专家答疑:如何强化活动目录密码策略设置

日期: 2015-05-11 作者:Kevin Beaver翻译:黄小明 来源:TechTarget中国 英文

我最常见的一个问题是:对于那些并不关心安全的用户来说,应该如何去实施强化密码?毫无疑问,在广泛寻求利用不义之财的威胁中,弱密码是最大的漏洞之一。不幸的是,管理人员或其他员工设置的密码策略往往让许多人陷入困境。 查看Active Directory中一些长期存在的组策略对象(Group Policy Objects),很多人的设置都有问题。他们认为设置越严格越好,但情况并不总是这样。

例如,下面的这种Active Directory策略设置是很罕见的: • 强制密码历史:730天 • 密码最长使用效期:30天 • 密码长度最小值:10字节 • 密码必须符合复杂性要求:开启 • 账户锁定阀值:3次无……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

我最常见的一个问题是:对于那些并不关心安全的用户来说,应该如何去实施强化密码?毫无疑问,在广泛寻求利用不义之财的威胁中,弱密码是最大的漏洞之一。不幸的是,管理人员或其他员工设置的密码策略往往让许多人陷入困境。

查看Active Directory中一些长期存在的组策略对象(Group Policy Objects),很多人的设置都有问题。他们认为设置越严格越好,但情况并不总是这样。例如,下面的这种Active Directory策略设置是很罕见的:

• 强制密码历史:730天

• 密码最长使用效期:30天

• 密码长度最小值:10字节

• 密码必须符合复杂性要求:开启

• 账户锁定阀值:3次无效登陆

对于在IT行业工作了几年的人来说,每个月设置复杂密码的工作量并不大。归根到底,我们(通常)知道如何创建牢固的密码并且常常使用密码管理器来保持它们的强度。将我们自己的个性设置强加给用户,这样的策略都是很荒谬的。最根本的问题是我们很容易认为用户知道该做什么并且放任他们去做,或者认为他们只能自己处理,毕竟这跟安全有关。

许多跟我交谈过的用户无法领悟有关如何创建复杂口令培训的第二重意义。没人会教给他们设置超级容易记住的口令,并且不需要每隔6-12个月进行更改(例如,Great_year2015!)。Active Directory密码策略设置和培训往往是后期才会想到的,因为许多人认为在基础之上需要更多的安全策略。我一直认为这不符合真实性并且越来越多的研究支持这一理论。。

当你努力让你的企业密码更有弹性时,注意不要只关注域密码。Windows环境里还有其他值得关注的重要系统,这些系统往往没有强密码策略,比如:

• 本地Windows账户可以不受域密码策略管理(常见的忽略)。

• SQL Server数据库以标准认证方式运行(非域环境)。

• 虚拟机,包括开发、QA和分期系统没有加入企业域环境,但是数据库仓库仍然可以产生数据和接收内部访问。

• 网站和应用可以连接到内部和外部。

• 防火墙、路由器和网络相关的基础架构系统。

最后,密码标准和策略应该全面标准化和策略化的应用。Windows Server或非Windows Server,所设置的较弱密码会在你的网络环境中制造麻烦。要在来年制定出更好的密码。首先,确定风险在哪里,你可能已经知道了弱点在哪里,因此不必要执行正式的评估或审计。如果不是,你可以使用常用的漏洞扫描工具Nexpose和LanGuard。假如你只是想扫描Windows系统,微软的免费MBSA工具(现在是2.3版本,支持Windows Server 2012 R2系统)是一个不错的选择。也有密码破解专用工具,如Elcomsoft和l0phtcrack,可以深层次发现并且展示出你的系统弱势在哪里。

一旦决定你的密码标准,立刻调整标准和部署策略,使其能够正确按照你的想法来完成工作。最后,使用Active Directory或者一个第三方的密码和Active Directory审计工具,比如使用Avatier、ManageEngine和Netwrix来加强你的密码。记住,在你的密码标准和策略的制定完成前,如果开始创建规则外的某个组成员和整个企业系统,那就是麻烦接踵而来的时刻。

作者

Kevin Beaver
Kevin Beaver

Kevin Beaver是一名优秀的信息安全顾问与作者。拥有超过17年的IT工作经验,擅长做信息安全评估。Beaver已经写了五本书,包括《Hacking For Dummies》《Hacking Wireless Networks For Dummies》《The Practical Guide to HIPAA Privacy and Security Compliance》等。

相关推荐

  • Azure Active Directory Connect是如何协助管理员工作的?

    Azure的AD Connect工具可以协助管理员在本地Active Directory环境中顺利工作,也有助于从Azure云中获取管理资源。

  • Active Directory数据库太杂乱?ADSI Edit来清理

    随着Active Directory数据库老化,系统会在局部删除用户账号、安装应用程序失败或者其他管理上的失误后积累乱七八糟的东西,以及出现崩溃现象。本文介绍如何使用ADSI Edit来清理Active Directory数据库。

  • 如何执行活动目录备份和恢复?

    我需要做活动目录备份,但我不确定该使用哪个方法。哪一种才是比较容易的备份和恢复方法呢?

  • Azure进阶教程

    微软从未放松其云战略脚步,作为其云计算平台,Azure今年已增加了众多更新,受人瞩目。本期技术手册将深入介绍Azure更多相关知识,涉及Azure新功能、Azure监控与管理,以及Azure的安全措施等等。