Windows 도메인 비밀번호 정책 조언

Question 1

미국 국립표준기술연구소(NIST)는 일부컴퓨터 보안 주제에 관한 좋은 출판물. 그것들은 훌륭한 자료입니다... 당신이 찾고 있는 출판물은 NIST Special Publication 800-53입니다. (내 말을 믿으십시오. 들리는 것만큼 나쁘지는 않습니다)

IMO의 비밀번호 정책은 다음과 같아야 합니다.

8자
대문자, 소문자, 숫자, 특수문자 중 3가지
최근 12개 비밀번호 재사용 금지
30~90일 비밀번호 만료

Answer

미국 국립표준기술연구소(NIST)는 일부컴퓨터 보안 주제에 관한 좋은 출판물. 그것들은 훌륭한 자료입니다... 당신이 찾고 있는 출판물은 NIST Special Publication 800-53입니다. (내 말을 믿으십시오. 들리는 것만큼 나쁘지는 않습니다)

IMO의 비밀번호 정책은 다음과 같아야 합니다.

8자
대문자, 소문자, 숫자, 특수문자 중 3가지
최근 12개 비밀번호 재사용 금지
30~90일 비밀번호 만료

Question 2

정책이 더 제한적일수록 계정 잠금 해제 또는 비밀번호 재설정이 필요한 사용자의 호출이 더 자주 발생한다는 점을 명심하세요. 정책을 덜 제한할수록 조직이 더 많은 위험에 노출됩니다.

기본적으로 방법을 정의할 수 없습니다.복잡한도메인 비밀번호 정책은 (최소 2003년까지)입니다. 규칙을 변경하는 방법과 수단이 있지만 제가 이해한 바에 따르면 이는 유난히 복잡하며 마음이 좋지 않습니다. 즉, 사용자 비밀번호를 대문자 3개, 특수 문자 2개, 숫자 2개 등으로 지정할 수 없습니다.

다음은 설정될 항목입니다.할 수 있게 하다그만큼비밀번호는 복잡성 요구 사항을 충족해야 합니다.기본 도메인 그룹 정책의 설정:

비밀번호는 복잡성 요구 사항을 충족해야 합니다.

이 보안 설정은 암호가 복잡성 요구 사항을 충족해야 하는지 여부를 결정합니다. 이 정책을 사용하는 경우 비밀번호는 다음 최소 요구 사항을 충족해야 합니다.

사용자의 계정 이름이나 사용자 전체 이름의 일부 중 연속된 2자를 초과하는 부분이 포함되어서는 안 됩니다. 길이는 최소 6자 이상이어야 합니다.

다음 네 가지 범주 중 세 가지의 문자를 포함합니다.

영어 대문자(A~Z)

영어 소문자(a>~z)

기본 10자리 숫자(0 -> 9)

알파벳이 아닌 문자(예: !, $, #, %)

비밀번호가 변경되거나 생성될 때 복잡성 요구 사항이 적용됩니다.

당신은 무엇을~할 수 있다그러나 설정은 다음과 같습니다.

최소 비밀번호 길이
최소 비밀번호 사용 기간
최대 비밀번호 사용 기간
비밀번호 기록
계정 잠금 임계값(잘못된 로그인 시도)
계정 잠금 기간

모든 도메인에서 우리는 복잡성, 최소 8자, 최소 14일, 최대 90일, 비밀번호 기록 14회, 잘못된 로그인 시도 5회, 잠금 기간 30분을 사용합니다.

Answer

정책이 더 제한적일수록 계정 잠금 해제 또는 비밀번호 재설정이 필요한 사용자의 호출이 더 자주 발생한다는 점을 명심하세요. 정책을 덜 제한할수록 조직이 더 많은 위험에 노출됩니다.

기본적으로 방법을 정의할 수 없습니다.복잡한도메인 비밀번호 정책은 (최소 2003년까지)입니다. 규칙을 변경하는 방법과 수단이 있지만 제가 이해한 바에 따르면 이는 유난히 복잡하며 마음이 좋지 않습니다. 즉, 사용자 비밀번호를 대문자 3개, 특수 문자 2개, 숫자 2개 등으로 지정할 수 없습니다.

다음은 설정될 항목입니다.할 수 있게 하다그만큼비밀번호는 복잡성 요구 사항을 충족해야 합니다.기본 도메인 그룹 정책의 설정:

비밀번호는 복잡성 요구 사항을 충족해야 합니다.

이 보안 설정은 암호가 복잡성 요구 사항을 충족해야 하는지 여부를 결정합니다. 이 정책을 사용하는 경우 비밀번호는 다음 최소 요구 사항을 충족해야 합니다.

사용자의 계정 이름이나 사용자 전체 이름의 일부 중 연속된 2자를 초과하는 부분이 포함되어서는 안 됩니다. 길이는 최소 6자 이상이어야 합니다.

다음 네 가지 범주 중 세 가지의 문자를 포함합니다.

영어 대문자(A~Z)

영어 소문자(a>~z)

기본 10자리 숫자(0 -> 9)

알파벳이 아닌 문자(예: !, $, #, %)

비밀번호가 변경되거나 생성될 때 복잡성 요구 사항이 적용됩니다.

당신은 무엇을~할 수 있다그러나 설정은 다음과 같습니다.

최소 비밀번호 길이
최소 비밀번호 사용 기간
최대 비밀번호 사용 기간
비밀번호 기록
계정 잠금 임계값(잘못된 로그인 시도)
계정 잠금 기간

모든 도메인에서 우리는 복잡성, 최소 8자, 최소 14일, 최대 90일, 비밀번호 기록 14회, 잘못된 로그인 시도 5회, 잠금 기간 30분을 사용합니다.

Question 3

duffbeer703의 링크가 좋습니다. 특정 비밀번호 제한 및 최소 요구 사항에는 몇 가지 기술적인 이유가 있습니다. 완전히 동질적인 환경에 있지 않은 경우에는 특히 이러한 제한 사항을 살펴봐야 합니다.

어쨌든 8자, 4자 중 3자 그룹 규칙은 꽤 표준적입니다. 제가 개인적으로 하는 일은 사용자에게 비밀번호 대신 비밀번호 문구를 생성하도록 교육하는 것입니다. 이렇게 하면 암호를 찾는 것이 훨씬 쉬워지고 모든 문자 요구 사항을 충족하는 방법을 알아내려고 많은 시간을 소비하지 않습니다. "맑음. 으읏!"과 같은 비밀번호 생각해 내고 기억하기가 쉽습니다.

이 접근 방식에는 문제가 있습니다. 그러나 사람들이 암호 문구를 작성할 때 적절한 영어 문법을 사용하여 가능한 조합의 총 수가 어느 정도 제한되는 경우에는 문제가 있습니다. 즉, 항상 대문자로 시작하고 마침표로 끝나는 비밀번호는 단지 대문자와 마침표가 포함되어 있다고 해서 강력한 것이 아니라, 이를 미리 추측할 수 있기 때문에 더 약한 것입니다.

다른 표준 Windows 도메인 규칙은 괜찮습니다. 단, 분기마다 비밀번호를 변경하면 된다는 점만 다릅니다. 개인적으로 나는 비밀번호 만료라는 개념에 동의하지 않습니다. 계정이 손상되면 30일도 영원합니다. 어쨌든, 사람들은 비밀번호를 변경해야 할 때 정말 짜증을 냅니다.

보안 전문가들조차도 암호와 관련된 모든 것에 대해 적절한 중간 지점에 동의할 수 없기 때문에 특별히 높은 수준의 보안 상황에 있지 않는 한 극단적인 조언은 대부분 어리석은 것이라고 말씀드립니다. 제가 가장 중요하다고 생각하는 것과 사용자가 실제로 승인하게 하는 것은 다음과 유사한 진술입니다. "누구와도 비밀번호를 공유하지 마십시오. 그 사람이 누구인지, 왜 컴퓨터에 접속해야 하는지는 상관하지 않습니다. 휴가 중일 때 비밀번호의 보안은 귀하의 책임입니다." 제가 본 것 중 가장 큰 계정 남용은 사람들이 비밀번호를 공유하는 것에서 비롯되었습니다. 다른 모든 133t 해커 관련 업무는 기존 비즈니스에서는 거의 문제가 되지 않습니다.

Answer

duffbeer703의 링크가 좋습니다. 특정 비밀번호 제한 및 최소 요구 사항에는 몇 가지 기술적인 이유가 있습니다. 완전히 동질적인 환경에 있지 않은 경우에는 특히 이러한 제한 사항을 살펴봐야 합니다.

어쨌든 8자, 4자 중 3자 그룹 규칙은 꽤 표준적입니다. 제가 개인적으로 하는 일은 사용자에게 비밀번호 대신 비밀번호 문구를 생성하도록 교육하는 것입니다. 이렇게 하면 암호를 찾는 것이 훨씬 쉬워지고 모든 문자 요구 사항을 충족하는 방법을 알아내려고 많은 시간을 소비하지 않습니다. "맑음. 으읏!"과 같은 비밀번호 생각해 내고 기억하기가 쉽습니다.

이 접근 방식에는 문제가 있습니다. 그러나 사람들이 암호 문구를 작성할 때 적절한 영어 문법을 사용하여 가능한 조합의 총 수가 어느 정도 제한되는 경우에는 문제가 있습니다. 즉, 항상 대문자로 시작하고 마침표로 끝나는 비밀번호는 단지 대문자와 마침표가 포함되어 있다고 해서 강력한 것이 아니라, 이를 미리 추측할 수 있기 때문에 더 약한 것입니다.

다른 표준 Windows 도메인 규칙은 괜찮습니다. 단, 분기마다 비밀번호를 변경하면 된다는 점만 다릅니다. 개인적으로 나는 비밀번호 만료라는 개념에 동의하지 않습니다. 계정이 손상되면 30일도 영원합니다. 어쨌든, 사람들은 비밀번호를 변경해야 할 때 정말 짜증을 냅니다.

보안 전문가들조차도 암호와 관련된 모든 것에 대해 적절한 중간 지점에 동의할 수 없기 때문에 특별히 높은 수준의 보안 상황에 있지 않는 한 극단적인 조언은 대부분 어리석은 것이라고 말씀드립니다. 제가 가장 중요하다고 생각하는 것과 사용자가 실제로 승인하게 하는 것은 다음과 유사한 진술입니다. "누구와도 비밀번호를 공유하지 마십시오. 그 사람이 누구인지, 왜 컴퓨터에 접속해야 하는지는 상관하지 않습니다. 휴가 중일 때 비밀번호의 보안은 귀하의 책임입니다." 제가 본 것 중 가장 큰 계정 남용은 사람들이 비밀번호를 공유하는 것에서 비롯되었습니다. 다른 모든 133t 해커 관련 업무는 기존 비즈니스에서는 거의 문제가 되지 않습니다.

Question 4

Nist 출판물은 괜찮습니다. 도메인 비밀번호 정책은 사용자에게 비밀번호를 공유하지 않도록 교육하는 것만큼 중요하지 않습니다. 만료되지 않는 비밀번호는 키보드에 저장되어 있지 않고 공유하지 않는 한 본질적으로 잘못된 것은 없습니다. 기본적으로 설정한 모든 매개변수는 괜찮습니다. 고려해야 할 가장 큰 두 가지 사항은 다음과 같습니다.

계정 잠금 임계값(잘못된 로그인 시도) 계정 잠금 기간

이것이 제한하는 것은 사람들이 보안을 무차별 대입하는 능력입니다. 저는 일반적으로 임계값 5와 지속 시간 2시간을 권장하지만 상황에 따라 다릅니다. Boden이 지적했듯이 보안 전문가조차도 보안 비밀번호 정책이 무엇인지에 대해서는 동의할 수 없습니다. 사실 저는 구현하겠습니다.서버 및 도메인 격리비밀번호 정책에 대해 걱정하기 전에. 그 시점에서 나는 당신에게 내 비밀번호를 알려줄 것입니다. 당신은 여전히 내 자원에 접근할 수 없습니다.

Answer

Nist 출판물은 괜찮습니다. 도메인 비밀번호 정책은 사용자에게 비밀번호를 공유하지 않도록 교육하는 것만큼 중요하지 않습니다. 만료되지 않는 비밀번호는 키보드에 저장되어 있지 않고 공유하지 않는 한 본질적으로 잘못된 것은 없습니다. 기본적으로 설정한 모든 매개변수는 괜찮습니다. 고려해야 할 가장 큰 두 가지 사항은 다음과 같습니다.

계정 잠금 임계값(잘못된 로그인 시도) 계정 잠금 기간

이것이 제한하는 것은 사람들이 보안을 무차별 대입하는 능력입니다. 저는 일반적으로 임계값 5와 지속 시간 2시간을 권장하지만 상황에 따라 다릅니다. Boden이 지적했듯이 보안 전문가조차도 보안 비밀번호 정책이 무엇인지에 대해서는 동의할 수 없습니다. 사실 저는 구현하겠습니다.서버 및 도메인 격리비밀번호 정책에 대해 걱정하기 전에. 그 시점에서 나는 당신에게 내 비밀번호를 알려줄 것입니다. 당신은 여전히 내 자원에 접근할 수 없습니다.

Windows 도메인 비밀번호 정책 조언

답변1

답변2

답변3

답변4

관련 정보