Cum să setați și să gestionați Politica de parole Active Directory

cu atacuri cibernetice care explodează în întreaga lume, este mai important ca niciodată pentru organizații să aibă o politică robustă de parole. Hackerii obțin adesea acces la rețelele corporative prin acreditări legitime ale utilizatorilor sau administratorilor, ceea ce duce la Incidente de securitate și eșecuri de conformitate. În acest articol, vom explora cum să creați și să mențineți o politică puternică și eficientă de parolă Active Directory.

cum compromit atacatorii parolele corporative

hackerii folosesc o varietate de tehnici pentru a compromite parolele corporative, inclusiv următoarele:

  • Brute force attack-hackerii rulează programe care introduc diverse combinații potențiale de parole până când lovesc pe cea potrivită.
  • Dictionary attack — aceasta este o formă specifică de atac de forță brută, care implică încercarea de cuvinte găsite în dicționar ca parole posibile.
  • atac de pulverizare a parolei — hackerii introduc un nume de utilizator cunoscut sau alt identificator de cont și încearcă mai multe parole comune pentru a vedea dacă funcționează.
  • Credential stuffing attack — hackerii folosesc instrumente automate pentru a introduce liste de acreditări împotriva diferitelor portaluri de conectare ale companiei.
  • Spidering — utilizatorii rău intenționați colectează cât mai multe informații despre o țintă de hacking și apoi încearcă combinații de parole create folosind aceste date.

cum să vizualizați și să editați Politica de parolă Active Directory

pentru a vă apăra împotriva acestor atacuri, organizațiile au nevoie de o politică puternică de parolă Active Directory. Politicile de parolă definesc reguli diferite pentru crearea parolei, cum ar fi lungimea minimă, detalii despre complexitate (cum ar fi dacă este necesar un caracter special) și durata de timp în care parola durează înainte de a fi modificată.

Politica de domeniu implicită este un obiect de politică de grup (GPO) care conține setări care afectează toate obiectele din domeniu. Pentru a vizualiza și configura o politică de parolă de domeniu, administratorii pot utiliza Consola de gestionare a politicilor de grup (GPMC). Extindeți folderul domenii și alegeți domeniul a cărui politică doriți să o accesați, apoi alegeți obiecte de politică de grup. Faceți clic dreapta pe folderul implicit de politică de domeniu și selectați Editare. Navigați la Configurare Computer -> politici -> Setări Windows -> Setări de securitate -> politici cont -> politică parolă.

alternativ, puteți accesa politica de parolă de domeniu executând următoarea comandă PowerShell:

Get-ADDefaultDomainPasswordPolicy

amintiți-vă, orice modificări pe care le faceți la politica implicită de parolă a domeniului se aplică fiecărui cont din acel domeniu. Puteți crea și gestiona Politici de parolă cu granulație fină utilizând Active Directory Management Center (ADAC) în Windows Server.

înțelegerea setărilor Politicii privind parola anunțului

Iată cele șase setări ale politicii privind parola și valorile implicite ale acestora:

  • impune Istoricul parolei-implicit este 24. Această setare specifică numărul de parole unice pe care utilizatorii trebuie să le creeze înainte de a reutiliza o parolă veche. Păstrarea valorii implicite este recomandată pentru a reduce riscul ca utilizatorii să aibă parole compromise.
  • vârsta maximă a parolei — implicit este 42. Această setare stabilește cât timp poate exista o parolă înainte ca sistemul să forțeze utilizatorul să o schimbe. Utilizatorii primesc de obicei un avertisment pop-up atunci când ajung la sfârșitul perioadei de expirare a parolei. Puteți verifica această setare prin PowerShell executând comanda net user USERNAME / domain. Rețineți că forțarea modificărilor frecvente ale parolei poate duce la utilizatorii care își scriu parolele sau adoptă practici precum adăugarea lunii la un cuvânt stem pe care îl reutilizează, ceea ce crește de fapt riscurile de securitate. Setarea „vârsta maximă a parolei” la 0 înseamnă că parolele nu expiră niciodată (ceea ce, în general, nu este recomandat).
  • vârsta minimă a parolei — implicit este 1 zi. Această setare specifică cât timp trebuie să existe o parolă înainte ca utilizatorului să i se permită să o schimbe. Setarea unei vârste minime împiedică utilizatorii să-și reseteze parola în mod repetat pentru a eluda setarea „impune Istoricul parolelor” și a reutiliza imediat o parolă preferată.
  • lungimea minimă a parolei — implicit este 7. Această setare stabilește cel mai mic număr de caractere pe care le poate avea o parolă. În timp ce parolele mai scurte sunt mai ușor de spart pentru hackeri, solicitarea parolelor cu adevărat lungi poate duce la blocarea de la scrierea greșită și la riscuri de securitate din partea utilizatorilor care își scriu parolele.
  • cerințe de complexitate — implicit este activat. Această setare detaliază tipurile de caractere pe care un utilizator trebuie să le includă într-un șir de parole. Cele mai bune practici recomandă activarea acestei setări cu o lungime minimă a parolei de cel puțin 8; Acest lucru face mai dificilă succesul atacurilor de forță brută. Cerințele de complexitate necesită de obicei parola pentru a include un amestec de:

    • litere mari sau minuscule (de la A La Z și de la A la z)
    • caractere numerice (0-9)
    • caractere non-alfanumerice precum $, # sau %
    • nu mai mult de două simboluri din numele contului utilizatorului sau din numele afișat
  • stocați parolele utilizând criptarea reversibilă-implicit este dezactivat. Această setare oferă suport pentru aplicațiile care solicită utilizatorilor să introducă o parolă pentru autentificare. Administratorii ar trebui să păstreze această setare dezactivată, deoarece activarea acesteia ar permite atacatorilor familiarizați cu modul de rupere a acestei criptări să se conecteze la rețea odată ce compromit contul. Ca o excepție, puteți activa această setare atunci când utilizați Internet Authentication Services (IAS) sau Challenge Handshake Authentication Protocol (CHAP).

Politica cu granulație fină și modul în care este configurată

versiunile mai vechi ale AD au permis crearea unei singure Politici de parolă pentru fiecare domeniu. Introducerea politicilor de parolă cu granulație fină (fgpp) în versiunile ulterioare ale anunțului a făcut posibil ca administratorii să creeze mai multe politici de parolă pentru a satisface mai bine nevoile afacerii. De exemplu, poate doriți să solicitați conturilor de administrator să utilizeze parole mai complexe decât conturile de utilizator obișnuite. Este important să vă definiți structura organizațională cu atenție, astfel încât să se potrivească politicilor de parolă dorite.

în timp ce definiți politica implicită de parolă de domeniu într-un GPO, Fgpp-urile sunt setate în obiecte Setări parolă (PSO). Pentru a le configura, deschideți ADAC, faceți clic pe domeniul dvs., navigați la folderul sistem, apoi faceți clic pe containerul Setări parolă.

NIST SP 800-63 Password Guidelines

Institutul Național de standarde (NIST) este o agenție federală însărcinată cu emiterea de controale și cerințe în ceea ce privește gestionarea identităților digitale. Publicația specială 800-63B acoperă standardele pentru parole. Revizuirea 3 A SP 800-63B, emisă în 2017 și actualizată în 2019, este standardul actual.

aceste linii directoare oferă organizațiilor o bază pentru construirea unei infrastructuri robuste de securitate a parolei. Recomandările NIST includ următoarele:

  • necesită parolele generate de utilizator să aibă cel puțin 8 caractere (6 pentru cele generate de mașină).
  • permite utilizatorilor să creeze parole de până la 64 de caractere.
  • permite utilizatorilor să utilizeze orice caractere ASCII/Unicode în parolele lor.
  • interzice parolele cu caractere secvențiale sau repetate.
  • nu necesită modificări frecvente ale parolei. Deși de ani de zile, multe organizații au cerut utilizatorilor să își schimbe frecvent parolele, această politică duce adesea la modificări incrementale ale unei parole de bază, la scrierea parolelor sau la blocarea acestora, deoarece își uită noile parole. În consecință, cele mai recente standarde NIST 800-63B necesită utilizarea cu atenție a politicilor de expirare a parolei. Cercetări mai recente sugerează că alternative mai bune includ utilizarea listelor de parole interzise, utilizarea frazelor de acces mai lungi și aplicarea autentificării cu mai mulți factori pentru securitate suplimentară.

cele mai bune practici privind politica de parolă pentru anunțuri

în sens mai larg, administratorii ar trebui să se asigure că:

  • setați o lungime minimă a parolei de 8 caractere.
  • stabiliți cerințele de complexitate a parolei.
  • impune o politică de istorie parola care se uită înapoi la ultimele 10 parole ale unui utilizator.
  • Faceți vârsta minimă a parolei 3 zile.
  • resetați parolele locale de administrare la fiecare 180 de zile (luați în considerare utilizarea instrumentului gratuit Netwrix Bulk Password Reset tool pentru aceasta).
  • resetați parolele contului dispozitivului în timpul întreținerii o dată pe an.
  • necesită parole pentru conturile de administrator de domeniu să aibă cel puțin 15 caractere.
  • Configurați notificările prin e-mail pentru a informa utilizatorii că parolele sunt setate să expire (instrumentul gratuit Netwrix Password expir Notifier vă poate ajuta).
  • luați în considerare crearea politicilor de parolă granulară pentru a vă conecta cu anumite unități organizaționale în loc să editați setările implicite ale politicii de domeniu.
  • Utilizați liste de parole interzise.
  • utilizați instrumente de gestionare a parolelor pentru a stoca mai multe parole.

pentru mai multe informații, citiți cele mai bune practici privind politica de parole pentru o securitate puternică în AD.

educația utilizatorilor este la fel de importantă ca orice politică de parolă. Educați-vă utilizatorii cu privire la următoarele reguli de comportament:

  • nu scrie parole. În schimb, alegeți parole puternice sau fraze de acces pe care le puteți aminti cu ușurință și utilizați instrumente de gestionare a parolelor.
  • nu introduceți parola atunci când cineva se uită.
  • înțelegeți că adresele HTTPS:// sunt mai sigure decât adresele URL HTTP://.
  • nu utilizați aceeași parolă pentru mai multe site-uri web care oferă acces la informații sensibile.

Întrebări frecvente

Cum găsesc și editez Politica de parolă Active Directory?

puteți găsi politica curentă de parolă a anunțului pentru un anumit domeniu fie navigând la Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Account Policies -> Password Policy prin consola de administrare, fie utilizând comanda PowerShell Get-ADDefaultDomainPasswordPolicy.

parolele sunt criptate în Active Directory?

Da. Parolele create de un utilizator trec printr-un algoritm de hashing care le criptează.

ce este complexitatea parolei Active Directory?

cerințe de complexitate controlează caracterele care nu pot sau nu pot fi incluse într-o parolă. De exemplu, utilizatorii pot fi împiedicați să-și folosească numele de utilizator ca parolă sau li se poate cere să includă cel puțin un număr și o literă mică în parolă.

ce este politica de parolă Windows Server?

Politica de parolă Windows Server controlează parolele pentru accesarea serverelor Windows.

Cum găsesc, editez sau dezactivez o politică de parolă în Windows Server?

localizați GPO prin consola de gestionare a politicilor de grup și faceți clic pe Editare.

ce este o politică de parolă bună?

cele mai bune practici includ următoarele:

  • Faceți utilizatorii să creeze cel puțin10 parole noi înainte de a reutiliza una veche.
  • aplicați o vârstă maximă a parolei de 42 de zile.
  • aplicați o vârstă minimă a parolei de 3 zile.
  • Faceți utilizatorii să creeze parole care au cel puțin 8 caractere.
  • activați opțiunea „cerințe de complexitate”.
  • dezactivați criptarea reversibilă.
Jeff este un fost Director al Global Solutions Engineering la Netwrix. El este un blogger Netwrix de lungă durată, vorbitor și prezentator. În blogul Netwrix, Jeff împărtășește lifehacks, sfaturi și trucuri care vă pot îmbunătăți dramatic experiența de administrare a sistemului.

Lasă un răspuns

Adresa ta de email nu va fi publicată.