Az Active Directory jelszavas házirendjének beállítása és kezelése

a világ minden táján robbanó kibertámadások miatt minden eddiginél fontosabb, hogy a szervezetek megbízható jelszóházirenddel rendelkezzenek. A hackerek gyakran törvényes felhasználói vagy adminisztrátori hitelesítő adatokkal férnek hozzá a vállalati hálózatokhoz, ami biztonsági incidensekhez és megfelelőségi hibákhoz vezet. Ebben a cikkben megvizsgáljuk, hogyan lehet létrehozni és fenntartani egy erős és hatékony Active Directory jelszóházirendet.

hogyan sértik meg a támadók a vállalati jelszavakat

a hackerek különféle technikákat alkalmaznak a vállalati jelszavak kompromittálására, többek között a következőket:

  • Brute force attack-A hackerek olyan programokat futtatnak, amelyek különböző lehetséges jelszókombinációkat adnak meg, amíg meg nem találják a megfelelőt.
  • Dictionary attack — Ez a brute force támadás egy speciális formája, amely magában foglalja a szótárban található szavak kipróbálását, mint lehetséges jelszavakat.
  • Password spraying attack — A hackerek megadnak egy ismert felhasználónevet vagy más fiókazonosítót, és megpróbálnak több közös jelszót, hogy lássák, működnek-e.
  • hitelesítő adatok kitöltése támadás — a hackerek automatizált eszközöket használnak a hitelesítő adatok listájának megadásához a különböző vállalati bejelentkezési portálok ellen.
  • Spidering — a rosszindulatú felhasználók a lehető legtöbb információt gyűjtik egy hackelési célpontról, majd kipróbálják az ezen adatok felhasználásával létrehozott jelszókombinációkat.

az Active Directory jelszavas házirendjének megtekintése és szerkesztése

a támadások elleni védekezéshez a szervezeteknek erős Active Directory jelszóházirendre van szükségük. A jelszó házirendek különböző szabályokat határoznak meg a jelszó létrehozásához, például a minimális hosszúságot, a komplexitás részleteit (például azt, hogy szükség van-e speciális karakterre), valamint azt, hogy a jelszó mennyi ideig tart, mielőtt meg kell változtatni.

az Alapértelmezett tartományházirend egy csoportházirend-objektum (csoportházirend-objektum), amely a tartomány összes objektumát érintő beállításokat tartalmaz. A tartományjelszó-házirend megtekintéséhez és konfigurálásához a rendszergazdák használhatják a csoportházirend-kezelő konzolt (GPMC). Bontsa ki a tartományok mappát, válassza ki azt a tartományt, amelynek házirendjét el szeretné érni, majd válassza a Csoportházirend-objektumok lehetőséget. Kattintson a jobb gombbal az Alapértelmezett tartományházirend mappára, majd válassza a Szerkesztés lehetőséget. Keresse meg a Számítógép konfigurációja -> házirendek -> Windows beállítások -> Biztonsági beállítások -> fiók házirendek -> jelszó házirend.

Alternatív megoldásként a következő PowerShell parancs végrehajtásával is elérheti a tartományjelszó-házirendet:

Get-ADDefaultDomainPasswordPolicy

ne feledje, hogy az alapértelmezett tartományjelszóra vonatkozó házirendben végrehajtott módosítások az adott tartományon belüli minden fiókra vonatkoznak. Finomszemcsés jelszóházirendeket hozhat létre és kezelhet a Windows Server Active Directory Management Center (ADAC) használatával.

a HIRDETÉSJELSZÓVAL kapcsolatos házirend-beállítások ismertetése

íme a hat jelszóval kapcsolatos házirend-beállítás és azok alapértelmezett értékei:

  • jelszó előzmények érvényesítése-az alapértelmezett érték 24. Ez a beállítás adja meg, hogy a felhasználóknak hány egyedi jelszót kell létrehozniuk egy régi jelszó újrafelhasználása előtt. Az alapértelmezett érték megtartása ajánlott, hogy csökkentse annak kockázatát, hogy a felhasználók feltörték a jelszavakat.
  • a jelszó maximális életkora — Az alapértelmezett érték 42. Ez a beállítás határozza meg, hogy mennyi ideig létezhet egy jelszó, mielőtt a rendszer arra kényszeríti a felhasználót, hogy változtassa meg. A felhasználók általában előugró figyelmeztetést kapnak, amikor elérik a jelszó lejárati idejének végét. Ezt a beállítást a PowerShell segítségével ellenőrizheti a net user USERNAME/domain parancs végrehajtásával. Ne feledje, hogy a gyakori jelszóváltások kényszerítése oda vezethet, hogy a felhasználók leírják a jelszavukat, vagy olyan gyakorlatokat fogadnak el, mint például a hónap hozzáadása egy újrafelhasznált szóhoz, ami valójában növeli a biztonsági kockázatokat. A “jelszó maximális életkora” 0-ra állítása azt jelenti, hogy a jelszavak soha nem járnak le (ami általában nem ajánlott).
  • minimális jelszó életkor — az alapértelmezett érték 1 nap. Ez a beállítás határozza meg, hogy mennyi ideig kell léteznie egy jelszónak ahhoz, hogy a felhasználó módosíthassa azt. A minimális életkor beállítása megakadályozza, hogy a felhasználók ismételten visszaállítsák jelszavukat, hogy megkerüljék a “jelszó előzmények érvényesítése” beállítást, és azonnal újra felhasználják a kedvenc jelszót.
  • a jelszó minimális hossza — az alapértelmezett érték 7. Ez a beállítás határozza meg, hogy a jelszó hány karakterből állhat. Míg a rövidebb jelszavak könnyebben feltörhetők a hackerek számára, az igazán hosszú jelszavak megkövetelése a hibás gépelésből származó zárolásokhoz és biztonsági kockázatokhoz vezethet, ha a felhasználók leírják jelszavaikat.
  • komplexitási követelmények — Az alapértelmezett beállítás engedélyezve van. Ez a Beállítás részletezi, hogy a felhasználónak milyen típusú karaktereket kell tartalmaznia egy jelszósávban. A legjobb gyakorlatok azt javasolják, hogy engedélyezze ezt a beállítást legalább 8 jelszó hosszúsággal; ez megnehezíti a brute force támadások sikerét. A komplexitási követelmények általában megkövetelik, hogy a jelszó tartalmazzon egy keveréket:

    • nagy-vagy kisbetűk (A-tól Z-ig és a-tól z-ig)
    • numerikus karakterek (0-9)
    • nem alfanumerikus karakterek, például$, # vagy %
    • legfeljebb két szimbólum a felhasználó fióknevéből vagy megjelenített nevéből
  • tárolja a jelszavakat reverzibilis titkosítással-az alapértelmezés le van tiltva. Ez a Beállítás támogatja azokat az alkalmazásokat, amelyeknél a felhasználóknak jelszót kell megadniuk a hitelesítéshez. Az adminisztrátoroknak ezt a beállítást le kell tiltaniuk, mert annak engedélyezése lehetővé tenné a támadók számára, hogy ismerjék a titkosítás feltörését a hálózatba, miután veszélyeztetik a fiókot. Kivételként engedélyezheti ezt a beállítást az Internet Authentication Services (IAS) vagy a Challenge Handshake Authentication Protocol (Chap) használatakor.

finomszemcsés házirend és konfigurálásának módja

az AD régebbi verziói csak egy jelszóházirend létrehozását tették lehetővé minden tartományhoz. A finomszemcsés jelszóházirendek (fgpp) bevezetése az AD későbbi verzióiban lehetővé tette az adminisztrátorok számára, hogy több jelszóházirendet hozzanak létre az üzleti igények jobb kielégítése érdekében. Előfordulhat például, hogy a rendszergazdai fiókoktól a szokásos felhasználói fiókoknál összetettebb jelszavak használatát szeretné megkövetelni. Fontos, hogy átgondoltan határozza meg szervezeti felépítését, hogy az a kívánt jelszóházirendekhez igazodjon.

miközben meghatározza az alapértelmezett tartományjelszó-házirendet egy csoportházirend-objektumon belül, az Fgpp-k a jelszóbeállítási objektumokban (PSO-k) vannak beállítva. A beállításhoz nyissa meg az ADAC-ot, kattintson a domainre, keresse meg a rendszermappát, majd kattintson a jelszóbeállítások tárolójára.

NIST SP 800-63 Password Guidelines

a Nemzeti Szabványügyi Intézet (NIST) egy szövetségi ügynökség, amelynek feladata a digitális identitások kezelésével kapcsolatos ellenőrzések és követelmények kiadása. A 800-63B külön kiadvány a jelszavakra vonatkozó szabványokat tartalmazza. Az SP 800-63B 3.verziója, amelyet 2017-ben adtak ki és 2019-ben frissítettek, a jelenlegi szabvány.

ezek az irányelvek alapot nyújtanak a szervezeteknek egy robusztus jelszóbiztonsági infrastruktúra kiépítéséhez. A NIST ajánlásai a következőket tartalmazzák:

  • a felhasználó által generált jelszavaknak legalább 8 karakter hosszúnak kell lenniük (6 gép által generált jelszavak esetén).
  • a felhasználók legfeljebb 64 karakter hosszú jelszavakat hozhatnak létre.
  • lehetővé teszi a felhasználók számára, hogy bármilyen ASCII/Unicode karaktert használjanak jelszavaikban.
  • tiltsa le a szekvenciális vagy ismétlődő karakterekkel rendelkező jelszavakat.
  • nem igényel gyakori jelszóváltoztatást. Bár évek óta sok szervezet megkövetelte a felhasználóktól, hogy gyakran változtassák meg jelszavukat, ez a házirend gyakran oda vezet, hogy a felhasználók fokozatosan módosítják az alapjelszót, írják le jelszavaikat, vagy zárolásokat tapasztalnak, mert elfelejtik új jelszavaikat. Ennek megfelelően a legújabb NIST 800-63B szabványok megkövetelik a jelszó lejárati házirendjének körültekintő használatát. A legújabb kutatások azt sugallják, hogy a jobb alternatívák közé tartozik a tiltott jelszólisták használata, a hosszabb jelszavak használata és a többtényezős hitelesítés érvényesítése a további biztonság érdekében.

AD Password Policy legjobb gyakorlatok

tágabb értelemben a rendszergazdáknak ügyelniük kell arra, hogy:

  • állítsa be a jelszó minimális hosszát 8 karakter.
  • jelszó komplexitási követelmények létrehozása.
  • jelszó-előzmények házirend érvényesítése, amely visszatekint a felhasználó utolsó 10 jelszavára.
  • adja meg a minimális jelszó életkorát 3 nap.
  • állítsa vissza a helyi rendszergazdai jelszavakat 180 naponta (fontolja meg az ingyenes Netwrix tömeges jelszó-visszaállító eszköz használatát ehhez).
  • karbantartás során évente egyszer állítsa vissza az eszközfiók jelszavait.
  • a tartomány adminisztrátori fiókjainak jelszavainak legalább 15 karakter hosszúságúnak kell lenniük.
  • állítsa be az e-mail értesítéseket, hogy a felhasználók tudják, hogy a jelszavak lejárnak (az ingyenes Netwrix Password Expiration Notifier eszköz segíthet).
  • fontolja meg a részletes jelszóházirendek létrehozását, hogy az Alapértelmezett tartományházirend-beállítások szerkesztése helyett egyes szervezeti egységekhez kapcsolódjon.
  • tiltott jelszólisták használata.
  • használjon jelszókezelő eszközöket több jelszó tárolására.

további információért olvassa el a jelszó politika legjobb gyakorlatok erős biztonság AD.

a felhasználói oktatás ugyanolyan fontos, mint bármely jelszóházirend. Oktassa a felhasználókat a következő viselkedési szabályokról:

  • ne írja le a jelszavakat. Ehelyett válasszon erős jelszavakat vagy jelszavakat, amelyeket könnyen visszahívhat, és használjon jelszókezelő eszközöket.
  • ne írja be a jelszavát, amikor valaki figyel.
  • értsd meg, hogy a HTTPS: / / címek biztonságosabbak, mint a HTTP:// URL-ek.
  • ne használja ugyanazt a jelszót több olyan webhelyhez, amelyek hozzáférést biztosítanak érzékeny információkhoz.

GYIK

Hogyan találom meg és szerkesztem az Active Directory jelszóházirendjét?

egy adott tartományhoz tartozó aktuális hirdetési jelszóházirendet a számítógép konfigurációja -> házirendek -> Windows beállítások -> Biztonsági beállítások -> Fiókházirendek -> jelszóházirend menüpontban a Felügyeleti konzolon keresztül, vagy a Get-ADDefaultDomainPasswordPolicy (Get-ADDefaultDomainPasswordPolicy) parancs segítségével találhatja meg.

titkosítják a jelszavakat az Active Directory-ban?

Igen. A felhasználó által létrehozott jelszavak egy hash algoritmuson mennek keresztül, amely titkosítja őket.

mi az Active Directory jelszó komplexitása?

a komplexitás követelményei szabályozzák azokat a karaktereket, amelyek nem vagy nem szerepelhetnek a jelszóban. Például előfordulhat, hogy a felhasználók nem használhatják felhasználónevüket jelszóként, vagy megkövetelik, hogy legalább egy számot és egy kisbetűt tartalmazzanak a jelszóban.

mi a Windows Server jelszóházirendje?

A Windows Server password policy A Windows kiszolgálók eléréséhez szükséges jelszavakat szabályozza.

Hogyan kereshetek, szerkeszthetek vagy tilthatok le egy jelszóházirendet A Windows Server rendszerben?

keresse meg a csoportházirend-csoportot a Csoportházirend-kezelő konzolon, majd kattintson a Szerkesztés gombra.

mi a jó jelszóházirend?

a legjobb gyakorlatok a következők:

  • a felhasználók legalább 10 új jelszót hozhatnak létre, mielőtt újra felhasználnák a régit.
  • a jelszó maximális életkora 42 nap.
  • a jelszó minimális életkora 3 nap.
  • a felhasználók legalább 8 karakter hosszú jelszavakat hozhatnak létre.
  • engedélyezze a “komplexitási követelmények” opciót.
  • visszafordítható titkosítás letiltása.
Jeff a Netwrix Global Solutions Engineering korábbi igazgatója. Régóta Netwrix blogger, előadó és előadó. A Netwrix blogban Jeff élethackeket, tippeket és trükköket oszt meg, amelyek drámai módon javíthatják a rendszer adminisztrációs élményét.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.