w przypadku cyberataków na całym świecie posiadanie solidnych zasad haseł jest ważniejsze niż kiedykolwiek wcześniej. Hakerzy często uzyskują dostęp do sieci korporacyjnych za pośrednictwem uzasadnionych poświadczeń użytkowników lub administratorów, co prowadzi do incydentów bezpieczeństwa i błędów zgodności. W tym artykule omówimy, jak stworzyć i utrzymać silną i skuteczną politykę haseł w usłudze Active Directory.
jak hakerzy naruszają hasła firmowe
hakerzy wykorzystują różne techniki do naruszania haseł firmowych, w tym następujące:
- Brute force attack-hakerzy uruchamiają programy, które wprowadzają różne potencjalne kombinacje haseł, dopóki nie uderzą w właściwe.
- atak słownikowy-jest to specyficzna forma ataku brute force, która polega na wypróbowaniu słów znalezionych w słowniku jako możliwych haseł.
- atak natryskiwania hasłem-hakerzy wprowadzają znaną nazwę użytkownika lub inny identyfikator konta i próbują wielu popularnych haseł, aby sprawdzić, czy działają.
- credential stuffing attack-hakerzy używają zautomatyzowanych narzędzi do wprowadzania list poświadczeń przeciwko różnym portalom logowania firmowego.
- Spidering — złośliwi użytkownicy zbierają jak najwięcej informacji o celu hakerskim, a następnie wypróbowują kombinacje haseł utworzone za pomocą tych danych.
Jak wyświetlić i edytować Politykę haseł w usłudze Active Directory
aby bronić się przed tymi atakami, organizacje potrzebują silnej polityki haseł w usłudze Active Directory. Zasady dotyczące haseł definiują różne zasady tworzenia haseł, takie jak minimalna długość, szczegóły dotyczące złożoności (np. czy wymagany jest znak specjalny) oraz czas trwania hasła, zanim zostanie zmienione.
domyślna Polityka domeny to obiekt zasad grupy (GPO), który zawiera ustawienia wpływające na wszystkie obiekty w domenie. Aby wyświetlić i skonfigurować zasady haseł domeny, Administratorzy mogą korzystać z konsoli zarządzania zasadami grupy (GPMC). Rozwiń folder domeny i wybierz domenę, do której zasady chcesz uzyskać dostęp, a następnie wybierz obiekty zasad grupy. Kliknij prawym przyciskiem myszy folder domyślna Polityka domeny i wybierz Edytuj. Przejdź do konfiguracji komputera -> Zasady -> Ustawienia systemu Windows -> ustawienia zabezpieczeń -> Zasady konta -> Zasady hasła.
Alternatywnie możesz uzyskać dostęp do zasad haseł domeny, wykonując następujące polecenie PowerShell:
Get-ADDefaultDomainPasswordPolicy
pamiętaj, że wszelkie zmiany wprowadzone w zasadach domyślnego hasła domeny dotyczą każdego konta w tej domenie. Można tworzyć i zarządzać drobnoziarnistymi zasadami haseł za pomocą Active Directory Management Center (ADAC) w systemie Windows Server.
zrozumienie ustawień zasad haseł reklam
oto sześć ustawień zasad haseł i ich wartości domyślne:
- wymuszaj historię haseł-domyślnie jest to 24. To ustawienie określa liczbę unikalnych haseł, które użytkownicy muszą utworzyć przed ponownym użyciem starego hasła. Zachowanie wartości domyślnej jest zalecane w celu zmniejszenia ryzyka, że użytkownicy mają hasła, które zostały naruszone.
- Maksymalny wiek hasła — domyślnie wynosi 42. To ustawienie określa, jak długo hasło może istnieć, zanim system zmusi użytkownika do jego zmiany. Użytkownicy zazwyczaj otrzymują wyskakujące ostrzeżenie po upływie okresu ważności hasła. Możesz sprawdzić to ustawienie za pomocą PowerShell, wykonując polecenie net user USERNAME/domain. Należy pamiętać, że wymuszanie częstych zmian haseł może prowadzić do zapisywania haseł lub przyjmowania praktyk, takich jak dołączanie miesiąca do słowa stem, którego ponownie używają, co faktycznie zwiększa ryzyko bezpieczeństwa. Ustawienie „Maksymalny wiek hasła” na 0 oznacza, że hasła nigdy nie wygasają (co zazwyczaj nie jest zalecane).
- minimalny wiek hasła — domyślnie 1 dzień. To ustawienie określa, jak długo hasło musi istnieć, zanim użytkownik będzie mógł je zmienić. Ustawienie minimalnego wieku uniemożliwia użytkownikom wielokrotne Resetowanie hasła w celu obejścia ustawienia „wymuszaj historię haseł” i natychmiastowego ponownego użycia ulubionego hasła.
- Minimalna długość hasła-domyślnie 7. To ustawienie określa najmniejszą liczbę znaków, jakie może mieć hasło. Podczas gdy krótsze hasła są łatwiejsze do złamania przez hakerów, Wymaganie naprawdę długich haseł może prowadzić do blokad przed błędnym wpisywaniem i zagrożeń bezpieczeństwa związanych z zapisywaniem haseł przez użytkowników.
- wymagania dotyczące złożoności-domyślnie jest włączona. To ustawienie określa typy znaków, które użytkownik musi uwzględnić w łańcuchu haseł. Najlepsze praktyki zalecają włączenie tego ustawienia przy minimalnej długości hasła wynoszącej co najmniej 8; utrudnia to skuteczne ataki brute force. Wymagania dotyczące złożoności zazwyczaj wymagają, aby hasło zawierało mieszankę:
-
- duże lub małe litery (od A do Z i od A do Z)
- znaki numeryczne (0-9)
- znaki nie alfanumeryczne, takie jak$, # lub %
- nie więcej niż dwa symbole z nazwy konta użytkownika lub nazwy wyświetlanej
- przechowuj hasła przy użyciu odwracalnego szyfrowania-domyślnie jest wyłączona. To ustawienie oferuje obsługę aplikacji, które wymagają od użytkowników wprowadzenia hasła do uwierzytelniania. Administratorzy powinni wyłączyć to ustawienie, ponieważ włączenie go pozwoliłoby atakującym zapoznać się z tym, jak złamać to Szyfrowanie, aby zalogować się do sieci, gdy naruszą konto. Wyjątek stanowi włączenie tego ustawienia w przypadku korzystania z usług uwierzytelniania internetowego (IAS) lub protokołu CHAP (Challenge Handshake Authentication Protocol).
drobnoziarnista polityka i sposób jej konfiguracji
starsze wersje AD pozwalały na utworzenie tylko jednej polityki haseł dla każdej domeny. Wprowadzenie drobnoziarnistych zasad haseł (fgpp) w późniejszych wersjach AD umożliwiło administratorom tworzenie wielu zasad haseł, aby lepiej zaspokoić potrzeby biznesowe. Na przykład możesz wymagać, aby konta administratora używały bardziej złożonych haseł niż zwykłe konta użytkowników. Ważne jest, aby starannie zdefiniować strukturę organizacyjną, aby odzwierciedlała ona pożądane zasady dotyczące haseł.
podczas definiowania domyślnej polityki hasła domeny w GPO, FGP są ustawiane w obiektach ustawień hasła (PSO). Aby je skonfigurować, otwórz ADAC, kliknij swoją domenę, przejdź do folderu systemowego, a następnie kliknij kontener ustawień hasła.
NIST SP 800-63 Password Guidelines
National Institute of Standards (NIST) jest Federalną Agencją zajmującą się wydawaniem kontroli i wymogów dotyczących zarządzania tożsamościami cyfrowymi. Publikacja specjalna 800-63B obejmuje standardy dla haseł. Wersja 3 SP 800-63B, wydana w 2017 r.i zaktualizowana w 2019 r., jest aktualnym standardem.
wytyczne te zapewniają organizacjom podstawy do budowy solidnej infrastruktury bezpieczeństwa hasłem. Zalecenia NIST obejmują następujące:
- wymaga, aby hasła generowane przez użytkowników miały co najmniej 8 znaków (6 dla haseł generowanych maszynowo).
- umożliwia użytkownikom tworzenie haseł o długości do 64 znaków.
- Zezwalaj użytkownikom na używanie dowolnych znaków ASCII / Unicode w swoich hasłach.
- nie Zezwalaj na hasła z sekwencyjnymi lub powtarzającymi się znakami.
- nie wymagają częstych zmian hasła. Chociaż od lat wiele organizacji wymaga od użytkowników częstej zmiany haseł, polityka ta często prowadzi do wprowadzania przez użytkowników przyrostowych zmian w podstawowym Hasle, zapisywania haseł lub blokowania, ponieważ zapominają nowych haseł. W związku z tym najnowsze standardy NIST 800-63B wymagają ostrożnego korzystania z zasad wygasania haseł. Nowsze badania sugerują, że lepsze alternatywy obejmują używanie list zakazanych haseł, używanie dłuższych haseł i wymuszanie uwierzytelniania wieloskładnikowego dla dodatkowego bezpieczeństwa.
zasady dotyczące haseł reklamowych najlepsze praktyki
mówiąc szerzej, administratorzy powinni zadbać o:
- ustaw minimalną długość hasła wynoszącą 8 znaków.
- ustal wymagania dotyczące złożoności hasła.
- wymuszaj Politykę historii haseł, która przegląda ostatnie 10 haseł użytkownika.
- podaj minimalny wiek hasła 3 dni.
- Resetuj lokalne hasła administratora co 180 dni (rozważ użycie do tego bezpłatnego narzędzia do masowego resetowania hasła Netwrix).
- Resetuj hasła konta urządzenia podczas konserwacji raz w roku.
- wymaga, aby hasła dla kont administratora domeny miały co najmniej 15 znaków.
- Skonfiguruj powiadomienia e-mail, aby użytkownicy wiedzieli, że hasła wygasają (darmowe narzędzie Netwrix Password expire Notifier może pomóc).
- zamiast edytować domyślne ustawienia zasad domeny, rozważ utworzenie szczegółowych zasad haseł, aby połączyć się z konkretnymi jednostkami organizacyjnymi.
- Użyj listy zakazanych haseł.
- Użyj narzędzi do zarządzania hasłami do przechowywania wielu haseł.
aby uzyskać więcej informacji, przeczytaj nasze zasady dotyczące haseł najlepsze praktyki dotyczące silnego bezpieczeństwa w reklamie.
Edukacja użytkowników jest tak samo ważna jak każda Polityka haseł. Zapoznaj użytkowników z następującymi zasadami zachowania:
- nie zapisuj haseł. Zamiast tego wybierz silne hasła lub hasła, które możesz łatwo przywołać, i użyj narzędzi do zarządzania hasłami.
- Nie wpisuj hasła, gdy ktoś ogląda.
- zrozum, że adresy HTTPS:// są bezpieczniejsze niż adresy URL HTTP://.
- nie używaj tego samego hasła dla wielu stron internetowych, które zapewniają dostęp do poufnych informacji.
FAQ
jak znaleźć i edytować moje zasady dotyczące haseł w usłudze Active Directory?
możesz znaleźć bieżącą politykę haseł reklam dla określonej domeny, przechodząc do konfiguracji komputera- > Zasady- > Ustawienia systemu Windows- > ustawienia zabezpieczeń- > Zasady konta- > Zasady hasła za pomocą konsoli zarządzania lub używając polecenia PowerShell Get-ADDefaultDomainPasswordPolicy.
czy hasła są szyfrowane w Active Directory?
tak. Hasła utworzone przez użytkownika przechodzą przez algorytm haszujący, który je szyfruje.
co to jest złożoność hasła Active Directory?
wymagania dotyczące złożoności kontrolują znaki, których nie można lub nie można zawrzeć w haśle. Na przykład użytkownicy mogą nie używać nazwy użytkownika jako hasła lub być zobowiązani do umieszczenia w haśle co najmniej jednej cyfry i jednej małej litery.
Co to jest polityka haseł systemu Windows Server?
Windows Server password policy kontroluje hasła dostępu do serwerów Windows.
jak znaleźć, edytować lub wyłączyć politykę haseł w systemie Windows Server?
Znajdź GPO za pomocą konsoli zarządzania zasadami grupy i kliknij Edytuj.
co to jest dobra polityka haseł?
najlepsze praktyki obejmują następujące:
- spraw, aby użytkownicy utworzyli co najmniej 10 nowych haseł przed ponownym użyciem starego.
- Zastosuj maksymalny wiek hasła 42 dni.
- Zastosuj minimalny wiek hasła 3 dni.
- zmusza użytkowników do tworzenia haseł o długości co najmniej 8 znaków.
- Włącz opcję „wymagania dotyczące złożoności”.
- Wyłącz odwracalne szyfrowanie.