Kuinka asettaa ja hallita Active Directory-Salasanakäytäntöä

kyberhyökkäysten räjähtäessä ympäri maailmaa, on tärkeämpää kuin koskaan, että organisaatioilla on vankka salasanakäytäntö. Hakkerit pääsevät usein yritysten verkkoihin laillisten käyttäjä-tai ylläpitotunnusten kautta, mikä johtaa tietoturvahäiriöihin ja vaatimustenmukaisuuden laiminlyönteihin. Tässä artikkelissa, tutkimme, miten luoda ja ylläpitää vahva ja tehokas Active Directory salasanakäytäntö.

kuinka hyökkääjät vaarantavat yritysten salasanat

hakkerit käyttävät erilaisia tekniikoita vaarantaakseen yritysten salasanat, muun muassa seuraavia:

  • Brute force attack-hakkerit suorittavat ohjelmia, jotka syöttävät erilaisia mahdollisia salasanayhdistelmiä, kunnes ne osuvat oikeaan.
  • sanakirjahyökkäys — kyseessä on erityinen raa ’ an voimahyökkäyksen muoto, jossa kokeillaan sanakirjasta löytyviä sanoja mahdollisina salasanoina.
  • Password spraying attack — hakkerit syöttävät tunnetun käyttäjätunnuksen tai muun tilitunnuksen ja kokeilevat useita yleisiä salasanoja nähdäkseen, toimivatko ne.
  • Credential filling attack — hakkerit käyttävät automatisoituja työkaluja syöttääkseen tunnuslistoja erilaisia yrityksen kirjautumisportaaleja vastaan.
  • Spidering — ilkeämieliset käyttäjät keräävät hakkerointikohteesta mahdollisimman paljon tietoa ja kokeilevat sen jälkeen näiden tietojen avulla luotuja salasanayhdistelmiä.

Kuinka tarkastella ja muokata Active Directoryn Salasanakäytäntöä

puolustautuakseen näitä hyökkäyksiä vastaan organisaatiot tarvitsevat vahvan Active Directoryn salasanakäytännön. Salasanakäytännöt määrittelevät erilaisia sääntöjä salasanan luomiselle, kuten vähimmäispituuden, yksityiskohdat monimutkaisuudesta (kuten vaaditaanko erikoismerkkiä) ja kuinka kauan salasana kestää ennen kuin se on vaihdettava.

oletuskäytäntö on ryhmäkäytäntöobjekti (GPO), joka sisältää asetuksia, jotka vaikuttavat kaikkiin toimialueen olioihin. Toimialueen salasanakäytännön tarkasteluun ja määrittämiseen järjestelmänvalvojat voivat käyttää ryhmäkäytäntöjen hallintakonsolia (GPMC). Laajenna verkkotunnukset-kansio ja valitse toimialue, jonka käytäntöä haluat käyttää, ja valitse sitten Ryhmäkäytäntöobjektit. Napsauta hiiren kakkospainikkeella toimialueen Oletuskäytäntökansiota ja valitse Muokkaa. Siirry kohtaan Computer Configuration – > Policies- > Windows Settings- > Security Settings- > Account Policies – > Password Policy.

Vaihtoehtoisesti voit käyttää verkkotunnuksen salasanakäytäntöä suorittamalla seuraavan PowerShell-komennon:

Get-ADDefaultDomainPasswordPolicy

muista, että kaikki toimialueen oletussalasanakäytäntöön tekemäsi muutokset koskevat kaikkia kyseisen toimialueen tilejä. Voit luoda ja hallita hienorakeisia salasanakäytäntöjä Windows Serverin Active Directory Management Centerin (ADAC) avulla.

AD: n Salasanakäytäntöasetusten ymmärtäminen

tässä ovat kuusi salasanakäytäntöasetusta ja niiden oletusarvot:

  • pakota salasanahistoria-oletusarvo on 24. Tämä asetus määrittää niiden ainutlaatuisten salasanojen määrän, jotka käyttäjien on luotava ennen vanhan salasanan uudelleenkäyttöä. Oletusarvon pitäminen on suositeltavaa, jotta voidaan vähentää riskiä siitä, että käyttäjillä on salasanoja, jotka ovat vaarantuneet.
  • salasanan enimmäisikä-oletusarvo on 42. Tämä asetus määrittää, kuinka kauan salasana voi olla olemassa ennen kuin järjestelmä pakottaa käyttäjän muuttamaan sitä. Käyttäjät saavat tyypillisesti pop-up-varoituksen, kun he saavuttavat salasanan vanhentumisajan päättymisen. Voit tarkistaa tämän asetuksen PowerShellin kautta suorittamalla komennon net user user user user User USERNAME/domain. Muista, että pakottamalla usein salasanojen muutokset voivat johtaa käyttäjien kirjoittaa salasanansa alas tai ottaa käyttöön käytäntöjä, kuten lisäämällä kuukauden stem-sanaan, jota he käyttävät uudelleen, mikä itse asiassa lisää tietoturvariskejä. Asettamalla ”salasanan enimmäisikä” arvoon 0 tarkoittaa, että salasanat eivät koskaan vanhene (mikä ei yleensä ole suositeltavaa).
  • salasanan vähimmäisikä-oletusarvo on 1 päivä. Tämä asetus määrittää, kuinka kauan salasanan on oltava olemassa, ennen kuin käyttäjä saa muuttaa sitä. Alaikärajan asettaminen estää käyttäjiä nollaamasta salasanaansa toistuvasti kiertääkseen ”pakota salasanahistoria” – asetusta ja käyttääkseen suosikkisalasanan välittömästi uudelleen.
  • salasanan Vähimmäispituus-oletusarvo on 7. Tämä asetus määrittää vähiten merkkejä salasana voi olla. Lyhyempien salasanojen murtaminen on hakkereille helpompaa, mutta todella pitkien salasanojen vaatiminen voi johtaa työsulkuihin mistypingistä ja tietoturvariskeihin, kun käyttäjät kirjoittavat salasanansa ylös.
  • Kompleksisuusvaatimukset-oletus on käytössä. Tämä asetus kertoo, millaisia merkkejä käyttäjän on sisällytettävä salasanamerkkijonoon. Parhaat käytännöt suosittelevat tämän asetuksen sallimista vähintään 8 salasanan pituudella; tämä vaikeuttaa brute force-hyökkäysten onnistumista. Kompleksisuusvaatimukset vaativat tyypillisesti salasanan sisältävän sekoituksen:
    • Suur-tai pienaakkoset (A-Z ja A-Z)
    • numeeriset merkit (0-9)
    • Ei-aakkosnumeeriset merkit kuten$, # tai %
    • enintään kaksi symbolia käyttäjän tilin nimestä tai näytön nimestä
  • Säilytä salasanat käännettävällä salauksella-oletus ei ole käytössä. Tämä asetus tarjoaa tuen sovelluksille, jotka vaativat käyttäjiä antamaan salasanan todennusta varten. Ylläpitäjien tulisi pitää tämä asetus pois käytöstä, koska sen käyttöönotto antaisi hyökkääjille, jotka tuntevat tämän salauksen murtamisen, mahdollisuuden kirjautua verkkoon, kun he vaarantavat tilin. Poikkeuksena voit ottaa tämän asetuksen käyttöön, kun käytät Internet Authentication Services (Ias) – palvelua tai Chap (Challenge Handshake Authentication Protocol) – protokollaa.

hienorakeinen käytäntö ja sen konfigurointi

AD: n vanhemmat versiot mahdollistivat vain yhden salasanakäytännön luomisen kullekin verkkotunnukselle. Fine-grained password policies (fgpp) käyttöönotto AD: n myöhemmissä versioissa on mahdollistanut järjestelmänvalvojien luoda useita salasanakäytäntöjä vastaamaan paremmin liiketoiminnan tarpeisiin. Esimerkiksi admin-tilejä kannattaa vaatia käyttämään monimutkaisempia salasanoja kuin tavallisia käyttäjätilejä. On tärkeää, että määrittelet organisaatiorakenteesi huolellisesti, jotta se kartoittaa haluamasi salasanakäytännöt.

kun määrität toimialueen oletussalasanakäytännön ryhmäpoikkeusasetuksessa, Fgpp: t asetetaan salasanaasetusobjekteissa (password settings objects, PSOs). Voit määrittää ne, avaa ADAC, klikkaa verkkotunnuksen, siirry järjestelmän kansioon,ja napsauta salasana-Asetukset säiliö.

NIST sp 800-63 Password Guidelines

the National Institute of Standards (NIST) on liittovaltion virasto, jonka tehtävänä on antaa digitaalisia identiteettejä koskevia tarkastuksia ja vaatimuksia. Erikoisjulkaisu 800-63B kattaa salasanojen standardit. Vuonna 2017 julkaistun ja vuonna 2019 päivitetyn SP 800-63B: n versio 3 on nykyinen standardi.

nämä ohjeet antavat organisaatioille pohjan rakentaa vankka salasanojen tietoturvainfrastruktuuri. NIST-suosituksia ovat muun muassa seuraavat:

  • vaadi käyttäjien luomien salasanojen pituudeksi vähintään 8 merkkiä (6 koneellisesti luoduille).
  • käyttäjät voivat luoda enintään 64 merkin pituisia salasanoja.
  • käyttäjät voivat käyttää SALASANOISSAAN ASCII / Unicode-merkkejä.
  • kieltää peräkkäisillä tai toistuvilla merkeillä varustetut salasanat.
  • älä vaadi toistuvia salasanojen vaihtoja. Vaikka monet organisaatiot ovat jo vuosia vaatineet käyttäjiä vaihtamaan salasanansa usein, tämä käytäntö johtaa usein siihen, että käyttäjät tekevät vähittäisiä muutoksia perussalasanaan, kirjoittavat salasanansa ylös tai kokevat työsulkuja, koska he unohtavat uudet salasanansa. Niinpä uusimmat NIST 800 – 63B-standardit vaativat salasanan vanhentumiskäytäntöjen käyttämistä huolellisesti. Uudemmat tutkimukset viittaavat siihen, että parempia vaihtoehtoja ovat kiellettyjen salasanalistojen käyttäminen, pidempien salasanojen käyttäminen ja monivaiheisen todennuksen valvominen lisäturvan saamiseksi.

AD Password Policy Best Practices

:

  • Aseta salasanan vähimmäispituus 8 merkkiä.
  • Määritä salasanan monimutkaisuutta koskevat vaatimukset.
  • valvo salasanahistoriakäytäntöä, jossa tarkastellaan käyttäjän 10 viimeistä salasanaa.
  • tee salasanan vähimmäisikä 3 päivää.
  • Palauta paikalliset ylläpitäjän salasanat 180 päivän välein (harkitse ilmaisen Netwrix Bulk-salasanan palautustyökalun käyttöä).
  • Nollaa laitetilin salasanat huollon aikana kerran vuodessa.
  • vaadi verkkotunnuksen ylläpitotilien salasanojen pituudeksi vähintään 15 merkkiä.
  • Määritä sähköposti-ilmoitukset, jotta käyttäjät tietävät salasanojen vanhentuvan (ilmainen Netwrix Password Expiration Notifier-työkalu voi auttaa).
  • harkitse yksityiskohtaisten salasanakäytäntöjen luomista tiettyjen organisaatioyksiköiden yhdistämiseksi sen sijaan, että muokkaisit toimialueen Oletuskäytäntöasetuksia.
  • käytä kiellettyjä salasanalistoja.
  • käytä salasananhallintatyökaluja useiden salasanojen tallentamiseen.

lisätietoa löytyy salasanakäytännöstämme, jolla on parhaat käytännöt vahvaan tietoturvaan AD: ssa.

käyttäjäkoulutus on aivan yhtä tärkeää kuin mikä tahansa salasanakäytäntö. Valista käyttäjiäsi seuraavista käyttäytymissäännöistä:

  • älä kirjoita salasanoja ylös. Valitse sen sijaan vahvat salasanat tai salasanafraasit, jotka voit muistaa helposti, ja käytä salasananhallintatyökaluja.
  • älä kirjoita salasanaasi, kun joku katsoo.
  • ymmärrä, että HTTPS:// – osoitteet ovat turvallisempia kuin HTTP: / / – URL-osoitteet.
  • Älä käytä samaa salasanaa useille verkkosivustoille, jotka tarjoavat pääsyn arkaluonteisiin tietoihin.

FAQ

Miten löydän ja muokkaan Active Directoryn salasanakäytäntöä?

voit löytää nykyisen mainosten salasanakäytäntösi tietylle toimialueelle joko navigoimalla tietokoneen konfiguraatioon -> käytännöt -> Windows Settings -> Security Settings -> Account Policies -> Salasanakäytäntö hallintakonsolin kautta tai käyttämällä PowerShell-komentoa Get-ADDefaultDomainPasswordPolicy.

ovatko salasanat salattuja Active Directoryssa?

Kyllä. Käyttäjän luomat salasanat käyvät läpi tiivistysalgoritmin, joka salaa ne.

Mikä on Active Directory salasana monimutkaisuus?

Monimutkaisuus vaatimukset hallita merkkejä, joita ei voi tai ei voida sisällyttää salasana. Esimerkiksi käyttäjiä voidaan estää käyttämästä käyttäjätunnus sekä salasana, tai sisällettävä vähintään yksi numero ja yksi kirjain salasana.

mikä on Windows Serverin salasanakäytäntö?

Windows Server salasana politiikkaa ohjaa salasanojen käyttäminen Windows-palvelimet.

Miten löydän, muokkaan tai poistan salasanakäytännön Windows Serveristä?

Etsi ryhmäkäytäntöobjekti ryhmäkäytännön hallintakonsolin kautta ja valitse Muokkaa.

mikä on hyvä salasanakäytäntö?

parhaita käytäntöjä ovat seuraavat:

  • saada käyttäjät luomaan vähintään 10 uutta salasanaa ennen vanhan uudelleenkäyttöä.
  • salasanan enimmäisikä on 42 päivää.
  • Käytä salasanan vähimmäisikää 3 päivää.
  • saa käyttäjät luomaan vähintään 8 merkin pituisia salasanoja.
  • Ota käyttöön ”Kompleksisuusvaatimukset” – asetus.
  • Poista palautuva salaus käytöstä.
Jeff on entinen Netwrixin Global Solutions Engineeringin johtaja. Hän on pitkäaikainen Netwrix-bloggaaja, puhuja ja juontaja. Vuonna Netwrix blogi, Jeff jakaa lifehacks, vinkkejä ja temppuja, jotka voivat dramaattisesti parantaa järjestelmän hallintakokemusta.

Vastaa

Sähköpostiosoitettasi ei julkaista.