Både moderne Windows-systemer (f.eks. Windows Server 2008 og 2008 R2) og Active Directory, som Linux- og Solaris-systemer, giver dig mulighed for at konfigurere adgangskodepolitikker, der bestemmer hvor lang og kompleks dine brugeres adgangskoder skal være, hvilket giver en første forsvarslinje til dine systemer. Hvis dine Unix-systemer godkendes til AD, er dette stedet at specificere alle dine adgangskodekrav. Hvis Active Directory kun er et af mange steder, hvor adgangskodepolitikker er konfigureret, er det stadig en god ide at sikre, at der bruges gode adgangskoder. At have lignende kompleksitetsstandarder på tværs af virksomheden er en god strategi, da det styrker vigtigheden af gode adgangskoder i holde dine systemer sikre.

Windows og Active Directory giver dig mulighed for at specificere et antal parametre for at håndhæve adgangskodesikkerhed. Standardværdierne er anført i nedenstående tabel.

Policy Setting Default Setting Value============== ====================Enforce password history 24 daysMaximum password age 42 daysMinimum password age 1 dayMinimum password length 7Password must meet complexity requirements EnabledStore passwords using reversible encryption DisabledAccount lockout duration Not definedAccount lockout threshold 0Reset account lockout counter after Not definedEnforce user logon restrictions EnabledMaximum lifetime for service ticket 600 minutesMaximum lifetime for user ticket 10 hoursMaximum lifetime for user ticket renewal 7 daysMaximum tolerance for computer clock synchronization5 minutes

Adgangskodeshistorik – hvor mange adgangskoder der huskes af systemet. Ved hjælp af standard kan ingen af de 24 foregående adgangskoder genbruges, når en bruger ændrer sin adgangskode .

Maksimal adgangskodealder – hvor længe en adgangskode kan bruges, før den skal ændres. Hvis den ændres, er denne typisk indstillet til noget i retning af 90 dage. Dette vil betyde, at dine adgangskoder skal skiftes med få års mellemrum måneder.

Mindste adgangskodealder – hvor længe dine brugere skal vente, før de kan cha nge en adgangskode igen. Hvis du brugere kunne ændre deres adgangskoder med det samme, og systemet kun huskede nogle få af de tidligere adgangskoder, ville det være let for dem at genoplive deres nuværende adgangskoder, i det væsentlige ved at bruge den samme adgangskode for evigt. Hvis du tvinger dem til at bruge hver nye adgangskode i et antal dage, er sandsynligheden for, at de vender tilbage til at bruge den originale adgangskode, er lille. Hvis ventetiden var to dage, og ti adgangskoder ville blive husket, ville det tage 20 dage at komme tilbage til den oprindelige adgangskode. På det tidspunkt vil selv den klogeste adgangskode sandsynligvis have mistet sin appel.

Ulempen ved minimumspolitikken for adgangskodealder er, at dine brugere ikke kan ændre deres adgangskoder med det samme, selvom de mener, at adgangskoderne er kompromitteret. Du skal huske dette, hvis du vælger denne mulighed og sørger for, at en hotline er tilgængelig til ændringer af adgangskoder i nødsituationer.

Krav til kompleksitet i adgangskoden – indeholder et nummer af krav, der er konfigureret separat på Linux- og Solaris-systemer. Hvis denne indstilling er aktiveret – som den er som standard, skal adgangskoder være mindst seks tegn lange og skal indeholde tegn fra tre af følgende: store bogstaver, små bogstaver, cifre (0-9), specialtegn (f.eks.!, #, $) Og unicode-tegn. Desuden må adgangskoden ikke indeholde mere end to tegn fra brugernavnet (forudsat at brugernavnet er tre eller flere tegn langt).

Minimum adgangslængde – hvor mange tegn skal medtages i brugernes adgangskoder. Mens dette som standard er 7, er noget mellem 8 og 12 et bedre valg. Dine brugere vil sandsynligvis undgå at skulle huske yderligere fire tegn, så vær klar til at tilbyde nogle forslag til, hvordan man laver længere adgangskoder mindeværdige, såsom at tilføje et par cifre i hver ende, forudgående adgangskoder med deres bedste vens fødselsdag ( 0323) eller indstille adgangskoder til at være en kort sætning som “want2goHome!”. Mind dem om, at det altid er en meget dårlig idé at nedskrive deres adgangskoder, men det kan være OK at skrive noget, der minder dem om deres adgangskoder, især hvis de ikke “t gør det indlysende, at det er en adgangskode, som de prøver at huske.

Kontosperrevarighed – hvor mange minutter en låst konto forbliver låst, inden den låses op. Hvis indstillet til 0, forbliver en adgangskode dog låst, indtil en administrator (en person, der er autoriseret til at foretage denne type ændringer), låser den op. Denne indstilling afhænger dog af konto-lockout-tærsklen. Med andre ord, hvis du ikke angiver, at konti vil blive låst efter et antal mislykkede forsøg på at logge ind, er der ingen betydning for at angive, hvor længe de vil være låst.

Konto-lockout-tærskel – antallet af på hinanden følgende mislykkede loginforsøg, der får en konto til at blive låst. Hvis den er indstillet til 0 (standard), låses konti aldrig.

Den eneste ulempe ved indstillingen for konto-lockout-tærskel er, at den gør det muligt for en bruger at låse en anden brugers konto ud.

Nulstil konto-lockout-tæller efter – hvor mange minutter der skal gå, før en lockout-tæller nulstilles til 0 (dvs. at kontoen er låst op). Dette kan variere fra 1 minut til 99.999. Det skal være mindre end eller lig med varigheden af konto-lockout.

Håndhæv begrænsninger for brugerlogon – om Kerberos Key Distribution Center validerer enhver anmodning om en sessionskort i forhold til brugerrettighedspolitikken på en bestemt computer.

Maksimal levetid for servicebillet – maksimal tid, som en sessionsbillet kan bruges. Dette betyder, at det autentificeringssystem, der ligger til grund for Windows (Kerberos), skal validere en forbindelse igen med det angivne interval.

Maksimal levetid for brugerbillet – maksimal tid, som en brugers billet tildeler en billet kan bruges. Derefter tid (standard 10 timer) er gået, skal den fornyes.

Maksimal levetid for fornyelse af brugerbillet – definerer den tidsperiode, inden for hvilken en billet kan bruges til og fornyes.

Maksimal tolerance for computersurssynkronisering – definerer den maksimale tidsforskel, der er tilladt mellem tiden på klientens ur og domænecontrolleren. Det er beregnet til at forhindre det, der kaldes “replay-angreb”, hvor en gyldig datatransmission ondsindet eller svigagtigt gentages eller forsinkes.

Standardindstillingerne for adgangskoder i Windows og Active Directory er ganske rimelige, selvom jeg ville ændre den mindste adgangskodelængde på 7 tegn til noget højere. Mens lockout-funktionerne gør succesen med brute force-adgangskodeangreb meget usandsynlig – hvis dette er indstillet, og det ikke er som standard, vil indstilling af brugernes forventninger om, at adgangskoden skal være længere end 8 tegn sandsynligvis forbedre sikkerheden på andre konti, de bruger .