Mind a modern Windows rendszerek (pl. Windows Server 2008 és 2008 R2), mind az Active Directory, például a Linux és a Solaris rendszerek lehetővé teszik a jelszóházirendek konfigurálását, amelyek meghatározzák milyen hosszúnak és összetettnek kell lennie a felhasználói jelszavaknak, biztosítva az első védelmi vonalat a rendszerei számára. Ha Unix rendszerei hitelesítik az AD-t, akkor itt adhatja meg az összes jelszóigényt. Ha az Active Directory csak egy a sok közül, ahol a jelszóházirendek vannak konfigurálva, akkor is jó ötlet biztosítani a jó jelszavak használatát. A vállalaton belüli hasonló bonyolultsági szabványok használata jó stratégia, mivel megerősíti a jó jelszavak fontosságát a a rendszerek biztonságának megőrzése.

A Windows és az Active Directory lehetővé teszi számos paraméter megadását a jelszóbiztonság kikényszerítéséhez. Az alapértelmezett értékeket az alábbi táblázat tartalmazza.

Policy Setting Default Setting Value============== ====================Enforce password history 24 daysMaximum password age 42 daysMinimum password age 1 dayMinimum password length 7Password must meet complexity requirements EnabledStore passwords using reversible encryption DisabledAccount lockout duration Not definedAccount lockout threshold 0Reset account lockout counter after Not definedEnforce user logon restrictions EnabledMaximum lifetime for service ticket 600 minutesMaximum lifetime for user ticket 10 hoursMaximum lifetime for user ticket renewal 7 daysMaximum tolerance for computer clock synchronization5 minutes

Jelszóelőzmények – hány jelszóra fog emlékezni a rendszer. Alapértelmezés szerint az előző 24 jelszó egyikét sem lehet újra felhasználni, amikor a felhasználó megváltoztatja jelszavát .

A jelszó maximális életkora – mennyi ideig használható a jelszó, mielőtt meg kellene változtatni. Ha megváltoztatja, akkor ez általában 90 napra van beállítva. Ez azt jelentené, hogy a jelszavakat minden egyes pár percben meg kell változtatni hónap.

Minimális jelszó életkor – mennyi ideig kell várnia a felhasználóinak, mielőtt cha-t végezhetnek írjon be ismét egy jelszót. Ha Ön, a felhasználók azonnal megváltoztathatják a jelszavukat, és a rendszer csak néhányra emlékezett az előző jelszavakról, akkor könnyű lenne nekik feltámasztaniuk jelenlegi jelszavukat, lényegében ugyanazzal a jelszóval örökké. Ha arra kényszeríti őket, hogy minden új jelszót használjon néhány napig, akkor valószínű, hogy visszatérnek az eredeti jelszó használatához. Ha a várakozás két nap lenne, és tíz jelszóra emlékezne, 20 napra lenne szükség, hogy visszatérjen az eredeti jelszóhoz. Addigra a legokosabb jelszavak is valószínűleg elvesztik vonzerejüket.

A minimális jelszókor-irányelvek hátránya, hogy a felhasználók nem fogják tudni megváltoztatni a jelszavukat. azonnal, még akkor is, ha úgy gondolják, hogy a jelszavak sérültek. Ezt ne felejtse el, ha ezt a lehetőséget választja, és győződjön meg arról, hogy rendelkezésre áll-e forródrót a jelszó sürgős megváltoztatásához.

A jelszó összetettségére vonatkozó követelmények – tartalmaznak egy számot a követelmények közül, amelyeket külön állítanak be Linux és Solaris rendszereken. Ha ez a beállítás engedélyezve van – alapértelmezés szerint, akkor a jelszavaknak legalább hat karakter hosszúnak kell lenniük, és a következőkből három karaktert kell tartalmazniuk: nagybetűk, kisbetűk, számjegyek (0-9), speciális karakterek (pl.!, #, $) És unicode karakterek. Ezenkívül a jelszó nem tartalmazhat kettőnél több karaktert a felhasználónévből (feltéve, hogy a felhasználónév három vagy több karakter hosszú). / p>

A jelszó minimális hossza – hány karaktereket kell feltüntetni a felhasználók jelszavaiban. Bár ez alapértelmezés szerint 7, valami 8 és 12 között jobb választás. Felhasználói valószínűleg nem akarnak további négy karaktert megjegyezni, ezért készen áll arra, hogy felajánljon néhány javaslatot a hosszabb jelszavak emlékezetessé tételére, például adjon hozzá két számjegyet mindkét végéhez, töltse ki a jelszavakat a legjobb barátja születésnapjával ( pl. 0323), vagy a jelszavakat rövid kifejezésként állítsuk be, például: “want2goHome!”. Emlékeztesse őket, hogy a jelszavuk felírása mindig nagyon rossz ötlet, de valami olyan dolog leírása, amely emlékezteti őket a jelszavukra, rendben lehet, különösen, ha nem “ne tedd nyilvánvalóvá, hogy ez egy olyan jelszó, amelyet megpróbálnak megjegyezni.

Fiókzárolás időtartama – hány percig marad zárolt fiók, mielőtt feloldódna. Ha 0-ra van állítva, a jelszó zárolva marad, amíg egy rendszergazda (az ilyen változtatásokra jogosult személy) feloldja azt. Ez a beállítás azonban a fiók zárolási küszöbétől függ. Más szavakkal, ha nem adja meg, hogy a fiókok zárolásra kerülnek néhány sikertelen bejelentkezési kísérlet után, akkor nincs jelentősége annak megadásának, hogy meddig záródnak le.

Fiókzárolási küszöb – az egymást követő sikertelen bejelentkezési kísérletek száma, amelyek egy fiók zárolását okozzák. Ha 0-ra van állítva (alapértelmezett), akkor a fiókok soha nem lesznek lezárva.

A fiók egyetlen hátránya a fiók zárolási küszöb beállítása az, hogy lehetővé teszi a felhasználó számára, hogy zárolja valamilyen más felhasználó fiókját.

A fiók zárolási számlálójának alaphelyzetbe állítása – hány percnek kell eltelnie, mielőtt a zárolási számláló visszaállna 0 (azaz a számla fel van oldva). Ez 1 perctől 99 999-ig terjedhet. Ennek kisebbnek vagy egyenlőnek kell lennie a fiók zárolásának időtartamával.

Kényszerítse a felhasználói bejelentkezési korlátozásokat – érvényesíti-e a Kerberos Key Distribution Center a munkamenet-jegy minden kérését egy adott számítógép felhasználói jogainak házirendje alapján.

A szolgálati jegy maximális élettartama – a munkamenet-jegy maximális felhasználási ideje. Ez azt jelenti, hogy a Windows alapjául szolgáló hitelesítési rendszernek (Kerberos) a megadott időközönként újra kell érvényesítenie a kapcsolatot.

A felhasználói jegy maximális élettartama – az a maximális idő, ameddig a felhasználó felhasználhatja a jegyet. Ezt követően letelt az idő (alapértelmezett 10 óra), meg kell újítani.

A felhasználói jegy megújításának maximális élettartama – meghatározza azt az időtartamot, amelyen belül a jegy felhasználható és megújítható.

A számítógép óra szinkronizálásának maximális tűrése – meghatározza az ügyfél óráján és a tartományvezérlőn megengedett maximális időeltérést. Megakadályozza az úgynevezett “visszajátszási támadásokat”, amelyekben az érvényes adatátvitel rosszindulatúan vagy csalárd módon megismétlődik vagy késik.

A Windows és az Active Directory jelszavainak alapértelmezett beállításai meglehetősen ésszerűek, bár a 7 karakteres minimális jelszóhosszt valami nagyobbra változtatnám. Bár a kizárási funkciók miatt a nyers erővel történő jelszó-támadások sikere nagyon valószínűtlen – ha ez be van állítva és alapértelmezés szerint nem, akkor a felhasználók elvárásainak megadása, hogy a jelszónak 8 karakternél hosszabbnak kell lennie, valószínűleg javítja az általuk használt más fiókok biztonságát. .