Windows Server Active Directory
Gestisci le politiche di scadenza della password in Active Directory utilizzando la politica di gruppo. Ecco una guida passo-passo:
1. Gestione delle politiche di gruppo aperta:
* Vai a inizia , tipo `gpmc.msc` e premere ente . Ciò apre la Console di gestione delle politiche di gruppo (GPMC).
* In alternativa, puoi trovarlo sotto strumenti amministrativi .
2. Passare al dominio o OU:
* Nel GPMC, espandi la tua foresta Quindi espandi i tuoi domini .
* Fare clic con il tasto destro su entrambi:
* Il tuo dominio: Ciò applica la politica a * tutti * utenti nel dominio. Questo è generalmente * non * consigliato per il controllo granulare.
* Unità organizzativa (OU): Ciò consente di applicare politiche diverse a diversi gruppi di utenti. Questa è la migliore pratica per la gestione di diverse politiche di password.
* Seleziona "Crea un GPO in questo dominio e collegalo qui ..." (o "Collega un oggetto d'ogginazione esistente ..." Se hai già un COGO adatto). Dare al nuovo GPO un nome descrittivo (ad es. "Politica di scadenza della password - Utenti standard").
3. Modifica l'oggetto politico di gruppo (GPO):
* Fare clic con il pulsante destro del mouse sul GPO appena creato (o collegato) nel GPMC e selezionare "Modifica" . Questo apre l'editor di gestione delle politiche di gruppo.
4. Passare alle impostazioni della password:
* Nell'editor di gestione delle politiche del gruppo, vai a:
* Configurazione del computer (È qui che sono configurate le politiche di password)
* Politiche
* Impostazioni Windows
* Impostazioni di sicurezza
* Politiche dell'account
* Politica password
5. Configurare le impostazioni del criterio password:
* Vedrai diverse impostazioni che puoi configurare:
* "Imposta la cronologia delle password": Ciò impedisce agli utenti di riutilizzare le vecchie password. Impostare un valore come "24 password ricordate" per impedire agli utenti di andare semplicemente in bicicletta attraverso lievi variazioni della stessa password.
* "Massima password Age": Questa è l'impostazione che stai cercando. Questo definisce quanto tempo è valido una password prima che l'utente sia costretto a cambiarla. Imposta questo su un valore ragionevole, come "90 giorni" o "120 giorni". *IMPORTANTE:Ricerca le migliori pratiche e i requisiti normativi prima di impostarlo. Le vite delle password brevi a volte possono portare a password più deboli poiché gli utenti scelgono opzioni facilmente indovinabili.*
* "Età della password minima": Ciò impedisce agli utenti di modificare la password troppo frequentemente (ad esempio, immediatamente dopo essere stato costretto a cambiarla a causa della scadenza). Un valore comune è "1 giorno". Ciò impedisce agli utenti di aggirare la cronologia delle password modificando immediatamente la loro password più volte.
* "Lunghezza minima della password": Questo è *critico *. Imporre una forte lunghezza minima della password. *Almeno*, usa 12 caratteri. 14-16 è preferibile. Le password più lunghe sono esponenzialmente più difficili da rompere.
* "La password deve soddisfare i requisiti di complessità": Abilita questo. Questa impostazione richiede che le password contengano un mix di lettere maiuscole, lettere minuscole, numeri e simboli. Questo è molto importante per la sicurezza.
* "Memorizza le password utilizzando la crittografia reversibile per tutti gli utenti nel dominio": non abilita questo. Questa impostazione è per scenari di compatibilità all'indietro molto specifici (di solito applicazioni molto vecchie). Si indebolisce significativamente la sicurezza archiviando le password in modo relativamente facile da decrittografare.
6. Applicare la politica (se non già collegata a un OU):
* Assicurarsi che l'oggetto CRO sia collegato al dominio o a cui si desidera applicarlo (Passaggio 2).
* Aggiornamenti di criteri di gruppo periodicamente (di solito ogni 90 minuti con un offset di 30 minuti), ma è possibile forzare un aggiornamento su una macchina client o sul server con il comando:`gpupdate /force`
7. Test:
* Dopo aver applicato la politica, testarla per garantire che funzioni come previsto. Accedi con un utente di prova nell'UE e prova a modificare la password. Controllare i registri degli eventi per errori. Attendere il periodo di scadenza e vedere se all'utente viene richiesto di modificare la password.
Considerazioni importanti per le politiche della password di Active Directory:
* Politiche sulla password a grana fine (FGPP): Se hai bisogno di politiche di password diverse per utenti o gruppi diversi *all'interno dello stesso OU *, dovrai utilizzare le politiche di password a grana fine (FGPP). FGPP offre un controllo molto più granulare. Gli FGPP sono configurati utilizzando Active Directory Amministrative Center o PowerShell. Sono più complessi da configurare rispetto a un CRO standard. Gli FGPP possono avere la precedenza sulle politiche di dominio standard, quindi è necessario comprendere l'ordine di precedenza.
* Complessità della password: La forte complessità della password è vitale. Non sottovalutare l'importanza di richiedere un mix di tipi di personaggi.
* Educazione utente: Educare i tuoi utenti sull'importanza di password forti e sulla politica delle password. Spiega perché devono cambiare le loro password e fornire suggerimenti per la creazione di password forti e memorabili.
* Recensione regolare: Rivedi regolarmente la tua politica di password e regola la necessaria in base alle migliori pratiche di sicurezza e alle esigenze della tua organizzazione.
* Politica di blocco dell'account: Configurare un criterio di blocco dell'account (presente anche nelle politiche dell'account) per bloccare gli account utente dopo un determinato numero di tentativi di accesso non riusciti. Questo aiuta a prevenire gli attacchi di password a forza bruta. Prendi in considerazione l'impostazione di una durata di blocco ragionevole (ad es. 30 minuti).
* Registrazione di audit: Abilita auditing per eventi di gestione degli account. Ciò ti aiuterà a monitorare le modifiche alla password e altre attività relative all'account.
Linux (panoramica generale)
Sui sistemi Linux, le politiche di password vengono generalmente gestite utilizzando `PAM_PWQUALITY.SO` (parte dei moduli di autenticazione collegabile o PAM). La configurazione viene eseguita tramite `/etc/pam.d/` e `/etc/security/pwquality.conf`. Le specifiche dipendono dalla distribuzione (ad es. Debian/Ubuntu, Red Hat/CentOS).
1. Modifica `/etc/pam.d/comune-password` (debian/ubuntu):
* Apri questo file con un editor di testo (come root).
* Trova la linea che include `pam_unix.so`. Sembrerà qualcosa di simile:
`` `
password richiesto Pam_unix.so ...
`` `
* Aggiungi `pam_pwquality.so` * prima *` pam_unix.so`. L'ordine è importante. Per esempio:
`` `
password richiesto pam_pwquality.so retry =3
password richiesto Pam_unix.so ...
`` `
2. Modifica `/etc/security/pwquality.conf`:
* Apri questo file con un editor di testo (come root).
* Questo file definisce le regole della politica della password. Le impostazioni comuni includono:
* `Minlen =12` (lunghezza della password minima)
* `minclass =3` (numero minimo di classi di caratteri - maiuscolo, minuscolo, cifre, simboli)
* `dcredit =-1` (credito massimo per le cifre)
* `ucredit =-1` (credito massimo per lettere maiuscole)
* `lcredit =-1` (credito massimo per lettere minuscole)
* `ocredit =-1` (credito massimo per altri caratteri, ovvero simboli)
* `Reject_UserName =true` (non consentire alle password di contenere il nome utente)
* `difok =3` (il numero di caratteri nella nuova password che deve differire dalla vecchia password)
* `maxrepeat =3` (il numero massimo di caratteri ripetuti consentiti)
* `gecosCheck =1` (impedisci le password derivano dal campo GECOS (informazioni dell'utente)
3. ESPIONAZIONE DELLA PASSEDAZIONE (comando Chage):
* I sistemi Linux in genere utilizzano il comando `Chage` per gestire l'invecchiamento della password.
* `Chage -l
* `Chage -m
* `Chage -m
* `Chage -w
* `Chage -d 0
* Per impostare una politica di scadenza della password predefinita per * tutti * nuovi utenti, è possibile modificare `/etc/login.defs`. Cerca le seguenti righe e regola di conseguenza:
`` `
Pass_max_days 90 # Numero massimo di giorni può essere utilizzata una password.
Pass_min_days 0 # Numero minimo di giorni consentiti tra le modifiche alla password.
Pass_warn_age 7 # Numero di giorni AVVERTENZA Prima di scadere una password.
`` `
4. Test:
* Crea un utente di prova e prova a impostare una password che viola la politica.
* Accedi con l'utente di prova e verifica gli avvisi di scadenza della password.
Considerazioni importanti per le politiche della password Linux:
* Specifico della distribuzione: La posizione esatta dei file di configurazione e le opzioni disponibili possono variare a seconda della distribuzione Linux. Consultare la documentazione della tua distribuzione.
* Privilegi root: Avrai bisogno dei privilegi di root (usando `sudo` o accedere come root) per modificare questi file di configurazione.
* Pam: Comprendere il PAM è la chiave per la configurazione di politiche di autenticazione e password su Linux.
* comando Chage`: Acquisire familiarità con il comando `Chage` per la gestione dell'invecchiamento della password dell'utente.
Best practice generale (applicabile a Windows e Linux):
* Password forti: Il nucleo di qualsiasi politica di password sta applicando password forti. Questo significa:
* Lunghezza sufficiente (almeno 12 caratteri, preferibilmente più a lungo)
* Complessità (mix di maiuscolo, minuscolo, numeri e simboli)
* Unicità (non consentire il riutilizzo delle password precedenti)
* Evitamento di informazioni personali (nessuna parola di dizionario, nomi, compleanni, ecc.)
* Autenticazione a più fattori (MFA): Implementare l'autenticazione a più fattori (MFA) quando possibile. Ciò aggiunge un ulteriore livello di sicurezza oltre le password, rendendo molto più difficile per gli aggressori accedere agli account, anche se hanno rubato la password.
* Manager di password: Incoraggiare l'uso dei gestori di password. I gestori di password possono generare e archiviare password univoci forti e univoci per ogni sito Web e applicazione, rendendo più semplice per gli utenti seguire una buona igiene delle password.
* Audit regolari: Rivedi regolarmente le politiche e le configurazioni della password per assicurarti che siano efficaci e aggiornate. Controlla i registri per attività sospette.
* Principio del minimo privilegio: Concedere solo agli utenti i privilegi minimi necessari. Ciò limita l'impatto di un account compromesso.
* Zero Trust: Adottare un modello di sicurezza fiduciaria zero. Supponiamo che tutti gli utenti e i dispositivi siano potenzialmente compromessi e richiedano un'autenticazione e l'autorizzazione rigorose prima di concedere l'accesso alle risorse.
Seguendo questi passaggi e le migliori pratiche, è possibile creare e mantenere una forte politica di scadenza della password che aiuta a proteggere i tuoi sistemi e dati dall'accesso non autorizzato. Ricorda di adattare la politica al tuo ambiente specifico e alle esigenze di sicurezza. Buona fortuna!
Informazioni correlate
Domanda © www.354353.com