Slik konfigurerer du en policy for domenepassord
I denne artikkelen vil du lære hvordan du konfigurerer policyen for passord for Active Directory-domenet.
Du vil også lære:
- Hva er standardpolicy for domenepassord
- Forstå innstillingene for passordpolitikk
- Passordpolicy best praksis
- Endre policyen for domenepassord
Hva er standardpolicy for domenepassord?
Som standard er Active Directory konfigurert med et standard domene passordpolicy. Denne policyen definerer passordkravene for Active Directory-brukerkontoer som passordlengde, alder og så videre.
Denne passordpolitikken er konfigurert av gruppepolicy og knyttet til roten til domenet. Følg disse trinnene for å se passordpolitikken:
1. Åpne gruppepolicystyringskonsollen
2. Utvid domener, domenet ditt, og grupper deretter objekter for gruppepolicy
3. Høyreklikk standard domenepolicy og klikk rediger
4. Gå nå til Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Account Policies \ Password Policy
Du kan også se standard passordpolicy med Powershell ved hjelp av denne kommandoen.
Get-ADDefaultDomainPasswordPolicy
Viktig: Standard passordpolicy brukes på alle datamaskiner i domenet. Hvis du vil bruke forskjellige passordregler for en gruppe brukere, er det best å bruke retningslinjer for finkornet passord. Ikke opprett en ny GPO og lenke den til en OU, dette anbefales ikke.
Anbefalt verktøy: Active Directory Cleanup Tool
Finn inaktive brukere og datamaskiner, hold AD-sikre og rene.
Last ned kopien av Active Directory Cleanup Tool
Forstå innstillingene for passordretningslinjer
Nå som du vet hvordan du ser på domenets standard passordpolicy, kan du se ved innstillingene.
Håndhev passordhistorikk:
Denne innstillingen definerer hvor mange unike passord som må brukes før et gammelt passord kan brukes på nytt. For eksempel hvis mitt nåværende passord er «Th334goore0!» da kan jeg ikke bruke passordet før jeg har endret passordet mitt 24 ganger (eller hvilket nummer som policyen er satt til). Denne innstillingen er nyttig slik at brukerne ikke fortsetter å bruke det samme passordet. Standardinnstillingen er 24
Maksimal passordalder:
Denne innstillingen definerer hvor lenge i dager et passord kan brukes før det må endres. Standardinnstillingen er 42 dager
Minimum passord alder
Denne innstillingen bestemmer hvor lenge et passord må brukes før det kan endres. Standardinnstillingen er 1 dag
Minimum passordlengde
Denne innstillingen bestemmer hvor mange tegn et passord må ha. Standard er 7. Dette betyr at passordet mitt må inneholde minst 7 tegn.
Passordet må oppfylle kompleksitetskrav
Hvis aktiverte passord må oppfylle disse kravene :
- Inneholder ikke brukerens kontonavn eller deler av brukerens fulle navn som overstiger to påfølgende tegn
- Vær minst seks tegn lange
- Conta i tegn fra tre av følgende fire kategorier:
- Engelske store bokstaver (A til Å)
- Engelske små bokstaver (a til z)
- Basis 10 sifre ( 0 til 9)
- Ikke-alfabetiske tegn (for eksempel!, $, #,%)
Dette er aktivert av standard
Lagre passord ved hjelp av reversibel kryptering
Denne innstillingen avgjør om operativsystemene lagrer passord ved hjelp av reversibel kryptering. Dette er egentlig det samme som å lagre planteste versjoner av passord. Denne policyen skal ALDRI settes til aktivert med mindre du har noen veldig spesifikke applikasjonskrav.
Best Practices for Password Policy
Det er forskjellige meninger om dette, så jeg skal referere til to kilder. Dessuten kan organisasjonens passordpolicy være drevet av samsvar / reguleringskrav som PCI / SOX / CJIS og så videre.
Microsofts anbefalte passordinnstillinger
Disse innstillingene er fra Microsofts Security Compiance Toolkit. Dette verktøyet inneholder anbefalte GPO-innstillinger fra Microsoft.
- Håndheve passordhistorikk: 24
- Maksimal passordalder: ikke angitt
- Minimum passordalder: ikke angitt
- Minimum passord lengde: 14
- Passordet må oppfylle kompleksiteten: Aktivert
- Lagre passord ved hjelp av reversibel kryptering: Deaktivert
MERK: Microsoft har mistet retningslinjene for utløp av passord startende med sikkerhetsbaselinjen fra 1903. Du kan lese mer om dette her
Jeg synes dette er en god beslutning, men noen organisasjoner vil fortsatt trenge å følge spesifikke guider (som PCI, SOX, CJIS). Forhåpentligvis blir de oppdatert snart.
Innstillinger for referansepassord for CIS
Disse innstillingene kommer fra CIS-referanseverdiene.Senter for internett-sikkerhet er en ideell organisasjon som utvikler sikkerhetsretningslinjer og referanser.
- Håndheve passordhistorikk: 24
- Maksimal passordalder: 60 eller færre dager
- Minimum passordalder: 1 eller mer
- Minimum passordlengde: 14
- Passordet må oppfylle kompleksiteten: Aktivert
- Lagre passord ved hjelp av reversibel kryptering: Deaktivert
Endre standard domenepassordpolicy
Hvis du vil endre passordpolitikken, må du endre standard domenepolicy.
1. Åpne gruppepolicystyringskonsollen
2. Utvid domener, domenet ditt, og grupper deretter objekter for gruppepolicy
3. Høyreklikk standard domenepolicy og klikk rediger
4. Gå nå til Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Account Policies \ Password Policy
5. Dobbeltklikk nå en av innstillingene du vil redigere. For eksempel vil jeg doble damer på minimum passordlengde.
Jeg skal endre denne innstillingen fra 7 til 14 tegn og deretter klikke på bruk.
Dobbeltklikk på en hvilken som helst annen innstilling for passordpolicy for å endre.
Jeg håper du likte denne artikkelen.
Har du noen spørsmål? Gi meg beskjed i kommentarene nedenfor.
Anbefalt verktøy: SolarWinds Server & Application Monitor
Dette verktøyet er designet for å overvåke Active Directory og andre kritiske tjenester som DNS & DHCP. Det vil raskt oppdage problemer med domenekontroller, forhindre replikasjonsfeil, spore mislykkede påloggingsforsøk og mye mer.
Det jeg liker best med SAM, er at det er enkelt å bruke dashbord og varslingsfunksjoner. Den har også muligheten til å overvåke virtuelle maskiner og lagring.
Last ned din gratis prøveperiode her