Stärken Sie Ihre Active Directory-Kennwortrichtlinieneinstellungen

Eine der häufigsten Fragen, die ich bekomme, ist: Wie kann ich sichere Passwörter für meine Benutzer erzwingen, die sich nicht darum zu kümmern scheinen …

über Sicherheit? Schwache Passwörter sind zweifellos eine der größten Schwachstellen, von denen Bedrohungen weit und breit Gebrauch machen wollen, um unrechtmäßige Gewinne zu erzielen. Leider diktieren das Management und andere Mitarbeiter häufig Passwortstrategien, und so viele Menschen geraten in Schwierigkeiten.
Wenn Sie sich einige der langjährigen Gruppenrichtlinienobjekte für Kennwörter in Active Directory ansehen, haben viele Leute sie falsch verstanden. Sie glauben, je strenger desto besser, aber das ist nicht immer der Fall. Beispielsweise werden Active Directory-Richtlinien wie die folgenden nicht selten angezeigt:

  • Passwortverlauf erzwingen: 730 Tage
  • Maximales Passwortalter: 30 Tage
  • Minimale Passwortlänge: 10 Zeichen
  • Das Kennwort muss die Komplexitätsanforderungen erfüllen: Aktiviert
  • Kontosperrungsschwelle: 3 Versuche

Für diejenigen von uns, die jahrelang in der IT gearbeitet haben, ist es keine große Sache, jeden Monat komplexe Passwörter zu ändern und sich daran zu erinnern. Schließlich wissen wir (normalerweise), wie man unzerbrechliche Passwörter erstellt, und wir verwenden häufig Passwortmanager, um mit allen Schritt zu halten. Solche Richtlinien sind alles andere als absurd, wenn wir uns in die Lage typischer Benutzer versetzen. Das zugrunde liegende Problem ist, dass es für uns einfach ist, Benutzer hängen zu lassen, vorausgesetzt, sie wissen, was zu tun ist. Oder sie können einfach damit umgehen, weil es schließlich im Namen der Sicherheit liegt.
Viele Benutzer, mit denen ich spreche, haben keine Sekunde lang gelernt, wie man komplexe Passphrasen erstellt. Niemand hat ihnen Beispiele für Passphrasen gezeigt, die sehr leicht zu merken sind, aber nicht mehr als einmal alle 6-12 Monate geändert werden müssen (.eg, Great_year2015!). Einstellungen und Schulungen für Active Directory-Kennwortrichtlinien sind oft ein nachträglicher Gedanke, da die Sicherheit, wie viele glauben, mehr als nur die Grundlagen beinhalten muss. Ich habe Ich habe lange geglaubt, dass das nicht stimmt und immer mehr Die Forschung unterstützt diese Theorie.
Achten Sie bei der Verbesserung der Ausfallsicherheit Ihrer Unternehmenskennwörter darauf, dass Sie sich nicht nur auf Ihre Domänenkennwörter konzentrieren. Es gibt andere wichtige Systeme in Ihrer Windows-Umgebung, die strenge Kennwortrichtlinien verdienen und häufig nicht haben, wie z.

  • Lokale Windows-Konten, die möglicherweise von der Domänenkennwortrichtlinie ausgenommen sind (ein häufiges Versehen).
  • SQL Server Datenbanken, die mit Standardauthentifizierung (ohne Domäne) ausgeführt werden.
  • Virtuelle Maschinen, einschließlich Entwicklung, QA und Staging-Systeme, die nicht mit der Unternehmensdomäne verbunden sind, aber dennoch Produktionsdaten enthalten und dennoch intern zugänglich sind.
  • Interne und externe Websites und Anwendungen.
  • Firewalls, Router und zugehörige Netzwerkinfrastruktursysteme.

Letztendlich sollten Kennwortstandards und -richtlinien genau das sein – geltende Standards und Richtlinien über die Grenze. Windows Server oder nicht, alles, was Sie brauchen, ist ein kompromittiertes Kennwort in Ihrem Netzwerk, um Probleme zu verursachen. Verbringen Sie das kommende Jahr damit, Ihre Passwörter festzunageln. Bestimmen Sie, wo Ihre Risiken liegen. Möglicherweise wissen Sie bereits, wo Sie schwach sind, ohne eine formelle Bewertung oder Prüfung durchführen zu müssen. Wenn nicht, können Sie allgemeine Schwachstellenscanner verwenden, z Nexpose und LanGuard. Microsoft ist kostenlos MBSA-Tool (derzeit in Version 2.3, die Windows Server 2012 R2 unterstützt) ist eine gute Alternative, wenn Sie sich nur Ihre Windows-Systeme ansehen möchten. Es gibt auch Passwort-Cracking-spezifisch Werkzeuge wie die von Elcomsoft und L0phtcrack das kann auf einer viel tieferen Ebene aufdecken – und zeigen – wo Ihre Schwächen liegen.
Sobald Sie festgelegt haben, wo sich die Dinge mit Ihren Passwörtern befinden, ist es an der Zeit, Ihre Standards zu optimieren und Ihre Richtlinien so zu präzisieren, dass sie genau das widerspiegeln, was Sie erreichen möchten. Verwenden Sie schließlich Active Directory – oder möglicherweise ein Kennwort- / Active Directory-Überwachungstool eines Drittanbieters, wie es von Avatier, ManageEngine und Netwrix angeboten wird -, um Ihre Kennwörter durchzusetzen. Denken Sie daran, dass nach der Entwicklung Ihrer Kennwortstandards und -richtlinien, wenn Sie Ausnahmen für bestimmte Gruppen von Personen und Systemen im gesamten Unternehmen erstellen, Probleme auftreten können.

Similar Posts

Leave a Reply