Советы по политике паролей домена Windows

Национальный институт стандартов и технологий (NIST) имеет некоторыехорошие публикации по темам компьютерной безопасности. Это отличные ресурсы... публикация, которую вы ищете, — это специальная публикация NIST 800-53. (Поверьте, она не так плоха, как кажется)

По моему мнению, политика паролей должна быть примерно такой:

• 8 символов
• 3 из следующих: заглавные буквы, строчные буквы, цифры, специальные символы
• без повторного использования последних 12 паролей
• Срок действия пароля 30-90 дней

Помните, что чем более ограничительна ваша политика, тем чаще к вам будут обращаться пользователи, которым нужно разблокировать учетные записи или сбросить пароли. Чем менее ограничительна ваша политика, тем большему риску вы подвергаете свою организацию.

По умолчанию вы не можете определить, каксложныйполитика паролей домена (по крайней мере до 2003 года). Существуют способы и средства изменения правил, но, насколько я понимаю, это исключительно запутанно и не для слабонервных. Другими словами, вы не можете решить, хотите ли вы, чтобы пароли ваших пользователей состояли из 3 заглавных букв, 2 специальных букв, 2 цифровых букв и т. д.

Вот что будет установлено, когда выДавать возможность the Пароль должен соответствовать требованиям сложностинастройка в групповой политике домена по умолчанию:

Пароль должен соответствовать требованиям сложности.

Этот параметр безопасности определяет, должны ли пароли соответствовать требованиям сложности. Если эта политика включена, пароли должны соответствовать следующим минимальным требованиям:

• Не содержать имя учетной записи пользователя или части полного имени пользователя, длина которых превышает два последовательных символа. Иметь длину не менее шести символов.

• Содержат персонажей из трех из следующих четырех категорий:

• Заглавные английские буквы (от A до Z)

• Строчные буквы английского языка (от a> до z)

• Основание 10 цифр (от 0 до > 9)

• Неалфавитные символы (например, !, $, #, %)

Требования к сложности применяются при изменении или создании паролей.

Что тыможетоднако, набор:

• минимальная длина пароля
• минимальный срок действия пароля
• максимальный срок действия пароля
• история паролей
• порог блокировки учетной записи (неудачные попытки входа в систему)
• продолжительность блокировки учетной записи

Во всех наших доменах мы используем сложность, минимум 8 символов, минимальный возраст 14 дней, максимальный возраст 90 дней, 14 историй паролей, 5 неверных попыток входа, 30-минутная продолжительность блокировки.

Ссылка duffbeer703 хороша. Существуют некоторые технические причины для определенных ограничений паролей и минимальных требований. Вам особенно нужно изучить эти ограничения, если вы не находитесь в полностью однородной среде.

В любом случае, правило группы из 8 символов, три из четырех символов является довольно стандартным. Лично я обучаю своих пользователей создавать парольные фразы вместо паролей. Это значительно упрощает придумывание паролей, и они не тратят много времени на то, чтобы понять, как работать со всеми этими требованиями к символам. Пароль типа "Солнечно. Ура!" достаточно легко придумать и запомнить.

Однако с этим подходом есть проблема, если люди используют правильную английскую грамматику при написании своих паролей и тем самым несколько ограничивают общее количество возможных комбинаций. То есть пароль, который всегда начинается с заглавной буквы и заканчивается точкой, не является более сильным только потому, что он содержит заглавную букву и точку, он слабее, потому что мы можем угадать это заранее.

Другие стандартные правила домена Windows, на мой взгляд, хороши, за исключением того, что мне требуется менять пароль только раз в квартал. Лично я не верю в идею истечения срока действия пароля. Даже тридцать дней — это вечность, если аккаунт скомпрометирован. В любом случае, люди очень злятся, когда им приходится менять пароль.

Поскольку даже эксперты по безопасности не могут прийти к согласию относительно хорошей середины в отношении всего, что связано с паролями, я утверждаю, что большинство советов по любым крайностям просто глупы, если только вы не находитесь в ситуации с высокой степенью безопасности. Что я считаю самым важным, и с чем мои пользователи фактически соглашаются, так это утверждение, похожее на: «НИКОГДА НЕ ДЕЛИТЕСЬ СВОИМ ПАРОЛЕМ НИ С КЕМ. МНЕ ПЛЕВАТЬ, КТО ОНИ ИЛИ ЗАЧЕМ ИМ ​​НУЖНО ВХОДИТЬ В ВАШ КОМПЬЮТЕР, КОГДА ВЫ В ОТПУСКЕ. БЕЗОПАСНОСТЬ ВАШЕГО ПАРОЛЯ — ЭТО ВАША ОТВЕТСТВЕННОСТЬ». Самое большое злоупотребление учетными записями, которое я видел, происходит, когда люди делятся паролями. Все остальные хакерские штучки 133t едва ли вызывают беспокойство в обычном старом бизнесе.

Публикация Nist в порядке, ваша политика паролей домена не так важна, как обучение пользователей не делиться своими паролями. Нет ничего изначально плохого в неограниченном пароле, пока он не приклеен к их клавиатуре и они не делятся им. В принципе, любые заданные вами параметры будут просто великолепны, 2 самых важных момента, о которых следует подумать:

порог блокировки учетной записи (неудачные попытки входа) длительность блокировки учетной записи

Это ограничивает возможности людей взломать вашу безопасность методом подбора. Обычно я рекомендую порог в 5 и длительность в 2 часа, но это, конечно, зависит от ситуации. Как указал Боден, даже эксперты по безопасности не могут прийти к единому мнению о том, что такое безопасная политика паролей. На самом деле, я бы реализовализоляция сервера и доменапрежде чем я буду беспокоиться о своей политике паролей. В этот момент я дам вам свой пароль — вы все равно не получите доступ к моим ресурсам.