Sowohl in modernen Windows-Systemen (z. B. Windows Server 2008 und 2008 R2) als auch in Active Directory wie Linux- und Solaris-Systemen können Sie Kennwortrichtlinien konfigurieren, die dies bestimmen Wie lang und komplex die Kennwörter Ihrer Benutzer sein müssen, bietet eine erste Verteidigungslinie für Ihre Systeme. Wenn sich Ihre Unix-Systeme bei AD authentifizieren, können Sie hier alle Ihre Kennwortanforderungen angeben. Wenn Active Directory nur einer von vielen Orten ist, an denen Kennwortrichtlinien konfiguriert werden, ist es immer noch eine gute Idee, sicherzustellen, dass gute Kennwörter verwendet werden. Ähnliche Komplexitätsstandards im gesamten Unternehmen sind eine gute Strategie, da sie die Bedeutung guter Kennwörter in verstärken Schutz Ihrer Systeme.

In Windows und Active Directory können Sie eine Reihe von Parametern angeben, um die Kennwortsicherheit zu erzwingen. Die Standardwerte sind in der folgenden Tabelle aufgeführt.

Policy Setting Default Setting Value============== ====================Enforce password history 24 daysMaximum password age 42 daysMinimum password age 1 dayMinimum password length 7Password must meet complexity requirements EnabledStore passwords using reversible encryption DisabledAccount lockout duration Not definedAccount lockout threshold 0Reset account lockout counter after Not definedEnforce user logon restrictions EnabledMaximum lifetime for service ticket 600 minutesMaximum lifetime for user ticket 10 hoursMaximum lifetime for user ticket renewal 7 daysMaximum tolerance for computer clock synchronization5 minutes

Kennwortverlauf – Wie viele Kennwörter werden vom System gespeichert. Standardmäßig kann keines der vorherigen 24 Kennwörter wiederverwendet werden, wenn ein Benutzer sein Kennwort ändert

Maximales Kennwortalter – Wie lange ein Kennwort verwendet werden kann, bevor es geändert werden muss. Wenn es geändert wird, wird dies normalerweise auf etwa 90 Tage festgelegt. Dies würde bedeuten, dass Ihre Kennwörter alle paar Jahre geändert werden müssen Monate.

Mindestalter für Kennwörter – wie lange müssen Ihre Benutzer warten, bevor sie cha können Geben Sie erneut ein Passwort ein. Wenn Ihre Benutzer ihre Kennwörter sofort ändern könnten und sich das System nur einige der vorherigen Kennwörter merken würde, wäre es für sie einfach, ihre aktuellen Kennwörter wiederzubeleben, wobei im Wesentlichen für immer dasselbe Kennwort verwendet wird. Wenn Sie sie zwingen, jedes neue Passwort für einige Tage zu verwenden, ist die Wahrscheinlichkeit gering, dass sie wieder das ursprüngliche Passwort verwenden. Wenn die Wartezeit zwei Tage betragen würde und zehn Passwörter gespeichert würden, würde es 20 Tage dauern, bis das ursprüngliche Passwort wieder hergestellt ist. Zu diesem Zeitpunkt wird wahrscheinlich auch das klügste Kennwort seine Attraktivität verloren haben.

Der Nachteil der Richtlinien für das Mindestalter für Kennwörter besteht darin, dass Ihre Benutzer ihre Kennwörter nicht mehr ändern können Sofort, auch wenn sie glauben, dass die Passwörter kompromittiert wurden. Sie sollten dies berücksichtigen, wenn Sie diese Option auswählen und sicherstellen, dass eine Hotline für Änderungen des Notfallkennworts verfügbar ist.

Anforderungen an die Kennwortkomplexität – enthält eine Nummer von Anforderungen, die auf Linux- und Solaris-Systemen separat konfiguriert werden. Wenn diese Einstellung aktiviert ist, müssen Kennwörter – wie standardmäßig – mindestens sechs Zeichen lang sein und Zeichen aus drei der folgenden Zeichen enthalten: Großbuchstaben, Kleinbuchstaben, Ziffern (0-9), Sonderzeichen (z. B. !, #, $) Und Unicode-Zeichen. Außerdem darf das Kennwort nicht mehr als zwei Zeichen des Benutzernamens enthalten (vorausgesetzt, der Benutzername ist drei oder mehr Zeichen lang).

Minimale Passwortlänge – wie viele Zeichen müssen in den Passwörtern der Benutzer enthalten sein. Während dies standardmäßig 7 ist, ist etwas zwischen 8 und 12 die bessere Wahl. Ihre Benutzer müssen sich wahrscheinlich nicht an weitere vier Zeichen erinnern. Machen Sie also einige Vorschläge, wie Sie längere Passwörter einprägsam machen können, z. B. indem Sie jedem Ende ein paar Ziffern hinzufügen und Passwörter mit dem Geburtstag ihres besten Freundes voranstellen ( zB 0323) oder das Festlegen von Passwörtern als kurze Phrase wie „want2goHome!“. Erinnern Sie sie daran, dass das Aufschreiben ihrer Passwörter immer eine sehr schlechte Idee ist, aber etwas aufzuschreiben, das sie an ihre Passwörter erinnert, ist möglicherweise in Ordnung, insbesondere wenn sie es nicht tun „Machen Sie nicht deutlich, dass es sich um ein Kennwort handelt, an das sie sich erinnern möchten.

Kontosperrungsdauer – Wie viele Minuten ein gesperrtes Konto gesperrt bleibt, bevor es entsperrt wird. Wenn ein Kennwort auf 0 gesetzt ist, bleibt es jedoch gesperrt, bis ein Administrator (jemand, der berechtigt ist, diese Art von Änderungen vorzunehmen) es entsperrt. Diese Einstellung hängt jedoch vom Kontosperrungsschwellenwert ab. Mit anderen Worten, wenn Sie nicht angeben, dass Konten nach einigen fehlgeschlagenen Anmeldeversuchen gesperrt werden, ist es nicht wichtig anzugeben, wie lange sie gesperrt werden.

Kontosperrungsschwelle – Die Anzahl der aufeinanderfolgenden fehlgeschlagenen Anmeldeversuche, die dazu führen, dass ein Konto gesperrt wird. Wenn 0 (Standardeinstellung) festgelegt ist, werden Konten niemals gesperrt.

Der einzige Nachteil von Die Einstellung für den Kontosperrungsschwellenwert ermöglicht es einem Benutzer, das Konto eines anderen Benutzers zu sperren.

Zurücksetzen des Kontosperrungszählers nach – wie viele Minuten müssen vergehen, bevor ein Sperrzähler zurückgesetzt wird 0 (dh das Konto ist entsperrt). Dies kann zwischen 1 Minute und 99.999 liegen. Sie muss kleiner oder gleich der Sperrdauer des Kontos sein.

Benutzeranmeldebeschränkungen erzwingen – ob das Kerberos Key Distribution Center jede Anforderung eines Sitzungstickets anhand der Benutzerrechtsrichtlinie auf einem bestimmten Computer überprüft.

Maximale Lebensdauer für Servicetickets – maximale Zeit, die ein Sitzungsticket verwendet werden kann. Dies bedeutet, dass das Windows (Kerberos) zugrunde liegende Authentifizierungssystem eine Verbindung im angegebenen Intervall erneut validieren muss.

Maximale Lebensdauer für Benutzerticket – maximale Zeit, die das Ticketgewährungsticket eines Benutzers verwendet werden darf. Danach Nach Ablauf der Zeit (Standard 10 Stunden) muss sie erneuert werden.

Maximale Lebensdauer für die Erneuerung von Benutzertickets – Definiert den Zeitraum, innerhalb dessen ein Ticket verwendet und erneuert werden kann.

Maximale Toleranz für die Synchronisierung der Computeruhr – Definiert die maximale Zeitdifferenz, die zwischen der Zeit auf der Uhr des Clients und dem Domänencontroller zulässig ist. Es soll sogenannte „Wiederholungsangriffe“ verhindern, bei denen eine gültige Datenübertragung böswillig oder betrügerisch wiederholt oder verzögert wird.

Die Standardeinstellungen für Kennwörter unter Windows und Active Directory sind durchaus vernünftig, obwohl ich die 7-stellige Mindestkennwortlänge auf etwas Höheres ändern würde. Während die Sperrfunktionen den Erfolg von Brute-Force-Kennwortangriffen höchst unwahrscheinlich machen – wenn dies festgelegt ist und nicht standardmäßig festgelegt ist, wird die Sicherheit anderer von ihnen verwendeter Konten wahrscheinlich durch das Festlegen der Erwartungen der Benutzer erhöht, dass das Kennwort länger als 8 Zeichen sein sollte .