Zowel moderne Windows-systemen (bijv. Windows Server 2008 en 2008 R2) als Active Directory, zoals Linux- en Solaris-systemen, stellen u in staat wachtwoordbeleid te configureren dat bepaalt hoe lang en complex de wachtwoorden van uw gebruikers moeten zijn, wat een eerste verdedigingslinie voor uw systemen vormt. Als uw Unix-systemen zich authenticeren bij AD, dan is dit de plaats om al uw wachtwoordvereisten op te geven. Als Active Directory slechts een van de vele plaatsen is waar wachtwoordbeleid wordt geconfigureerd, is het nog steeds een goed idee om ervoor te zorgen dat goede wachtwoorden worden gebruikt. Het is een goede strategie om vergelijkbare complexiteitsnormen in de hele onderneming te hebben, aangezien dit het belang van goede wachtwoorden in om uw systemen veilig te houden.

Met Windows en Active Directory kunt u een aantal parameters specificeren om wachtwoordbeveiliging af te dwingen. De standaardwaarden staan in de onderstaande tabel.

Policy Setting Default Setting Value============== ====================Enforce password history 24 daysMaximum password age 42 daysMinimum password age 1 dayMinimum password length 7Password must meet complexity requirements EnabledStore passwords using reversible encryption DisabledAccount lockout duration Not definedAccount lockout threshold 0Reset account lockout counter after Not definedEnforce user logon restrictions EnabledMaximum lifetime for service ticket 600 minutesMaximum lifetime for user ticket 10 hoursMaximum lifetime for user ticket renewal 7 daysMaximum tolerance for computer clock synchronization5 minutes

Wachtwoordgeschiedenis – hoeveel wachtwoorden worden door het systeem onthouden. Met de standaardinstelling kan geen van de vorige 24 wachtwoorden worden hergebruikt wanneer een gebruiker zijn of haar wachtwoord wijzigt .

Maximale wachtwoordleeftijd – hoe lang een wachtwoord kan worden gebruikt voordat het moet worden gewijzigd. Indien gewijzigd, wordt dit doorgaans ingesteld op ongeveer 90 dagen. Dit zou betekenen dat uw wachtwoorden om de paar keer moeten worden gewijzigd maanden.

Minimumleeftijd voor wachtwoorden – hoe lang uw gebruikers moeten wachten voordat ze kunnen veranderen Voer opnieuw een wachtwoord in. Als uw gebruikers hun wachtwoorden onmiddellijk zouden kunnen wijzigen en het systeem onthoudt slechts een paar van de vorige wachtwoorden, dan zou het voor hen gemakkelijk zijn om hun huidige wachtwoorden weer tot leven te wekken, in wezen met hetzelfde wachtwoord voor altijd. Als je ze dwingt om elk nieuw wachtwoord een aantal dagen te gebruiken, is de kans klein dat ze weer het oorspronkelijke wachtwoord gaan gebruiken. Als het wachten twee dagen zou duren en tien wachtwoorden zouden worden onthouden, zou het 20 dagen duren voordat het oorspronkelijke wachtwoord terugkeerde. Tegen die tijd zullen zelfs de slimste wachtwoorden waarschijnlijk hun aantrekkingskracht hebben verloren.

Het nadeel van het beleid voor een minimumleeftijd voor wachtwoorden is dat uw gebruikers hun wachtwoorden niet meer kunnen wijzigen meteen, zelfs als ze denken dat de wachtwoorden gecompromitteerd zijn. Houd hier rekening mee als u deze optie kiest en zorg ervoor dat er een hotline beschikbaar is voor noodwachtwoordwijzigingen.

Vereisten voor wachtwoordcomplexiteit – bevat een nummer van vereisten die afzonderlijk zijn geconfigureerd op Linux- en Solaris-systemen. Als deze instelling is ingeschakeld – zoals standaard het geval is, moeten wachtwoorden minstens zes tekens lang zijn en moeten ze tekens bevatten van drie van de volgende: hoofdletters, kleine letters, cijfers (0-9), speciale tekens (bijv.,!, #, $) En Unicode-tekens. Bovendien mag het wachtwoord niet meer dan twee tekens van de gebruikersnaam bevatten (op voorwaarde dat de gebruikersnaam drie of meer tekens lang is).

Minimale wachtwoordlengte – hoeveel tekens moeten worden opgenomen in de wachtwoorden van gebruikers. Hoewel dit standaard 7 is, is iets tussen 8 en 12 een betere keuze. Uw gebruikers zullen waarschijnlijk aarzelen om vier extra tekens te moeten onthouden, dus wees bereid om wat suggesties te doen om langere wachtwoorden gedenkwaardig te maken, zoals het toevoegen van een paar cijfers aan elk uiteinde, wachtwoorden toevoegen aan de verjaardag van hun beste vriend ( bijv. 0323) of het instellen van wachtwoorden als een korte zin, zoals “want2goHome!”. Herinner hen eraan dat het opschrijven van hun wachtwoorden altijd een heel slecht idee is, maar dat het goed kan zijn om iets op te schrijven dat hen aan hun wachtwoorden herinnert, vooral als ze dat niet doen “maak het niet duidelijk dat het een wachtwoord” is dat ze proberen te onthouden.

Duur van accountvergrendeling – hoeveel minuten een geblokkeerd account vergrendeld blijft voordat het wordt ontgrendeld. Indien ingesteld op 0, blijft een wachtwoord echter vergrendeld totdat een admin (iemand die bevoegd is om dit soort wijzigingen aan te brengen) het ontgrendelt. Deze instelling is echter afhankelijk van de accountvergrendelingsdrempel. Met andere woorden, als u niet specificeert dat accounts zullen worden vergrendeld na een aantal mislukte pogingen om in te loggen, heeft het geen betekenis om aan te geven hoe lang ze zullen worden vergrendeld.

Drempel voor accountvergrendeling – het aantal opeenvolgende mislukte inlogpogingen waardoor een account wordt vergrendeld. Indien ingesteld op 0 (de standaardinstelling), worden accounts nooit vergrendeld.

Het enige nadeel van de instelling van de drempelwaarde voor accountblokkering is dat het een gebruiker mogelijk maakt om het account van een andere gebruiker te vergrendelen.

Reset accountblokkeringsteller na – hoeveel minuten moeten er verstrijken voordat een vergrendelingsteller wordt gereset naar 0 (dwz het account is ontgrendeld). Dit kan variëren van 1 minuut tot 99.999. Het moet korter zijn dan of gelijk zijn aan de duur van de accountvergrendeling.

Gebruikersaanmeldingsbeperkingen afdwingen – of het Kerberos Key Distribution Center elk verzoek om een sessieticket valideert tegen het gebruikersrechtenbeleid op een bepaalde computer.

Maximale levensduur voor serviceticket – maximale tijd dat een sessieticket kan worden gebruikt. Dit betekent dat het verificatiesysteem dat ten grondslag ligt aan Windows (Kerberos) een verbinding opnieuw moet valideren met het opgegeven interval.

Maximale levensduur voor gebruikersticket – maximale tijd dat het kaartje voor het toekennen van een kaartje van een gebruiker mag worden gebruikt. Daarna tijd (standaard 10 uur) is verstreken, moet deze worden verlengd.

Maximale levensduur voor verlenging van gebruikerstickets – definieert de tijdsperiode waarbinnen een ticket kan worden gebruikt en verlengd.

Maximale tolerantie voor synchronisatie van computerklokken – definieert het maximale tijdsverschil dat is toegestaan tussen de tijd op de klok van de client en de domeincontroller. Het is bedoeld om zogenaamde “replay-aanvallen” te voorkomen, waarbij een geldige datatransmissie kwaadwillig of frauduleus wordt herhaald of vertraagd.

De standaardinstellingen voor wachtwoorden op Windows en Active Directory zijn redelijk, hoewel ik de minimale wachtwoordlengte van 7 tekens zou wijzigen in iets hogers. Hoewel de vergrendelingsfuncties het succes van brute force-wachtwoordaanvallen hoogst onwaarschijnlijk maken – als dit is ingesteld en dit niet standaard is, zal het stellen van de verwachtingen van gebruikers dat het wachtwoord langer moet zijn dan 8 tekens waarschijnlijk de beveiliging van andere accounts die ze gebruiken verbeteren. .