jak ustawić politykę haseł w Active Directory

silna Polityka haseł jest pierwszą linią obrony każdej organizacji przed intruzami. W usłudze Microsoft Active Directory można używać zasad grupy do wymuszania i kontrolowania wielu różnych wymagań dotyczących haseł, takich jak złożoność, długość i czas życia.,

domyślna Polityka haseł domeny znajduje się w następującym obiekcie zasad grupy (GPO): Konfiguracja komputera -> Zasady -> Ustawienia systemu Windows ->ustawienia zabezpieczeń -> div>zasady dotyczące kont -> zasady dotyczące haseł

zaczynając od poziomu funkcjonalności domeny Windows Server 2008, możesz definiować zasady drobnoziarniste dla różnych jednostek organizacyjnych za pomocą Centrum administracyjnego Active Directory (dsac) lub PowerShell.,

NIST password guidelines

National Institute of Standards and Technology (NIST) oferuje wytyczne dotyczące tożsamości cyfrowej dla zasad prawidłowej polityki haseł, w tym następujące zalecenia:

złożoność i długość hasła

wiele organizacji wymaga, aby hasła zawierały różne symbole, takie jak co najmniej jeden numer, zarówno duże, jak i małe litery oraz jeden lub więcej znaków specjalnych. Jednak korzyści płynące z tych zasad nie są tak znaczące, jak oczekiwano, i znacznie utrudniają użytkownikom zapamiętanie i wpisanie haseł.,

długość hasła, z drugiej strony, została uznana za główny czynnik siły hasła. W związku z tym NIST zaleca zachęcanie użytkowników do wybierania długich haseł lub haseł o długości do 64 znaków (ze spacjami).

wiek haseł

poprzednie wytyczne NIST zalecały zmuszanie użytkowników do zmiany haseł co 90 dni (180 dni dla haseł). Jednak zmiana haseł zbyt często irytuje użytkowników i zwykle sprawia, że ponownie używają starych haseł lub używają prostych wzorców, co szkodzi postawie bezpieczeństwa informacji., Chociaż można wdrożyć strategie zapobiegania ponownemu użyciu hasła, użytkownicy nadal znajdą kreatywne sposoby na ich obejście.

dlatego obecne zalecenie NIST dotyczące maksymalnego wieku hasła polega na proszeniu pracowników o utworzenie nowego hasła tylko w przypadku potencjalnego zagrożenia lub podejrzenia nieautoryzowanego dostępu.,

hasła szczególnie podatne na ataki brute force

mądrze jest używać zniechęcania lub zabraniania następujących haseł:

• łatwe do odgadnięcia hasła, zwłaszcza frazy „password”
• ciąg cyfr lub liter, takich jak „1234” lub „abcd”
• ciąg znaków pojawiających się kolejno na klawiaturze, takich jak „@#$%^&”
• imię i nazwisko użytkownika, nazwisko współmałżonka lub partnera lub inne nazwiska
• numer telefonu lub Numer Tablicy Rejestracyjnej użytkownika, Data urodzenia lub inne łatwo uzyskane informacje o użytkowniku (np.,
• ten sam znak wpisywany wielokrotnie , jak „zzzzzz”
• słowa, które można znaleźć w słowniku
• domyślne lub sugerowane hasła, nawet jeśli wydają się silne
• nazwy użytkowników lub nazwy hostów używane jako hasła
• którekolwiek z powyższych haseł następuje lub poprzedzone jedną cyfrą
• hasła, które tworzą wzór przez zwiększenie liczby lub znaku na początku lub końcu

najlepsze praktyki dotyczące polityki haseł

administratorzy powinni upewnić się, że:

• skonfiguruj minimalną długość hasła.,
• egzekwuj politykę historii haseł, pamiętając co najmniej 10 poprzednich haseł.
• Ustaw minimalny wiek hasła na 3 dni.
• włącz ustawienie, które wymaga, aby hasła spełniały wymagania dotyczące złożoności. To ustawienie można wyłączyć dla haseł, ale nie jest zalecane.
• Resetuj lokalne hasła administratora co 180 dni. Można to zrobić za pomocą bezpłatnego narzędzia NetWrix Bulk Password Reset.
• Resetuj hasła do konta serwisowego raz w roku podczas konserwacji.
• w przypadku kont administratora domeny używaj silnych haseł z minimum 15 znakami.,
• Śledź wszystkie zmiany haseł za pomocą rozwiązania takiego jak Netwrix Auditor for Active Directory.
• Utwórz powiadomienia e-mail o wygaśnięciu hasła. Można to zrobić za pomocą bezpłatnego narzędzia Netwrix Password Expiration Notifier.
• zamiast edytować domyślne ustawienia w zasadach domen, zaleca się tworzenie szczegółowych zasad audytu i łączenie ich z określonymi jednostkami organizacyjnymi.

dodatkowe najlepsze praktyki dotyczące haseł i uwierzytelniania

• Aplikacje korporacyjne muszą obsługiwać uwierzytelnianie pojedynczych kont użytkowników, a nie grup.,
• Aplikacje korporacyjne muszą chronić przechowywane i przesyłane hasła za pomocą szyfrowania, aby hakerzy nie złamali ich.
• Użytkownicy (i aplikacje) nie mogą przechowywać haseł w czystym tekście ani w żadnej łatwo odwracalnej formie i nie mogą przesyłać haseł w czystym tekście przez sieć.
• używaj uwierzytelniania wieloskładnikowego (MFA) w miarę możliwości, aby ograniczyć ryzyko związane z bezpieczeństwem skradzionych i niewłaściwych haseł.
• kiedy pracownicy opuszczają organizację, Zmień hasła do swoich kont.,

Edukacja użytkowników

ponadto pamiętaj, aby edukować użytkowników na temat:

• ważne jest, aby zapamiętać swoje hasło bez zapisywania go gdzieś, więc wybierz silne hasło lub hasło, które łatwo zapamiętasz. Jeśli masz wiele różnych haseł, możesz użyć narzędzi do zarządzania hasłami, ale musisz wybrać silny klucz główny i zapamiętać go.
• pamiętaj, jak hasła są wysyłane przez Internet. Adresy URL (adresy internetowe) rozpoczynające się od” https:// „zamiast” http: / / ” są bardziej bezpieczne dla korzystania z hasła.,
• jeśli podejrzewasz, że ktoś inny może znać twoje obecne hasło, Zmień je natychmiast.
• nie wpisuj hasła podczas oglądania.
• Unikaj używania tego samego hasła dla wielu witryn zawierających poufne informacje.