cum să setați Politica de parolă în Active Directory

o politică de parolă puternică este prima linie de apărare a oricărei organizații împotriva intrușilor. În Microsoft Active Directory, puteți utiliza Politica de grup pentru a impune și controla multe cerințe diferite de parole, cum ar ficomplexitate, lungime și durată de viață.,

domeniul implicit parola politică se află în următorul obiect Politică de Grup (GPO): Computer configuration -> Politici -> Setări Windows ->Setări de Securitate -> Politici de Cont -> Parola Politică

Începând de domeniu Windows Server 2008 nivel funcțional, puteți defini cu granulație fină politici pentru diferite unități organizaționale folosind Active Directory Centru Administrativ (DSAC) sau PowerShell.,

NIST parola directoare

Institutul Național de Standarde și Tehnologie (NIST) oferă Identitate Digitală linii Directoare pentru o politică de parole, inclusiv următoarele recomandări:

Parola complexitatea și lungimea

Multe organizații necesită parole pentru a include o varietate de simboluri, cum ar fi cel puțin un număr, atât litere mari și mici, și unul sau mai multe caractere speciale. Cu toate acestea, beneficiul acestor reguli nu este aproape la fel de semnificativ cum era de așteptat și fac parolele mult mai greu pentru utilizatori să-și amintească și să tasteze.,

lungimea parolei, pe de altă parte, s-a dovedit a fi un factor principal în puterea parolei. În consecință, NIST recomandă încurajarea utilizatorilor să aleagă parole lungi sau fraze de acces de până la 64 de caractere (inclusiv spații).

vârsta parolei

orientările anterioare ale NIST au recomandat forțarea utilizatorilor să schimbe parolele la fiecare 90 de zile (180 de zile pentru passphrases). Cu toate acestea, schimbarea parolelor prea des irită utilizatorii și, de obicei, îi face să refolosească parolele vechi sau să utilizeze modele simple, ceea ce dăunează poziției dvs. de securitate a informațiilor., În timp ce strategiile de prevenire a reutilizării parolelor pot fi implementate, utilizatorii vor găsi în continuare modalități creative în jurul lor.prin urmare, recomandarea actuală NIST privind vârsta maximă a parolei este de a cere angajaților să creeze o parolă nouă numai în cazul unei amenințări potențiale sau a unui acces neautorizat suspectat.,

Parole deosebit de sensibile la atacuri brute force

este întelept pentru a utiliza descuraja sau de a interzice următoarele parole:

• Ușor de ghicit parolele, mai ales fraza „parolă”
• Un șir de numere sau litere cum ar fi „1234” sau „abcd”
• Un șir de caractere care apar succesiv pe tastatură, cum ar fi „@#$%^&”
• Un utilizator a dat numele, numele de soț sau partener, sau alte nume
• numărul De telefon al utilizatorului sau numărul de înmatriculare, oricine data de naștere, sau alte informații obținute cu ușurință despre un utilizator (de exemplu,,, adresa sau alma mater)
• același caracter tastat de mai multe ori ca „zzzzzz”
• Cuvinte care pot fi găsite într-un dicționar
• Implicit sau sugerat parole, chiar daca par puternic
• nume de Utilizator sau nume de gazdă folosite ca parole
• Oricare dintre cele de mai sus, urmată sau precedată de o singură cifră
• Parole care formează model prin incrementarea unui număr sau caractere la începutul sau la sfârșitul

cele mai Bune practici pentru politica de parole

Administratorii ar trebui să fie sigur de a:

• Configurați un minim de lungimea parolei.,
• aplicați politica privind istoricul parolelor cu cel puțin 10 parole anterioare memorate.
• setați o vârstă minimă a parolei de 3 zile.
• activați setarea care necesită parole pentru a îndeplini cerințele de complexitate. Această setare poate fi dezactivată pentru fraze de acces, dar nu este recomandată.
• resetați parolele administratorului local la fiecare 180 de zile. Acest lucru se poate face cu instrumentul gratuit de resetare a parolei Netwrix.
• resetați parolele contului de serviciu o dată pe an în timpul întreținerii.
• pentru conturile de administrator de domeniu, utilizați fraze de acces puternice cu minimum 15 caractere.,
• urmăriți toate modificările parolei utilizând o soluție, cum ar fi Netwrix Auditor pentru Active Directory.
• Creați notificări prin e-mail pentru expirarea parolei. Acest lucru se poate face cu instrumentul gratuit Netwrix Password Expiration Notifier.
• în loc să editați setările implicite din Politica de domeniu, este recomandat să creați Politici de audit granular și să le conectați la anumite unități organizaționale.

parole suplimentare și cele mai bune practici de autentificare

• aplicațiile de întreprindere trebuie să sprijine autentificarea conturilor de utilizator individuale, nu a grupurilor.,
• aplicațiile Enterprise trebuie să protejeze parolele stocate și transferate cu criptare pentru a se asigura că hackerii nu le vor sparge.utilizatorii (și aplicațiile) nu trebuie să stocheze parole în text clar sau într-o formă ușor reversibilă și nu trebuie să transmită parole în text clar prin rețea.
• utilizați autentificarea multi-factor (MFA) ori de câte ori este posibil pentru a atenua riscurile de securitate ale parolelor furate și manipulate greșit.
• când angajații părăsesc organizația, schimbați parolele pentru conturile lor.,în plus, asigurați-vă că educați utilizatorii despre următoarele:
  • este vital să vă amintiți parola fără să o scrieți undeva, deci alegeți o parolă puternică sau o frază de acces pe care o veți aminti cu ușurință. Dacă aveți o mulțime de parole diferite, puteți utiliza instrumente de gestionare a parolelor, dar trebuie să alegeți o cheie master puternică și să o amintiți.
  • fiți conștienți de modul în care parolele sunt trimise pe Internet. Adresele URL (adresele web) care încep cu „https://” în loc de „http://” sunt mai susceptibile de a fi sigure pentru utilizarea parolei.,
  • dacă bănuiți că altcineva vă cunoaște parola curentă, schimbați-o imediat.
  • nu introduce parola în timp ce oricine se uită.
  • evitați să utilizați aceeași parolă pentru mai multe site-uri web care conțin informații sensibile.