Passord Policy Beste Praksis for Sterk Sikkerhet i AD
Hvordan å angi passord policy i Active Directory
Et sterkt passord policy er noen organisasjonens første linje av forsvar mot inntrengere. I Microsoft Active Directory, kan du bruke gruppepolicy til å håndheve og kontrollere mange forskjellige krav til passord, slik ascomplexity, lengde og levetid.,
standard domene passord policy ligger i følgende gruppepolicyobjekt (GPO): Computer configuration -> Politikk -> Windows Innstillinger ->sikkerhetsinnstillinger -> Konto-Politikk – > Passord Policy
Starter fra Windows Server 2008-domenet funksjonelt nivå du kan angi finkornet retningslinjer for ulike organisatoriske enheter ved å bruke Active Directory-Administrative Center (DSAC) eller PowerShell.,
NIST passord retningslinjene
The National Institute of Standards and Technology (NIST) har Digital Identitet Retningslinjer for en lyd passord for personvern, inkludert følgende anbefalinger:
Passord kompleksitet og lengde
Mange organisasjoner krever passord for å inkludere en rekke symboler, som for eksempel minst ett tall, både store og små bokstaver, og en eller flere spesielle tegn. Men, fordelen med disse reglene er ikke på langt nær så viktig som forventet, og de gjør passord mye vanskeligere å huske for brukerne og type.,
Passord lengde, på den andre siden, har blitt funnet å være en primær faktor i passord styrke. Følgelig, NIST anbefaler å oppfordre brukere til å velge lange passord eller passfraser av opptil 64 tegn (inkludert mellomrom).
Passord alder
Tidligere NIST retningslinjer for anbefalt å tvinge brukere til å endre passord hver 90 dager (180 dager for passfraser). Imidlertid, endre passord for ofte irriterer brukerne og vanligvis gjør dem bruke gamle passord eller bruke enkle mønstre, som gjør vondt deres sikkerhet holdning., Mens strategier for å hindre passord gjenbruk kan implementeres, vil brukerne fortsatt finne kreative måter rundt dem.
Derfor, gjeldende NIST anbefaling på maksimal passord alder er å be ansatte om å opprette et nytt passord i tilfelle av en potensiell trussel eller mistanke om uautorisert tilgang.,
Passord spesielt utsatt for brute force angrep
Det er lurt å bruke hindre eller begrense følgende passord:
- Lett å gjette, spesielt uttrykket «passord»
- En streng av tall eller bokstaver som «1234» eller «abcd»
- En streng med tegn som vises etter hverandre på tastaturet, for eksempel «@#$%^&»
- En brukers fornavn, navn på ektefelle, eller partner, eller andre navn
- brukerens telefonnummer eller lisens plate nummer, noen fødselsdato eller annen informasjon som er lett skaffes om en bruker (f.eks.,, adresse eller alma mater)
- samme tegn skrevet flere ganger som «zzzzzz»
- Ord som kan finnes i en ordbok
- Standard eller foreslått passord selv om de synes sterk
- Brukernavn eller vertsnavn brukes som passord
- Noen av de ovennevnte fulgt eller innledes med et ensifret
- Passord som danner mønster av stigende et tall eller tegn i begynnelsen eller slutten
Beste praksis for passord policy
Administratorer bør være sikker på å:
- Konfigurer et minimum av passord lengde.,
- Håndheve passord historie politikk med minst 10 tidligere passord husket.
- Angi et minimum passord alder av 3 dager.
- Aktiver innstillingen som krever passord for å møte kompleksitet og krav. Denne innstillingen kan være deaktivert for passfraser men det er ikke anbefalt.
- Tilbakestille lokale administrator passord hver 180 dager. Dette kan gjøres med gratis Netwrix Bulk Password Reset verktøyet.
- Reset service konto passord en gang i året under vedlikehold.
- For domain admin kontoer, bruke sterke passfraser med et minimum av 15 tegn.,
- Spore alle passord endringer ved hjelp av en løsning som Netwrix Revisor for Active Directory.
- Opprett e-post varsler for utløp av passord. Dette kan gjøres med gratis Netwrix Passordet Utløper Varsleren verktøyet.
- i Stedet for å redigere standard innstillinger i domenet politikk, det er anbefalt å opprette detaljert revisjon politikk og koble dem til bestemte organisatoriske enheter.
Ekstra passord og godkjenning beste praksis
- Enterprise-programmer må støtte godkjenning av individuelle brukerkontoer, ikke grupper.,
- Enterprise-programmer må beskytte lagret og overført passord med kryptering for å ensurehackers ikke knekke dem.
- Brukere (og programmer), må du ikke lagre passord i klartekst eller i noen lett reversibel form og må ikke sende passord i klartekst over nettverket.
- Bruke multi-faktor autentisering (MFA) når det er mulig å redusere sikkerhetsrisikoen av stjålet og feilhåndtert passord.
- Når ansatte forlate organisasjonen, endre passord for kontoene sine.,
brukeropplæring
I tillegg, sørg for å opplyse brukerne om følgende:
- Det er viktig å huske passordet uten å skrive det ned et sted, så velg et sterkt passord eller passfraser for at du vil lett å huske. Hvis du har mange forskjellige passord, kan du bruke passord management verktøy, men du må velge en sterk master-tasten og huske det.
- Være klar over hvordan passord er sendt over Internett. Nettadresser (web-adresser) som begynner med «https://» i stedet for «http://» er mer sannsynlig å være sikker for bruk av ditt passord.,
- Hvis du har mistanke om at noen andre vet det gjeldende passordet, kan du endre det umiddelbart.
- Trenger du ikke skrive inn passordet ditt mens noen ser på.
- Unngå å bruke samme passord på flere nettsteder som inneholder sensitiv informasjon.