در سیستم عامل ویندوز سیاست های (Group Policy) زیادی برای ایمن کردن حساب های کاربری (User Account) وجود دارد مثلا میتوان مشخص نمود استفاده از رمز عبور برای کاربران اجباری است و همچنین طول رمز عبور کاربران باید حداقل دوازده کاراکتر باشد و یا حتی مشخص نمود کاربر حق استفاده از رمز های تکراری را ندارد. در ادامه با تی ام ال منیجر همراه باشید تا نحوه تنظیم و استفاده از این Policy ها را یاد بگیرید.
تنظیم سیاست ها با استفاده از دستور Net Account
برای تنظیم Policy های مربوط به حساب های کاربری در ویندوز میبایست خط فرمان ویندوز را به صورت Run As Administrator اجرا کنید تا بتوانید با مجوز کافی از دستور net برای تنظیم سیاست ها (User Account Policies) استفاده کنید.
1- اجباری نمودن استفاده از رمز عبور
استفاده از رمز عبور میتواند تضمین خوبی برای حفظ امنیت یک حساب کاربری در ویندوز باشد اما از آنجایی که معمولا کاربران نمیخواهد به خود سختی بدهند، میتوانید از دستور Net User به همراه نام حساب کاربری مورد نظر خود استفاده کنید و بعد از آن از پارامتر /PasswordReq:Yes استفاده کنید تا کاربر مجبور به استفاده از رمز عبور شود. برای مثال:
Net User TMLMANAGER /PasswordReq:Yes
اگر میخواهید از اجباری بودن رمز عبور یک حساب کاربری مطمئن شوید میتوانید از دستور Net User با نام حساب کاربری مورد نظر خود استفاده کنید.
اختیاری کردن استفاده از رمز عبور
برای اختیاری نمودن استفاده از رمز عبور کافیست بجای کلمه Yes در جلوی پارامتر /PasswordReg: از کلمه No استفاده کنید. برای مثال:
Net User TMLMANAGER /PasswordReq:No
2- اجبار در استفاده از رمز عبور پیچیده (Complex)
در ویندوز میتوان مشخص نمود کاربران باید از رمز عبور پیچیده (Complex) استفاده کنند، در این حالت کاربر باید در رمز عبور خود از حداقل سه نوع کاراکتر مثل حروف بزرگ، حروف کوچک، اعداد و یا علامت ها استفاده کند.
متاسفانه Policy مربوط به استفاده از رمز عبور پیچیده در خط فرمان ویندوز قابل پیکربندی نمیباشد اما میتوانید آنرا از طریق Group Policy تنظیم کنید. برای انجام اینکار ابتدا دستور GPedit.msc را در خط فرمان ویندوز وارد کنید سپس در پنجره Group Policy Editor به شاخه زیر مراجعه کنید:
Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy
در شاخه Password Policy به دنبال گزینه Password must meet complexity requirements بگردید و با دوبار کلیک آنرا اجرا کنید سپس در پنجره باز شده گزینه Enable را انتخاب کرده و روی Apply و Ok کلیک کنید.
پس از کلیک بر روی OK میبایست سیستم خود را برای اعمال تنظیمات Group Policy ریستارت کنید یا از دستور GPUpdate با پارامتر /Force برای بروز رسانی سیاست های ویندوز استفاده کنید. برای مثال:
GPUpdate /Force
توجه کنید از حال به بعد برای تنظیم رمز عبور کاربران میبایست از حداقل سه نوع کاراکتر مثل حروف بزرگ، حروف کوچک، اعداد و یا علامت ها استفاده کنید. (ایجاد رمز عبور پیچیده) برای مثال:
Net User TMLAMANGER C0mPle6$
نکته: اگر میخواهید استفاده از رمز عبور پیچیده از حالت اجباری بودن در بیاید باید گزینه Password must meet complexity requirements را Disable کنید.
3- مشخص نمودن حداقل طول کاراکترهای رمز عبور
برای امنیت بیشتر حساب های کاربری در ویندوز میتوانید حداقل طول کاراکتر های رمز عبور را هم مشخص کنید مثلا تعیین کنید رمز عبور باید حداقل 8 کاراکتر داشته باشد. برای این منظور میبایست از دستور Net Accounts با پارامتر /MINPWLEN: استفاده کنید و در جلوی آن از 0 تا عدد 14 را به عنوان طول رمز عبور مشخص کنید. برای مثال:
Net Accounts /MINPWLEN:8
در دستور بالا مشخص شده طول رمز عبور حساب های کاربری باید حداقل 8 کاراکتر داشته باشد. توجه کنید برای اعمال این Policy باید از دستور GPUpdate با پارامتر /Force استفاده کنید.
4- مشخص نمودن حداقل و حداکثر طول عمر رمز عبور
از دیگر Policy جالب در ویندوز تعیین حداقل و حداکثر طول عمر رمز عبور میباشد، یعنی میتوان مشخص نمود یک رمز عبور حداکثر چند روز باید استفاده شود و بعد از آن برای امنیت بیشتر کاربر باید منقضی شود. برای استفاده از این Policy میتوانید از دستور Net Accounts با پارامتر /MAXPWAGE: استفاده کنید. برای مثال:
Net Accounts /MAXPWAGE:60 & GPUpdate /Force
در دستور بالا مشخص شده رمز های عبور کاربران حداکثر میتواند 60 روز مورد استفاده قرار گیرد و بعد از 60 روز به صورت خودکار منقضی خواهد شد و کاربر باید رمز عبور حساب خود را تغییر کند.
مشخص نمودن حداقل طول عمر رمز عبور
در بعضی از مواقع کاربران بعد از گذشت از حداکثر طول عمر رمز عبور (MAXPWAGE) هوش سیاه خود را به کار گرفته و رمز عبور خود را دوبار پشت سر هم تغییر میدهند یکبار برای اعمال سیاست MAXPWAGE و بار دوم برای استفاده از همان رمز عبور قدیمی، در این شرایط شما میتوانید حداقل طول عمر رمز عبور را نیز مشخص کنید.
یعنی مشخص کنید پس از تغییر رمز عبور کاربر نمیتواند برای مدت مشخصی رمز عبور خود را دوباره تغییر دهد. برای استفاده از این سیاست باید از دستور Net Accounts به همراه پارامتر /MINPWAGE: استفاده کنید. برای مثال:
Net Accounts /MINPWAGE:10 & GPUpdate /Force
برای نا محدود کردن این سیاست ها باید برای MAXPWAGE از مقدار Unlimited و برای MINPWAGE از عدد صفر استفاده کنید. برای مثال:
Net Accounts /MAXPWAGE:Unlimited & Net Accounts /MINPWAGE:0 & GPUpdate /Force
5- اجبار در استفاده از رمز عبور یکتا
اگر میخواهید رمز عبور کاربران به صورت یکتا باشد و کاربر نتواند بعد از تغییر رمز عبور خود دوبار از رمز های قبلی استفاده کند باید از دستور Net Accounts با پارامتر /UniquePW: استفاده کنید. برای مثال:
Net Account /UNIQUEPW:10 & GPUpdate /Force
در دستور بالا مشخص شده کاربران نمیتوانند بعد از تغییر یک رمز عبور، تا استفاده از 10 رمز عبور دیگر از آن رمز عبور قدیمی استفاده کنند. چراکه تا 10 رمز عبور در تاریخچه (Password History) ویندوز ذخیره میشود.
بررسی Policy های تنظیم شده
برای بررسی سیاست های تنظیم شده میتوانید از دستور Net Accounts بدون پارامتر استفاده کنید. برای مثال:
روش دیگری که میتوانید از طریق آن این سیاست ها را تنظیم و بررسی کنید استفاده از ابزار Group Policy Editor میباشد. برای این منظور gpedit.msc را در خط فرمان اجرا کنید و به شاخه زیر بروید:
Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy
خلاصه: سیاست های مرتبط با رمز عبور در ویندوز
به طور کلی شما با پنج Policy برای افزایش امنیت حساب های کاربری در ویندوز آشنا شدید
- استفاده از رمز عبور برای کاربران اجباری میباشد.
- کاربران باید از رمز عبور پیچیده (Complex) استفاده کنند.
- یک رمز عبور باید حداقل چند کاراکتر داشته باشد.
- کاربر باید بعد از حداکثر تعداد روز های مشخص شده (MAXPWAGE) رمز عبور خود را تغییر دهد و نمیتواند قبل از حداقل تعداد روز های مشخص شده (MINPWAGE) رمز عبور خود را تغییر دهد.
- کاربر باید از رمز های یکتا استفاده کند که تکراری نباشند.