ідповідне значення, використовуючи величину від 1 до 99,999 хвилин, або на необмежений час, шляхом установки цього параметра рівним 0.
Найбільш безпечною політикою є установка необмеженого часу блокування. У цьому випадку тільки адміністратор може розблокувати обліковий запис. Це перешкодить хакерам повторити спробу отримання доступу до системи і змусить користувачів, чиї облікові записи заблоковані, вдатися до допомоги адміністратора, що саме по собі є хорошою ідеєю. Поговоривши з користувачем, Ви можете з'ясувати, що він робить неправильно і допомогти йому уникнути проблем.
Рада. Якщо обліковий запис заблокований, звернетеся до діалогового вікна Властивості для облікового запису в оснащенні Active Directory - користувачі й комп'ютери. Клацніть по вкладці Обліковий запис і зніміть прапорець В«Обліковий запис заблокованаВ». Це розблокує обліковий запис.
В
Скидання лічильника блокування через
Щоразу при невдалої спроби входу в систему Windows 2000 збільшує значення порогу, який відстежує число неправильних спроб входу. Політика В«Скидання лічильника блокування через В»визначає, як довго зберігається значення порогу блокування. Лічильник порогу блокування облікового запису скидається одним із двох способів. Якщо користувач входить в систему успішно, лічильник порогу скидається. Якщо період очікування для політики В«Скидання лічильника блокування черезВ» після останньої невдалої спроби входу минув, лічильник також скидається.
Типово, встановлено збереження порогу протягом однієї хвилини, але Ви можете встановити будь- значення від 1 до 99,999 хвилин. Як і з Порогом блокування облікового запису, необхідно вибрати значення, яке знаходиться в рівновазі між потребами безпеки і потребами користувачів. Підходяще значення знаходиться в діапазоні від одного до двох годин. Цей період очікування повинен бути достатньо великим, щоб змусити зломщиків чекати довше, ніж їм хотілося б, перед новою спробою отримати доступ до облікового запису.
Примітка. Невдалі спроби входу на робочу станцію через заставку захищену паролем не збільшують значення порогу блокування. Також, якщо Ви блокуєте сервер або робочу станцію використовуючи Ctrl + Alt + Delete, невдалі спроби входу через вікно Розблокування комп'ютера не враховуватимуться.
Налаштування політик Kerberos
Kerberos версії +5 є основним механізмом автентифікації, використовуваним в домені Active Directory. Kerberos використовує квитки служби і квитки користувача для ідентифікації користувачів і мережевих служб. Як Ви здогадуєтеся, квитки служби використовуються службовими процесами Windows 2000, а квитки користувача користувацькими процесами. Квитки містять зашифровані дані, що підтверджують справжність користувача або служби.
Ви можете контролювати тривалість квитка, його поновлення та застосування, використовуючи наступні політики:
•
Примусові обмеження входу користувачів
•
Максимальний термін життя квитка служби
•
Максимальний термін життя квитка користувача
•
Максимальний термін життя для відновлення квитка користувача
•
Максимальна похибка синхронізації годинника комп'ютера
Ці політики описані в наступному розділі.
Увага. Тільки адміністратори, повністю розуміючі пакет безпеки Kerberos, повинні міняти ці політики. Установка неправильних параметрів для даних політик може спричинити серйозні проблеми в мережі. У більшості випадків параметри політики Kerberos, встановлені за Типово, працюють як треба.
Примусові обмеження входу користувачів
Політика В«Примусові обмеження входу користувачів В»забезпечує включення обмежень користувальницької облікового запису. Наприклад, якщо час входу користувача обмежено, дана політика здійснює це обмеження. Типово, дана політика дозволена і скасовувати її слід тільки за виняткових обставинах.
Максимальний термін життя
Політики В«Максимальний термін життя квитка служби В»таВ« Максимальний термін життя квитка користувача В» встановлюють максимальний термін, протягом якого квиток служби або користувача має силу. Типово, квитки служби мають максимальну тривалість 41,760 хвилин, а квитки користувача - 720 годин.
Ви можете змінити тривалість квитків. Для квитків служби ефективні значення перебувають у діапазоні від 0 до 99,999 хвилин. Для квитків користувача - від 0 до 99,999 годин. Нульове значення вимикає витікання терміну життя. Будь-які інші значення встановл...