Sådan indstilles og administreres Active Directory-adgangskodepolitik

med cyberangreb, der eksploderer rundt om i verden, er det vigtigere end nogensinde for organisationer at have en robust adgangskodepolitik. Hackere får ofte adgang til virksomhedsnetværk gennem legitime bruger-eller administratoroplysninger, hvilket fører til sikkerhedshændelser og overholdelsesfejl. I denne artikel vil vi undersøge, hvordan du opretter og vedligeholder en stærk og effektiv Active Directory-adgangskodepolitik.

hvordan angribere kompromitterer Virksomhedsadgangskoder

hackere bruger en række teknikker til at kompromittere virksomhedsadgangskoder, herunder følgende:

  • Brute force attack-hackere kører programmer, der indtaster forskellige potentielle adgangskodekombinationer, indtil de rammer den rigtige.
  • Dictionary attack — Dette er en specifik form for brute force angreb, der involverer forsøger ord findes i ordbogen som mulige adgangskoder.
  • Adgangskodesprøjtningsangreb — hackere indtast et kendt Brugernavn eller en anden kontoidentifikator, og prøv flere almindelige adgangskoder for at se, om de fungerer.
  • Credential stuffing attack — hackere bruger automatiserede værktøjer til at indtaste lister over legitimationsoplysninger mod forskellige firma login portaler.
  • Spidering — ondsindede brugere indsamler så mange oplysninger som muligt om et hackingmål, og prøv derefter adgangskodekombinationer oprettet ved hjælp af disse data.

Sådan får du vist og Redigerer Active Directory-adgangskodepolitik

for at forsvare sig mod disse angreb har organisationer brug for en stærk Active Directory-adgangskodepolitik. Adgangskodepolitikker definerer forskellige regler for oprettelse af adgangskode, såsom minimumslængde, detaljer om kompleksiteten (som om der kræves et specialtegn) og hvor lang tid adgangskoden varer, før den skal ændres.

standard Domænepolitik er et GRUPPEPOLITIKOBJEKT (GPO), der indeholder indstillinger, der påvirker alle objekter i domænet. For at få vist og konfigurere en domæneadgangskodepolitik kan administratorer bruge Gpmc (Group Policy Management Console). Udvid mappen domæner, og vælg det domæne, hvis politik du vil have adgang til, og vælg derefter Gruppepolitikobjekter. Højreklik på mappen Standard Domænepolitik, og vælg Rediger. Naviger til Computerkonfiguration -> politikker -> vinduer indstillinger -> sikkerhedsindstillinger -> Kontopolitikker -> adgangskodepolitik.

Alternativt kan du få adgang til din domæneadgangskodepolitik ved at udføre følgende kommando:

Get-ADDefaultDomainPasswordPolicy

husk, at eventuelle ændringer, du foretager til standard domæneadgangskodepolitikken, gælder for hver konto inden for det domæne. Du kan oprette og administrere finkornede adgangskodepolitikker ved hjælp af Active Directory Management Center (ADAC) i Server.

forståelse af politiske indstillinger for ANNONCEADGANGSKODE

her er de seks indstillinger for adgangskodepolitik og deres standardværdier:

  • gennemtvinge adgangskode historie-standard er 24. Denne indstilling angiver antallet af unikke adgangskoder, som brugere skal oprette, før de genbruger en gammel adgangskode. Det anbefales at holde standardværdien for at reducere risikoen for, at brugere har adgangskoder, der er kompromitteret.
  • maksimal adgangskode alder-standard er 42. Denne indstilling fastlægger, hvor længe en adgangskode kan eksistere, før systemet tvinger brugeren til at ændre den. Brugere får typisk en pop op-advarsel, når de når slutningen af deres adgangskode udløbsperiode. Du kan kontrollere denne indstilling ved at udføre kommandoen netbruger brugernavn/domæne. Husk, at tvinge hyppige adgangskodeændringer kan føre til, at brugere skriver deres adgangskoder ned eller vedtager praksis som at tilføje måneden til et stem-ord, de genbruger, hvilket faktisk øger sikkerhedsrisikoen. Indstilling af “maksimal adgangskodealder” til 0 betyder, at adgangskoder aldrig udløber (hvilket generelt ikke anbefales).
  • minimum adgangskode alder-standard er 1 dag. Denne indstilling angiver, hvor længe en adgangskode skal eksistere, før brugeren får lov til at ændre den. Indstilling af en minimumsalder forhindrer brugere i at nulstille deres adgangskode gentagne gange for at omgå indstillingen “håndhæve adgangskodehistorik” og genbruge en favoritadgangskode med det samme.
  • minimum adgangskodelængde-standard er 7. Denne indstilling fastlægger det færrest antal tegn, en adgangskode kan have. Mens kortere adgangskoder er lettere for hackere at knække, kan det at kræve virkelig lange adgangskoder føre til lockouts fra forkert indtastning og til sikkerhedsrisici fra brugere, der skriver deres adgangskoder ned.
  • Kompleksitetskrav — standard er aktiveret. Denne indstilling beskriver de typer tegn, en bruger skal medtage i en adgangskodestreng. Bedste praksis anbefaler at aktivere denne indstilling med en minimum adgangskodelængde på mindst 8; Dette gør det sværere for brute force-angreb at lykkes. Kompleksitetskrav kræver typisk, at adgangskoden indeholder en blanding af:
    • Store eller små bogstaver (A til Å og A til å)
    • numeriske tegn (0-9)
    • ikke-alfanumeriske tegn som $, # eller %
    • ikke mere end to symboler fra brugerens kontonavn eller visningsnavn
  • Gem adgangskoder ved hjælp af reversibel kryptering-standard er deaktiveret. Denne indstilling tilbyder support til apps, der kræver, at brugerne indtaster en adgangskode til godkendelse. Administratorer bør holde denne indstilling deaktiveret, fordi aktivering af den ville give angribere, der er fortrolige med, hvordan bryde denne kryptering til at logge ind på netværket, når de kompromitterer kontoen. Som en undtagelse kan du aktivere denne indstilling, når du bruger Internet Authentication Services (IAS) eller Challenge Handshake Authentication Protocol (CHAP).

finkornet Politik og hvordan den er konfigureret

ældre versioner af AD tillod oprettelsen af kun en adgangskodepolitik for hvert domæne. Indførelsen af finkornede adgangskodepolitikker (FGPP) i senere versioner af AD har gjort det muligt for administratorer at oprette flere adgangskodepolitikker for bedre at imødekomme forretningsbehov. Du kan f.eks. kræve, at administratorkonti bruger mere komplekse adgangskoder end almindelige brugerkonti. Det er vigtigt, at du definerer din organisationsstruktur omhyggeligt, så den kortlægger dine ønskede adgangskodepolitikker.

mens du definerer standard domæneadgangskodepolitikken i en GPO, indstilles Fgpp ‘er i adgangskodeindstillingsobjekter (PSO’ er). For at konfigurere dem skal du åbne ADAC, klikke på dit domæne, navigere til systemmappen og derefter klikke på containeren til adgangskodeindstillinger.

NIST SP 800-63 retningslinjer for adgangskode

National Institute of Standards (NIST) er et føderalt agentur, der har til opgave at udstede kontroller og krav omkring styring af digitale identiteter. Særlig publikation 800 – 63B dækker standarder for adgangskoder. Revision 3 af SP 800-63B, udstedt i 2017 og opdateret i 2019, er den nuværende standard.

disse retningslinjer giver organisationer et fundament for at opbygge en robust adgangskodesikkerhedsinfrastruktur. NIST anbefalinger omfatter følgende:

  • Kræv, at brugergenererede adgangskoder er mindst 8 tegn lange (6 for maskingenererede adgangskoder).
  • Tillad brugere at oprette adgangskoder på op til 64 tegn.
  • Tillad brugere at bruge ASCII/Unicode-tegn i deres adgangskoder.
  • Tillad adgangskoder med sekventielle eller gentagne tegn.
  • kræver ikke hyppige adgangskodeændringer. Selvom mange organisationer i årevis har krævet, at brugerne ofte ændrer deres adgangskoder, fører denne politik ofte til, at brugerne foretager trinvise ændringer af en baseadgangskode, skriver deres adgangskoder ned eller oplever lockouts, fordi de glemmer deres nye adgangskoder. Derfor kræver de seneste NIST 800-63B-standarder omhyggeligt brug af adgangskodeudløbspolitikker. Nyere forskning tyder på, at bedre alternativer inkluderer brug af forbudte adgangskodelister, brug af længere adgangssætninger og håndhævelse af multifaktorautentificering for yderligere sikkerhed.

politik for bedste praksis for ANNONCEADGANGSKODE

mere bredt skal administratorer sørge for at:

  • Indstil en minimum adgangskodelængde på 8 tegn.
  • Opret krav til adgangskodekompleksitet.
  • Gennemfør en politik for adgangskodehistorik, der ser tilbage på de sidste 10 adgangskoder for en bruger.
  • lav den mindste adgangskode alder 3 dage.
  • Nulstil lokale administratoradgangskoder hver 180.dag (overvej at bruge det gratis værktøj til nulstilling af Bulk-adgangskode til det).
  • nulstil adgangskoder til enhedskonto under vedligeholdelse en gang om året.
  • Kræv, at adgangskoder til domæneadministratorkonti er mindst 15 tegn lange.
  • Indstil e-mail-meddelelser for at lade brugerne vide, at adgangskoder er indstillet til at udløbe (det gratis værktøj til Adgangskodeudløbsmeddelelse kan hjælpe).
  • overvej at oprette detaljerede adgangskodepolitikker for at oprette forbindelse til specifikke organisatoriske enheder i stedet for at redigere standardindstillingerne for Domænepolitik.
  • brug forbudte adgangskodelister.
  • brug adgangskodestyringsværktøjer til at gemme flere adgangskoder.

For mere information, læse vores adgangskode politik bedste praksis for stærk sikkerhed i AD.

brugeruddannelse er lige så afgørende som enhver adgangskodepolitik. Uddann dine brugere om følgende adfærdsregler:

  • skriv ikke adgangskoder ned. Vælg i stedet stærke adgangskoder eller adgangssætninger, som du nemt kan huske, og brug værktøjer til adgangskodehåndtering.
  • skriv ikke din adgangskode, når nogen ser.
  • forstå, at HTTPS:// adresser er mere sikre end HTTP:// URL ‘ er.
  • brug ikke den samme adgangskode til flere hjemmesider, der giver adgang til følsomme oplysninger.

ofte stillede spørgsmål

Hvordan finder og redigerer jeg min Active Directory-adgangskodepolitik?

du kan finde din aktuelle politik for ANNONCEADGANGSKODER for et bestemt domæne enten ved at navigere til Computerkonfiguration -> politikker -> vinduer indstillinger -> sikkerhedsindstillinger -> Kontopolitikker -> adgangskodepolitik via administrationskonsollen eller ved at bruge kommandoen Hent-Addefaultdomainpassordpolitik.

er adgangskoder krypteret i Active Directory?

Ja. Adgangskoder oprettet af en bruger gennemgår en hashingalgoritme, der krypterer dem.

hvad er Active Directory adgangskode kompleksitet?

Kompleksitetskrav styrer de tegn, der ikke kan eller ikke kan medtages i en adgangskode. For eksempel kan brugere forhindres i at bruge deres brugernavn som deres adgangskode eller kræves at medtage mindst et nummer og et lille bogstav i adgangskoden.

hvad er adgangskode?

vinduer server adgangskode politik styrer adgangskoder til adgang til vinduer servere.

Hvordan finder, redigerer eller deaktiverer jeg en adgangskodepolitik?

find GPO gennem Group Policy Management Console, og klik på Rediger.

Hvad er en god adgangskodepolitik?

bedste praksis inkluderer følgende:

  • få brugerne til at oprette mindst10 nye adgangskoder, før de genbruger en gammel.
  • Anvend en maksimal adgangskodealder på 42 dage.
  • Anvend en minimumsalder på 3 dage.
  • få brugerne til at oprette adgangskoder, der er mindst 8 tegn lange.
  • Aktiver indstillingen “Kompleksitetskrav”.
  • Deaktiver reversibel kryptering.
Jeff er tidligere direktør for Global Solutions Engineering. Han er en lang tid blogger, foredragsholder, og studievært. Jeff deler lifehacks, tips og tricks, der dramatisk kan forbedre din systemadministrationsoplevelse.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.