A tartományi jelszó házirendjének konfigurálása

Ebben a cikkben megtudhatja, hogyan konfigurálhatja az Active Directory tartomány jelszó házirendjét.

Ezenkívül megtanulja:

• Mi az alapértelmezett domain jelszó irányelv
• A jelszó házirend beállításainak megértése
• A jelszó házirend a legjobb gyakorlatok
• A tartomány jelszó házirendjének módosítása

Mi az alapértelmezett tartományi jelszó házirend?

Alapértelmezés szerint az Active Directory alapértelmezett domainnel van konfigurálva jelszó irányelv. Ez a házirend meghatározza az Active Directory felhasználói fiókok jelszókövetelményeit, például a jelszó hosszát, életkorát és így tovább.

Ezt a jelszóházirendet a csoportházirend konfigurálja, és a domain gyökeréhez kapcsolja. A jelszószabály megtekintéséhez kövesse az alábbi lépéseket:

1. Nyissa meg a csoportházirend-kezelő konzolt

2. Bontsa ki a Domaineket, a domainjét, majd csoportosítsa a házirend-objektumokat

3. Kattintson a jobb gombbal az alapértelmezett tartományi házirendre, majd kattintson a Szerkesztés

4 elemre. Most keresse meg a Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Account Policies \ Password Policy

Megtekintheti a alapértelmezett jelszó házirend a Powershell segítségével ezzel a paranccsal.

Get-ADDefaultDomainPasswordPolicy

Fontos: Az alapértelmezett jelszó házirend minden számítógépre vonatkozik a domain. Ha különböző jelszóházirendeket szeretne alkalmazni a felhasználók egy csoportjára, akkor a legjobb gyakorlat a finomra szabott jelszószabályzat használata. Ne hozzon létre új csoportházirend-objektumot, és ne kapcsolja azt szervezeti egységhez, ez nem ajánlott.

A jelszóházirend-beállítások megértése

Most, hogy tudod, hogyan kell megtekinteni a tartomány alapértelmezett jelszóházirendjét, a a beállításoknál.

Jelszóelőzmények kikényszerítése:

Ez a beállítás meghatározza, hogy hány egyedi jelszót kell használni a régi jelszó újbóli felhasználása előtt. Például, ha a jelenlegi jelszavam “Th334goore0!” akkor nem használhatom újra ezt a jelszót, amíg nem változtattam meg a jelszavam 24-szer (vagy bármelyik számra állítottam be a házirendet). Ez a beállítás hasznos, így a felhasználók nem folytatják ugyanazon jelszó újrafelhasználását. p>

A jelszó maximális életkora:

Ez a beállítás meghatározza, hogy napokban mennyi ideig használható a jelszó, mielőtt módosítani kellene. Az alapértelmezett beállítás 42 nap.

Minimális jelszó age

Ez a beállítás határozza meg, hogy mennyi ideig kell használni a jelszót, mielőtt megváltoztathatja. Az alapértelmezett beállítás 1 nap.

A jelszó minimális hossza

Ez a beállítás meghatározza hány karakternek kell lennie egy jelszónak. Az alapértelmezett érték 7. Ez azt jelenti, hogy a jelszavamnak legalább 7 karakterből kell állnia.

A jelszónak meg kell felelnie a bonyolultsági követelményeknek

Ha az engedélyezett jelszavaknak meg kell felelniük ezeknek a követelményeknek :

• Nem tartalmazhatja a felhasználó fióknevét vagy a felhasználó teljes nevének két egymást követő karaktert meghaladó részeit
• Legalább hat karakter hosszúnak kell lennie
• Conta a következő négy kategória három karakterében:
  • angol nagybetűs karakterek (A-tól Z-ig)
  • angol kisbetűs karakterek (a-tól z-ig)
  • 10 számjegy ( 0-tól 9-ig)
  • Nem alfabetikus karakterek (például!, $, #,%)

Ezt engedélyezi alapértelmezett

Jelszavak megfordítása visszafordítható titkosítással

Ez a beállítás meghatározza, hogy az operációs rendszerek visszafordítható titkosítással tárolják-e a jelszavakat. Ez lényegében megegyezik a jelszavak legerősebb verzióinak tárolásával. Ezt a házirendet SOHA nem szabad engedélyezni, hacsak nincsenek nagyon specifikus alkalmazási követelményei.

Jelszópolitikával kapcsolatos legjobb gyakorlatok

Erről különböző vélemények vannak, ezért két forrásra fogok hivatkozni. Szervezete jelszópolitikáját a megfelelési / szabályozási követelmények, például a PCI / SOX / CJIS, és így tovább vezérelhetik.

A Microsofts által javasolt jelszóbeállítások

Ezek a beállítások a Microsoft Security Compiance eszközkészletéből származnak. Ez az eszközkészlet a Microsoft által ajánlott GPO-beállításokat tartalmazza.

• Jelszóelőzmények kikényszerítése: 24
• Jelszó maximális kora: nincs beállítva
• Jelszó minimális kora: nincs beállítva
• Minimális jelszó hossz: 14
• A jelszónak meg kell felelnie az összetettségnek: Engedélyezve
• Jelszavak megfordítása visszafordítható titkosítással: Letiltva

MEGJEGYZÉS: A Microsoft elvetette a jelszó lejárati házirendjét az 1903-as biztonsági alapvonaltól kezdve. Erről bővebben itt olvashat.

Úgy gondolom, hogy ez egy jó döntés, de egyes szervezeteknek továbbra is konkrét útmutatásokat kell követniük (például PCI, SOX, CJIS). Remélhetőleg ezek hamarosan frissülnek.

CIS benchmark jelszóbeállítások

Ezek a beállítások a CIS benchmarkokból származnak.Az internetbiztonsági központ nonprofit szervezet, amely biztonsági irányelveket és referenciaértékeket dolgoz ki.

• Jelszóelőzmények kikényszerítése: 24
• Jelszó maximális életkora: 60 vagy kevesebb nap
• Minimális jelszókor: 1 vagy annál hosszabb
• Minimális jelszóhossz: 14
• A jelszónak meg kell felelnie a bonyolultságnak: Engedélyezve
• Jelszavak megfordítása visszafordítható titkosítással: Letiltva

Alapértelmezett tartományi jelszó-irányelv módosítása

A jelszó házirend módosításához módosítania kell az alapértelmezett tartomány házirendet.

1. Nyissa meg a csoportházirend-kezelő konzolt

2. Bontsa ki a Domaineket, a domainjét, majd csoportosítsa a házirend-objektumokat

3. Kattintson a jobb gombbal az alapértelmezett tartományi házirendre, majd kattintson a Szerkesztés

4 elemre. Most keresse meg a Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Account Policy \ Password Policy

5 oldalt. Most kattintson duplán a szerkesztés egyik beállítására. Például duplázom a minimális jelszóhosszat.

Megváltoztatom ezt a beállítást 7 karakterről 14 karakterre, majd az Alkalmaz gombra kattintok.

A módosításhoz kattintson duplán bármelyik másik jelszó-házirend-beállításra.

Remélem tetszett ez a cikk.

Van kérdése? Mondja meg nekem az alábbi megjegyzésekben.