Articles

Zásady hesel osvědčené postupy pro silné zabezpečení v AD


jak nastavit politiku hesel v Active Directory

silná politika hesel je první obrannou linií každé organizace proti vetřelcům. V aplikaci Microsoft Active Directory můžete použít Zásady skupiny k vynucení a kontrole mnoha různých požadavků na heslo, jako je napřkomplexnost, délka a životnost.,

výchozí domény zásady hesla je umístěn v následující objekt zásady Skupiny (GPO): Konfigurace počítače -> Politik -> Nastavení systému Windows ->Nastavení Zabezpečení -> Zásady Účtů -> zásady Hesla

Počínaje Windows Server 2008 úroveň funkčnosti domény, můžete definovat jemnozrnné politik pro různé organizační jednotky pomocí služby Active Directory Administrativní Centrum (DSAC) nebo PowerShell.,

NIST heslo pokyny

Národní Institut pro Standardy a Technologie (NIST) nabízí Digitální Identity Pokyny pro řádné zásady hesla, včetně následujících doporučení:

Heslo složitost a délka

Mnoho organizací vyžaduje hesla obsahují různé symboly, jako je alespoň jedno číslo, jak velká a malá písmena, a jeden nebo více speciálních znaků. Přínos těchto pravidel však není zdaleka tak významný, jak se očekávalo, a uživatelům ztěžují zapamatování a psaní hesel., na druhé straně bylo zjištěno, že

délka hesla je primárním faktorem síly hesla. NIST proto doporučuje povzbudit uživatele, aby si vybrali dlouhá hesla nebo přístupová hesla až 64 znaků (včetně mezer).

Password age

předchozí pokyny NIST doporučily nutit uživatele ke změně hesel každých 90 dní (180 dní pro přístupová hesla). Změna hesel však příliš často dráždí uživatele a obvykle je nutí znovu používat stará hesla nebo používat jednoduché vzory, což poškozuje vaše držení těla zabezpečení informací., Zatímco strategie, jak zabránit opětovnému použití hesla, mohou být implementovány, uživatelé stále najdou kreativní způsoby kolem nich.

současným doporučením NIST pro maximální věk hesla je proto požádat zaměstnance o vytvoření nového hesla pouze v případě potenciální hrozby nebo podezření na neoprávněný přístup.,

Hesla zvláště citlivé na útoky hrubou silou

je To moudré používat odradit nebo zakázat následující hesla:

  • Snadný-k-hádat hesla, zejména frázi „heslo“
  • řetězec čísel nebo písmen, jako je „1234“ nebo „abcd“
  • řetězec znaků se objevují postupně na klávesnici, jako „@#$%^&“
  • uživatel je uveden název, jméno manžela nebo partnera, nebo jiné názvy
  • telefonní číslo uživatele nebo číslo spz, někdo je datum narození, nebo jiné informace snadno získat jednoho uživatele (např.,, adresa nebo alma mater)
  • stejný charakter zadali několikrát jako „zzzzzz“
  • Slova, která lze nalézt ve slovníku
  • Výchozí nebo navrhl hesla, i když se zdá, silný
  • uživatelská Jména nebo názvy hostitelů použity jako hesla
  • Žádné z výše uvedených následuje nebo předchází číslici
  • Hesla, které tvoří vzor inkrementací číslo nebo znak na začátku nebo na konci

Nejlepší praktiky pro heslo politiky

Správci by měli být jisti, že:

  • Nastavit minimální délku hesla.,
  • vynucujte zásady historie hesel s nejméně 10 zapamatovanými předchozími hesly.
  • nastavte minimální věk hesla 3 dny.
  • povolte nastavení, které vyžaduje hesla pro splnění požadavků na složitost. Toto nastavení lze zakázat pro přístupová hesla, ale nedoporučuje se.
  • resetujte hesla místního správce každých 180 dní. To lze provést pomocí bezplatného nástroje Netwrix Bulk Password Reset.
  • resetujte hesla služebního účtu jednou ročně během údržby.
  • pro účty správce domény používejte silná přístupová hesla s minimálně 15 znaky.,
  • Sledujte všechny změny hesla pomocí řešení, jako je Netwrix Auditor Pro Active Directory.
  • Vytvořte e-mailová oznámení pro vypršení platnosti hesla. To lze provést pomocí bezplatného nástroje Netwrix Password expirace Notifier.
  • namísto úpravy výchozích nastavení v politice domény se doporučuje vytvořit podrobné zásady auditu a propojit je s konkrétními organizačními jednotkami.

Další hesla a ověřování osvědčených postupů

  • Podnikové aplikace musí podporovat ověřování jednotlivých uživatelských účtů, nikoli skupin.,
  • podnikové aplikace musí chránit uložená a přenesená hesla šifrováním, aby zajistily, že je nebudou praskat.
  • uživatelé (a aplikace) nesmí ukládat hesla v čistém textu nebo v jakékoli snadno reverzibilní podobě a nesmí přenášet hesla v čistém textu po síti.
  • použijte multi-factor authentication (MFA), kdykoli je to možné, ke zmírnění bezpečnostních rizik odcizených a chybných hesel.
  • když zaměstnanci opustí organizaci, změňte hesla pro své účty.,

Uživatelský vzdělání

kromě toho, ujistěte se, že vzdělávat své uživatele o následující:

  • je důležité, aby vzpomenout na své heslo, aniž by to psal někde dole, tak si vyberte silné heslo nebo přístupové heslo, které si snadno vzpomenout. Pokud máte spoustu různých hesel, můžete použít nástroje pro správu hesel, ale musíte si vybrat silný hlavní klíč a zapamatovat si ho.
  • uvědomte si, jak jsou hesla odesílána přes Internet. Adresy URL (webové adresy), které začínají „https://“ spíše než „http://“, jsou s větší pravděpodobností bezpečné pro použití vašeho hesla.,
  • Pokud máte podezření, že někdo jiný může znát Vaše aktuální heslo, okamžitě jej změňte.
  • nepište heslo, zatímco někdo sleduje.
  • nepoužívejte stejné heslo pro více webů obsahujících citlivé informace.