Så här ställer du in och hanterar Active Directory-lösenordspolicy

med cyberattacker som exploderar runt om i världen är det viktigare än någonsin för organisationer att ha en robust lösenordspolicy. Hackare får ofta tillgång till företagsnätverk genom legitima användar-eller administratörsuppgifter, vilket leder till säkerhetsincidenter och efterlevnadsfel. I den här artikeln kommer vi att undersöka hur man skapar och upprätthåller en stark och effektiv Active Directory-lösenordspolicy.

hur angripare kompromissar Företagslösenord

hackare använder en mängd olika tekniker för att kompromissa företagslösenord, inklusive följande:

  • Brute force attack-hackare kör program som anger olika potentiella lösenordskombinationer tills de träffar den rätta.
  • Dictionary attack — Detta är en specifik form av brute force attack som innebär att försöka ord som finns i ordboken som möjliga lösenord.
  • Password spraying attack — hackare anger ett känt användarnamn eller annan kontoidentifierare och försöker flera vanliga lösenord för att se om de fungerar.
  • Credential stuffing attack — hackare använder automatiserade verktyg för att ange listor med referenser mot olika företagsinloggningsportaler.
  • Spidering — skadliga användare samlar in så mycket information som möjligt om ett hackingmål och provar sedan lösenordskombinationer som skapats med hjälp av den informationen.

så här visar och redigerar du Active Directory-lösenordspolicy

för att försvara sig mot dessa attacker behöver organisationer en stark Active Directory-lösenordspolicy. Lösenordspolicyer definierar olika regler för att skapa lösenord, till exempel minsta längd, detaljer om komplexiteten (som om ett specialtecken krävs) och hur länge lösenordet varar innan det måste ändras.

Standarddomänpolicy är ett grupprincipobjekt (GPO) som innehåller inställningar som påverkar alla objekt i domänen. Om du vill visa och konfigurera en princip för domänlösenord kan administratörer använda GPMC (Group Policy Management Console). Expandera mappen domäner och välj den domän vars princip du vill komma åt och välj sedan grupprincipobjekt. Högerklicka på mappen Standarddomänpolicy och välj Redigera. Navigera till Datorkonfiguration – > policyer – > Windows-Inställningar- > säkerhetsinställningar- > Kontopolicyer – > lösenordspolicy.

Alternativt kan du komma åt din domänlösenordspolicy genom att utföra följande PowerShell-kommando:

Get-ADDefaultDomainPasswordPolicy

kom ihåg att alla ändringar du gör i standardpolicyn för domänlösenord gäller för alla konton inom den domänen. Du kan skapa och hantera finkorniga lösenordspolicyer med Active Directory Management Center (ADAC) i Windows Server.

Understanding ad Password Policy Settings

här är de sex lösenordsinställningarna och deras standardvärden:

  • genomdriva lösenordshistorik-Standard är 24. Den här inställningen anger antalet unika lösenord som användare måste skapa innan de återanvänder ett gammalt lösenord. Att behålla standardvärdet rekommenderas för att minska risken för att användare har lösenord som har äventyrats.
  • högsta lösenord ålder — Standard är 42. Denna inställning fastställer hur länge ett lösenord kan finnas innan systemet tvingar användaren att ändra det. Användare får vanligtvis en popup-varning när de når slutet av lösenordets utgångsperiod. Du kan kontrollera den här inställningen via PowerShell genom att köra kommandot net användarnamn/domän. Tänk på att tvinga frekventa lösenordsändringar kan leda till att användare skriver ner sina lösenord eller antar metoder som att lägga till månaden till ett stem-ord som de återanvänder, vilket faktiskt ökar säkerhetsriskerna. Att ställa in ”maximal lösenordsålder” till 0 innebär att lösenord aldrig löper ut (vilket i allmänhet inte rekommenderas).
  • minsta lösenord ålder — Standard är 1 dag. Den här inställningen anger hur länge ett lösenord måste finnas innan användaren får ändra det. Att ställa in en lägsta ålder hindrar användare från att återställa sitt lösenord upprepade gånger för att kringgå inställningen ”genomdriva lösenordshistorik” och återanvända ett favoritlösenord omedelbart.
  • minsta lösenordslängd — Standard är 7. Den här inställningen anger hur få tecken ett lösenord kan ha. Medan kortare lösenord är lättare för hackare att knäcka, kräver riktigt långa lösenord kan leda till lockouts från felskrivning och säkerhetsrisker från användare skriva ner sina lösenord.
  • Komplexitetskrav — Standard är aktiverat. Den här inställningen beskriver vilka typer av tecken en användare måste inkludera i en lösenordssträng. Bästa praxis rekommenderar att du aktiverar den här inställningen med en minsta lösenordslängd på minst 8; Detta gör det svårare för brute force-attacker att lyckas. Komplexitetskrav kräver vanligtvis att lösenordet innehåller en blandning av:
    • stora eller små bokstäver (A till Z och A till z)
    • numeriska tecken (0-9)
    • icke-alfanumeriska tecken som$, # eller %
    • högst två symboler från användarens kontonamn eller visningsnamn
  • lagra lösenord med reversibel kryptering-standard är inaktiverad. Den här inställningen ger stöd för appar som kräver att användare anger ett lösenord för autentisering. Administratörer bör hålla den här inställningen inaktiverad eftersom aktivering av den skulle tillåta angripare som är bekanta med hur man bryter denna kryptering för att logga in i nätverket när de äventyrar kontot. Som ett undantag kan du aktivera den här inställningen när du använder Internet Authentication Services (IAS) eller Challenge Handshake Authentication Protocol (CHAP).

finkornig Policy och hur den är konfigurerad

äldre versioner av AD tillät skapandet av bara en lösenordspolicy för varje domän. Införandet av finkorniga lösenordspolicyer (fgpp) i senare versioner av AD har gjort det möjligt för administratörer att skapa flera lösenordspolicyer för att bättre möta affärsbehov. Du kanske till exempel vill kräva att administratörskonton använder mer komplexa lösenord än vanliga användarkonton. Det är viktigt att du definierar din organisationsstruktur eftertänksamt så att den kartlägger dina önskade lösenordspolicyer.

medan du definierar standardpolicyn för domänlösenord i ett grupprincipobjekt, anges Fgpp i lösenordsinställningsobjekt (pso). För att ställa in dem, öppna ADAC, klicka på din domän, navigera till systemmappen och klicka sedan på behållaren för lösenordsinställningar.

NIST SP 800-63 riktlinjer för lösenord

National Institute of Standards (NIST) är en federal myndighet som ansvarar för att utfärda kontroller och krav kring hantering av digitala identiteter. Särskild publikation 800-63B täcker standarder för lösenord. Revision 3 av SP 800-63B, utfärdad 2017 och uppdaterad 2019, är den nuvarande standarden.

dessa riktlinjer ger organisationer en grund för att bygga en robust infrastruktur för lösenordssäkerhet. NIST-rekommendationer inkluderar följande:

  • Kräv att användargenererade lösenord ska vara minst 8 tecken långa (6 för maskingenererade).
  • Tillåt användare att skapa lösenord upp till 64 tecken långa.
  • Tillåt användare att använda ASCII/Unicode-tecken i sina lösenord.
  • Tillåt lösenord med sekventiella eller upprepade tecken.
  • kräver inte frekventa lösenordsändringar. Även om många organisationer i flera år har krävt att användare ändrar sina lösenord ofta, leder denna policy ofta till att användare gör stegvisa ändringar i ett baslösenord, skriver ner sina lösenord eller upplever lockouts eftersom de glömmer sina nya lösenord. Följaktligen kräver de senaste NIST 800-63B-standarderna att du använder lösenordets utgångspolicy noggrant. Nyare forskning tyder på att bättre alternativ inkluderar att använda förbjudna lösenordslistor, använda längre lösenordsfraser och genomdriva multifaktorautentisering för ytterligare säkerhet.

AD lösenord Policy bästa praxis

mer allmänt, administratörer bör se till att:

  • Ställ in en minsta lösenordslängd på 8 tecken.
  • upprätta krav på lösenordskomplexitet.
  • genomdriva en policy för lösenordshistorik som ser tillbaka på de senaste 10 lösenorden för en användare.
  • gör minsta lösenordsålder 3 dagar.
  • Återställ lokala administratörslösenord var 180: e dag (överväg att använda det gratis Netwrix Bulk Password Reset-verktyget för det).
  • Återställ lösenord för enhetskonto under Underhåll en gång per år.
  • kräver att lösenord för domänadministratörskonton är minst 15 tecken långa.
  • Ställ in e-postmeddelanden för att låta användarna veta att lösenord är inställda att löpa ut (det kostnadsfria verktyget Netwrix Password Expiration Notifier kan hjälpa till).
  • överväg att skapa granulära lösenordspolicyer för att länka till specifika organisationsenheter istället för att redigera standardinställningarna för Domänpolicyn.
  • använd förbjudna lösenordslistor.
  • använd lösenordshanteringsverktyg för att lagra flera lösenord.

för mer information, läs vår bästa praxis för lösenordspolicy för stark säkerhet i AD.

användarutbildning är lika viktigt som någon lösenordspolicy. Utbilda dina användare om följande regler för beteende:

  • skriv inte ner lösenord. Välj istället starka lösenord eller lösenordsfraser som du enkelt kan komma ihåg och använd lösenordshanteringsverktyg.
  • skriv INTE ditt lösenord när någon tittar.
  • förstå att HTTPS:// adresser är säkrare än HTTP:// webbadresser.
  • använd inte samma lösenord för flera webbplatser som ger tillgång till känslig information.

FAQ

hur hittar jag och redigerar min Active Directory-lösenordspolicy?

du kan hitta din nuvarande ANNONSLÖSENORDSPOLICY för en viss domän antingen genom att navigera till Datorkonfiguration -> policyer -> Windows-Inställningar- > säkerhetsinställningar- > Kontopolicyer-> lösenordspolicy via hanteringskonsolen eller genom att använda PowerShell-kommandot Get-ADDefaultDomainPasswordPolicy.

är lösenord krypterade i Active Directory?

Ja. Lösenord som skapats av en användare går igenom en hashingalgoritm som krypterar dem.

Vad är Active Directory lösenord komplexitet?

Komplexitetskrav styr de tecken som inte kan eller inte kan inkluderas i ett lösenord. Användare kan till exempel hindras från att använda sitt användarnamn som lösenord eller måste inkludera minst ett nummer och en liten bokstav i lösenordet.

Vad är Windows Server password policy?

Windows Server password policy kontrollerar lösenord för åtkomst till Windows-servrar.

hur hittar jag, redigerar eller inaktiverar en lösenordspolicy i Windows Server?

leta reda på GRUPPRINCIPOBJEKTET via Grupprinciphanteringskonsolen och klicka på Redigera.

Vad är en bra lösenordspolicy?

bästa praxis inkluderar följande:

  • Låt användare skapa åtminstone10 nya lösenord innan de återanvänder en gammal.
  • använd en maximal lösenordsålder på 42 dagar.
  • använd en lägsta lösenordsålder på 3 dagar.
  • gör att användare skapar lösenord som är minst 8 tecken långa.
  • aktivera alternativet ”Komplexitetskrav”.
  • inaktivera reversibel kryptering.
Jeff är tidigare chef för Global Solutions Engineering på Netwrix. Han är en lång tid Netwrix bloggare, högtalare, och presentatör. I NetWrix-bloggen delar Jeff lifehacks, tips och tricks som dramatiskt kan förbättra din systemadministrationsupplevelse.

Lämna ett svar

Din e-postadress kommer inte publiceras.