Oba moderní systémy Windows (např. Windows Server 2008 a 2008 R2) a Active Directory, jako jsou systémy Linux a Solaris, vám umožňují konfigurovat zásady hesla, které určují jak dlouhá a složitá musí být hesla vašich uživatelů, což poskytuje první linii obrany pro vaše systémy. Pokud se vaše unixové systémy autentizují do AD, pak je toto místo pro zadání všech vašich požadavků na heslo. Pokud je služba Active Directory pouze jedním z mnoha míst, kde jsou nakonfigurovány zásady hesel, je stále dobrý nápad zajistit, aby se používala dobrá hesla. Mít podobné standardy složitosti v celém podniku je dobrá strategie, protože posiluje důležitost dobrých hesel v zabezpečení vašich systémů.

Windows a Active Directory vám umožňují určit řadu parametrů pro vynucení zabezpečení heslem. Výchozí hodnoty jsou uvedeny v následující tabulce.

Policy Setting Default Setting Value============== ====================Enforce password history 24 daysMaximum password age 42 daysMinimum password age 1 dayMinimum password length 7Password must meet complexity requirements EnabledStore passwords using reversible encryption DisabledAccount lockout duration Not definedAccount lockout threshold 0Reset account lockout counter after Not definedEnforce user logon restrictions EnabledMaximum lifetime for service ticket 600 minutesMaximum lifetime for user ticket 10 hoursMaximum lifetime for user ticket renewal 7 daysMaximum tolerance for computer clock synchronization5 minutes

Historie hesel – kolik hesel si systém zapamatuje. Při použití výchozího nastavení nelze žádné z předchozích 24 hesel znovu použít, když si uživatel změní své heslo .

Maximální věk hesla – jak dlouho lze heslo použít, než je nutné jej změnit. Pokud je změněno, je obvykle nastaveno na něco jako 90 dní. To by znamenalo, že hesla je třeba měnit každých pár dní. měsíce.

Minimální věk hesla – jak dlouho musí vaši uživatelé čekat, než budou moci Znovu zadejte heslo. Pokud byste mohli uživatelé okamžitě změnit svá hesla a systém si zapamatoval pouze několik předchozích hesel, bylo by pro ně snadné vzkřísit svá aktuální hesla, a to v zásadě pomocí stejného hesla navždy. Pokud je donutíte používat každé nové heslo několik dní, je pravděpodobnost, že se k původnímu heslu vrátí, malá. Pokud by čekání trvalo dva dny a zapamatovalo by se deset hesel, trvalo by 20 dní, než by se vrátilo k původnímu heslu. Do té doby pravděpodobně i ta nejchytřejší hesla pravděpodobně ztratila svou přitažlivost.

Nevýhodou zásad minimálního věku hesla je, že vaši uživatelé nebudou moci změnit svá hesla hned, i když se domnívají, že hesla byla prolomena. Měli byste na to pamatovat, pokud zvolíte tuto možnost a ujistíte se, že je k dispozici horká linka pro nouzové změny hesla.

Požadavky na složitost hesla – zahrnuje řadu požadavků, které jsou v systémech Linux a Solaris konfigurovány samostatně. Pokud je toto nastavení povoleno – ve výchozím nastavení musí být hesla dlouhá nejméně šest znaků a musí obsahovat znaky ze tří z následujících: velká písmena, malá písmena, číslice (0-9), speciální znaky (např.!, #, $) A znaky unicode. Heslo navíc nesmí obsahovat více než dva znaky z uživatelského jména (za předpokladu, že uživatelské jméno má délku tři nebo více znaků).

Minimální délka hesla – kolik znaky musí být součástí hesel uživatelů. I když je výchozí hodnota 7, je lepší volbou něco mezi 8 a 12. Vaši uživatelé se pravděpodobně budou bránit tomu, že si budou muset zapamatovat další čtyři znaky, takže buďte připraveni nabídnout několik návrhů, jak si zapamatovat delší hesla, jako je přidání dvou číslic na každý konec, přidání hesla k narozeninám jejich nejlepšího přítele ( např. 0323) nebo nastavení hesel jako krátké fráze jako „want2goHome!“. Připomeňte jim, že zápis jejich hesel je vždy velmi špatný nápad, ale zapsat si něco, co jim jejich hesla připomene, může být v pořádku, zvláště pokud „Není zřejmé, že si toto heslo snaží zapamatovat.

Doba uzamčení účtu – kolik minut zůstanou uzamčené účty uzamčené, než se odemknou. Pokud je nastaveno na 0, heslo zůstane uzamčeno, dokud jej správce (někdo oprávněný k provedení těchto změn) neodemkne. Toto nastavení však závisí na prahové hodnotě uzamčení účtu. Jinými slovy, pokud neurčíte, že účty budou uzamčeny po určitém počtu neúspěšných pokusů o přihlášení, nemá význam určit, jak dlouho budou uzamčeny.

Prahová hodnota pro uzamčení účtu – počet po sobě jdoucích neúspěšných pokusů o přihlášení, které způsobí uzamčení účtu. Je-li nastavena hodnota 0 (výchozí), účty se nikdy nezamknou.

Jedinou nevýhodou nastavení prahové hodnoty pro uzamčení účtu je v tom, že umožňuje uživateli uzamknout účet jiného uživatele.

Resetovat počítadlo blokování účtu po – kolik minut musí uplynout, než se počítadlo blokování resetuje na 0 (tj. Účet je odemčen). To se může pohybovat od 1 minuty do 99 999. Musí být menší nebo rovna délce blokování účtu.

Vynutit omezení přihlašování uživatelů – ať už Centrum distribuce klíčů Kerberos ověřuje každý požadavek na lístek relace podle zásad uživatelských práv v konkrétním počítači.

Maximální životnost pro servisní lístek – maximální doba, po kterou lze použít relační lístek. To znamená, že ověřovací systém, na kterém je založen systém Windows (Kerberos), musí znovu ověřit připojení ve stanoveném intervalu.

Maximální životnost pro uživatelský lístek – maximální doba, po kterou může být použit lístek pro udělení lístku uživatele. uplynul čas (výchozí 10 hodin), musí být obnoven.

Maximální životnost pro obnovení uživatelského lístku – definuje časové období, ve kterém lze lístek použít a obnovit.

Maximální tolerance pro synchronizaci hodin počítače – definuje maximální časový rozdíl, který je povolen mezi časem na hodinách klienta a řadičem domény. Účelem je zabránit tomu, co se nazývá „útoky opakování“, při nichž se platný přenos dat zlomyslně nebo podvodně opakuje nebo zpožďuje.

Výchozí nastavení hesel v systému Windows a ve službě Active Directory jsou docela rozumné, i když bych změnil 7místnou minimální délku hesla na něco vyššího. Zatímco funkce blokování činí úspěch útoků hrubou silou heslem velmi nepravděpodobným – pokud je nastaven a není ve výchozím nastavení, nastavení očekávání uživatelů, že heslo by mělo být delší než 8 znaků, pravděpodobně zlepší zabezpečení ostatních účtů, které používají. .