Hoe Active Directory wachtwoordbeleid

in te stellen en te beheren met cyberaanvallen die over de hele wereld exploderen, is het belangrijker dan ooit voor organisaties om een robuust wachtwoordbeleid te hebben. Hackers krijgen vaak toegang tot bedrijfsnetwerken via legitieme gebruikers-of beheerdersreferenties, wat leidt tot beveiligingsincidenten en nalevingsfouten. In dit artikel onderzoeken we hoe u een sterk en effectief Active Directory-wachtwoordbeleid kunt maken en onderhouden.

hoe aanvallers zakelijke wachtwoorden compromitteren

Hackers gebruiken verschillende technieken om zakelijke wachtwoorden in gevaar te brengen, waaronder::

  • Brute force attack-Hackers lopen programma ‘ s die verschillende potentiële wachtwoord combinaties in te voeren totdat ze raken op de juiste.
  • woordenboekaanval – dit is een specifieke vorm van brute krachtaanval waarbij woorden in het woordenboek als mogelijke wachtwoorden worden geprobeerd.
  • Password spraying attack-Hackers voer een bekende gebruikersnaam of andere account identifier in en probeer meerdere veelgebruikte wachtwoorden om te zien of ze werken.
  • Credential stuffing attack-Hackers gebruiken geautomatiseerde tools om lijsten met referenties in te voeren tegen verschillende inlogportalen van bedrijven.
  • Spidering-kwaadwillende gebruikers verzamelen zoveel mogelijk informatie over een hackingdoel, en proberen dan wachtwoordcombinaties uit die met die gegevens zijn gemaakt.

Active Directory-wachtwoordbeleid weergeven en bewerken

om zich tegen deze aanvallen te verdedigen, hebben organisaties een sterk Active Directory-wachtwoordbeleid nodig. Wachtwoordbeleid definieert verschillende regels voor het maken van wachtwoorden, zoals minimale lengte, details over de complexiteit (zoals of een speciaal teken vereist is) en de duur van het wachtwoord voordat het moet worden gewijzigd.

Standaarddomeinbeleid is een groepsbeleidsobject dat instellingen bevat die van invloed zijn op alle objecten in het domein. Als u een domeinwachtwoordbeleid wilt weergeven en configureren, kunnen beheerders de Console Groepsbeleidsbeheer gebruiken. Vouw de map domeinen uit en kies het domein waarvan u het beleid wilt openen en kies vervolgens groepsbeleidsobjecten. Klik met de rechtermuisknop op de map Standaarddomeinbeleid en selecteer Bewerken. Navigeer naar Computerconfiguratie -> beleid -> Windows-instellingen- > beveiligingsinstellingen- > Accountbeleid – > wachtwoordbeleid.

u kunt ook toegang krijgen tot uw domeinwachtwoordbeleid door het volgende PowerShell-commando uit te voeren:

Get-ADDefaultDomainPasswordPolicy

onthoud dat alle wijzigingen die u aanbrengt in het standaard domein wachtwoordbeleid van toepassing zijn op elk account binnen dat domein. U kunt fijnmazig wachtwoordbeleid maken en beheren met het Active Directory Management Center (ADAC) in Windows Server.

Wat is AD Password Policy Settings

hier zijn de zes wachtwoordbeleidsinstellingen en hun standaardwaarden:

  • wachtwoordgeschiedenis afdwingen-standaard is 24. Deze instelling specificeert het aantal unieke wachtwoorden dat gebruikers moeten maken voordat ze een oud wachtwoord opnieuw gebruiken. Het behouden van de standaardwaarde wordt aanbevolen om het risico van gebruikers met wachtwoorden die zijn gecompromitteerd te verminderen.
  • maximale wachtwoordleeftijd — standaard is 42. Deze instelling bepaalt hoe lang een wachtwoord kan bestaan voordat het systeem de gebruiker dwingt om het te wijzigen. Gebruikers krijgen meestal een pop-up waarschuwing wanneer ze het einde van hun wachtwoord vervalperiode te bereiken. U kunt deze instelling controleren via PowerShell door het uitvoeren van het commando net user USERNAME / domain. Houd er rekening mee dat het forceren van frequente wachtwoordwijzigingen kan leiden tot gebruikers het schrijven van hun wachtwoorden neer of het aannemen van praktijken zoals het toevoegen van de maand aan een stem woord dat ze hergebruiken, die eigenlijk verhoging van de veiligheidsrisico ‘ s. Het instellen van” Maximum password age ” op 0 betekent dat wachtwoorden nooit verlopen (wat over het algemeen niet wordt aanbevolen).
  • minimumwachtwoordleeftijd-standaard is 1 dag. Deze instelling geeft aan hoe lang een wachtwoord moet bestaan voordat de gebruiker het mag wijzigen. Het instellen van een minimumleeftijd voorkomt dat gebruikers hun wachtwoord herhaaldelijk opnieuw instellen om de instelling “wachtwoordgeschiedenis afdwingen” te omzeilen en onmiddellijk een favoriet wachtwoord te hergebruiken.
  • minimale wachtwoordlengte-standaard is 7. Deze instelling bepaalt het minste aantal tekens dat een wachtwoord kan hebben. Hoewel kortere wachtwoorden gemakkelijker te kraken zijn voor hackers, kan het vereisen van echt lange wachtwoorden leiden tot lockouts van mistyping en tot veiligheidsrisico ‘ s van gebruikers die hun wachtwoorden opschrijven.
  • Complexity requirements-standaard is ingeschakeld. Deze instelling geeft details over de typen tekens die een gebruiker moet opnemen in een wachtwoordstring. Best practices raden aan om deze instelling in te schakelen met een minimale wachtwoordlengte van ten minste 8; Dit maakt het moeilijker voor brute force aanvallen om te slagen. Complexiteit eisen vereisen meestal het wachtwoord om een mix van:

    • hoofdletters of kleine letters (A tot en met Z en a tot en met z)
    • numerieke tekens (0-9)
    • niet-alfanumerieke tekens zoals$, # of %
    • niet meer dan twee symbolen van de accountnaam of weergavenaam van de gebruiker
  • Wachtwoorden opslaan met omkeerbare versleuteling-standaard is uitgeschakeld. Deze instelling biedt ondersteuning voor apps waarvoor gebruikers een wachtwoord moeten invoeren voor verificatie. Admins moeten deze instelling uitgeschakeld te houden, omdat het inschakelen van het zou toestaan aanvallers bekend met hoe het breken van deze encryptie in te loggen op het netwerk zodra ze het account in gevaar brengen. Bij wijze van uitzondering kunt u deze instelling inschakelen wanneer u IAS (Internet Authentication Services) of CHAP (Challenge Handshake Authentication Protocol) gebruikt.

fijnmazig beleid en hoe het is geconfigureerd

oudere versies van AD maakten het mogelijk om slechts één wachtwoordbeleid te maken voor elk domein. De introductie van fijnkorrelige wachtwoordbeleid (fgpp) in latere versies van AD heeft het mogelijk gemaakt voor admins om meerdere wachtwoordbeleid te maken om beter te voldoen aan zakelijke behoeften. U kunt bijvoorbeeld eisen dat admin-accounts complexere wachtwoorden gebruiken dan gewone gebruikersaccounts. Het is belangrijk dat u uw organisatiestructuur zorgvuldig te definiëren, zodat het wordt gekoppeld aan uw gewenste wachtwoord beleid.

terwijl u het standaard domeinwachtwoordbeleid in een groepsbeleidsobject definieert, worden Fgpp ’s ingesteld in Password settings objects (PSO’ s). Om ze in te stellen, opent u de ADAC, klikt u op uw domein, navigeert u naar de systeemmap en klikt u vervolgens op de Container met Wachtwoordinstellingen.

NIST SP 800-63 Password Guidelines

het National Institute of Standards (NIST) is een Federaal Agentschap dat belast is met de uitgifte van controles en vereisten rond het beheer van digitale identiteiten. Speciale publicatie 800-63B behandelt standaarden voor wachtwoorden. Herziening 3 van SP 800-63B, uitgegeven in 2017 en bijgewerkt in 2019, is de huidige standaard.

deze richtlijnen bieden organisaties een basis voor het bouwen van een robuuste infrastructuur voor wachtwoordbeveiliging. NIST-aanbevelingen omvatten de volgende:

  • vereist dat door de gebruiker gegenereerde wachtwoorden ten minste 8 tekens lang zijn (6 voor door de machine gegenereerde wachtwoorden).
  • gebruikers toestaan om wachtwoorden tot 64 tekens lang te maken.
  • gebruikers toestaan om ASCII/Unicode-tekens in hun wachtwoorden te gebruiken.
  • wachtwoorden met opeenvolgende of herhaalde tekens niet toestaan.
  • vereisen geen frequente wachtwoordwijzigingen. Hoewel vele organisaties al jaren gebruikers nodig hebben om hun wachtwoorden regelmatig te wijzigen, leidt dit beleid er vaak toe dat gebruikers incrementele wijzigingen aanbrengen in een basiswachtwoord, hun wachtwoorden opschrijven of lockouts ervaren omdat ze hun nieuwe wachtwoorden vergeten. Dienovereenkomstig vragen de nieuwste NIST 800-63B-normen om het wachtwoord-verloopbeleid zorgvuldig te gebruiken. Meer recent onderzoek suggereert dat betere alternatieven zijn het gebruik van verboden wachtwoordlijsten, het gebruik van langere wachtzinnen en het afdwingen van multi-factor authenticatie voor extra veiligheid.

AD Password Policy Best Practices

:

  • Stel een minimum wachtwoord lengte van 8 tekens.
  • vereisten voor de complexiteit van wachtwoorden vaststellen.
  • een wachtwoordhistorisch beleid afdwingen dat terugkijkt op de laatste 10 wachtwoorden van een gebruiker.
  • Maak het minimumwachtwoord leeftijd 3 dagen.
  • Reset elke 180 dagen lokale beheerderswachtwoorden (overweeg hiervoor de gratis Netwrix Bulk Password Reset tool te gebruiken).
  • stel apparaataccountwachtwoorden één keer per jaar opnieuw in tijdens onderhoud.
  • vereisen dat wachtwoorden voor domeinbeheerdersaccounts ten minste 15 tekens lang zijn.
  • stel e-mailmeldingen in om gebruikers te laten weten dat wachtwoorden zijn ingesteld op verlopen (de gratis Netwrix wachtwoord verlopen Notifier tool kan helpen).
  • overweeg om een granulair wachtwoordbeleid te maken om verbinding te maken met specifieke organisatie-eenheden in plaats van de standaard Domeinbeleidsinstellingen te bewerken.
  • gebruik verboden wachtwoordlijsten.
  • gebruik hulpmiddelen voor wachtwoordbeheer om meerdere wachtwoorden op te slaan.

Lees voor meer informatie onze best practices voor wachtwoordbeleid voor sterke beveiliging in AD.

Gebruikerseducatie is net zo cruciaal als elk wachtwoordbeleid. Informeer uw gebruikers over de volgende gedragsregels:

  • schrijf geen wachtwoorden op. In plaats daarvan, kies sterke wachtwoorden of wachtzinnen die u gemakkelijk kunt herinneren, en gebruik password management tools.
  • Typ uw wachtwoord niet wanneer iemand kijkt.
  • begrijp dat HTTPS: / / adressen veiliger zijn dan HTTP:// URL ‘ s.
  • gebruik niet hetzelfde wachtwoord voor meerdere websites die toegang bieden tot gevoelige informatie.

FAQ

Hoe kan ik mijn Active Directory-wachtwoordbeleid vinden en bewerken?

u kunt uw huidige ad-wachtwoordbeleid voor een specifiek domein vinden door via de beheerconsole naar Computerconfiguratie -> beleid -> Windows-instellingen- > beveiligingsinstellingen- > Accountbeleid-> wachtwoordbeleid te navigeren, of door de PowerShell-opdracht Get-ADDefaultDomainPasswordPolicy te gebruiken.

zijn wachtwoorden versleuteld in Active Directory?

Ja. Wachtwoorden gemaakt door een gebruiker gaan door een hashing algoritme dat ze versleutelt.

Wat is de complexiteit van Active Directory-wachtwoorden?

Complexity requirements bepalen de tekens die niet in een wachtwoord kunnen of kunnen worden opgenomen. Gebruikers kunnen bijvoorbeeld worden verhinderd hun gebruikersnaam als wachtwoord te gebruiken, of worden verplicht om ten minste één nummer en één kleine letter in het wachtwoord op te nemen.

Wat is het wachtwoordbeleid voor Windows Server?

het wachtwoordbeleid van Windows Server bepaalt de wachtwoorden voor toegang tot Windows-servers.

Hoe kan ik een wachtwoordbeleid vinden, bewerken of uitschakelen in Windows Server?

zoek het groepsbeleidsobject via de Console Groepsbeleidsbeheer en klik op Bewerken.

Wat is een goed wachtwoordbeleid?

beste praktijken zijn onder meer::

  • laat gebruikers ten minste 10 nieuwe wachtwoorden maken voordat ze een oude opnieuw gebruiken.
  • pas een maximale wachtwoordleeftijd van 42 dagen toe.
  • pas een minimumwachtwoordleeftijd van 3 dagen toe.
  • laat gebruikers wachtwoorden maken die minstens 8 tekens lang zijn.
  • Schakel de optie “Complexity requirements” in.
  • schakel omkeerbare versleuteling uit.
Jeff is een voormalig directeur van Global Solutions Engineering bij Netwrix. Hij is een lange tijd Netwrix blogger, spreker en presentator. In de NetWrix blog, Jeff deelt lifehacks, tips en trucs die drastisch kunnen verbeteren van uw systeembeheer ervaring.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.