Atât sistemele Windows moderne (de exemplu, Windows Server 2008 și 2008 R2), cât și Active Directory, precum sistemele Linux și Solaris, vă permit să configurați politicile de parolă care determină cât de lungi și complexe trebuie să fie parolele utilizatorilor dvs., oferind o primă linie de apărare pentru sistemele dvs. Dacă sistemele dvs. Unix se autentifică la AD, atunci acesta este locul pentru a specifica toate cerințele dvs. de parolă. Dacă Active Directory este doar unul dintre multele locuri în care sunt configurate politicile de parolă, este încă o idee bună să vă asigurați că sunt folosite parole bune. A avea standarde de complexitate similare în întreaga întreprindere este o strategie bună, deoarece întărește importanța parolelor bune în păstrarea sistemelor dvs. în siguranță.

Windows și Active Directory vă permit să specificați un număr de parametri pentru a impune securitatea parolei. Valorile implicite sunt listate în tabelul de mai jos.

Policy Setting Default Setting Value============== ====================Enforce password history 24 daysMaximum password age 42 daysMinimum password age 1 dayMinimum password length 7Password must meet complexity requirements EnabledStore passwords using reversible encryption DisabledAccount lockout duration Not definedAccount lockout threshold 0Reset account lockout counter after Not definedEnforce user logon restrictions EnabledMaximum lifetime for service ticket 600 minutesMaximum lifetime for user ticket 10 hoursMaximum lifetime for user ticket renewal 7 daysMaximum tolerance for computer clock synchronization5 minutes

Istoricul parolelor – câte parole vor fi memorate de sistem. Folosind valoarea implicită, niciuna dintre cele 24 de parole anterioare nu poate fi reutilizată atunci când un utilizator își schimbă parola .

Vârsta maximă a parolei – cât timp poate fi utilizată o parolă înainte de a fi schimbată. Dacă este modificată, aceasta este setată de obicei la 90 de zile. Aceasta ar însemna că parolele dvs. trebuie schimbate la fiecare câteva luni.

Vârsta minimă a parolei – cât timp trebuie să aștepte utilizatorii dvs. înainte de a putea cha introduceți din nou o parolă. Dacă utilizatorii ar putea să-și schimbe parolele imediat și sistemul să-și amintească doar câteva dintre parolele anterioare, ar fi ușor pentru ei să își reînvie parolele curente, folosind în esență aceeași parolă pentru totdeauna. Dacă îi forțați să utilizeze fiecare nouă parolă timp de câteva zile, probabilitatea ca aceștia să revină la utilizarea parolei originale este redusă. Dacă așteptarea ar fi două zile și s-ar aminti zece parole, ar dura 20 de zile pentru a reveni la parola originală. În acel moment, chiar și cele mai inteligente parole vor fi pierdut probabil atracția.

Dezavantajul politicilor de vârstă minimă a parolei este că utilizatorii dvs. nu vor putea să-și schimbe parolele. imediat chiar dacă cred că parolele au fost compromise. Ar trebui să țineți cont de acest lucru dacă alegeți această opțiune și asigurați-vă că este disponibilă o linie telefonică rapidă pentru modificări de parolă de urgență.

Cerințe privind complexitatea parolei – încorporează un număr de cerințe care sunt configurate separat pe sistemele Linux și Solaris. Dacă această setare este activată – așa cum este implicit, parolele trebuie să aibă cel puțin șase caractere și să conțină caractere din trei dintre următoarele: caractere majuscule, caractere mici, cifre (0-9), caractere speciale (de exemplu,!, #, $) Și caractere unicode. În plus, parola nu trebuie să conțină mai mult de două caractere din numele de utilizator (cu condiția ca numele de utilizator să aibă trei sau mai multe caractere).

Lungimea minimă a parolei – câte caracterele trebuie incluse în parolele utilizatorilor. În timp ce acest lucru implicit este 7, ceva între 8 și 12 este o alegere mai bună. Este posibil ca utilizatorii dvs. să nu se gândească la faptul că trebuie să-și amintească încă patru caractere, așa că fiți gata să oferiți câteva sugestii despre cum să faceți memorabile parolele mai lungi, cum ar fi adăugarea a două cifre la fiecare capăt, prelungirea parolelor cu ziua de naștere a celui mai bun prieten de exemplu, 0323) sau setarea parolelor pentru a fi o frază scurtă, cum ar fi „want2goHome!”. Amintiți-le că notarea parolelor lor este întotdeauna o idee foarte proastă, dar să scrieți ceva care să le amintească parolele lor ar putea fi OK, mai ales dacă nu „Nu face evident că este o parolă pe care încearcă să o rețină.

Durata blocării contului – câte minute rămâne blocat un cont blocat înainte de a fi deblocat. Dacă este setat la 0, totuși, o parolă rămâne blocată până când un administrator (cineva autorizat să facă acest tip de modificări) o deblochează. Această setare depinde, totuși, de pragul de blocare a contului. Cu alte cuvinte, dacă nu specificați că conturile vor fi blocate după câteva încercări nereușite de conectare, nu este important să specificați cât timp vor fi blocate.

Pragul de blocare a contului – numărul de încercări consecutive nereușite de conectare care vor determina blocarea unui cont. Dacă este setat la 0 (valoarea implicită), conturile nu sunt niciodată blocate.

Singurul dezavantaj al setarea pragului de blocare a contului este că face posibil ca un utilizator să blocheze contul altor utilizatori.

Resetați contorul de blocare a contului după – câte minute trebuie să treacă înainte ca un contor de blocare să fie resetat la 0 (adică contul este deblocat). Aceasta poate varia de la 1 minut la 99.999. Trebuie să fie mai mică sau egală cu durata de blocare a contului.

Aplică restricțiile de conectare a utilizatorului – dacă Centrul de distribuție a cheilor Kerberos validează fiecare cerere pentru un bilet de sesiune în raport cu politica privind drepturile utilizatorului de pe un anumit computer.

Durata maximă de viață pentru biletul de serviciu – timpul maxim pe care poate fi folosit un bilet de sesiune. Aceasta înseamnă că sistemul de autentificare care stă la baza Windows (Kerberos) trebuie să revalideze o conexiune la intervalul specificat.

Durata maximă de viață pentru biletul de utilizator – timpul maxim pe care poate fi utilizat biletul de acordare a unui bilet de utilizator. După aceea timpul (implicit 10 ore) a trecut, acesta trebuie reînnoit.

Durata maximă de viață pentru reînnoirea biletului utilizatorului – definește perioada în care un bilet poate fi utilizat și reînnoit.

Toleranță maximă pentru sincronizarea ceasului computerului – definește diferența maximă de timp permisă între ora de pe ceasul clientului și controlerul de domeniu. Este menit să prevină ceea ce se numește „atacuri de redare” în care o transmisie validă de date este repetată sau întârziată în mod rău intenționat sau fraudulos.

Setările implicite pentru parolele din Windows și Active Directory sunt destul de rezonabile, deși aș schimba lungimea minimă a parolei cu 7 caractere la ceva mai mare. În timp ce caracteristicile de blocare fac succesul atacurilor cu parolă cu forță brută extrem de puțin probabil – dacă acest lucru este setat și nu este implicit, setarea așteptărilor utilizatorilor ca parola să depășească 8 caractere ar putea îmbunătăți securitatea altor conturi pe care le utilizează .