Så här konfigurerar du en policy för domänlösenord

I den här artikeln lär du dig hur du konfigurerar lösenordsprincipen för Active Directory-domänen.

Du kommer också att lära dig:

• Vad är standardpolicy för domänlösenord
• Förstå lösenordspolicyinställningar
• Lösenordspolicy bäst praxis
• Ändra domänlösenordspolicyn

Vad är standardpolicy för lösenordsdomän?

Som standard är Active Directory konfigurerad med en standarddomän lösenordspolicy. Denna policy definierar lösenordskraven för Active Directory-användarkonton som lösenordslängd, ålder och så vidare.

Denna lösenordspolicy är konfigurerad av grupppolicy och länkad till domänens rot. För att se lösenordspolicyn, följ dessa steg:

1. Öppna grupppolicyhanteringskonsolen

2. Expandera domäner, din domän, gruppera sedan gruppobjekt

3. Högerklicka på standarddomänpolicyn och klicka på redigera

4. Navigera nu till Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Account Policies \ Password Policy

Du kan också se standardlösenordspolicy med Powershell med detta kommando.

Get-ADDefaultDomainPasswordPolicy

Viktigt: Standardlösenordspolicyn tillämpas på alla datorer i domänen. Om du vill tillämpa olika lösenordspolicyer för en grupp användare är det bäst att använda finkornig lösenordspolicy. Skapa inte en ny GPO och länka den till en OU, detta rekommenderas inte.

Förstå lösenordsinställningar

Nu när du vet hur du ser domänens standardlösenordspolicy kan se ut vid inställningarna.

Tillämpa lösenordshistorik:

Den här inställningen definierar hur många unika lösenord som ska användas innan ett gammalt lösenord kan återanvändas. Till exempel om mitt nuvarande lösenord är ”Th334goore0!” då kan jag inte återanvända det lösenordet förrän jag har bytt lösenord 24 gånger (eller vilket nummer som policyn är inställd på). Den här inställningen är användbar så att användarna inte fortsätter att återanvända samma lösenord. Standardinställningen är 24

Högsta lösenordsålder:

Den här inställningen definierar hur länge i dagar ett lösenord kan användas innan det behöver ändras. Standardinställningen är 42 dagar

Lägsta lösenord ålder

Den här inställningen avgör hur länge ett lösenord måste användas innan det kan ändras. Standardinställningen är 1 dag

Minsta lösenordslängd

Denna inställning avgör hur många tecken ett lösenord måste ha. Standard är 7. Detta betyder att mitt lösenord måste innehålla minst 7 tecken.

Lösenordet måste uppfylla komplexitetskrav

Om aktiverade lösenord måste uppfylla dessa krav :

• Innehåller inte användarens kontonamn eller delar av användarens fullständiga namn som överstiger två på varandra följande tecken
• Var minst sex tecken långa
• Conta i tecken från tre av följande fyra kategorier:
  • Engelska versaler (A till Z)
  • Engelska små bokstäver (a till z)
  • Bas 10 siffror ( 0 till 9)
  • Icke-alfabetiska tecken (till exempel!, $, #,%)

Detta aktiveras av standard

Lagra lösenord med reversibel kryptering

Denna inställning avgör om operativsystemen lagrar lösenord med reversibel kryptering. Detta är i huvudsak detsamma som att lagra plantaste versioner av lösenord. Denna policy ska ALDRIG vara inställd på aktiverad såvida du inte har några mycket specifika applikationskrav.

Bästa praxis för lösenordspolicy

Det finns olika åsikter om detta så jag ska referera till två källor. Din organisations lösenordspolicy kan också drivas av efterlevnad / regleringskrav som PCI / SOX / CJIS och så vidare.

Microsofts rekommenderade lösenordsinställningar

Dessa inställningar är från Microsofts Security Compiance Toolkit. Denna verktygslåda ger rekommenderade GPO-inställningar från Microsoft.

• Tillämpa lösenordshistorik: 24
• Maximal lösenordsålder: inte inställd
• Lägsta lösenordsålder: inte inställd
• Lägsta lösenord längd: 14
• Lösenordet måste uppfylla komplexiteten: Aktiverat
• Lagra lösenord med reversibel kryptering: Inaktiverad

OBS: Microsoft har tappat lösenordets utgångspolicyer från och med 1903: s säkerhetsbaslinje. Du kan läsa mer om detta här

Jag tycker att detta är ett bra beslut men vissa organisationer kommer fortfarande att behöva följa specifika guider (som PCI, SOX, CJIS). Förhoppningsvis kommer de att uppdateras snart.

Lösenordsinställningar för CIS-riktmärke

Dessa inställningar kommer från CIS-riktmärken.Centret för internetsäkerhet är en ideell organisation som utvecklar riktlinjer och riktmärken för säkerhet.

• Tillämpa lösenordshistorik: 24
• Högsta lösenordsålder: 60 eller färre dagar
• Lägsta ålder för lösenord: 1 eller mer
• Minsta lösenordslängd: 14
• Lösenord måste uppfylla komplexitet: Aktiverat
• Lagra lösenord med reversibel kryptering: Inaktiverad

Ändra standarddomänlösenordspolicy

För att ändra lösenordspolicyn måste du ändra standarddomänpolicyn.

1. Öppna grupppolicyhanteringskonsolen

2. Expandera domäner, din domän, gruppera sedan gruppobjekt

3. Högerklicka på standarddomänpolicyn och klicka på redigera

4. Navigera nu till Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Account Policies \ Password Policy

5. Dubbelklicka nu på en av inställningarna för att redigera. Till exempel kommer jag att dubbla chick på minsta lösenordslängd.

Jag kommer att ändra den här inställningen från 7 till 14 tecken och klicka sedan på Apply.

Dubbelklicka på någon annan lösenordsinställning för att ändra.

Jag hoppas att du gillade den här artikeln.

Har du några frågor? Låt mig veta i kommentarerna nedan.