Komplexitet och policy för Active Directory-lösenord


Vilka är lösenordskomplexitetskrav?

Vissa typer av lösenord är särskilt lätta för en dedikerad hackare att få eftersom de saknar komplexitet. Komplexitet mäts utifrån hur svårt det skulle vara för en hackare att gissa användarens lösenord med hjälp av uppenbar information som deras namn, eller att bryta in på deras konto med en brutal kraftattack. Ett bra exempel på ett lösenordskomplexitetskrav är ett som säkerställer att alla lösenord är minst åtta tecken långa.

Komplexitetskraven måste ha en noggrann balans – de bör vara stränga nog för att avvärja alla utom de mest dedikerade av cyberbrottslingar, men inte så stränga att de frustrerar användarna och översvämmar helpdesk med samtal. Det är bästa praxis att använda någon form av lösenordskomplexitetskrav. Om standardinställningarna för AD är antingen för stränga eller inte tillräckligt strikta för dina behov, var noga med att ersätta policyn istället för att bara inaktivera den.

Vad är lösenordskomplexiteten i grupprincipobjekt?

Grupprincipobjekt representerar specifika grupper av användare för vilka du kan ställa in specifika lösenordskrav, på ungefär samma sätt som du ger olika användargrupper olika åtkomstnivåer till företagets tillgångar. Att skapa mer betungande Active Directory-lösenordskomplexitetskrav för de användare som har tillgång till mer känslig information, samtidigt som man frågar mindre av majoriteten av dina användare, är ett utmärkt sätt att minimera påverkan på hjälpcentraler samtidigt som du skyddar dina mest värdefulla data.

GPO: er tillåter dig att utföra ett antal funktioner ur säkerhetssynpunkt, inklusive att inaktivera lokala administratörsrättigheter, bevilja administrativa behörigheter till enskilda individer eller grupper och inaktivera föråldrade protokoll som SSLv2. Det gör också hanteringen mycket enklare ur ett säkerhetsperspektiv.

Vad är standardlösenordspolicyn för AD?

För alla versioner av Windows-programvara sedan Windows 2000 är standardkraven för Active Directory-lösenordskomplexitet enkla: användaren kan inte använda sina egna namn och måste innehålla olika typer av tecken.

För det första kan användarens lösenord inte innehålla sitt kontonamn eller sitt fullständiga namn. Precis som ”Password1234” är ett lösenord som upprepar eller ändrar ditt kontonamn otroligt enkelt för hackare att gissa. Denna kontroll åsidosätts om användarens kontonamn eller fullständiga namn är kortare än tre tecken. Om du har en initial i din Fullt namn, till exempel kommer du inte att förbjudas att använda den bokstaven i ditt lösenord.

För det andra måste lösenord innehålla tecken från en mängd olika kategorier. Dessa kategorier inkluderar: versaler, små bokstäver ; enkelsiffriga 0-9; specialtecken som!, &,%, $ eller #; och Unicode-tecken. Under Windows 10s standardkrav för lösenordskomplexitet måste varje lösenord innehålla tecken från åtminstone tre av dessa kategorier. Denna regel, tillsammans med kravet på att lösenord ska vara minst åtta tecken, gör det mycket svårare att bryta sig in på ett konto med en brute force-attack. Hackare skulle behöva gå igenom minst 218,340,105,584,896 olika möjligheter för att få ett enda lösenord.

Automatisera åtkomst

Om allt detta tycks vara lite komplicerat beror det på att det är det. Medan AD erbjuder många funktioner för att bestämma vem som ska vara föremål för vilka begränsningar när det gäller lösenordskomplexitet, kan man hålla reda på vilka grupper som är föremål för vilken policy som snabbt kan bli överväldigande. En resurs som SolarWinds® Access Rights Manager kan hjälpa dig att förbättra IT- och datasäkerheten genom att automatisera detta arbete.

Access Rights Manager är ett kraftfullt och intuitivt system för övervakning och åtkomsthantering för företag i alla storlekar som erbjuder hotskydd inifrån och ut. Vi kallar det förenklat säkerhet. Det visar tydligt gruppmedlemskap från AD och gör det helt klart vem som har åtkomsträttigheter till vilka filservrar. Du kan också övervaka, analysera och granska AD- och grupppolicy, eftersom Access Rights Manager skapar en storbok som beskriver vem som gjorde ändringar i policyer och när, förenklar efterlevnad och minskar risk.

Nu när du känner till Active Directory lösenordspolicyer och de verktyg du kan använda för att utnyttja dem, du har vad du behöver för att säkerställa att dina användare är säkra och att de bästa metoderna för AD-lösenordspolicy följs.

Leave a Reply

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *