Articles

ADの強力なセキュリティのためのパスワードポリシーのベストプラクティス

by admin

Active Directoryでパスワードポリシーを設定する方法

強力なパスワードポリシーは、侵入者に対する組織の最初の防御ラインです。 Microsoft Active Directoryでは、グループポリシーを使用して、複雑さ、長さ、有効期間など、さまざまなパスワード要件を適用および制御できます。,コンピューター構成->ポリシー->Windows設定->セキュリティ設定->アカウントポリシー->パスワードポリシー

windows server2008ドメイン機能レベルから、active directory管理センター(dsac)またはpowershellを使用して、さまざまな組織単位に対してきめ細かいポリシーを定義できます。,

NISTパスワードガイドライン

国立標準技術研究所(NIST)は、次の推奨事項を含む健全なパスワードポリシーのためのデジタルIdガイドラインを提供しています。

パスワードの複雑さと長さ

多くの組織では、パスワードには、少なくとも一つの数字、大文字と小文字の両方、一つ以上の特殊文字などのさまざまな記号を含める必要があります。 ただし、これらのルールの利点は予想されるほど重要ではなく、ユーザーが覚えて入力するのがはるかに困難になります。,

一方、パスワードの長さは、パスワードの強さの主な要因であることが判明しています。 したがって、NISTはユーザーに最大64文字(スペースを含む)の長いパスワードまたはパスフレーズを選択することを推奨します。

パスワードの有効期間

以前のNISTガイドラインでは、ユーザーに90日ごとにパスワードを変更することを推奨していました(パスフレーズの場合は180日)。 しかし、パスワードの変更もしばしばユーザーの悩みの種と、通常として再利用の古いパスワードの使用や単純なパターンを傷つ情報セキュリティを調査しました。, パスワードの再利用を防ぐための戦略を実装することができますが、ユーザーはまだ彼らの周りに創造的

したがって、現在のNISTの推奨パスワードの有効期間の上限は、潜在的な脅威または不正アクセスの疑いがある場合にのみ、従業員に新しいパスワードの作成を依頼することです。,

特にブルートフォース攻撃の影響を受けやすいパスワード

次のパスワードを阻止または禁止するのが賢明です。

  • 推測しやすいパスワード、特に”パスワード”
  • “1234”や”abcd”のような数字または文字の文字列
  • “@#$%^&”
  • ユーザーの名前、配偶者またはパートナーの名前、またはその他の名前
  • ユーザーの電話番号またはナンバープレート番号、誰かの生年月日、またはユーザーについて容易, パスワードとして使用されるユーザー名またはホスト名
  • 上記のいずれかの後または前に一桁
  • 先頭または末尾に数字または文字をインクリメントすることによってパターンを形成するパスワード

パスワードポリシーのベストプラクティス

管理者は、次のことを確認する必要があります。

  • パスワードの最小長を設定します。,
  • 強パスワード履歴の政策と少なくとも10以前のパスワードを記憶するようにしました。
  • パスワードの最低期間を3日に設定します。
  • 複雑さの要件を満たすためにパスワードを必要とする設定を有効にします。 この設定はパスフレーズに対して無効にすることができますが、推奨されません。
  • 180日ごとにローカル管理者パスワードをリセットします。 これは、無料のNetwrix Bulk Password Resetツールで行うことができます。
  • 保守中に年に一度サービスアカウントのパスワードをリセットします。
  • ドメイン管理者アカウントの場合は、15文字以上の強力なパスフレーズを使用します。,
  • Netwrix Auditor for Active Directoryなどのソリューションを使用して、すべてのパスワード変更を追跡します。
  • パスワードの有効期限に関する電子メール通知を作成します。 これは、無料のNetwrixパスワード有効期限の通知ツールで行うことができます。
  • ドメインポリシーの既定の設定を編集する代わりに、きめ細かい監査ポリシーを作成し、特定の組織単位にリンクすることをお勧めします。

追加パスワード認証に最良の実践にあたって

  • 企業の用途をサポートする必要があ認証のユーザーが占います。,
  • エンタープライズアプリケーションは、保存および転送されたパスワードを暗号化で保護し、ハッカーがそれらをクラック
  • ユーザー(およびアプリケーション)は、パスワードをクリアテキストまたは簡単に元に戻す形式で保存してはならず、ネットワーク経由でパスワードをクリアテキ
  • パスワードの盗難や誤った取り扱いによるセキュリティリスクを軽減するために、可能な限り多要素認証(MFA)を使用します。
  • 従業員が組織を離れるときは、自分のアカウントのパスワードを変更します。,

ユーザー教育

また、次のことについてユーザーに教育してください。

  • パスワードをどこかに書き留めずに覚えておくことが重要ですので、覚えやすい強力なパスワードまたはパスフレーズを選択してください。 多くの異なるパスワードがある場合は、パスワード管理ツールを使用できますが、強力なマスターキーを選択して覚えておく必要があります。
  • パスワードがインターネット経由で送信される方法に注意してください。 “Http://”ではなく”https://”で始まるurl(webアドレス)は、パスワードを使用するために安全である可能性が高くなります。,
  • あなたの現在のパスワードを他の誰かが知っていると思われる場合は、すぐに変更してください。
  • 誰かが見ている間はパスワードを入力しないでください。
  • 機密情報を含む複数のwebサイトに対して同じパスワードを使用しないでください。