A jelszó házirend beállítása az Active Directory-ban

az erős jelszópolitika bármely szervezet első védelmi vonala a behatolók ellen. A Microsoft Active Directory-ban a Csoportházirend segítségével számos különböző jelszó-követelményt érvényesíthet és vezérelhet, mint például a komplexitás, a hossz és az élettartam.,

Az alapértelmezett domain jelszó házirend a következő helyen található csoportházirend-objektum (GPO): Számítógép konfiguráció -> Politikák -> Windows Beállításai ->Biztonsági Beállítások -> Fiók Politikák -> Password Policy

Kezdve a Windows Server 2008 tartományhoz funkcionális szinten, megadhatjuk, finomszemcsés politikák különböző szervezeti egységek segítségével az Active Directory Felügyeleti Központ (DSAC), vagy a PowerShell.,

NIST jelszó iránymutatás

A National Institute of Standards and Technology (NIST) kínál a Digitális Identitás Iránymutatás egy hang jelszó-politika, beleértve a következő ajánlásokat:

Jelszó összetettsége, illetve hossza

Sok szervezet szükség jelszavak közé tartozik a különböző szimbólumok, például legalább egy számát, mind a nagybetűs leveleket, valamint egy vagy több speciális karaktert. Ezeknek a szabályoknak az előnye azonban közel sem olyan jelentős, mint várták, és sokkal nehezebbé teszik a jelszavak használatát a felhasználók számára, hogy emlékezzenek és gépeljenek.,

A jelszó hossza viszont a jelszó erősségének elsődleges tényezője. Ennek megfelelően a NIST azt javasolja, hogy ösztönözzék a felhasználókat, hogy válasszanak hosszú jelszavakat vagy legfeljebb 64 karakterből álló jelszavakat (beleértve a szóközöket is).

Password age

a korábbi NIST irányelvek azt javasolták, hogy a felhasználókat 90 naponként (jelszavak esetén 180 nap) cseréljék. A jelszavak megváltoztatása azonban túl gyakran irritálja a felhasználókat, általában a régi jelszavak újrafelhasználását vagy egyszerű minták használatát teszi lehetővé, ami sérti az információbiztonsági testtartást., Míg a jelszó újrafelhasználásának megakadályozására irányuló stratégiák végrehajthatók, a felhasználók továbbra is kreatív módszereket találnak körülöttük.

ezért a maximális jelszókorszakra vonatkozó jelenlegi NIST ajánlás arra kéri az alkalmazottakat, hogy csak potenciális fenyegetés vagy jogosulatlan hozzáférés gyanúja esetén hozzanak létre új jelszót.,

a Jelszavakat, különösen érzékenyek a brute force támadások

Ez bölcs dolog, hogy gátolják vagy megtilthatja a következő jelszó:

• Könnyen kitalálható jelszavakat, különösen a kifejezést, hogy “jelszó”
• Egy húr a számokat vagy betűket, mint a “1234” vagy “abcd”
• karakterlánc jelenik meg egymás után a billentyűzet, mint a “@#$%^&”
• A felhasználó által megadott név, a név, a házastárs vagy partner, vagy egyéb nevek
• A felhasználó telefonszáma, vagy a rendszámot, bárki születési dátuma, vagy egyéb információ könnyen szerzett arról, hogy a felhasználó (pl., a cím-vagy alma mater)
• ugyanazt A karaktert gépelt többször, mint a “zzzzzz”
• a Szavakat, amelyek megtalálhatók a szótárban
• Alapértelmezett vagy azt javasolta, jelszavakat, még akkor is, ha úgy tűnik, erős
• a Felhasználónevet vagy a fogadó nevét használják jelszó
• a fenti követte, vagy előzi meg egyetlen számjegy
• a Jelszavakat, hogy a forma a minta által a felszámolás egy szám vagy karakter elején vagy végén

a Legjobb gyakorlatok, a jelszavak politika

a Rendszergazdák kell arról, hogy:

• Beállítás a jelszó minimális hosszát.,
• érvényesítse a jelszóelőzmény-házirendet legalább 10 korábbi jelszóval.
• állítson be legalább 3 napos jelszót.
• engedélyezze azt a beállítást, amely előírja, hogy a jelszavak megfeleljenek a komplexitási követelményeknek. Ez a Beállítás letiltható jelmondatok esetén, de nem ajánlott.
• állítsa vissza a helyi rendszergazdai jelszavakat 180 naponta. Ezt meg lehet tenni az ingyenes Netwrix tömeges jelszó-visszaállító eszközzel.
• a szervizfiók jelszavainak visszaállítása évente egyszer a karbantartás során.
• domain admin fiókok esetén használjon erős jelszavakat, legalább 15 karakterrel.,
• Kövesse nyomon az összes jelszóváltozást egy olyan megoldás segítségével, mint például a Netwrix Auditor az Active Directory-hoz.
• hozzon létre e-mail értesítéseket a jelszó lejáratához. Ezt meg lehet tenni az ingyenes Netwrix jelszó lejárati értesítő eszközzel.
• a domain policy alapértelmezett beállításainak szerkesztése helyett ajánlatos szemcsés audit házirendeket létrehozni, majd azokat egyes szervezeti egységekhez kapcsolni.

további jelszó és hitelesítési bevált gyakorlatok

• A vállalati alkalmazásoknak támogatniuk kell az egyes felhasználói fiókok hitelesítését, nem csoportokat.,
• Enterprise applications must protect stored and transfer passwords with encryption to ensurehackers won ‘ t crack them.a
• felhasználók (és alkalmazások) nem tárolhatnak jelszavakat tiszta szövegben vagy könnyen visszafordítható formában, és nem adhatnak jelszavakat tiszta szövegben a hálózaton keresztül.
• használjon többtényezős hitelesítést (MFA), amikor csak lehetséges, hogy csökkentse az ellopott és rosszul kezelt jelszavak biztonsági kockázatát.
• amikor az alkalmazottak elhagyják a szervezetet, módosítsák fiókjaik jelszavait.,

felhasználói oktatás

ezenkívül győződjön meg róla, hogy oktatja a felhasználókat a következőkről:

• fontos, hogy emlékezzen a jelszavára anélkül, hogy valahol leírná, ezért válasszon egy erős jelszót vagy jelszót, amelyet könnyen megjegyezhet. Ha sok különböző jelszava van, használhatja a jelszókezelő eszközöket, de ki kell választania egy erős mester kulcsot, és emlékeznie kell rá.
• vegye figyelembe, hogy a jelszavak hogyan kerülnek elküldésre az Interneten keresztül. Az URL-ek (webcímek), amelyek a “https://” helyett a “http://” – vel kezdődnek, nagyobb valószínűséggel biztonságosak a jelszó használatához.,
• ha gyanítja, hogy valaki más ismeri az aktuális jelszavát, azonnal változtassa meg.
• ne írja be a jelszavát, amíg valaki figyel.
• kerülje ugyanazt a jelszót több érzékeny információt tartalmazó webhely esetében.