این سیاست ها که در هنگام گذاشتن رمز برای کاربر جدید یا تغییر رمز کاربران قدیمی در نظر گرفته می شوند، سیاست های رمز یا Password Policy گوییم. در جلسه پیش با ابزار Group Policy آشنا شدیم. پس با زدن دستور gpedit.msc وارد آن شوید و به آدرس زیر بروید :
Computer Configuration -> Windows Settings -> Security Settings
Account Policies -> Password Policy
حال گزینه های موجود را توضیح می دهیم :
Store Password using reversible encryption for all users in domain
این گزینه فقط در دومین کاربرد دارد و مرتبط با بحث های چگونگی کد کردن رمزهاست و نیاز به تغییر خاصی از سوی مدیران شبکه ندارد مگر در مواقعی که امنیت رمزهای کاربری بسیار مهم باشد. در حالت عادی این گزینه باید غیر فعال باشد تا امنیت رمزها در بالاترین حد ممکن باشد اما برخی برنامه ها و پروتکل ها نیاز دارند رمزها به این حالت ذخیره شده باشند. برای دوستان حرفه ای تر باید بگویم که استفاده از پروتکل CHAP در سرویس IAS و استفاده از حالت Digest در برنامه IIS مثال هایی از این برنامه ها و پروتکل ها هستند.

Password must meet complexity requirements
با فعال کردن این گزینه پیچیده بودن رمز را اجباری می کنیم و رمزهای ساده مثل 123 یا ali پذیرفته نخواهند شد. اما بیایید این موضوع را دقیق تر بررسی کنیم. یک رمز پیچیده از نظر ویندوز چه خضوصیاتی دارد.
- حداقل دارای 6 حرف است
- شامل تمام نام کاربری یا بخش زیادی از آن نیست. مثلا استفاده از رمز amir123 برای کاربری با نام amir پذیرفته نیست.
- حداقل باید دارای کاراکترهایی از سه تا از چهار دسته زیر باشد : حروف بزرگ A تا Z، حروف کوچک a تا z، اعداد 0 تا 9، کاراکترهای غیر آلفانومریک (یعنی غیر از عدد و حروف مانند !، &، # و ...) برای مثال رمز ABF4AC قابل قبول نیست چرا که کاراکترهای آن فقط از دسته حروف بزرگ و اعداد هستند. رمز a@aiout نیز پذیرفته نیست چرا که فقط از دسته غیر آلفانومریک ها و حروف کوچک در آن وجود دارد. اما رمزی مانند best2me@com پیچیده است چرا که از سه دسته بالا یعنی غیر آلفانومریک (@)، حروف کوچک (bestmecom) و اعداد (2) در آن دیده می شود.

نکته :
تعیین *****های رمزگذاری و تغییر ویژگی های آنها (مثلا بخواهیم پسورد پیچیده دارای حداقل 12 حرف باشد) به وسیله افراد بسیار حرفه ای بوده و با استفاده از کیت توسعه نرم افزاری مایکروسافت یا SDK امکان پذیر است. خوب به ادامه گزینه های مربوط به سیاست های رم بپردازیم :

Minimum Password Length
مشخص است که منظور حداقل طول رمز می باشد. اگر این عدد را صفر بگذاریم یعنی کاربر می تواند هیچ رمزی نداشته باشد و در واقع پسورد غیر اجباری می شود.

Maximum Password Age
حداکثر عمر رمز که در ویندوز به صورت پیش فرض 42 روز است. بعد از این مدت رمز کاربر منقضی یا Expire شده و وی باید حتما رمز خود را عوض کند.

Minimum Password Age
حداقل عمر رمز است. مثلا اگر 3 زور باشد، کاربر حداقل تا سه روز نمی تواند رمز خود را عوض کند. (البته افراد دارای دسترسی های مدیریتی (منظور Admin ها هستند) می توانند قبل از آن هم رمز را عوض کنند.

Enforce Password History
این گزینه مربوط به رمزهای قبلی و برای بالا بردن امنیت در شبکه است. این پارامتر مربوط به تعداد رمزهای قبلی است که نباید پذیرفته شوند. فرض کنید آن را برابر 5 بگذاریم. رمز ما ali است. بعد آن را تغییر می دهیم به ali2 و سپس به hasan و بعد به hossein (سه تغییر داده ایم) حال می خواهیم دوباره رمز را ali بگذاریم که با پیغام خطا روبرو می شویم. چرا که این رمز در میان 5 رمز قبلی تعیین شده برای این کاربر بوده است.

نکته :
یوزرها و رمز آنها در کامپیوترهای غیر شبکه و آنهایی که متصل به شبکه های WorkGroup هستند روی خود سیستمها و در یک فایل با نام SAM که بدون پسوند است و در شاخه System32\config وجود دارد نگه داشته می شوند. این فایل کد گذاری شده است. این عبارت مخفف واژه های Security Account Manager است.

بازیابی رمزهای عبور :
یک اتفاق رایج در کاربران فراموش کردن رمز عبور است. برای پیشگیری از بروز این مشکل و حل آن در صورت پیش آمدن چه کارهایی باید کرد.

در ساده ترین حالت، فرد admin وارد Computer Management می شود، روی یوزر مربوطه کلیک راست می کند و Set Password را می زند و رمز جدیدی را وارد می کند. اما در این حالت دو اتفاق ناخوشایند و نامطلوب می افتد. اول اینکه کاربر به فایل هایی که کدگذاری یا Encrypt کرده است دسترسی نخواهد داشت و دوم اینکه دیگر نمی تواند از فلاپی یا فلش Password Reset خود استفاده کند. شاید برخی دوستان بپرسند اصلا این فلاپی یا فلش (منظور همان کول دیسک ها یا حافظه های فلش usb از انواع مختلف است) چه هست ؟ چه کار می کند و چگونه ساخته می شود :

فرض کنید آدم فراموشکاری هستید و همیشه ممکن است رمز خود را فراموش کنید. اشکالی ندارد. یک فلاپی یا فلش usb خود را به سیستم متصل کنید، کلیدهای Ctrl+Alt+Del را زده و گزینه Change Password را انتخاب کنید. حال گزینه Backup را بزنید. رمز فعلی خود را وارد و فلاپی یا فلش خود را انتخاب کنید. می توانید مشاهده کنید که روی فلاپی یا فلش شما فایلی کدگذاری شده با نام userkey.psw ساخته شده است. حال فرض کنید که رمز خود را عوض کردید. فردا هم همینطور و اصلا ده ها بار رمز خود را تغییر دادید و ناگهان متوجه شدید که رمز آخرتان در ذهن شما نمانده است. نگران نباشید. فلش یا فلاپی ساخته شده را وارد کنید و یکبار رمز را اشتباه بزنید. پس از این اشتباه وارد کردن، ویندوز که متوجه وجود یک فلاپی یا فلش پسورد شده است می پرسد آیا دوست دارید رمز خود را reset کنید. با تایید این هشدار، اگر فایل روی فلاپی یا فلش مربوط به همان یوزری باشد که برای آن ساخته شده و در حال حاضر قضد ورود به سیستم را دارد، می توانید رمز را به راحتی عوض کنید.
تقریبا همه افراد دارای حافظه های فلش مختلف هستند و اگر هم نباشند فلاپی که وجود دارد و بسیار هم ارزان است. به مدیران شبکه ها توصیه می کنم کاربران خود را ملزم به ساخت فلاپی یا فلش ریست کردن پسورد نمایند. نکته بالا را یادمان نرود. اگر برای کاربری Set Password نماییم دیگر این فلاپی یا فلش برایش کاربردی نخواهد داشت و باید یکی دیگر بسازد.

روش دیگر برای برداشتن رمزهای فراموش شده و وارد شدن به یک سیستم استفاده از برنامه ها و CD هایی مانند Hiren است. با این برنامه می توانید به راحتی رمز Administrator یک سیستم را برداشته و عوض کنید.

نکته :
رمزها در ویندوز قابل بازیابی نیستند (مگر در شرایط بسیار خاص). منظور ما از تمام بحث های بالا آن است که پسورد یک کاربر را از بین ببریم و یک رمز جدید برای او بگذاریم نه اینکه متوجه بشویم رمز قبلی وی چه بوده است. همانطور که گفتم چنین امری تقریبا محال است خصوصا اگر رمز وی پیچیده باشد.