Sekä nykyaikaiset Windows-järjestelmät (esim. Windows Server 2008 ja 2008 R2) että Active Directory, kuten Linux- ja Solaris-järjestelmät, mahdollistavat salasanakäytäntöjen määrittämisen, jotka määrittävät kuinka kauan ja monimutkaisten käyttäjien salasanojen on oltava, mikä tarjoaa ensimmäisen puolustuslinjan järjestelmillesi. Jos Unix-järjestelmät todentavat AD: ksi, tässä voit määrittää kaikki salasanavaatimuksesi. Jos Active Directory on vain yksi monista paikoista, joissa salasanakäytännöt on määritetty, on silti hyvä varmistaa, että käytetään hyviä salasanoja. Samankaltaiset monimutkaisuusstandardit koko yrityksessä ovat hyvä strategia, koska se vahvistaa hyvien salasanojen merkitystä pitää järjestelmät turvassa.

Windowsin ja Active Directoryn avulla voit määrittää useita parametreja salasanasuojauksen varmistamiseksi. Oletusarvot on lueteltu alla olevassa taulukossa.

Policy Setting Default Setting Value============== ====================Enforce password history 24 daysMaximum password age 42 daysMinimum password age 1 dayMinimum password length 7Password must meet complexity requirements EnabledStore passwords using reversible encryption DisabledAccount lockout duration Not definedAccount lockout threshold 0Reset account lockout counter after Not definedEnforce user logon restrictions EnabledMaximum lifetime for service ticket 600 minutesMaximum lifetime for user ticket 10 hoursMaximum lifetime for user ticket renewal 7 daysMaximum tolerance for computer clock synchronization5 minutes

Salasanahistoria – kuinka monta salasanaa järjestelmä muistaa. Oletusarvoa käyttämällä mitään edellisistä 24 salasanasta ei voida käyttää uudelleen, kun käyttäjä vaihtaa salasanansa .

Salasanan enimmäisikä – kuinka kauan salasanaa voidaan käyttää ennen kuin se on vaihdettava. Jos se vaihdetaan, se asetetaan tyypillisesti noin 90 päiväksi. Tämä tarkoittaa, että salasanasi on vaihdettava muutaman välein kuukautta.

Salasanan vähimmäisikä – kuinka kauan käyttäjien on odotettava ennen kuin he voivat käydä kirjoita salasana uudelleen. Jos käyttäjät voisit vaihtaa salasanansa välittömästi ja järjestelmä muistaa vain muutaman edellisestä salasanasta, heidän olisi helppo herättää nykyiset salasanansa uudestaan, olennaisesti samalla salasanalla ikuisesti. Jos pakotat heidät käyttämään kutakin uutta salasanaa muutaman päivän ajan, on todennäköistä, että he palaavat käyttämään alkuperäistä salasanaa. Jos odotusaika olisi kaksi päivää ja kymmenen salasanaa muistetaan, alkuperäisen salasanan palauttaminen vie 20 päivää. Siihen mennessä jopa älykkäät salasanat ovat todennäköisesti menettäneet houkuttelevuutensa.

Salasanojen vähimmäisikäkäytäntöjen haittana on, että käyttäjät eivät pysty vaihtamaan salasanojaan. heti, vaikka heidän mielestään salasanat ovat vaarantuneet. Pidä tämä mielessä, jos valitset tämän vaihtoehdon ja varmista, että hätäsalasanan vaihtamista varten on käytettävissä vihjelinja.

Salasanan monimutkaisuusvaatimukset – sisältää numeron vaatimuksista, jotka on määritetty erikseen Linux- ja Solaris-järjestelmissä. Jos tämä asetus on käytössä – oletusarvoisesti, salasanojen on oltava vähintään kuusi merkkiä pitkiä ja niiden on sisällettävä merkkejä kolmesta seuraavista: isot kirjaimet, pienet kirjaimet, numerot (0-9), erikoismerkit (esim.!, #, $) Ja unicode-merkit. Lisäksi salasanassa saa olla enintään kaksi merkkiä käyttäjänimestä (edellyttäen, että käyttäjänimi on vähintään kolme merkkiä).

Salasanan vähimmäispituus – kuinka monta merkit on sisällytettävä käyttäjien salasanoihin. Vaikka tämä oletusarvoisesti on 7, jokin välillä 8 ja 12 on parempi valinta. Käyttäjät todennäköisesti epäilevät tarvitsevansa muistaa vielä neljä merkkiä, joten ole valmis tarjoamaan joitain ehdotuksia siitä, miten pidemmät salasanat voidaan tehdä mieleenpainuviksi, kuten lisäämällä pari numeroa kumpaankin päähän, esiasentamalla salasanat parhaan ystävänsä syntymäpäivään ( esim. 0323) tai asettamalla salasanat lyhyeksi lauseeksi, kuten ”want2goHome!”. Muistuta heitä siitä, että salasanojen kirjoittaminen on aina erittäin huono idea, mutta jotain, joka muistuttaa heitä heidän salasanoistaan, voi olla OK, varsinkin jos he eivät ”Älä tee selväksi, että se on salasana, jonka he yrittävät muistaa.

Tilin lukituksen kesto – kuinka monta minuuttia lukittu tili pysyy lukittuna ennen kuin se avataan. Jos asetus on 0, salasana pysyy lukittuna, kunnes järjestelmänvalvoja (joku, joka on valtuutettu tekemään tällaisia muutoksia) avaa sen lukituksen. Tämä asetus riippuu kuitenkin tilin lukitusrajasta. Toisin sanoen, jos et määritä, että tilit lukitaan lukemattomien epäonnistuneiden kirjautumisyritysten jälkeen, ei ole merkitystä määritettäessä, kuinka kauan ne lukitaan.

Tilin lukitusraja – peräkkäisten epäonnistuneiden kirjautumisyritysten määrä, jotka aiheuttavat tilin lukitsemisen. Jos asetus on 0 (oletus), tilejä ei koskaan lukita.

Tilin ainoa haittapuoli tilin lukituskynnysasetus on, että se antaa käyttäjälle mahdollisuuden lukita jonkun toisen käyttäjän tili.

Nollaa tilin lukituslaskuri sen jälkeen – kuinka monta minuuttia on kulunut, ennen kuin lukituslaskuri nollataan 0 (ts. Tili on lukittu). Tämä voi vaihdella yhdestä minuutista 99 999: een. Sen on oltava pienempi tai yhtä suuri kuin tilin lukituksen kesto.

Pakota käyttäjän kirjautumisrajoitukset – vahvistaako Kerberos Key Distribution Center jokaisen istuntolippupyynnön tietyn tietokoneen käyttäjän oikeuskäytännön mukaisesti.

Huoltolipun enimmäiskäyttöikä – enimmäisaika, jonka istuntolippua voidaan käyttää. Tämä tarkoittaa, että Windowsin perustana olevan todennusjärjestelmän (Kerberos) on uusittava yhteys määritetyllä aikavälillä.

Käyttäjälipun enimmäiskesto – enimmäisaika, jonka käyttäjän lipun myöntämälippua voidaan käyttää. Sen jälkeen aika (oletusarvoisesti 10 tuntia) on kulunut, se on uusittava.

Enimmäiskäyttöikä käyttäjän lipun uusimiselle – määrittää ajanjakson, jonka kuluessa lippua voidaan käyttää ja uusia.

Tietokonekellosynkronoinnin suurin toleranssi – määrittää enimmäisaikaeron, joka on sallittu asiakkaan kellossa olevan ajan ja toimialueen ohjaimen välillä. Sen on tarkoitus estää ns. Toistohyökkäykset, joissa kelvollinen tiedonsiirto toistetaan vahingossa tai vilpillisesti tai viivästyy.

Windowsin ja Active Directoryn salasanojen oletusasetukset ovat melko kohtuullisia, vaikka haluan muuttaa 7-merkkisen salasanan vähimmäispituuden suuremmaksi. Vaikka lukitusominaisuudet tekevät raa’an salasanahyökkäyksen onnistumisesta erittäin epätodennäköistä – jos tämä on asetettu eikä se ole oletusarvo, käyttäjien odotusten asettaminen yli 8 merkin pituiselle salasanalle parantaa todennäköisesti muiden käyttämien tilien turvallisuutta .