Articles

Adgangskodepolitik bedste praksis for stærk sikkerhed i AD

Sådan indstilles adgangskodepolitik i Active Directory

en stærk adgangskodepolitik er enhver organisations første forsvarslinje mod indtrængende. I Microsoft Active Directory kan du bruge Gruppepolitik til at håndhæve og kontrollere mange forskellige adgangskodekrav, f.eks.,

standard domain password politik er beliggende i det følgende Group Policy object (GPO): Computerens konfiguration -> Politikker -> Windows-Indstillinger ->Sikkerheds-Indstillinger -> Konto Politikker -> Password-Politik

fra Windows Server 2008 domain funktionelle niveau, du kan definere finkornet politikker for forskellige organisatoriske enheder ved hjælp af Active Directory Administrative Center (DSAC) eller PowerShell.,

NIST retningslinjer for adgangskoder

National Institute of Standards and Technology (NIST) tilbyder Digital Identitet Retningslinjer for en god password-politik, herunder følgende anbefalinger:

Password kompleksitet og længde

Mange organisationer, der kræver adgangskoder til at omfatte en lang række symboler, såsom mindst et nummer, både store og små bogstaver, og et eller flere specialtegn. Fordelen ved disse regler er imidlertid ikke så stor som forventet, og de gør adgangskoder meget sværere for brugerne at huske og skrive.,

Adgangskodelængde har på den anden side vist sig at være en primær faktor i adgangskodestyrken. Derfor anbefaler NIST at tilskynde brugere til at vælge lange adgangskoder eller adgangskoder på op til 64 tegn (inklusive mellemrum).

Adgangskodealder

tidligere NIST-retningslinjer anbefales at tvinge brugere til at ændre adgangskoder hver 90 Dage (180 dage for adgangskode). Ændring af adgangskoder for ofte irriterer brugere og får dem normalt til at genbruge gamle adgangskoder eller bruge enkle mønstre, hvilket gør ondt i din informationssikkerhedsstilling., Mens strategier for at forhindre genbrug af adgangskode kan implementeres, vil brugerne stadig finde kreative måder omkring dem.

derfor er den nuværende NIST-anbefaling om maksimal adgangskodealder at bede medarbejderne om kun at oprette en ny adgangskode i tilfælde af en potentiel trussel eller mistanke om uautoriseret adgang.,

Adgangskoder særligt modtagelige for brute force-angreb

Det er klogt at bruge afskrække eller forbyde følgende adgangskoder:

  • Nemme-at-gætte adgangskoder, især sætningen “password”
  • En streng af tal eller bogstaver som “1234” eller “abcd”
  • En streng af tegn, der vises efter hinanden på tastaturet, f.eks.” @#$%^&”
  • En bruger har givet navn, navnet på en ægtefælle eller samlever, eller andre navne
  • brugerens telefonnummer eller nummerplader, nogens fødselsdato, eller andre oplysninger, der let kan opnås om en bruger (fx,, adresse eller alma mater)
  • samme karakter har skrevet flere gange som “zzzzzz”
  • Ord, der kan findes i en ordbog
  • Standard eller foreslået adgangskoder, selv hvis de synes stærk
  • Brugernavne eller host-navne, der anvendes som adgangskoder
  • Nogen af de ovennævnte, der blev fulgt på eller forud for en enkelt ciffer
  • Adgangskoder, der danner mønster ved forøgelse af et tal eller tegn på begyndelsen eller slutningen

Bedste praksis for password-politik

Administratorer bør være sikker på at:

  • Konfigurer en mindste password længde.,
  • håndhæve pass .ord historie politik med mindst 10 tidligere adgangskoder husket.
  • Indstil en minimum pass .ord alder på 3 dage.
  • Aktiv ther den indstilling, der kræver adgangskoder for at opfylde kravene til kompleksitet. Denne indstilling kan deaktiveres for adgangssætninger, men det anbefales ikke.
  • Nulstil lokale admin adgangskoder hver 180 dage. Dette kan gøres med det gratis Net .ri.Bulk Pass .ord Reset værktøj.
  • nulstil adgangskoder til servicekonto en gang om året under vedligeholdelse.
  • for domæneadministratorkonti skal du bruge stærke adgangssætninger med mindst 15 tegn.,
  • Spor alle adgangskodeændringer ved hjælp af en løsning som Net .ri.Auditor til Active Directory.
  • Opret e-mail-meddelelser for udløb af adgangskode. Dette kan gøres med det gratis Net .ri.Pass .ord e Expirationpirment Notifier-værktøj.
  • i stedet for at redigere standardindstillingerne i domænepolitik anbefales det at oprette granulære revisionspolitikker og knytte dem til specifikke organisatoriske enheder.

bedste praksis for yderligere adgangskode og godkendelse

  • virksomhedsapplikationer skal understøtte godkendelse af individuelle brugerkonti, ikke grupper.,
  • Enterprise-applikationer skal beskytte gemte og overførte adgangskoder med kryptering for at sikre, at hackere ikke knækker dem.
  • brugere (og applikationer) må ikke gemme adgangskoder i klar tekst eller i nogen let reversibel form og må ikke overføre adgangskoder i klar tekst over netværket.
  • Brug multi-factor authentication (MFA), når det er muligt, for at mindske sikkerhedsrisikoen ved stjålne og fejlhåndterede adgangskoder.
  • når medarbejdere forlader organisationen, skal du ændre adgangskoder til deres konti.,

brugeruddannelse

sørg desuden for at uddanne dine brugere om følgende:

  • det er vigtigt at huske din adgangskode uden at skrive den ned et eller andet sted, så vælg en stærk adgangskode eller adgangskode, som du nemt vil huske. Hvis du har mange forskellige adgangskoder, kan du bruge adgangskodehåndteringsværktøjer, men du skal vælge en stærk hovednøgle og huske den.
  • Vær opmærksom på, hvordan adgangskoder sendes over Internettet. Urebadresser (webebadresser), der begynder med “https://” snarere end “http://”, er mere tilbøjelige til at være sikre til brug af din adgangskode.,
  • hvis du har mistanke om, at en anden kender din nuværende adgangskode, skal du ændre den med det samme.
  • indtast ikke din adgangskode, mens nogen ser.
  • undgå at bruge den samme adgangskode til flere websebsteder, der indeholder følsomme oplysninger.