Articles

비밀번호 정책에 대한 모범 사례 강력한 보안에 광고

는 방법을 암호 정책 설정에 활성 Directory

강력한 암호정책은 어떤 조직의 첫 번째 라인에 대한 방어의 침입자. Microsoft Active Directory 에서 그룹 정책을 사용하여 다음과 같은 다양한 암호 요구 사항을 적용하고 제어 할 수 있습니다.복잡성,길이 및 수명.,

기본 도메인 비밀번호 정책에 위치한 다음 그룹 정책체(GPO): 컴퓨터 구성>정책->윈도우 설정->보안 설정->계정 정책->암호 정책

Windows Server2008 도메인 기능 수준 정의할 수 있습니다 세밀한 정책을 위한 다른 조직 단위를 사용하여 활성 Directory 관리 센터(DSAC)또는 PowerShell.,

NIST 비밀번호 가이드라인

국립표준기술연구소(NIST)에서 제공하는 디지털 아이덴티티 가이드라인에 따라 소리를 암호 정책는 다음을 포함하여 권고 사항:

비밀번호 복잡성과 길이

많은 조직이 필요로 암호를 포함한 다양한 기호와 같은 적어도 하나의 숫자,대문자와 소문자를 모두 및 하나 이상의 특별한 문자입니다. 그러나 이러한 규칙의 이점은 예상만큼 중요하지 않으며 사용자가 기억하고 입력하기가 훨씬 어려워집니다., 반면에 암호 길이는 암호 강도의 주요 요인으로 밝혀졌습니다. 따라서 NIST 는 사용자가 최대 64 자(공백 포함)의 긴 암호 또는 암호 구를 선택하도록 권장 할 것을 권장합니다.

암호

이전 NIST 지침을 권장 사용자를 강제로 암호를 변경하는 모든 90 일(180 일 동안을 위해 암호). 그러나,암호 변경이 너무 자주 사용자가 자극하고 일반적으로 그들에게 재사용 된 암호 또는 사용한 간단한 패턴,는 상처 당신의 정보보안 자세입니다., 암호 재사용을 방지하기위한 전략을 구현할 수 있지만 사용자는 여전히 주변에서 창의적인 방법을 찾을 수 있습니다.

따라서,현재 NIST 추천에 최대 암호를 묻는 직원을 새로 만들고 암호의 경우에 잠재적인 위협이 또는 의심되는 대한 무단 액세스입니다.,

암호 특히 민감을 무력 공격

그것의 현명한 사용을 억제하거나 금지 다음과 같은 암호:

  • 쉽게 암호를 추측,특히 문구”password”
  • 문자열의 숫자 또는 문자와 같은”1234″또는”abcd”
  • 나타나는 문자열을 순차적으로 키보드에서처럼,”@#$%^&”
  • 사용자의 이름,이름의 배우자 또는 파트너,또는 다른 이름
  • 사용자의 전화번호 또는 라이센스 번호판,누구의 생일,또는 다른 정보를 쉽게 얻을 수에 대 한 사용자(예:, 주소나 모교)
  • 동일한 문자 입력을 여러 번 다음과 같”zzzzzz”
  • 단어에서 발견 될 수있는 사전
  • 기본값 또는 제안된 암호 는 경우에도 그들은 강한 것
  • 사용자 이름 또는 호스트 이름으로 사용된 암호
  • 위의 모든 다음에 또는 선행에 의해 하나의 숫자
  • 암호를 형성하는 패턴으로 증가하는 숫자 또는 문자에서 시작 또는 끝

모범 사례에 대한 암호 정책

관리자는 다음을 수행해야 합니다.

  • 구성을 최소 암호의 길이입니다.,
  • 적어도 10 개의 이전 암호가 기억 된 상태에서 암호 기록 정책을 시행하십시오.
  • 3 일의 최소 암호 나이를 설정합니다.
  • 복잡성 요구 사항을 충족시키기 위해 암호가 필요한 설정을 활성화합니다. 이 설정은 패스 프레이즈의 경우 비활성화 할 수 있지만 권장하지는 않습니다.
  • 180 일마다 로컬 관리자 암호를 재설정하십시오. 이 작업은 무료 Netwrix 대량 암호 재설정 도구로 수행 할 수 있습니다.
  • 유지 보수 중에 1 년에 한 번 서비스 계정 암호를 재설정하십시오.
  • 도메인 관리자 계정의 경우 최소 15 자의 강력한 패스 프레이즈를 사용하십시오.,
  • Active Directory 용 Netwrix Auditor 와 같은 솔루션을 사용하여 모든 암호 변경을 추적하십시오.
  • 비밀번호 만료에 대한 이메일 알림을 만듭니다. 이 작업은 무료 Netwrix 암호 만료 알리미 도구로 수행 할 수 있습니다.
  • 대신의 편집하는 기본 설정을 도메인 정책을 만들 것을 권장 정책을 세부적인 감사 과정의 특정 조직 단위입니다.

추가 비밀번호와 인증의 모범 사례

  • 엔터프라이즈 어플리케이션을 지원해야 하는 인증의 개인 사용자 계정 그룹입니다.,
  • 엔터프라이즈 응용 프로그램은 암호화와 함께 저장 및 전송 된 암호를 보호해야합니다 ensurehackers 는 암호를 해독하지 않습니다.
  • 사용자는(그 응용 프로그램)해 암호를 저장하는 일반 텍스트 또는에서 쉽게 뒤집을 수 있는 양해 암호를 전송에서 명확한 텍스트가 네트워크를 통해.
  • 가능하면 다중 요소 인증(MFA)을 사용하여 도난 및 잘못 취급 된 암호의 보안 위험을 완화합니다.
  • 직원이 조직을 떠날 때 계정의 암호를 변경하십시오.,

사용자 교육

또한,야를 교육하는 사용자에 대해 다음과 같다:

  • 그것은 생명의 암호를 기억하지 않고 쓰고 그것이 어딘가에,그래서 강력한 암호를 선택하거나 암호는 당신이 쉽게 기억합니다. 다른 암호가 많으면 암호 관리 도구를 사용할 수 있지만 강력한 마스터 키를 선택하고 기억해야합니다.
  • 암호가 인터넷을 통해 전송되는 방법을 알고 있어야합니다. “Http://”가 아닌”https://”로 시작하는 url(웹 주소)은 비밀번호 사용에 안전 할 가능성이 높습니다.,
  • 다른 사람이 현재 비밀번호를 알 수 있다고 의심되면 즉시 변경하십시오.
  • 누군가가보고있는 동안 암호를 입력하지 마십시오.
  • 민감한 정보가 포함 된 여러 웹 사이트에 동일한 암호를 사용하지 마십시오.