Jak skonfigurować zasady haseł domeny

Z tego artykułu dowiesz się, jak skonfigurować zasady haseł domeny Active Directory.

Dowiesz się również:

• Jaka jest domyślna polityka haseł domeny
• Zrozumienie ustawień zasad haseł
• Zasady haseł najlepiej praktyki
• Modyfikowanie zasad haseł domeny

Co to jest domyślna zasada haseł domeny?

Domyślnie usługa Active Directory jest skonfigurowana z domeną domyślną polityka haseł. Ta zasada definiuje wymagania dotyczące haseł dla kont użytkowników usługi Active Directory, takie jak długość hasła, wiek itd.

Ta zasada haseł jest konfigurowana przez zasady grupy i połączona z katalogiem głównym domeny. Aby wyświetlić politykę haseł, wykonaj następujące kroki:

1. Otwórz konsolę zarządzania zasadami grupy

2. Rozwiń Domeny, swoją domenę, a następnie obiekty zasad grupy

3. Kliknij prawym przyciskiem myszy domyślne zasady domeny i kliknij Edytuj

4. Teraz przejdź do Konfiguracja komputera \ Zasady \ Ustawienia systemu Windows \ Ustawienia zabezpieczeń \ Zasady kont \ Zasady haseł

Możesz również wyświetlić domyślna polityka haseł z Powershell przy użyciu tego polecenia.

Get-ADDefaultDomainPasswordPolicy

Ważne: Domyślna zasada haseł jest stosowana do wszystkich komputerów w domena. Jeśli chcesz zastosować różne zasady dotyczące haseł do grupy użytkowników, najlepiej jest zastosować szczegółowe zasady dotyczące haseł. Nie twórz nowego obiektu zasad grupy i nie łącz go z jednostką organizacyjną – nie jest to zalecane.

Zrozum Ustawienia zasad haseł

Teraz, gdy wiesz, jak wyświetlić domyślne zasady haseł domeny, spójrzmy w ustawieniach.

Wymuś historię haseł:

To ustawienie określa, ile unikalnych haseł musi zostać użytych, zanim będzie można ponownie użyć starego hasła. Na przykład, jeśli moje aktualne hasło to „Th334goore0!” nie mogę ponownie użyć tego hasła, dopóki nie zmienię hasła 24 razy (lub dowolnej liczby, na którą ustawiono zasady). To ustawienie jest przydatne, aby użytkownicy nie używali ponownie tego samego hasła. Domyślne ustawienie to 24

Maksymalny wiek hasła:

To ustawienie określa, ile dni hasło może być używane, zanim będzie trzeba je zmienić. Ustawienie domyślne to 42 dni.

Minimalne hasło wiek

To ustawienie określa, jak długo hasło musi być używane, zanim będzie można je zmienić. Domyślne ustawienie to 1 dzień

Minimalna długość hasła

To ustawienie określa ile znaków musi mieć hasło. Wartość domyślna to 7. Oznacza to, że moje hasło musi zawierać co najmniej 7 znaków.

Hasło musi spełniać wymagania dotyczące złożoności

Jeśli włączone hasła muszą spełniać te wymagania :

• Nie zawiera nazwy konta użytkownika ani części imienia i nazwiska użytkownika, które przekraczają dwa kolejne znaki
• Musi mieć co najmniej sześć znaków długości
• Conta znakami z trzech z następujących czterech kategorii:
  • Wielkie litery angielskie (od A do Z)
  • Małe litery angielskie (od a do z)
  • Podstawowe 10 cyfr ( 0 do 9)
  • Znaki niealfabetyczne (na przykład!, $, #,%)

Jest to włączane przez domyślne

Przechowuj hasła przy użyciu szyfrowania odwracalnego

To ustawienie określa, czy system operacyjny przechowuje hasła przy użyciu szyfrowania odwracalnego. Zasadniczo jest to to samo, co przechowywanie najbardziej znanych wersji haseł. Ta zasada NIGDY nie powinna być włączona, chyba że masz bardzo konkretne wymagania dotyczące aplikacji.

Sprawdzone metody dotyczące zasad dotyczących haseł

Istnieją różne opinie na ten temat, więc odwołam się do dwóch źródeł. Polityka haseł w Twojej organizacji może również zależeć od wymagań zgodności / przepisów, takich jak PCI / SOX / CJIS i tak dalej.

Ustawienia haseł zalecane przez Microsofts

Te ustawienia pochodzą z zestawu Microsoft Security Compiance Toolkit. Ten zestaw narzędzi zawiera zalecane ustawienia GPO firmy Microsoft.

• Wymuszaj historię haseł: 24
• Maksymalny wiek hasła: nieustawiony
• Minimalny wiek hasła: nieustawiony
• Minimalne hasło długość: 14
• Hasło musi mieć złożoność: włączone
• Przechowuj hasła przy użyciu odwracalnego szyfrowania: wyłączone

UWAGA: firma Microsoft zrezygnowała z zasad wygasania haseł począwszy od bazy bezpieczeństwa z 1903 roku. Możesz przeczytać więcej na ten temat tutaj

Myślę, że to dobra decyzja, ale niektóre organizacje będą nadal musiały przestrzegać określonych przewodników (takich jak PCI, SOX, CJIS). Miejmy nadzieję, że wkrótce zostaną zaktualizowane.

Ustawienia hasła CIS Benchmark

Te ustawienia pochodzą z CIS Benchmarków.Centrum bezpieczeństwa w Internecie jest organizacją non-profit, która opracowuje wytyczne i wzorce bezpieczeństwa.

• Egzekwuj historię haseł: 24
• Maksymalny wiek hasła: 60 lub mniej dni
• Minimalny wiek hasła: 1 lub więcej
• Minimalna długość hasła: 14
• Hasło musi mieć złożoność: włączone
• Przechowuj hasła przy użyciu odwracalnego szyfrowania: wyłączone

Zmień domyślną zasadę haseł domeny

Aby zmodyfikować politykę haseł, musisz zmodyfikować domyślne zasady domeny.

1. Otwórz konsolę zarządzania zasadami grupy

2. Rozwiń Domeny, swoją domenę, a następnie obiekty zasad grupy

3. Kliknij prawym przyciskiem myszy domyślne zasady domeny i kliknij Edytuj

4. Teraz przejdź do Konfiguracja komputera \ Zasady \ Ustawienia systemu Windows \ Ustawienia zabezpieczeń \ Zasady kont \ Zasady haseł

5. Teraz kliknij dwukrotnie jedno z ustawień do edycji. Na przykład dwukrotnie zwiększę minimalną długość hasła.

Zamierzam zmienić to ustawienie z 7 na 14 znaków, a następnie kliknąć Zastosuj.

Kliknij dwukrotnie dowolne inne ustawienie zasad haseł, które chcesz zmienić.

Mam nadzieję, że podobał Ci się ten artykuł.

Czy masz jakieś pytania? Daj mi znać w komentarzach poniżej.