Jak konfigurovat zásady hesla domény

V tomto článku se dozvíte, jak nakonfigurovat zásady hesla domény služby Active Directory.

Dozvíte se také:

  • Jaké jsou výchozí zásady pro hesla domény
  • Pochopte nastavení zásad pro hesla
  • Nejlepší zásady pro hesla postupy
  • Upravit zásady hesla domény

Co jsou výchozí zásady hesla domény?

Ve výchozím nastavení je služba Active Directory nakonfigurována s výchozí doménou zásady hesla. Tato zásada definuje požadavky na heslo pro uživatelské účty služby Active Directory, jako je délka hesla, věk atd.

Tato zásada hesla je konfigurována zásadami skupiny a propojena s kořenem domény. Chcete-li zobrazit zásady hesla, postupujte takto:

1. Otevřete konzolu pro správu zásad skupiny.

2. Rozbalte položku Domény, svou doménu a poté seskupte objekty zásad.

3. Klikněte pravým tlačítkem na výchozí zásady domény a klikněte na Upravit

4. Nyní přejděte do části Konfigurace počítače \ Zásady \ Nastavení systému Windows \ Nastavení zabezpečení \ Zásady účtu \ Zásady hesla

Můžete si také prohlédnout výchozí zásady hesla pomocí Powershellu pomocí tohoto příkazu.

Get-ADDefaultDomainPasswordPolicy

Důležité: Výchozí zásady hesla se vztahují na všechny počítače v doména. Pokud chcete použít různé zásady hesla na skupinu uživatelů, je nejlepší použít zásady jemného hesla. Nevytvářejte nový objekt zásad skupiny a nepropojujte jej s organizační jednotkou, toto se nedoporučuje.

Doporučený nástroj: Nástroj pro vyčištění služby Active Directory

Najděte neaktivní uživatele a počítače, udržujte AD v bezpečí a čistotě.

Stáhněte si kopii nástroje pro vyčištění služby Active Directory

Porozumět nastavení zásad hesla

Nyní, když víte, jak zobrazit výchozí zásady hesel domény, se podívejte v nastavení.

Vynutit historii hesel:

Toto nastavení definuje, kolik jedinečných hesel musí být použito, aby bylo možné znovu použít staré heslo. Například pokud je moje aktuální heslo „Th334goore0!“ pak toto heslo nemohu znovu použít, dokud nezměním své heslo 24krát (nebo na jakékoli číslo, na které je nastavena zásada). Toto nastavení je užitečné, aby uživatelé opakovaně nepoužívali stejné heslo. Výchozí nastavení je 24

Maximální věk hesla:

Toto nastavení definuje, jak dlouho ve dnech lze heslo použít, než je třeba jej změnit. Výchozí nastavení je 42 dní

Minimální heslo věk

Toto nastavení určuje, jak dlouho musí být heslo použito, než bude možné jej změnit. Výchozí nastavení je 1 den

Minimální délka hesla

Toto nastavení určuje kolik znaků musí mít heslo. Výchozí hodnota je 7. To znamená, že moje heslo musí obsahovat alespoň 7 znaků.

Heslo musí splňovat požadavky na složitost

Pokud musí povolená hesla splňovat tyto požadavky :

  • Neobsahuje název účtu uživatele ani části celého jména uživatele, které překračují dva po sobě následující znaky.
  • Délka alespoň šesti znaků
  • Conta ve znacích ze tří z následujících čtyř kategorií:
    • velká anglická písmena (A až Z)
    • malá anglická písmena (a až z)
    • základ 10 číslic ( 0 až 9)
    • Nealfabetické znaky (například!, $, #,%)

Toto je povoleno výchozí

Ukládat hesla pomocí reverzibilního šifrování

Toto nastavení určuje, zda operační systémy ukládají hesla pomocí reverzibilního šifrování. To je v podstatě stejné jako ukládání nejintenzivnějších verzí hesel. Tato zásada by NIKDY neměla být nastavena na povolenou, pokud nemáte nějaké velmi specifické požadavky na aplikaci.

Osvědčené postupy pro zásady týkající se hesel

Na to existují různé názory, proto uvedu dva zdroje. Zásady týkající se hesel vaší organizace mohou být také řízeny požadavky na dodržování předpisů / předpisy, jako jsou PCI / SOX / CJIS atd.

Nastavení hesla doporučená společností Microsofts

Tato nastavení pocházejí z Microsoft Security Compiance Toolkit. Tato sada nástrojů poskytuje doporučené nastavení GPO od společnosti Microsoft.

  • Vynutit historii hesel: 24
  • Maximální věk hesla: není nastaven
  • Minimální věk hesla: není nastaven
  • Minimální heslo délka: 14
  • Heslo musí splňovat složitost: Povoleno
  • Ukládat hesla pomocí reverzibilního šifrování: Zakázáno

POZNÁMKA: Společnost Microsoft zrušila zásady vypršení platnosti hesla počínaje základní úrovní zabezpečení z roku 1903. Více si můžete přečíst zde.

Myslím si, že je to dobré rozhodnutí, ale některé organizace budou i nadále muset dodržovat konkrétní průvodce (jako PCI, SOX, CJIS). Doufejme, že budou brzy aktualizovány.

Nastavení hesla CIS Benchmark

Tato nastavení pocházejí z Benchmarků CIS.Centrum pro internetovou bezpečnost je nezisková organizace, která vyvíjí bezpečnostní směrnice a měřítka.

  • Vynutit historii hesel: 24
  • Maximální věk hesla: 60 nebo méně dní
  • Minimální věk hesla: 1 nebo více
  • Minimální délka hesla: 14
  • Heslo musí splňovat složitost: Povoleno
  • Ukládat hesla pomocí reverzibilního šifrování: Zakázáno

Upravit výchozí zásady hesla domény

Chcete-li upravit zásady hesla, budete muset upravit výchozí zásady domény.

1. Otevřete konzolu pro správu zásad skupiny.

2. Rozbalte položku Domény, svou doménu a poté seskupte objekty zásad.

3. Klikněte pravým tlačítkem na výchozí zásady domény a klikněte na Upravit

4. Nyní přejděte do části Konfigurace počítače \ Zásady \ Nastavení systému Windows \ Nastavení zabezpečení \ Zásady účtu \ Zásady hesla

5. Nyní poklepejte na jedno z nastavení, které chcete upravit. Například zdvojnásobím minimální délku hesla.

Změním toto nastavení ze 7 na 14 znaků a poté kliknu na použít.

Změnu provedete dvojitým kliknutím na jakékoli jiné nastavení zásad hesla.

Doufám, že se vám tento článek líbil.

Máte nějaké dotazy? Dejte mi vědět v komentářích níže.

Doporučený nástroj: SolarWinds Server & Monitor aplikací

Tento nástroj byl navržen ke sledování služby Active Directory a dalších důležitých služeb, jako je DNS & DHCP. Rychle zjistí problémy s řadičem domény, zabrání selháním replikace, sleduje neúspěšné pokusy o přihlášení a mnoho dalšího.

Na SAM se mi nejvíc líbí snadné použití řídicího panelu a výstražných funkcí. Má také schopnost sledovat virtuální stroje a úložiště.

Stáhněte si bezplatnou zkušební verzi zde

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *