Jak nastavit a spravovat Zásady hesla služby Active Directory

s kybernetickými útoky explodujícími po celém světě je pro organizace důležitější než kdy jindy mít robustní zásady hesel. Hackeři často získávají přístup k podnikovým sítím prostřednictvím legitimních přihlašovacích údajů uživatele nebo administrátora, což vede k bezpečnostním incidentům a selhání dodržování předpisů. V tomto článku prozkoumáme, jak vytvořit a udržovat silné a efektivní Zásady hesla služby Active Directory.

jak útočníci kompromitují firemní hesla

hackeři používají různé techniky ke kompromitaci firemních hesel, včetně následujících:

  • Brute force attack-hackeři spouštějí programy, které zadávají různé potenciální kombinace hesel, dokud nenarazí na tu správnou.
  • Dictionary attack-jedná se o specifickou formu útoku hrubou silou, která zahrnuje zkoušení slov nalezených ve slovníku jako možných hesel.
  • password spraying attack-hackeři zadají známé uživatelské jméno nebo jiný identifikátor účtu a vyzkoušejí více běžných hesel, aby zjistili, zda fungují.
  • Credential stuffing attack-hackeři používají automatizované nástroje k zadávání seznamů pověření proti různým portálům přihlášení společnosti.
  • Spidering – uživatelé se zlými úmysly shromažďují co nejvíce informací o hackerském cíli a poté vyzkoušejí kombinace hesel vytvořené pomocí těchto dat.

jak zobrazit a upravit Zásady hesla služby Active Directory

k obraně proti těmto útokům potřebují organizace silnou politiku hesla služby Active Directory. Zásady hesla definují různá pravidla pro vytváření hesel, jako je minimální délka, podrobnosti o složitosti (například to, zda je vyžadován speciální znak) a doba, po kterou heslo trvá, než musí být změněno.

výchozí doménová politika je objekt zásad skupiny (GPO), který obsahuje nastavení, která ovlivňují všechny objekty v doméně. Chcete-li zobrazit a nakonfigurovat zásady hesla domény, mohou administrátoři použít konzolu pro správu zásad skupiny (GPMC). Rozbalte složku domény a vyberte doménu, jejíž zásady chcete přistupovat, a poté vyberte objekty zásad skupiny. Klepněte pravým tlačítkem myši na výchozí složku zásad domény a vyberte Upravit. Přejděte do Konfigurace počítače- > zásady – > nastavení systému Windows – > Nastavení Zabezpečení – > zásady účtu – > Zásady hesla.

Alternativně můžete přistupovat k zásadám hesla domény provedením následujícího příkazu PowerShell:

Get-ADDefaultDomainPasswordPolicy

nezapomeňte, že všechny změny, které provedete v zásadách výchozího hesla domény, se vztahují na každý účet v této doméně. Zásady jemnozrnných hesel můžete vytvářet a spravovat pomocí služby Active Directory Management Center (ADAC) v systému Windows Server.

porozumění nastavení zásad hesla reklamy

zde je šest nastavení zásad hesel a jejich výchozí hodnoty:

  • vynutit historii hesla-Výchozí hodnota je 24. Toto nastavení určuje počet jedinečných hesel, které musí uživatelé vytvořit před opětovným použitím starého hesla. Doporučuje se ponechat výchozí hodnotu, aby se snížilo riziko, že uživatelé budou mít hesla, která byla ohrožena.
  • maximální věk hesla — Výchozí hodnota je 42. Toto nastavení určuje, jak dlouho může heslo existovat, než systém donutí uživatele jej změnit. Uživatelé obvykle dostanou vyskakovací varování, když dosáhnou konce doby vypršení platnosti hesla. Toto nastavení můžete zkontrolovat pomocí PowerShell provedením příkazu net user USERNAME/domain. Mějte na paměti, že vynucení častých změn hesla může vést k tomu, že uživatelé zapíší svá hesla nebo přijmou postupy, jako je připojení měsíce ke slovu stem, které znovu používají, což ve skutečnosti zvyšuje bezpečnostní rizika. Nastavení „maximální věk hesla“ na 0 znamená, že hesla nikdy nevyprší (což se obecně nedoporučuje).
  • minimální věk hesla-Výchozí hodnota je 1 den. Toto nastavení určuje, jak dlouho musí heslo existovat, než je uživatel oprávněn jej změnit. Nastavení minimálního věku umožňuje uživatelům opakovaně resetovat heslo, aby obešli nastavení „vynutit historii hesel“a okamžitě znovu použili oblíbené heslo.
  • Minimální délka hesla — Výchozí hodnota je 7. Toto nastavení stanoví nejmenší počet znaků, které může mít heslo. Zatímco kratší hesla jsou pro hackery snazší prolomit, vyžadování opravdu dlouhých hesel může vést k výlukám z chybného psaní ak bezpečnostním rizikům ze strany uživatelů, kteří si zapisují svá hesla.
  • požadavky na složitost-výchozí nastavení je povoleno. Toto nastavení podrobně popisuje typy znaků, které musí uživatel zahrnout do řetězce hesel. Osvědčené postupy doporučují povolit toto nastavení s minimální délkou hesla nejméně 8; to ztěžuje úspěch útoků hrubou silou. Požadavky na složitost obvykle vyžadují, aby heslo zahrnovalo kombinaci:
    • velká nebo malá písmena (a až Z A až z)
    • číselné znaky (0-9)
    • nealfanumerické znaky jako$, # nebo %
    • ne více než dva symboly z názvu účtu nebo zobrazovaného jména uživatele
  • ukládání hesel pomocí reverzibilního šifrování-výchozí je zakázáno — Toto nastavení nabízí podporu pro aplikace, které vyžadují, aby uživatelé zadali heslo pro ověření. Administrátoři by měli mít toto nastavení zakázáno, protože jeho povolení by umožnilo útočníkům, kteří jsou obeznámeni s tím, jak prolomit toto šifrování, přihlásit se do sítě, jakmile ohrozí účet. Výjimečně můžete toto nastavení povolit při použití služeb ověřování internetu (IAS) nebo protokolu ověřování handshake Challenge (CHAP).

jemnozrnné zásady a způsob jejich konfigurace

starší verze AD umožňovaly Vytvoření pouze jedné Zásady hesla pro každou doménu. Zavedení jemnozrnných zásad hesel (fgpp) v novějších verzích AD umožnilo administrátorům vytvořit více zásad hesel, aby lépe vyhovovaly obchodním potřebám. Můžete například požadovat, aby účty správce používaly složitější hesla než běžné uživatelské účty. Je důležité, abyste svou organizační strukturu definovali promyšleně, aby se mapovala podle požadovaných zásad hesel.

zatímco definujete výchozí zásady hesla domény v rámci GPO, Fgpp jsou nastaveny v objektech nastavení hesla (PSOs). Chcete-li je nastavit, otevřete ADAC, klikněte na doménu, přejděte do systémové složky a poté klikněte na kontejner nastavení hesla.

NIST SP 800-63 Password Guidelines

Národní institut standardů (NIST) je Federální agentura pověřená vydáváním kontrol a požadavků na správu digitálních identit. Speciální publikace 800-63B pokrývá standardy pro hesla. Revize 3 SP 800-63B, vydaná v roce 2017 a aktualizovaná v roce 2019, je současným standardem.

tyto pokyny poskytují organizacím základ pro budování robustní infrastruktury zabezpečení heslem. Doporučení NIST zahrnují následující:

  • Požadujte, aby hesla generovaná uživatelem měla alespoň 8 znaků (6 pro strojově generovaná hesla).
  • umožňuje uživatelům vytvářet hesla až do délky 64 znaků.
  • umožňuje uživatelům používat ve svých heslech libovolné znaky ASCII/Unicode.
  • zakázat hesla se sekvenčními nebo opakovanými znaky.
  • nevyžadují časté změny hesla. Ačkoli po celá léta, mnoho organizací vyžadovalo, aby uživatelé často měnili svá hesla, Tato politika často vede k tomu, že uživatelé provádějí postupné změny základního hesla, zapisují svá hesla dolů, nebo dochází k výlukám, protože zapomínají na svá nová hesla. Nejnovější standardy NIST 800-63B proto vyžadují pečlivé používání zásad vypršení platnosti hesla. Novější výzkum naznačuje, že lepší alternativy zahrnují použití zakázaných seznamů hesel, použití delších přístupových frází a vynucení vícefaktorové autentizace pro další zabezpečení.

zásady reklamního hesla osvědčené postupy

obecněji by se administrátoři měli ujistit, že:

  • nastavte minimální délku hesla 8 znaků.
  • stanovte požadavky na složitost hesla.
  • vynutit zásady historie hesel, které se dívají zpět na posledních 10 hesel uživatele.
  • proveďte minimální věk hesla 3 dny.
  • resetujte hesla místního správce každých 180 dní (zvažte použití bezplatného nástroje Netwrix Bulk Password Reset).
  • resetujte hesla účtu zařízení během údržby jednou ročně.
  • vyžaduje, aby hesla pro účty správce domény měla délku alespoň 15 znaků.
  • Nastavte e-mailová oznámení, aby uživatelé věděli, že hesla mají vypršet (bezplatný nástroj Netwrix Password Expiration Notifier může pomoci).
  • zvažte vytvoření podrobných zásad hesel pro propojení s konkrétními organizačními jednotkami namísto úpravy výchozích nastavení zásad domény.
  • použijte zakázané seznamy hesel.
  • použijte nástroje pro správu hesel k ukládání více hesel.

další informace naleznete v našich osvědčených postupech zásad hesel pro silné zabezpečení v AD.

vzdělávání uživatelů je stejně důležité jako jakékoli Zásady hesla. Vzdělávejte své uživatele o následujících pravidlech chování:

  • nepište si hesla. Místo toho vyberte silná hesla nebo hesla, která si můžete snadno vyvolat, a použijte nástroje pro správu hesel.
  • nezadávejte heslo, když se někdo dívá.
  • pochopte, že adresy HTTPS: / / jsou bezpečnější než adresy URL HTTP://.
  • nepoužívejte stejné heslo pro více webových stránek, které poskytují přístup k citlivým informacím.

FAQ

Jak najdu a upravím Zásady hesla služby Active Directory?

aktuální Zásady hesla reklamy pro konkrétní doménu najdete buď navigací do Konfigurace počítače- > zásady – > nastavení systému Windows – > Nastavení Zabezpečení – > zásady účtu – > Zásady hesla prostřednictvím konzoly pro správu nebo pomocí příkazu PowerShell Get-ADDefaultDomainPasswordPolicy.

jsou hesla šifrována ve službě Active Directory?

Ano. Hesla vytvořená uživatelem procházejí hashovacím algoritmem, který je šifruje.

co je složitost hesla služby Active Directory?

požadavky na složitost řídí znaky, které nemohou nebo nemohou být zahrnuty do hesla. Uživatelům může být například zabráněno v používání uživatelského jména jako hesla nebo musí do hesla zahrnout alespoň jedno číslo a jedno malé písmeno.

co jsou Zásady hesla systému Windows Server?

Zásady hesla systému Windows Server řídí hesla pro přístup k serverům systému Windows.

Jak najdu, upravím nebo zakážu Zásady hesla v systému Windows Server?

vyhledejte GPO pomocí konzoly pro správu zásad skupiny a klikněte na Upravit.

co je dobré heslo?

osvědčené postupy zahrnují následující:

  • nechte uživatele alespoň vytvořit10 nových hesel před opětovným použitím starého.
  • použijte maximální věk hesla 42 dní.
  • použijte minimální věk hesla 3 dny.
  • nutí uživatele vytvářet hesla, která mají délku nejméně 8 znaků.
  • povolte volbu „požadavky na složitost“.
  • zakázat reverzibilní šifrování.
Jeff je bývalý ředitel Global Solutions Engineering ve společnosti Netwrix. Je dlouholetým blogerem, řečníkem a moderátorem Netwrix. V blogu Netwrix, Jeff sdílí lifehacks, tipy a triky, které mohou dramaticky zlepšit zážitek ze správy systému.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.