Cum se configurează o politică de parolă de domeniu

În acest articol, veți afla cum să configurați politica de parolă de domeniu Active Directory.

De asemenea, veți afla:

• Care este politica implicită privind parola de domeniu
• Înțelegeți setările politicii de parolă
• Politica de parolă cel mai bine practici
• Modificați politica de parolă a domeniului

Ce este politica implicită a parolei de domeniu?

În mod implicit, Active Directory este configurat cu un domeniu implicit politica de parolă. Această politică definește cerințele de parolă pentru conturile de utilizator Active Directory, cum ar fi lungimea parolei, vârsta și așa mai departe.

Această politică de parolă este configurată de politica de grup și legată de rădăcina domeniului. Pentru a vizualiza politica privind parolele, urmați acești pași:

1. Deschideți consola de gestionare a politicilor de grup

2. Extindeți domenii, domeniul dvs., apoi grupați obiecte de politică

3. Faceți clic dreapta pe politica de domeniu implicită și faceți clic pe editați

4. Navigați acum la Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Account Policies \ Password Policy

De asemenea, puteți vizualiza politica de parolă implicită cu Powershell folosind această comandă.

Get-ADDefaultDomainPasswordPolicy

Important: politica de parolă implicită se aplică tuturor computerelor din domeniul. Dacă doriți să aplicați politici de parolă diferite unui grup de utilizatori, atunci este recomandată să utilizați politica de parole cu conținut fin. Nu creați un GPO nou și nu îl conectați la un OU, acest lucru nu este recomandat.

Înțelegeți setările politicii de parolă

Acum că știți cum să vedeți politica de parolă implicită a domeniului vă permite să arătați la setări.

Aplică istoricul parolelor:

Această setare definește câte parole unice trebuie utilizate înainte ca o parolă veche să poată fi refolosită. De exemplu, dacă parola mea actuală este „Th334goore0!” atunci nu pot reutiliza acea parolă până când nu mi-am schimbat parola de 24 de ori (sau orice număr este setat politica). Această setare este utilă, astfel încât utilizatorii să nu reutilizeze aceeași parolă. Setarea implicită este 24

Vârsta maximă a parolei:

Această setare definește cât timp în zile poate fi utilizată o parolă înainte ca aceasta să fie modificată. Setarea implicită este de 42 de zile

Parola minimă vârstă

Această setare determină cât timp trebuie utilizată o parolă înainte de a putea fi modificată. Setarea implicită este de 1 zi

Lungimea minimă a parolei

Această setare determină câte caractere trebuie să aibă o parolă. Valoarea implicită este 7. Aceasta înseamnă că parola mea trebuie să conțină cel puțin 7 caractere.

Parola trebuie să îndeplinească cerințele de complexitate

Dacă parolele activate trebuie să îndeplinească aceste cerințe :

• Nu conține numele contului utilizatorului sau părți din numele complet al utilizatorului care depășesc două caractere consecutive
• Să aibă cel puțin șase caractere în lungime
• Conta în caractere din trei dintre următoarele patru categorii:
  • caractere majuscule englezești (de la A la Z)
  • caractere minuscule englezești (de la a la z)
  • 10 cifre de bază ( De la 0 la 9)
  • Caractere non-alfabetice (de exemplu,!, $, #,%)

Aceasta este activată de implicit

Stocați parolele utilizând criptarea reversibilă

Această setare determină dacă sistemele de operare stochează parolele folosind criptarea reversibilă. Acest lucru este în esență același cu stocarea celor mai vechi versiuni de parole. Această politică nu ar trebui să fie NICIODATĂ setată la activată, cu excepția cazului în care aveți anumite cerințe foarte specifice pentru aplicație.

Cele mai bune practici privind politica de parolă

Există opinii diferite în acest sens, așa că voi face referire la două surse. De asemenea, politica de parolă a organizației dvs. poate fi determinată de cerințe de conformitate / reglementare, cum ar fi PCI / SOX / CJIS și așa mai departe.

Setările de parolă recomandate de Microsofts

Aceste setări provin din setul de instrumente de securitate Microsoft. Acest set de instrumente oferă setările GPO recomandate de la Microsoft.

• Aplică istoricul parolelor: 24
• Vârsta maximă a parolei: nu este setată
• Vârsta minimă a parolei: nu este setată
• Parola minimă lungime: 14
• Parola trebuie să îndeplinească complexitatea: Activată
• Stocați parolele folosind criptare reversibilă: Dezactivată

NOTĂ: Microsoft a renunțat la politicile de expirare a parolei începând cu linia de bază de securitate din 1903. Puteți citi mai multe despre acest lucru aici

Cred că aceasta este o decizie bună, dar unele organizații vor trebui să urmeze în continuare ghiduri specifice (cum ar fi PCI, SOX, CJIS). Sperăm că acestea vor fi actualizate în curând.

Setări de parolă CIS Benchmark

Aceste setări provin de la CIS Benchmark.Centrul pentru securitatea internetului este o organizație non-profit care dezvoltă linii directoare și repere de securitate.

• Aplică istoricul parolelor: 24
• Vârsta maximă a parolei: 60 sau mai puține zile
• Vârsta minimă a parolei: 1 sau mai mult
• Lungimea minimă a parolei: 14
• Parola trebuie să îndeplinească complexitatea: Activată
• Stocați parolele folosind criptare reversibilă: Dezactivată

Modificați politica implicită a parolei domeniului / h2>

Pentru a modifica politica de parole va trebui să modificați politica de domeniu implicită.

1. Deschideți consola de gestionare a politicilor de grup

2. Extindeți domenii, domeniul dvs., apoi grupați obiecte de politică

3. Faceți clic dreapta pe politica de domeniu implicită și faceți clic pe editați

4. Navigați acum la Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Account Policies \ Password Policy

5. Acum faceți dublu clic pe una dintre setări pentru editare. De exemplu, voi dubla pui la lungimea minimă a parolei.

Voi modifica această setare de la 7 la 14 caractere și apoi voi face clic pe Aplicare.

Faceți dublu clic pe orice altă setare a politicii de parolă pentru a modifica.

Sper că v-a plăcut acest articol.

Aveți întrebări? Anunță-mă în comentariile de mai jos.