://tweaks.com/windows/39138/turn-on-auditing-to-monitor-account-attacks/
http://technet.microsoft.com/en-us/library/cc739828%28WS.10%29.aspx