Hvordan Sette Og Administrere Active Directory Passordpolicy

med cyberangrep som eksploderer over hele verden, er det viktigere enn noensinne for organisasjoner å ha en robust passordpolicy. Hackere får ofte tilgang til bedriftsnettverk gjennom legitim bruker-eller administratorlegitimasjon, noe som fører til sikkerhetshendelser og samsvarssvikt. I denne artikkelen vil vi utforske hvordan du oppretter Og opprettholder en sterk Og effektiv Active Directory – passordpolicy.

Hvordan Angripere Kompromitterer Bedriftens Passord

Hackere bruker en rekke teknikker for å kompromittere bedriftens passord, inkludert følgende:

  • Brute force attack-Hackere kjøre programmer som angir ulike potensielle passordkombinasjoner før de treffer på den rette.
  • Dictionary attack-Dette er en spesifikk form for brute force angrep som innebærer å prøve ord som finnes i ordboken som mulige passord.
  • passordsprøyting angrep — Hackere skriver inn et kjent brukernavn eller annen kontoidentifikator og prøver flere vanlige passord for å se om de fungerer.
  • Credential stuffing attack — Hackere bruker automatiserte verktøy for å legge inn lister over legitimasjon mot ulike selskap innloggingsportaler.
  • Spidering — Ondsinnede brukere samler så mye informasjon som mulig om et hackingsmål, og prøver deretter passordkombinasjoner opprettet ved hjelp av disse dataene.

Slik Viser og Redigerer Du Active Directory-Passordpolicy

for å forsvare deg mot disse angrepene trenger organisasjoner en sterk Active Directory – passordpolicy. Passordpolicyer definerer forskjellige regler for oppretting av passord, for eksempel minimumslengde, detaljer om kompleksiteten (som om et spesialtegn kreves), og hvor lenge passordet varer før det må endres.

Standard Domenepolicy er Et GRUPPEPOLICYOBJEKT (GPO) som inneholder innstillinger som påvirker alle objekter i domenet. Administratorer kan bruke Administrasjonskonsollen For Gruppepolicy (Gpmc) for Å vise og konfigurere en domenepassordpolicy. Utvid Domener-mappen, velg domenet du vil ha tilgang til, og velg Deretter Gruppepolicyobjekter. Høyreklikk mappen Standard Domenepolicy, og velg Rediger. Naviger Til Datamaskinkonfigurasjon- > Policyer – > Windows-Innstillinger- > Sikkerhetsinnstillinger – > Kontopolicyer- > Passordpolicy.

Alternativt kan du få tilgang til domenepassordpolicyen ved å utføre Følgende PowerShell-kommando:

Get-ADDefaultDomainPasswordPolicy

Husk at alle endringer du gjør i standarddomenepassordregelverket, gjelder for alle kontoer innenfor dette domenet. Du kan opprette og administrere finkornede passordpolicyer ved Hjelp Av Active Directory Management Center (ADAC) I Windows Server.

Forstå Policyinnstillingene FOR AD-Passord

her er de seks policyinnstillingene for passord Og standardverdiene:

  • Håndheve passord historie-Standard er 24. Denne innstillingen angir antall unike passord brukere må opprette før de bruker et gammelt passord på nytt. Å beholde standardverdien anbefales for å redusere risikoen for at brukere har passord som har blitt kompromittert.
  • Maksimal passordalder-Standard Er 42. Denne innstillingen angir hvor lenge et passord kan eksistere før systemet tvinger brukeren til å endre det. Brukere får vanligvis en popup-advarsel når de når slutten av passordets utløpsperiode. Du kan sjekke denne innstillingen Gjennom PowerShell ved å kjøre kommandoen net user USERNAME / domain. Husk at å tvinge hyppige passordendringer kan føre til at brukerne skriver passordene sine ned eller vedtar praksis som å legge måneden til et stem-ord de gjenbruker, noe som faktisk øker sikkerhetsrisikoen. Angi «Maksimal passordalder» til 0 betyr at passord aldri utløper(som vanligvis ikke anbefales).
  • Minimum passordalder-Standard Er 1 dag. Denne innstillingen angir hvor lenge et passord må eksistere før brukeren kan endre det. Ved å angi en minimumsalder hindrer brukerne i å tilbakestille passordet gjentatte ganger for å omgå innstillingen «Håndheve passordhistorikk» og gjenbruke et favorittpassord umiddelbart.
  • Minimum passordlengde-Standard Er 7. Denne innstillingen angir færrest antall tegn et passord kan ha. Mens kortere passord er lettere for hackere å knekke, krever veldig lange passord kan føre til lockout fra skrivefeil og sikkerhetsrisiko fra brukere å skrive ned passordene sine.
  • Krav Til Kompleksitet-Standard Er Aktivert. Denne innstillingen beskriver hvilke typer tegn en bruker må inkludere i en passordstreng. Anbefalte fremgangsmåter anbefaler å aktivere denne innstillingen med en minimum passordlengde på minst 8; dette gjør det vanskeligere for brute force-angrep å lykkes. Kompleksitetskrav krever vanligvis passordet for å inkludere en blanding av:
    • Store eller små bokstaver (a Til Å og a til å)
    • Numeriske tegn (0-9)
    • ikke-alfanumeriske tegn som $, # eller %
    • Ikke mer enn to symboler fra brukerens kontonavn eller visningsnavn
  • Lagre passord ved hjelp av reversibel kryptering-Standard Er Deaktivert. Denne innstillingen gir støtte for apper som krever at brukere oppgir et passord for godkjenning. Administratorer bør holde denne innstillingen deaktivert fordi aktivering av det ville tillate angripere kjent med hvordan bryte denne krypteringen for å logge på nettverket når de kompromitterer kontoen. Som et unntak kan du aktivere denne innstillingen når Du bruker Internet Authentication Services (Ias) eller CHALLENGE Handshake Authentication Protocol (CHAP).

Finkornet Policy Og Hvordan Den Er Konfigurert

Eldre versjoner av AD tillot oppretting av bare ett passordpolicy for hvert domene. Innføringen av FINKORNEDE passordpolicyer (fgpp) i senere versjoner av AD har gjort det mulig for administratorer å opprette flere passordpolicyer for å bedre dekke forretningsbehov. Du kan for eksempel kreve administratorkontoer for å bruke mer komplekse passord enn vanlige brukerkontoer. Det er viktig at du definerer organisasjonsstrukturen nøye, slik at den kartlegger de ønskede passordpolicyene dine.

Når du definerer standarddomenepassordpolicy i ET GPO, angis Fgpp-er i objekter for Passordinnstillinger (Psoer). For å sette DEM opp, åpne ADAC, klikk på domenet ditt, naviger Til Systemmappen,og klikk Deretter På Passordinnstillingene.

Nist Sp 800-63 Password Guidelines

National Institute Of Standards (Nist) er et føderalt byrå med ansvar for å utstede kontroller og krav til håndtering av digitale identiteter. Spesiell Publikasjon 800-63B dekker standarder for passord. Revisjon 3 AV SP 800-63B, utgitt i 2017 og oppdatert i 2019, er gjeldende standard.

disse retningslinjene gir organisasjoner et grunnlag for å bygge en robust infrastruktur for passordsikkerhet. Nist anbefalinger inkluderer følgende:

  • Krev at brukergenererte passord skal være minst 8 tegn lange (6 for maskingenererte).
  • Tillat brukere å opprette passord på opptil 64 tegn.
  • Tillat brukere å bruke ASCII / Unicode-tegn i passordene sine.
  • Tillat passord Med sekvensielle eller gjentatte tegn.
  • krever ikke hyppige passordendringer. Selv om mange organisasjoner i mange år har pålagt brukere å endre passordene sine ofte, fører denne policyen ofte til at brukere gjør inkrementelle endringer i et basepassord, skriver passordene sine ned eller opplever lockout fordi de glemmer sine nye passord. Følgelig krever de nyeste nist 800-63b-standardene å bruke passordutløpspolicyer nøye. Nyere forskning tyder på at bedre alternativer inkluderer bruk av forbudte passordlister, bruk av lengre passordfraser og håndheving av flerfaktorautentisering for ekstra sikkerhet.

Retningslinjer For ANNONSEPASSORD Beste Praksis

generelt bør administratorer sørge for å:

  • Angi et minimum passord lengde på 8 tegn.
  • Opprett krav til passordkompleksitet.
  • Håndheve en passordhistorikkpolicy som ser tilbake på de siste 10 passordene til en bruker.
  • Gjør minimum passord alder 3 dager.
  • Tilbakestill lokale administratorpassord hver 180. dag(vurder å bruke Det Gratis Netwrix Bulk Password Reset tool for det).
  • Tilbakestill passord for enhetskontoen under vedlikehold en gang per år.
  • Krev passord for domeneadministratorkontoer som skal være minst 15 tegn lange.
  • Sett opp e-postvarsler for å la brukerne få vite at passord er satt til å utløpe (Gratis Netwrix Passordutløpsmelderverktøy kan hjelpe).
  • Vurder å opprette detaljerte passordpolicyer for å koble til bestemte organisasjonsenheter i stedet for å redigere Standardinnstillingene For Domenepolicy.
  • Bruk lister over forbudte passord.
  • Bruk passordstyringsverktøy til å lagre flere passord.

hvis du vil ha mer informasjon, kan du lese våre retningslinjer for passord for god sikkerhet i ANNONSEN.

brukeropplæring er like viktig som noen passordpolicy. Opplær brukerne dine om følgende regler for atferd:

  • ikke skriv ned passord. I stedet velger du sterke passord eller passord som du enkelt kan huske, og bruker passordstyringsverktøy.
  • ikke skriv inn passordet ditt når noen ser på.
  • Forstå AT HTTPS: / / – adresser er sikrere ENN HTTP: / / – Nettadresser.
  • ikke bruk det samme passordet for flere nettsteder som gir tilgang til sensitiv informasjon.

VANLIGE spørsmål

hvordan finner Og redigerer Jeg Active Directory – passordpolicyen?

du kan finne GJELDENDE ad-passordpolicy for et bestemt domene enten ved å navigere Til Datamaskinkonfigurasjon -> Policyer -> Windows-Innstillinger – > Sikkerhetsinnstillinger – > Kontopolicyer – > Passordpolicy via administrasjonskonsollen, eller Ved Å bruke powershell-kommandoen Get-ADDefaultDomainPasswordPolicy.

er passord kryptert I Active Directory?

Ja. Passord opprettet av en bruker gå gjennom en hashing algoritme som krypterer dem.

Hva er Active Directory-passordkompleksitet?

Kompleksitetskrav kontrollerer tegnene som ikke kan eller ikke kan inkluderes i et passord. Brukere kan for eksempel bli forhindret fra å bruke brukernavnet som passord, eller må inkludere minst ett tall og en liten bokstav i passordet.

Hva Er Passordpolicy For Windows Server?

Passordpolicy for Windows Server styrer passord for tilgang Til Windows-servere.

hvordan finner, redigerer eller deaktiverer jeg en passordpolicy I Windows Server?

Finn GPO gjennom Konsollen For Gruppepolicybehandling og klikk Rediger.

hva er en god passordpolitikk?

Beste praksis inkluderer følgende:

  • Få brukerne til å opprette minst10 nye passord før du gjenbruker en gammel.
  • Bruk en maksimal passordalder på 42 dager.
  • Bruk en minimumspassordalder på 3 dager.
  • Få brukere til å opprette passord som er minst 8 tegn lange.
  • Aktiver Alternativet «Kompleksitetskrav».
  • Deaktiver reversibel kryptering.
Jeff Er Tidligere Direktør For Global Solutions Engineering I Netwrix. Han er En Lang Tid Netwrix blogger, høyttaler, og programleder. I netwrix-bloggen deler Jeff lifehacks, tips og triks som dramatisk kan forbedre systemadministrasjonsopplevelsen din.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.