Salasana Politiikan Parhaita Käytäntöjä Vahvan Turvallisuuden AD
Miten asettaa salasana politiikkaa Active Directory
vahvan salasanan politiikkaa on minkä tahansa organisaation on ensimmäinen puolustuslinja vastaan tunkeilijoita. Microsoft Active Directoryssa voit käyttää ryhmäkäytäntöä monien erilaisten salasanavaatimusten, kuten ascomplexityn, pituuden ja käyttöiän valvomiseksi ja hallitsemiseksi.,
oletuksena toimialueen salasana politiikkaa sijaitsee seuraavassa Group Policy object (GPO): Tietokoneen kokoonpano -> Käytännöt -> Windowsin Asetukset ->Turvallisuus-Asetukset -> Tili-Käytännöt – > Salasana Politiikkaa
alkaen Windows Server 2008 toimialueen toiminnallinen taso, voit määrittää hienojakoinen politiikkoja eri organisaatioyksiköiden käyttämällä Active Directory Administrative Center (DSAC) tai PowerShell.,
NIST salasana ohjeet
National Institute of Standards and Technology (NIST) tarjoaa Digitaalisen Identiteetin Ohjeet hyvän salasanan politiikkaa, mukaan lukien seuraavat suositukset:
Salasana monimutkaisuus ja pituus
Monet organisaatiot edellyttävät salasanoja sisältävät erilaisia symboleita, kuten ainakin yksi numero, sekä isoja ja pieniä kirjaimia, ja yksi tai useampi erityistä merkkiä. Näiden sääntöjen hyöty ei kuitenkaan ole läheskään niin merkittävä kuin odotettiin, ja ne tekevät salasanoista paljon vaikeampia käyttäjien muistaa ja kirjoittaa.,
Salasanan pituus, toisaalta, on todettu olevan ensisijainen tekijä salasanan vahvuus. NIST suosittelee näin ollen, että käyttäjiä kannustetaan valitsemaan pitkiä salasanoja tai salasanoja, joissa on enintään 64 merkkiä (välilyönnit mukaan lukien).
Password age
Edellisen NIST-ohjeita suositeltavaa pakottaa käyttäjiä vaihtamaan salasanat 90 päivän välein (180 päivää tunnuslauseet). Salasanojen vaihtaminen ärsyttää kuitenkin liian usein käyttäjiä ja saa heidät yleensä käyttämään vanhoja salasanoja uudelleen tai käyttämään yksinkertaisia kuvioita, mikä loukkaa tietoturva-asentoasi., Vaikka strategioita salasanojen uudelleenkäytön estämiseksi voidaan toteuttaa, käyttäjät löytävät silti luovia tapoja ympärilleen.
näin Ollen, nykyinen NIST suositus enintään salasanan ikä on kysyä työntekijöiden luoda uusi salasana vain siinä tapauksessa, että mahdollinen uhka tai epäillään luvattoman pääsyn.,
Salasanat erityisen altis brute force hyökkäyksiä
Se on viisasta käyttää estää tai kieltää seuraavat salasanat:
- Helppo arvata salasanoja, erityisesti lause ”salasana”
- merkkijono, numerot tai kirjaimet, kuten ”1234” tai ”abcd”
- merkkijono esiintyy peräkkäin näppäimistö, kuten ”@#$%^&”
- käyttäjä on antanut nimen, nimen puoliso tai kumppani, tai muut nimet
- käyttäjän puhelinnumero tai rekisteritunnus, kenenkään syntymäaika, tai muut tiedot helposti ja saada tietoa käyttäjän (esim.,, osoite tai alma mater)
- sama merkki kirjoitetaan useita kertoja, kuten ”zzzzzz”
- Sanoja, jotka löytyvät sanakirjasta
- Oletus tai ehdotti, salasanat, vaikka ne näyttävät vahva
- Käyttäjätunnuksia tai isäntä nimiä käytetään salasanat
- Jokin edellä mainituista seuraa tai edeltää yhden numeron
- Salasanat, jotka muodostavat kuvion, jonka monesko numero tai merkki alussa tai lopussa
Parhaat käytännöt salasana politiikka
Ylläpitäjät pitäisi olla varma:
- Määritä pienin salasanan pituus.,
- valvo salasanahistoriakäytäntöä, jossa muistetaan ainakin 10 aiempaa salasanaa.
- aseta salasanan vähimmäisikä 3 päivää.
- Ota käyttöön asetus, joka vaatii salasanoja kompleksisuusvaatimusten täyttämiseksi. Tämä asetus voidaan poistaa käytöstä passphrases, mutta sitä ei suositella.
- Nollaa paikalliset admin-salasanat 180 päivän välein. Tämä voidaan tehdä ilmainen Netwrix irtotavarana salasanan palautus työkalu.
- Nollaa palvelun salasanat kerran vuodessa huollon aikana.
- domain admin-tileissä käytetään vahvoja passphraaseja, joissa on vähintään 15 merkkiä.,
- Seuraa kaikki salasana muuttaa käyttämällä ratkaisu, kuten Netwrix Tilintarkastaja Active Directory.
- Luo sähköposti-ilmoituksia salasanan vanheneminen. Tämä voidaan tehdä ilmainen Netwrix salasana viimeinen Ilmoittaja työkalu.
- sen Sijaan muokkaamalla oletusasetuksia domain policy, se on suositeltavaa luoda rakeinen valvonnan periaatteet ja linkittää ne erityiset organisatoriset yksiköt.
Lisää salasana ja todennuksen parhaat toimintatavat
- yrityssovellusten tulee tukea tunnistautumista yksittäisiä käyttäjätilejä, ei ryhmiä.,
- Enterprise-sovellusten on suojattava salauksella tallennetut ja siirretyt salasanat, jotta turvamiehet eivät murra niitä.
- Käyttäjät (ja sovellukset) ei saa tallentaa salasanoja selväkielisenä tai jokin helposti palautuvia muodossa ja saa lähettää salasanoja selväkielisenä verkon yli.
- käytä mahdollisuuksien mukaan multi-factor authentication (MFA) – tunnistetta varastettujen ja huonosti käsiteltyjen salasanojen turvallisuusriskien lieventämiseksi.
- kun työntekijät lähtevät organisaatiosta, vaihda tilien salasanat.,
Käyttäjien koulutus
lisäksi, olla varma, kouluttaa käyttäjiä seuraavasti:
- on tärkeää muistaa salasana kirjoittamatta sitä muistiin, joten valitse vahva salasana tai tunnuslause, että voit helposti muistaa. Jos sinulla on paljon erilaisia salasanoja, voit käyttää salasananhallintatyökaluja, mutta sinun täytyy valita vahva pääavain ja muistaa se.
- ole tietoinen siitä, miten salasanat lähetetään Internetin kautta. Url (verkko-osoitteet), jotka alkavat ”https://” eikä ”http://”, ovat todennäköisemmin turvallisia käyttää salasanaa.,
- Jos epäilet, että joku muu saattaa tietää nykyisen salasanasi, vaihda se välittömästi.
- älä kirjoita salasanaasi kenenkään katsoessa.
- Vältä saman salasanan käyttämistä useilla arkaluontoisia tietoja sisältävillä verkkosivustoilla.