Articles

Wachtwoord beleid Best Practices voor sterke beveiliging in AD

wachtwoordbeleid instellen in Active Directory

een sterk wachtwoordbeleid is de eerste verdedigingslinie van elke organisatie tegen indringers. In Microsoft Active Directory kunt u Groepsbeleid gebruiken om veel verschillende wachtwoordvereisten af te dwingen en te beheren, zoals complexiteit, lengte en levensduur.,

Het standaard domein wachtwoordbeleid bevindt zich in het volgende groepsbeleidsobject: Computerconfiguratie -> beleid -> Windows-instellingen- >beveiligingsinstellingen- > Accountbeleid-> wachtwoordbeleid

vanaf het domeinfunctionaliteitsniveau Windows Server 2008 kunt u met behulp van het Beheerderscentrum voor Active Directory (dsac) of PowerShell fijnkorrelig beleid voor verschillende organisatie-eenheden definiëren.,

NIST password guidelines

Het National Institute of Standards and Technology (NIST) biedt digitale identiteit richtlijnen voor een geluid wachtwoord beleid, met inbegrip van de volgende aanbevelingen:

wachtwoord complexiteit en lengte

veel organisaties vereisen wachtwoorden om een verscheidenheid van symbolen, zoals ten minste één nummer, zowel hoofdletters en kleine letters, en een of meer speciale tekens. Echter, het voordeel van deze regels is niet zo belangrijk als verwacht, en ze maken wachtwoorden veel moeilijker voor gebruikers te onthouden en te typen.,

wachtwoordlengte is daarentegen een primaire factor in de wachtwoordsterkte. Dienovereenkomstig raadt NIST gebruikers aan om lange wachtwoorden of wachtzinnen van maximaal 64 tekens (inclusief spaties) te kiezen.

wachtwoord leeftijd

vorige NIST richtlijnen aanbevolen gebruikers te dwingen om wachtwoorden te veranderen elke 90 dagen (180 dagen voor wachtwoorden). Echter, het veranderen van wachtwoorden te vaak irriteert gebruikers en meestal maakt ze hergebruiken oude wachtwoorden of het gebruik van eenvoudige patronen, die pijn doet uw informatiebeveiliging houding., Terwijl strategieën om wachtwoordhergebruik te voorkomen kunnen worden geïmplementeerd, zullen gebruikers nog steeds creatieve manieren om hen heen vinden.

daarom is de huidige aanbeveling van NIST over de maximale wachtwoordleeftijd om werknemers te vragen een nieuw wachtwoord aan te maken alleen in het geval van een potentiële bedreiging of een vermoeden van onbevoegde toegang.,

Wachtwoorden in het bijzonder vatbaar om brute force aanvallen

Het is verstandig om het gebruik te ontmoedigen of verbieden van het in de volgende wachtwoorden:

  • Gemakkelijk te raden wachtwoorden, vooral de term “wachtwoord”
  • Een reeks van cijfers of letters, zoals “1234” of “abcd”
  • Een string van karakters achter elkaar op het toetsenbord, zoals’ @#$%^&”
  • de gebruiker opgegeven naam, de naam van een echtgenoot of partner, of andere namen
  • De gebruiker van het telefoonnummer of de nummerplaat, niemand geboorte datum, of andere informatie gemakkelijk te verkrijgen over een gebruiker (bijv.,
  • hetzelfde teken dat meerdere keren is getypt, zoals “zzzzzz”
  • woorden die kunnen worden gevonden in een woordenboek
  • standaard of voorgestelde wachtwoorden, zelfs als ze sterk lijken
  • Gebruikersnamen of hostnamen die als wachtwoorden worden gebruikt
  • een van de bovenstaande gevolgd of voorafgegaan door een enkel cijfer
  • wachtwoorden die een patroon vormen door een getal of teken aan het begin of einde

beste praktijken voor wachtwoordbeleid

beheerders moeten ervoor zorgen dat:

  • een minimale wachtwoordlengte configureert.,
  • afdwingen wachtwoordgeschiedenis met ten minste 10 eerdere wachtwoorden onthouden.
  • Stel een minimumwachtwoordleeftijd in van 3 dagen.
  • Schakel de instelling in die wachtwoorden vereist om aan complexiteitsvereisten te voldoen. Deze instelling kan worden uitgeschakeld voor wachtzinnen, maar het wordt niet aanbevolen.
  • Reset elke 180 dagen lokale beheerderswachtwoorden. Dit kan worden gedaan met de gratis Netwrix Bulk Password Reset tool.
  • Reset de wachtwoorden van de serviceaccount eenmaal per jaar tijdens onderhoud.
  • voor domain admin accounts, gebruik sterke wachtzinnen met een minimum van 15 tekens.,
  • volg alle wachtwoordwijzigingen met behulp van een oplossing zoals Netwrix Auditor voor Active Directory.
  • maak e-mailmeldingen voor het verlopen van wachtwoorden. Dit kan worden gedaan met de gratis NetWrix Password Expiration Notifier tool.
  • in plaats van de standaardinstellingen in domeinbeleid te bewerken, wordt aanbevolen om granulair auditbeleid te maken en deze te koppelen aan specifieke organisatie-eenheden.

extra password en authenticatie best practices

  • Ondernemingsapplicaties moeten authenticatie van individuele gebruikersaccounts ondersteunen, niet van groepen.,
  • Enterprise applicaties moeten opgeslagen en overgedragen wachtwoorden beschermen met encryptie om ervoor te zorgen dat de hackers ze niet kraken.
  • gebruikers (en toepassingen) mogen geen wachtwoorden opslaan in duidelijke tekst of in een gemakkelijk omkeerbare vorm en mogen geen wachtwoorden verzenden in duidelijke tekst over het netwerk.
  • gebruik zoveel mogelijk multi-factor authentication (MFA) om de veiligheidsrisico ‘ s van gestolen en verkeerd gebruikte wachtwoorden te beperken.
  • wanneer werknemers de organisatie verlaten, veranderen de wachtwoorden voor hun accounts.,

Gebruikersonderwijs

daarnaast moet u uw gebruikers informeren over het volgende:

  • Het is van vitaal belang om uw wachtwoord te onthouden zonder het ergens op te schrijven, dus kies een sterk wachtwoord of wachtwoordzin die u gemakkelijk zult onthouden. Als u veel verschillende wachtwoorden hebt, kunt u wachtwoordbeheertools gebruiken, maar u moet een sterke hoofdsleutel kiezen en deze onthouden.
  • let op hoe wachtwoorden via Internet worden verzonden. Url ‘ s (webadressen) die beginnen met “https://” in plaats van “http://” zijn eerder veilig voor het gebruik van uw wachtwoord.,
  • Als u vermoedt dat iemand anders uw huidige wachtwoord kent, verander het dan onmiddellijk.
  • Typ uw wachtwoord niet terwijl iemand kijkt.
  • vermijd het gebruik van hetzelfde wachtwoord voor meerdere websites die gevoelige informatie bevatten.