Планирование политики сетевой безопасности

Правила именования учетных записей

Тщательное планирование схемы именования учетных записей пользователей позволяет стандартизировать идентификацию пользователей домена. Единое соглашение также облегчает распознавание и запоминание имен пользователей.

Существует много разных соглашений, применимых при создании имен, и у каждого администратора или проектировщика сети есть свои предпочтения. Однако хорошее соглашение об именовании должно быть таким, чтобы имена для входа легко запоминались, а также чтобы можно было различать сотрудников с похожими именами.

Есть несколько правил, которые нужно соблюдать при планировании стратегии именования пользователей [3]:

• Каждый пользователь должен иметь уникальное имя (логин) в домене.
• Длина имени не должна превышать 20 символов (для совместимости с предыдущими версиями Windows).
• Имена не чувствительны к регистру букв.
• Имена не должны содержать следующих символов: ", /, \, [, ],:,;, =,,, +, *,?, <, >.
• Должна поддерживаться гибкая система именования.
• Необходимо учитывать совместимость именования для других приложений (например, для электронной почты).

Контроллеры домена должны проверять идентификацию пользователя или компьютера, прежде чем предоставить доступ к системным и сетевым ресурсам. Такая проверка называется аутентификацией и выполняется всякий раз при входе в сеть.

При планировании стратегии аутентификации рекомендуется соблюдать ряд правил [3]:

• Политика блокировки учетных записей (рекомендуемое значение для пользователя — 5 попыток).
• Ограничение времени, в которое разрешен вход.
• Политика истечения сроков билетов (tickets) (значение по умолчанию — 10 часов).
• Не использовать административные учетные записи для обычной работы.
• Переименовать или отключить встроенные учетные записи.

Следующий наиболее важный аспект сетевой безопасности — пароли, поэтому политику определения паролей пользователей необходимо тщательно продумать. В Windows Server 2003 по умолчанию действуют более строгие ограничения на пароли, чем в предыдущих версиях. Например, в Windows Server 2003 имеется новое средство, проверяющее сложность пароля учетной записи «Администратор» (Administrator). Если пароль пустой или недостаточно сложный, Windows предупреждает, что использовать нестойкий пароль опасно; при этом пользователь, оставивший поле для пароля пустым, не сможет обращаться к учетной записи через сеть.

Надежная политика управления паролями гарантирует, что пользователи в полной мере соблюдают принципы задания паролей, установленные компанией. При планировании политики управления паролями рекомендуется соблюдать ряд правил [3]:

• Политика сохранения последних паролей (рекомендуемое значение: 24).
• Смена пароля не чаще, чем 1 раз в сутки.
• Длина пароля не должна быть короче 7 символов.
• Использование сложной схемы для паролей (строчные, прописные буквы, цифры и другие символы).