Articles

Lösenordspolicy bästa praxis för stark säkerhet i AD

så här ställer du in lösenordspolicy i Active Directory

en stark lösenordspolicy är en organisations första försvarslinje mot inkräktare. I Microsoft Active Directory kan du använda Grupprincip för att upprätthålla och kontrollera många olika lösenordskrav, till exempelkomplexitet, längd och livstid.,

standardprincipen för domänlösenord finns i följande grupprincipobjekt (GPO): Datorkonfiguration- > policyer- > Windows-Inställningar- >säkerhetsinställningar- > Kontopolicyer-> >

från och med Windows Server 2008 kan du definiera finkorniga policyer för olika organisationsenheter med hjälp av Active Directory administrative center (dsac) eller PowerShell.,

NIST password guidelines

National Institute of Standards and Technology (NIST) erbjuder riktlinjer för Digital identitet för en sund lösenordspolicy, inklusive följande rekommendationer:

lösenord komplexitet och längd

många organisationer kräver lösenord för att inkludera en mängd olika symboler, såsom minst ett nummer, både stora och små bokstäver, och en eller flera specialtecken. Fördelen med dessa regler är dock inte så stor som förväntat, och de gör lösenord mycket svårare för användare att komma ihåg och skriva.,

lösenord längd, å andra sidan, har visat sig vara en primär faktor i lösenordsstyrka. Följaktligen rekommenderar NIST att uppmuntra användare att välja långa lösenord eller lösenordsfraser med upp till 64 tecken (inklusive mellanslag).

Lösenordsålder

tidigare NIST-riktlinjer rekommenderas att tvinga användare att ändra lösenord var 90: e dag (180 dagar för lösenordsfraser). Men ändrar lösenord alltför ofta irriterar användarna och oftast gör dem återanvända gamla lösenord eller använda enkla mönster, vilket gör ont din informationssäkerhet hållning., Medan strategier för att förhindra återanvändning av lösenord kan genomföras, kommer användarna fortfarande hitta kreativa sätt runt dem.

därför är den nuvarande NIST-rekommendationen om maximal lösenordsålder att be anställda att skapa ett nytt lösenord endast vid ett potentiellt hot eller misstänkt obehörig åtkomst.,

lösenord som är särskilt känsliga för brute force-attacker

det är klokt att använda avskräcka eller förbjuda följande lösenord:

  • lätt att gissa lösenord, särskilt frasen ”lösenord”
  • en sträng med siffror eller bokstäver som ”1234” eller ”abcd”
  • en sträng tecken som visas sekventiellt på tangentbordet, som ”@#$%^&”
  • en användares förnamn, namnet på en make eller partner eller andra namn
  • användarens telefonnummer eller registreringsnummer, någons födelsedatum eller annan information som lätt kan erhållas om en användare (t. ex., eller alma mater)
  • samma tecken skrivs flera gånger som ”zzzzzz”
  • ord som kan hittas i en ordbok
  • standard eller föreslagna lösenord , även om de verkar starka
  • användarnamn eller värdnamn som används som lösenord
  • något av ovanstående följt eller föregås av en enda siffra
  • lösenord som bildar mönster genom att öka ett nummer eller tecken i början eller slutet

bästa praxis för lösenordspolicy

administratörer bör vara noga med att:

  • konfigurera en minsta lösenordslängd.,
  • genomdriva lösenord historia politik med minst 10 tidigare lösenord ihågkommen.
  • ange en lägsta lösenordsålder på 3 dagar.
  • aktivera inställningen som kräver lösenord för att uppfylla komplexitetskraven. Denna inställning kan inaktiveras för passfraser men det rekommenderas inte.
  • Återställ lokala administratörslösenord var 180: e dag. Detta kan göras med gratis Netwrix Bulk Lösenord Återställa funktionen.
  • Återställ lösenord för servicekonto en gång om året under underhåll.
  • för domänadminkonton, använd starka lösenordsfraser med minst 15 tecken.,
  • spåra alla lösenordsändringar med hjälp av en lösning som Netwrix Auditor för Active Directory.
  • skapa e-postmeddelanden för lösenordsutgång. Detta kan göras med det kostnadsfria Netwrix Password Expiration Notifier-verktyget.
  • I stället för att redigera standardinställningarna i domänpolicyn rekommenderas att du skapar detaljerade granskningspolicyer och länkar dem till specifika organisationsenheter.

ytterligare bästa praxis för lösenord och autentisering

  • Enterprise-program måste stödja autentisering av enskilda användarkonton, inte grupper.,
  • Enterprise-program måste skydda lagrade och överförda lösenord med kryptering för att ensurehackers inte kommer att knäcka dem.
  • användare (och program) får inte lagra lösenord i klartext eller i någon lätt reversibel form och får inte överföra lösenord i klartext över nätverket.
  • Använd multi-factor authentication (MFA) när det är möjligt för att mildra säkerhetsriskerna för stulna och felaktiga lösenord.
  • när anställda lämnar organisationen, Ändra lösenord för sina konton.,

användarutbildning

var noga med att utbilda dina användare om följande:

  • Det är viktigt att komma ihåg ditt lösenord utan att skriva ner det någonstans, så välj ett starkt lösenord eller lösenfras som du enkelt kommer ihåg. Om du har många olika lösenord kan du använda lösenordshanteringsverktyg, men du måste välja en stark huvudnyckel och komma ihåg den.
  • var medveten om hur lösenord skickas över Internet. Webbadresser (webbadresser) som börjar med ”https://” snarare än ”http://” är mer benägna att vara säkra för användning av ditt lösenord.,
  • Om du misstänker att någon annan kan känna till ditt nuvarande lösenord, ändra det omedelbart.
  • skriv inte in ditt lösenord medan någon tittar på.
  • Undvik att använda samma lösenord för flera webbplatser som innehåller känslig information.