Следует обратить особое внимание на следующие особенности: прежде чем включать этот параметр на рядовом сервере или рабочей станции домена, необходимо убедиться, что все контроллеры этого домена могут шифровать или подписывать все данные безопасного канала. Это означает, что все такие контроллеры домена должны работать под управлением Windows NT 4.0 с пакетом обновления 4 или более поздней версии. Прежде чем включать этот параметр на контроллере домена, необходимо убедиться, что все контроллеры всех доверенных доменов и доменов-доверителей могут шифровать или подписывать все данные безопасного канала. Это означает, что все такие контроллеры доменов должны работать под управлением Windows NT 4.0 с пакетом обновления 4 или более поздней версии. Если эта политика включена, автоматически включается политика «Член домена: цифровая подпись данных безопасного канала, когда это возможно».
Шифрование данных безопасного канала, когда это возможно
Обеспечивает шифрование всего трафика безопасного канала, если контроллер домена, с которым установлена связь, также может шифровать весь этот трафик. По умолчанию: включен. Следует обратить особое внимание на следующие особенности: не существует причин, по которым этот параметр следовало бы отключить. Это привело бы не только к нежелательному снижению уровня потенциальной конфиденциальности безопасного канала, но и уменьшило бы его пропускную способность, поскольку одновременное прохождение нескольких вызовов API-функций по этому безопасному каналу возможно только в случае, если его трафик подписан или зашифрован.
Цифровая подпись данных безопасного канала, когда это возможно
Обеспечивает подписывание всего трафика безопасного канала, если контроллер домена, с которым установлена связь, также может подписывать весь этот трафик. По умолчанию: включен. Следует обратить особое внимание на следующие особенности: не существует причин, по которым этот параметр следовало бы отключить. Это привело бы не только к нежелательному снижению уровня потенциальной целостности безопасного канала, но и уменьшило бы его пропускную способность, поскольку одновременное прохождение нескольких вызовов API-функций по этому безопасному каналу возможно только в случае, если его трафик подписан или зашифрован. Если политика «Член домена: шифрование данных безопасного канала», когда этот возможно включена, данный параметр также включается неявным образом.
Максимальный срок действия пароля учетных записей компьютера
Определяет максимальный допустимый срок службы пароля учетной записи компьютера. По умолчанию: 30 дней. Следует обратить внимание на то, что этот параметр применяется к компьютерам Windows 2000, но он недоступен при использовании средств диспетчера настройки безопасности на этих компьютерах.
Т ребует стойкого ключа сеанса (W indows 2000 или выше)
Определяет, можно ли установить безопасный канал связи с контроллером домена, который не способен шифровать трафик этого канала с помощью стойкого (128-разрядного) ключа.
Если этот параметр включен, то безопасный канал нельзя будет устанавливать ни с одним контроллером домена, не обеспечивающим шифрование всех данных канала стойким ключом. Если параметр отключен, допускаются 64-разрядные ключи сеансов. По умолчанию: отключен. При использовании этой политики обязательно следует учесть следующие обстоятельства: прежде чем включать этот параметр на рядовом сервере или рабочей станции домена, необходимо убедиться, что все контроллеры этого домена могут шифровать данные безопасного канала с использованием стойкого (128-разрядного) ключа. Это означает, что все такие контроллеры домена должны работать под управлением Windows 2000. Прежде чем включать этот параметр на контроллере домена, необходимо убедиться, что все контроллеры всех доверенных доменов и доменов-доверителей могут шифровать данные безопасного канала с использованием стойкого (128-разрядного) ключа. Это означает, что все такие контроллеры доменов должны работать под управлением Windows 2000.
Отключить изменение пароля учетных записей компьютера
Определяет, должен ли член домена периодически менять свой пароль учетной записи компьютера. Если этот параметр включен, член домена не будет пытаться сменить пароль учетной записи компьютера. Если параметр отключен, член домена будет пытаться сменить пароль учетной записи компьютера в соответствии с параметром «Член домена: максимальный срок действия пароля учетных записей компьютера», который по умолчанию задает смену пароля каждые 30 дней. По умолчанию: отключен.
• Данный параметр включать не следует. Пароли учетных записей компьютеров используются для установки безопасного канала связи между рядовыми членами и контроллерами домена, а также между контроллерами одного домена. По такому каналу передаются особо важные данные, необходимые для выполнения авторизации и проверки подлинности.
• Этот параметр не следует применять в конфигурациях с двумя операционными системами, использующими одну и ту же учетную запись компьютера. Если требуется обеспечить при загрузке возможность выбора из двух систем, присоединенных к одному домену, присвойте им разные имена компьютеров.
3.18. Интерактивный вход в систему как средство политики безопасности
Интерактивный вход в систему: Не отображать последнего имени пользователя Определяет, отображается ли на экране входа в Windows имя последнего пользователя, вошедшего на данный компьютер. Если эта политика включена, то имя последнего пользователя, успешно вошедшего в систему, не отображается в диалоговом окне Вход в Windows. Если политика отключена, имя последнего пользователя должно отображаться на экране. По умолчанию: отключен.
Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL Определяет, должен ли пользователь, прежде чем войти в систему, нажать клавиши CTRL+ALT+DEL. Если эта политика включена на компьютере, пользователь не должен для входа в систему нажимать CTRL+ALT+DEL. В таком случае компьютер становится уязвимым для атак, основанных на перехвате паролей пользователей. Если потребовать нажатия клавиш CTRL+ALT+DEL перед входом в систему, то пользователям будет гарантирован надежно защищенный канал передачи паролей. Если эта политика отключена, то любой пользователь должен будет перед входом в Windows нажимать CTRL+ALT+DEL (если только он не входит в систему с помощью смарт-карты). По умолчанию: отключен на рабочих станциях и серверах домена; включен на автономных рабочих станциях.
Интерактивный вход в систему: текст сообщения для пользователей при входе в систему
Задает текстовое сообщение, показываемое пользователям при входе в систему. В такие сообщения часто включаются сведения юридического характера, например, предупреждения о последствиях неправомерного использования корпоративных данных или о возможном аудите выполняемых пользователями действий. По умолчанию: без сообщения. При использовании данной политики обязательно следует учитывать следующие особенности:
В Windows XP Professional включена поддержка настройки заставок для входа в систему, которые могут содержать свыше 512 символов, в том числе комбинации «возврат каретки/перевод строки». Однако клиенты Windows 2000 не могут интерпретировать и отображать текст сообщений, создаваемых на компьютерах Windows XP Professional. Необходимо воспользоваться компьютером Windows 2000 и создать политику сообщения при входе в систему, применяемую к компьютерам Windows 2000. Если такая политика была создана на компьютере Windows XP Professional и затем обнаружилось, что эти сообщения неправильно отображаются на компьютерах Windows 2000, следует выполнить следующие действия: отменить определение параметра; заново определить параметр на компьютере Windows 2000.
Если просто изменить на компьютере Windows 2000 политику сообщения для входа, определенную в Windows XP Professional, это не даст желаемого результата. Сначала нужно отменить определение параметра.
Интерактивный вход в систему: заголовок сообщения для пользователей при входе в систему
Разрешает задать заголовок, который должен будет отображаться в титульной строке окна, содержащего сообщение политики «Интерактивный вход в систему: текст сообщения для пользователей при входе в систему». По умолчанию: без сообщения.
Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена)
Определяет, сколько раз пользователь может войти в домен Windows, используя учетные данные из кэша. Сведения из учетных записей домена, используемые при входе в систему, могут помещаться в локальный кэш, чтобы в случае, если при очередной попытке входа связаться с контроллером домена не удастся, пользователь все равно мог бы войти в систему.
Данный параметр задает число уникальных пользователей, для которых сведения, необходимые для входа в систему, заносятся в локальный кэш.