Best Practices für Passwortrichtlinien für starke Sicherheit in AD
So legen Sie die Kennwortrichtlinie in Active Directory fest
Eine starke Kennwortrichtlinie ist die erste Verteidigungslinie eines Unternehmens gegen Eindringlinge. In Microsoft Active Directory können Sie Gruppenrichtlinien verwenden, um viele verschiedene Kennwortanforderungen wie Komplexität, Länge und Lebensdauer zu erzwingen und zu steuern.,
Die standardmäßige Domänenpasswortrichtlinie befindet sich im folgenden Gruppenrichtlinienobjekt (GPO): Computerkonfiguration -> Richtlinien -> Windows-Einstellungen- >Sicherheitseinstellungen- > Kontorichtlinien-> Kennwortrichtlinie
>
NIST Password guidelines
Das National Institute of Standards and Technology (NIST) bietet Richtlinien zur digitalen Identität für eine solide Passwortrichtlinie, einschließlich der folgenden Empfehlungen:
Passwortkomplexität und-länge
Viele Organisationen verlangen, dass Passwörter eine Vielzahl von Symbolen enthalten, z. B. mindestens eine Zahl in Groß-und Kleinbuchstaben sowie ein oder mehrere Sonderzeichen. Der Vorteil dieser Regeln ist jedoch bei weitem nicht so bedeutend wie erwartet, und sie erschweren es Benutzern, sich Kennwörter zu merken und einzugeben.,
Die Passwortlänge hingegen wurde als primärer Faktor für die Passwortstärke festgestellt. Dementsprechend empfiehlt NIST, Benutzer zu ermutigen, lange Passwörter oder Passphrasen mit bis zu 64 Zeichen (einschließlich Leerzeichen) zu wählen.
Passwortalter
Frühere NIST-Richtlinien empfahlen Benutzern, die Passwörter alle 90 Tage zu ändern (180 Tage für Passphrasen). Das Ändern von Passwörtern irritiert Benutzer jedoch zu oft und führt normalerweise dazu, dass sie alte Passwörter wiederverwenden oder einfache Muster verwenden, was Ihre Informationssicherheit beeinträchtigt., Während Strategien zur Verhinderung der Wiederverwendung von Passwörtern implementiert werden können, werden Benutzer immer noch kreative Wege finden.
Daher besteht die aktuelle NIST-Empfehlung zum maximalen Kennwortalter darin, Mitarbeiter aufzufordern, ein neues Kennwort nur bei potenzieller Bedrohung oder Verdacht auf unbefugten Zugriff zu erstellen.,
Passwörter besonders anfällig für Brute-Force-Angriffe
Es ist ratsam, die folgenden Passwörter zu entmutigen oder zu verbieten:
- Leicht zu erratende Passwörter, insbesondere der Ausdruck „Passwort“
- Eine Zeichenfolge von Zahlen oder Buchstaben wie „1234“ oder „abcd“
- Eine Zeichenfolge, die nacheinander auf der Tastatur angezeigt wird, wie „@#$%^&“
- Der Vorname eines Benutzers, der Name eines Ehepartners oder Partners oder andere Namen
- Die Telefonnummer oder das Nummernschild des Benutzers, das Geburtsdatum einer Person oder andere Informationen, die leicht über einen Benutzer abgerufen werden können (z.,(Adresse oder alma mater)
- Das gleiche Zeichen , das mehrmals eingegeben wurde wie „zzzzzz“
- Wörter, die in einem Wörterbuch zu finden sind
- Standard-oder vorgeschlagene Passwörter, auch wenn sie stark erscheinen
- Benutzernamen oder Hostnamen, die als Passwörter verwendet werden
- Einer der oben genannten Passwörter folgte oder ging eine einzelne Ziffer voraus
- Passwörter, die Muster bilden, indem eine Zahl oder ein Zeichen am Anfang oder Ende erhöht wird
Best Practices für Kennwortrichtlinien
Administratoren sollten sicher sein:
- Konfigurieren Sie eine minimale Kennwortlänge.,
- Erzwingen Sie die Kennwortverlaufsrichtlinie mit mindestens 10 zuvor gespeicherten Kennwörtern.
- Legen Sie ein Mindestalter für das Passwort von 3 Tagen fest.
- Aktivieren Sie die Einstellung, für die Kennwörter erforderlich sind, um Komplexitätsanforderungen zu erfüllen. Diese Einstellung kann für Passphrasen deaktiviert werden, wird jedoch nicht empfohlen.
- Lokale Admin-Passwörter alle 180 Tage zurücksetzen. Dies kann mit dem kostenlosen Netwrix Bulk Password Reset Tool erfolgen.
- Setzen Sie die Kennwörter des Dienstkontos während der Wartung einmal im Jahr zurück.
- Verwenden Sie für Domänenadministrationskonten starke Passphrasen mit mindestens 15 Zeichen.,
- Verfolgen Sie alle Kennwortänderungen mit einer Lösung wie Netwrix Auditor für Active Directory.
- Erstellen Sie E-Mail-Benachrichtigungen für den Ablauf des Passworts. Dies kann mit dem kostenlosen Netwrix Password Expiration Notifier-Tool erfolgen.
- Anstatt die Standardeinstellungen in der Domänenrichtlinie zu bearbeiten, wird empfohlen, detaillierte Prüfungsrichtlinien zu erstellen und diese mit bestimmten Organisationseinheiten zu verknüpfen.
Zusätzliche Best Practices für Kennwort und Authentifizierung
- Unternehmensanwendungen müssen die Authentifizierung einzelner Benutzerkonten und nicht von Gruppen unterstützen.,
- Unternehmensanwendungen müssen gespeicherte und übertragene Kennwörter mit Verschlüsselung schützen, um sicherzustellen, dass Hacker sie nicht knacken.
- Benutzer (und Anwendungen) dürfen keine Passwörter im Klartext oder in leicht umkehrbarer Form speichern und dürfen keine Passwörter im Klartext über das Netzwerk übertragen.
- Verwenden Sie nach Möglichkeit die Multi-Faktor-Authentifizierung (MFA), um die Sicherheitsrisiken gestohlener und falsch verarbeiteter Passwörter zu verringern.
- Wenn Mitarbeiter die Organisation verlassen, ändern Sie die Kennwörter für Ihre Konten.,
Benutzerbildung
Informieren Sie Ihre Benutzer außerdem über Folgendes:
- Es ist wichtig, sich Ihr Passwort zu merken, ohne es irgendwo aufzuschreiben. Wenn Sie viele verschiedene Kennwörter haben, können Sie Kennwortverwaltungstools verwenden, aber Sie müssen einen starken Hauptschlüssel auswählen und sich daran erinnern.
- Beachten Sie, wie Passwörter über das Internet gesendet werden. URLs (Webadressen), die mit „https://“ und nicht mit „http://“ beginnen, sind für die Verwendung Ihres Passworts eher sicher.,
- Wenn Sie vermuten, dass jemand anderes Ihr aktuelles Passwort kennt, ändern Sie es sofort.
- Geben Sie Ihr Passwort nicht ein, während jemand zuschaut.
- Vermeiden Sie die Verwendung desselben Kennworts für mehrere Websites, die vertrauliche Informationen enthalten.