Windows 2003 отключить блокировку

Обновлено: 07.07.2024

Политики безопасности критически важны для реализации защищенных серверов Windows Server 2003 и защиты доменов. Администраторы могут управлять политикой безопасности на локальных и удаленных компьютерах, включая политики паролей, политики блокировки учетных записей, политики Kerberos, политики аудита, права пользователей и другие политики. Управлять политиками безопасности можно путем редактирования политик на локальном компьютере, в OU или в домене, а также путем применения файлов с шаблонами безопасности (файлы с расширением имени .inf). Настройки Local Security Policy можно задавать на автономных компьютерах или применять к членам домена. В домене Active Directory настройки Domain Security Policy имеют приоритет по сравнению настройками Local Security Policy .

Примечание. Как Microsoft, так и агентство NSA ( National Security Agency ) предлагают файлы шаблонов безопасности, которые можно использовать для защиты Windows, серверов, рабочих станций и приложений. Их следует использовать с большой осторожностью и только после обширного тестирования. После их установки может нарушиться работа многих конфигураций приложений и серверов.

Чтобы модифицировать Local Security Policy , сделайте следующее.

Выполните вход на данный компьютер с административными правами.
Выберите Start/Programs/Administrative Tools/Local Security Policy. Появится консоль Local Security Settings.

Локальные политики безопасности для учетных записей

Windows Server 2003 использует политики учетных записей для управления двумя важными составляющими аутентификации по учетной записи.

Password policy (Политика паролей). Определяет настройки для реализации функций управления паролями пользователей.
Account lockout policy (Политика блокировки учетных записей).Определяет, когда и насколько будет блокирована от системы учетная запись в случае отказа в аутентификации пользователя.
Enforce Password History (Журнал паролей).Должно быть задано запоминание 12 паролей.
Maximum Password Age (Максимальный срок действия паролей).Промежуток времени, после которого пользователям требуется изменить свой пароль. Должно быть задано значение от 45 до 90 дней.
Minimum Password Age (Минимальный срок действия паролей).Минимальный промежуток времени, в течение которого пользователи не могут изменять пароль. Должно быть задано значение 1 день.
Minimum Password Length (Минимальная длина паролей).Минимальное количество символов, которое должно быть в пользовательских паролях. Должно быть задано значение не менее 8 символов. Каждый дополнительный символ в пароле существенно повышает трудность взлома пароля.
Password Must Meet Complexity Requirements (Пароль должен отвечать требованиям сложности).Требует использования сильных паролей и поэтому должна быть включена (Enabled). Это требует задания пароля, содержащего не менее трех символов из следующих четырех наборов символов: прописные буквы, строчные буквы, числа и неалфавитные символы.

Примечание. Слабые пароли пользователей и администраторов являются одной из основных причин проникновения хакеров на серверы. Если хакер может "разгадать" пароль Domain Administrators, то он фактически "владеет" всем доменом.

Политики блокировки учетных записей

Существует несколько подходов к реализации политик блокировки учетных записей. В одной из рекомендаций говорится, что блокировку учетных записей реализовать не следует: если политики паролей сконфигурированы должным образом, то никакой злоумышленник не сможет разгадать пароль за приемлемый период времени. Кроме того, активизация политик блокировки учетных записей значительно повышает возможность отказа в обслуживании, если делаются попытки компрометации сервера с помощью автоматизированных атакующих программ. Эти программы часто осуществляют перебор небольшого числа типичных паролей, что может привести к блокировке некоторых или всех учетных записей на сервере (за исключением учетной записи Administrator, которая не может быть блокирована).

Внимание. Существует ряд "червей", которые пытаются выполнить вход для открытия разделяемых сетевых ресурсов путем перебора небольшого числа паролей для учетной записи Administrator. Если им удается выполнить вход, это открывает бреши для проникновения хакеров в систему.

Ниже приводятся некоторые рекомендованные настройки на тот случай, если вы решили реализовать политику блокировки учетных записей.

Account Lockout Duration (Длительность блокировки учетной записи).Должна быть задана равной 0, что требует помощи администратора для разблокирования учетной записи. Эта политика блокирует учетную запись на указанный период времени после неудачных попыток ввода пароля.
Account Lockout Threshold (Предельное число попыток перед блокировкой учетной записи).Учетные записи следует блокировать после пяти неверных попыток входа.
Reset Account Lockout Counter After (Сброс счетчика попыток через).Должно быть задано значение 30 минут. Эта политика задает, как долго должно оставаться в счетчике предельное число попыток, прежде чем выполнить его сброс.

Локальные политики

Локальные политики позволяют администраторам реализовать настройки безопасности, которые относятся к отдельным компьютерам или пользователям. Для конфигурирования можно использовать секцию Local Policies.

User rights assignment (Назначение прав пользователей).Охватывает разнообразные политики, определяющие типы действий, которые могут выполнять отдельные пользователи или группы. Их конкретная реализация зависит от сайта и компьютера.
Security options (Параметры безопасности).Управление различными настройками для компьютера. Их конкретная реализация зависит от окружения сайта и того, как используется сервер.
Audit policy (Политика аудита). Определяет, какие события безопасности регистрируются в журнале событий безопасности на данном компьютере. Управление журналом безопасности Windows Security осуществляется из оснастки Event Viewer.

Существует целый ряд опций безопасности,которые вы можете реализовать в Windows Server 2003. Конфигурирование этих опций сильно зависит от окружения сервера и характера использования данного сервера. Например, контроллер домена может иметь опции, отличные от связанного с интернетом веб-сервера. Возможно, вы захотите просмотреть и реализовать некоторые из этих политик. Две из наиболее важных политик - это переименование учетной записи Administrator и учетной записи Guest.

Следующие политики безопасности можно задавать для повышения безопасности локальных компьютеров и компьютеров, являющихся членами домена.

Administrator. Администраторы могут задавать новое имя для учетной записи Administrator.

Всем привет! Приехал новый сервер с Виндой 2003 сервер! Поднял домен, стал заводить пользователей, у нас все юзеры без пароля в домен входят, а система просит ввести сложный пароль. Помогите начинающим админам )))

Ответы

Помогаю начинающему админу: пусть пользователи привыкают к сложным паролям - Вам это окупится потом минимизацией расхода труда на лечение вирусных эпидемий, разборки "кто скачал терабайт порнухи" и прочее.

По существу - есть GPO, в которой есть соответствующая настройка. Найдите эту настройку (конфигурация компьютера - конфигурация Windows - параметры безопасности - политики учетных записей - политика паролей) и поправьте. Хотя моя первая рекомендация - намного более разумная.

Все ответы

Спасибо, вроде получилось!

Если точнее то было вроде так: Пуск, Программы, Администрирование, Политики безопасности учетных записей ну и далее )))

Еще вопрос немного в другую ветку!

Сервак подключу, потом всем юзерам придется по новому делать идентификацию в домене, при этом естественно и весь рабочий стол и Мои документы останутся в старом профиле. Т.е. если раньше все было в c:\Documents and Settings\Пупкин_Доменххх\Мои документы то теперь будет в c:\Documents and Settings\Пупкин_Домен0хх\Мои документы. Чтобы на каждом компьютере не сидеть и копировать из c:\Documents and Settings\Пупкин_Доменххх\Мои документы в c:\Documents and Settings\Пупкин_Домен0хх\Мои документы, ну и также рабочий чтол, избранное и т.д.; возможно ли как то убыстрить процедуру. Имя домена будет такое же, как и на старом сервере.

Заранее спасибо, очень хотелось получить информативный ответ! Пользователей около 50-ти, это надо на полнедели уезжать заниматься копированием, очень хотелось бы сэкономить время!

Введите новый компьютер в старый домен и не мучайтесь. Есть еще возможность миграции, но тогда придется, кажется, распрощаться с одинаковыми именами доменов.

Опишите задачу целиком, а не тот кусочек, который, как Вам кажется, нужно решить =)

Задача такова! Пришел новый сервак на смену старого.с сервера пользователям нужно только парочка сетевых дисков, на одном лежит Консультант плюс, на другом - дистрибы, антивирусы, общие файлы, ну и все такое.Документы пользоватей лежат у каждого на своем компе.Имя домена если это минимизирует время на установку нового сервера, можно любое задать на новом серваке.Старого сервера уже просто физически не будет, я с него солью только папочку с общими файлами пользователей, которая подключается у них при входе в домен как отдельный сетевой диск.

В домене около 20 пользователей.На новом сервере я все имена юзеров, которые будут в нем работать завел.У всех одинаковый доступ и пара сетевых дисков, коими являются парочка папок на сервере, расшареных под разными именами дисков.Перед тем,как подключить новый сервер, придется же сначала вывести из домена всех юзеров. Потом подцепляем новый сервер, копируем на него со старого нужные папочки, затем же придется опять на каждом компе вводить в домен компьютер.А при вводе в домен рабочий стол и все настройки рабочего стола останутся в старой учетной записи .И придется копировать документы и все файлы наработанные пользователем, в новый профиль в "новом" домене (хотя имя домена оставил прежним)! Делалось все так, если возможно все это оптимизировать, были бы очень рады, так как организация большая, и это не первая и не последняя замена сервера контроллера домена

Ну так я Вам рекомендую сделать следующим образом:

1) Ввести новый сервер в старый домен

2) Сделать новый сервер контроллером домена

3) перенести на него все FSMO

4) Понизить старый контроллер до рядового члена домена

5) перенести все, что Вам нужно со старого сервера на новый

6) убить старый и радоваться, что пользователи вообще ничего не заметили =)

Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Троих админов домена и прмерно 2-10 юзверей у остальных все норм

до этого были ошибки в журнали с файлом sam это который пассворд хранит ошибки повторялись примерно 4 раза в секунду напарник почистил журнал и не сохранил конкретниее сказть не могу ща эти ошибки не повторяются а записи все ровно блокируются !
накидайте вариантов пжалуйста

вариантов пока немного, менялись ли пароли, были ли какие-то серьезные сбои?
Учетки блокируются вероятно потому, что какие-то программы/службы пытаются получить доступ с недействующим паролем. Хотя бы приблизительно ошибки sam можете описать? пароли не менялись с боев до вчерашнего дня небыло вчера начались ошибки sam и усе приехали . Вирь, скорее всего SECTOR5, очень гадкий самомодифицирующийся зверь. С зараженных машин идет подбор паролей брутфорсом. Составьте на основе анализа Security logs список машин с которых происходит работают проблемные пользователи, и при помощи Live CD с интегрированным DrWEB например, проверьте машины.

-------
MVP: Exchange Server 2009 - 2018
Microsoft Regional Director 2015 - 2017

да возможно вирусы на машинах каспер видить но удалить не может
все ясно буду пробывать спасибо

как разберусь отпишу

Аналогичная проблема появилась и в нашей сетке, точно 11 января в 10:20 утра, когда отдохнувшие за 12 дней пользователи кинулись в Инет и начали совать в компы флешки с фотографиями.
В журналах сервера пишеться SAM 12294 - это перебор пароля чем пользуются для брутфорс атак.
В нашем случае оказался вирус W32.Downaup.B (так его Symantec) определяет. Сел и на сервера и на рабочие станции, вирус свежий, появился примерно 5 января, последняя модификация 11 января. 3-й день идет борьба, т.к. сетка не маленькая.

Седующая ветка в форуме - тоже по этому поводу

Методы:
1. Установка патча от Микрософт из KB958644 на сервера и рабочие станции
2. Лечение обновленным антивирусом всей сети (пока только Symantec и BitDefender , остальные его не видят)
3. Запрет автозапуска со съемных накопителей и расшаренных сетевых дисков (вирус использует файл autorun.inf в корне этих дисов).

Сейчас стало немного легче, но до конца проблему еще не решили .

Event Type: Error
Event Source: SAM
Event Category: None
Event ID: 12294
Date: 14.01.2009
Time: 14:46:13
User: COLLEGE\Administrator
Computer: NS
Description:
The SAM database was unable to lockout the account of Administrator due to a resource error, such as a hard disk write failure (the specific error code is in the error data) . Accounts are locked after a certain number of bad passwords are provided so please consider resetting the password of the account mentioned above.

10.09.2020

Active Directory, Windows 10, Windows Server 2016, Групповые политики

комментариев 9

Создадим и настроим доменную политику управления параметрами блокировки экрана:

Включите все политики и задайте необходимое время неактивности компьютера в политики Screen saver timeout. Я указал 300 . Это значит, что сессии пользователей будет автоматически блокироваться через 5 минут;
Дождитесь обновления настроек групповых политики на клиентах или обновите их вручную командой ( gpupdate /force ). После применение GPO в интерфейсе Windows настройки экранной заставки и блокировки экрана станут недоступными для изменения, а сессия пользователя автоматически блокироваться после 5 минут неактивности (для диагностики применения gpo можно использовать утилиту gpresult и статью по ссылке).

Начиная с Windows Server 2012/Windows 8 есть отдельная политика безопасности компьютера, в которой задается период неактивности компьютера, после которого его нужно блокировать. Политика называется setting Interactive logon: Machine inactivity limit и находится в разделе GPO Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options.

В некоторых случаях вам может понадобится настроить различные политики блокировки для разных групп пользователей. Например, для офисных работников нужно блокировать экран через 10 минут, а на компьютерах операторов производства экран не должен блокироваться никогда. Для реализации такой стратегии вы можете использовать GPO Security Filtering (см. пример с групповыми политиками ограничением доступа к USB устройствам) или возможности Item Level Targeting в GPP. Рассмотрим второй вариант подробнее.

Вы можете настроить параметры блокировки компьютеров не с помощью отдельных параметров GPO, а через реестр. Вместо рассмотренной выше политики вы можете через GPO распространить на компьютеры пользователей параметры реестра. Рассмотренным выше политикам соответствуют следующие параметры реестра в ветке HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop:

Password protect the screen save – параметр типа REG_SZ с именем ScreenSaverIsSecure = 1;
Screen saver timeout – параметр типа REG_SZ с именем ScreenSaveTimeout = 300;
Force specific screen saver – параметр типа REG_SZ с именем ScreenSaveActive = 1 и SCRNSAVE.EXE = scrnsave.scr.

Создайте в домене группу пользователей ( SPB-not-lock-desktop ), для которых нужно отменить действие политики блокировки и наполните ее пользователями. Создайте в секции GPO (User Configuration -> Preferences -> Windows Settings -> Registry рассмотренные выше параметры реестра). Для каждого параметра и с помощью Item Level Targeting укажите, что политика не должна применяться для определенной группы безопасности (the user is not a member of the security group SPB-not-lock-desktop).

Читайте также: