如何设置和管理Active Directory密码策略

教程
PowerShell

如何设置和管理Active Directory密码策略。随着全球网络攻击的增加,组织现在比以往任何时候都更需要一个强大的密码策略。不幸的是,黑客利用用户和管理员访问公司网络,导致安全漏洞合规失败。本文涵盖了建立和维护一个坚固高效的Active Directory(AD)密码策略

我们是否可以开始设置和管理Active Directory密码策略。

另请阅读 SSPR:启用Azure Active Directory自助服务密码重置

如何设置和管理Active Directory密码策略在我们开始之前,让我们看一下为什么我们需要在我们的AD环境中强制执行强密码。

在我们开始之前,让我们先看看为什么我们需要在我们的AD环境中强制执行强密码。

另请阅读使用PowerShell查找密码已到期的Active Directory用户

攻击者如何破坏企业密码

强制执行强大的活动目录密码对于确保您组织的网络安全至关重要。攻击者利用弱密码或容易猜到的密码来获取未经授权的访问敏感信息,破坏用户账户,并进行如数据盗窃或破坏等恶意活动。另一方面,强密码使得攻击者更难以破解或猜出密码,从而获得未经授权的访问。

一些敌对者用来破坏企业密码的方法:

  • 暴力破解攻击:黑客使用工具输入大量可能的密码来尝试解锁特定用户账户,直到找到有效的密码为止。
  • 字典攻击:这种暴力破解攻击涉及测试字典中的单词作为可能的密码。
  • 密码喷洒攻击:这种攻击使用多个用户账户来测试常用密码的有效性,称为“密码喷洒攻击”。
  • 凭证填充攻击:这种攻击使用自动化系统将凭证列表提交到多个公司的登录站点,称为“凭证填充攻击”。
  • 蜘蛛式攻击:这种攻击是指敌对者在尝试使用基于收集到的信息制作的密码之前,尽可能多地收集有关目标的信息。

另请阅读查看活动目录密码报告

查看和编辑活动目录密码策略

组织需要一个强大的活动目录密码策略来保护自己免受这些威胁。密码策略规定了密码创建的标准,例如最小长度、复杂性(例如是否需要特殊字符),以及密码更改的频率。

管理员通过使用域密码策略和默认域策略组策略对象(GPO)来设置,该GPO的设置适用于所有域对象。要查看或修改此GPO,请执行以下操作:

  1. 访问组策略管理控制台(GPMC)。
  2. 展开文件夹并选择您想要访问策略的域。

3. 点击组策略对象.
4. 右键点击默认域策略文件夹并选择编辑.
5. 导航到密码策略部分,在计算机配置下,然后导航到策略 > 窗口设置 > 安全设置 > 账户策略.

或者,我们可以通过执行以下Powershell命令来访问我们的域密码策略:

Get-ADDefaultDomainPasswordPolicy

请记住,我们对域的默认密码策略所做的任何更改都会影响其所有账户。在活动目录管理中(ADAC)在Windows Server允许我们以更精细的粒度设计和管理的密码策略。此外,我们建议不要建立新的GPO并将新策略连接到OU.

提高您的活动目录安全性和Azure AD。

来试试我们吧免费,享受所有功能。- 200多个AD报告模板可供使用。轻松定制您自己的AD报告。




同时阅读Connect-AzureAD – 如何使用Powershell连接到Azure AD

理解AD密码策略设置

理解AD密码策略设置对于任何希望保持强大安全态势并保护其敏感数据和资源的组织来说都是必不可少的。我们列出了以下六个密码策略选项及其默认值:

  • 强制密码历史 – 默认值为24。确定用户在重新使用旧密码之前必须生成多少个唯一密码。此策略降低了被破坏的密码的风险。
  • 密码最长使用期限 — 默认值为42天。规定了用户在更改密码之前必须等待的最短时间。这可以防止用户立即重复使用密码。
  • 密码最短使用期限— 默认值为一天。这个参数规定了用户在更改密码之前必须使用密码的最短时间。最短使用期限的限制可以防止用户不断更改密码以绕过“强制密码历史”设置,并立即重新使用他们喜欢的密码。
  • 密码最小长度—默认值为7个字符。决定密码的最小字符数。较长的密码更安全,但如果被写下来,可能会导致锁定和安全风险。
  • 复杂性要求 — 默认值为 已启用。指定密码必须包含的字符类型,例如大写字母、小写字母、数字字符和非字母数字字符。
  • 使用可逆加密存储密码 — 默认值为 已禁用。 如果启用,攻击者破解加密后可以登录网络。

另请阅读 部署活动目录密码报告

配置细粒度密码策略

我们在早期的AD迭代中只为每个域创建一个密码策略。然而,由于细粒度密码策略(FGPP),管理员现在可以根据业务需求定义不同的密码规则。例如,我们应该要求管理员账户使用比标准用户账户更强的密码。此外,我们必须仔细定义我们的组织结构,以便它映射到我们想要的密码策略。

虽然我们在GPO中定义默认的域密码策略,但我们也在密码设置对象(PSOs)中设置了FGPPs。我们需要更改默认的域策略来修改密码策略。

从我们上一步开始,让我们尝试双击您想要修改的设置,例如最小密码长度

另请阅读使用PowerShell获取Active Directory组中的成员并导出到CSV

密码策略最佳实践

为了提高活动目录的安全性,建议遵循密码策略的最佳实践。此外,我们还必须配置账户锁定策略,在多次失败的登录尝试后锁定用户。以下是来自微软、CIS和NIST安全基准的密码策略最佳实践。

微软密码指南

这些设置来自微软的安全合规性工具包。该工具包提供了微软推荐的GPO设置。

  • 强制密码历史: 24
  • 最大密码年龄: 未设置
  • 最小密码年龄: 未设置
  • 最短密码长度: 14
  • 密码必须符合复杂性要求: 已启用
  • 使用可逆加密存储密码: 已禁用

注意:1903安全基线开始,微软已经取消了密码过期策略。

另请阅读尝试使用Active Directory直接报告工具(InfraSOS)

CIS基准密码指南

这些设置来自CIS基准。互联网安全中心是一个非营利组织,负责制定安全指南和基准。

  • 强制密码历史: 24
  • 最大密码年龄: 60天或更少
  • 最短密码期限:1天或以上
  • 最短密码长度:14位
  • 密码必须满足复杂性:已启用
  • 使用可逆加密存储密码:已禁用

另请阅读什么是NIST网络安全框架?(最佳实践)

NIST SP 800-63密码指南

A federal organization called the National Institute of Standards (NIST) is responsible for issuing guidelines and specifications for managing digital IDs. Special Publication 800-63B covers the standards for strong passwords. The most recent version of SP 800-63B is Revision 3, released in 2017 and revised in 2019.

这些建议为企业提供了一个坚实的基础,以建立密码安全的重要基础设施。NIST提供了以下建议:

  • 对于用户生成的密码,设置至少8个字符的最小密码长度,对于机器生成的密码,设置至少6个字符。
  • 允许用户创建最多64个字符的密码。
  • 允许在密码中使用任何ASCII/Unicode字符。
  • 禁止包含连续(“12345”或“qwerty”)或重复(“ffff”)字符的密码。
  • 避免频繁要求更改密码,因为这会导致用户做出容易被猜测的增量更改或写下密码。相反,可以考虑使用禁止密码列表,推广更长的密码短语,并强制执行多因素 认证(MFA)以增加安全性,这是根据最新的NIST 800-63B标准和最新研究推荐的。

微软、CIS和NIST都是指导密码策略设置的知名组织。微软的指南基于其软件产品的最佳实践和建议,而CIS提供行业标准安全配置的基准。另一方面,NIST提供详细的最新密码策略指南,许多组织广泛使用。

需要注意的是,每个指南可能根据各种因素(包括组织的规模、行业和特定的安全要求)有不同的建议。因此,审查每个指南并选择最适合您组织需求的指南至关重要。

感谢您阅读如何设置和管理活动目录密码策略。我们将结束本文。

另请阅读Active Directory密码重置工具 – 自助门户

如何设置和管理AD密码策略结论

总之,为Active Directory设置和管理密码策略对确保我们组织网络安全至关重要。通过实施强密码策略并强制定期更改密码,我们可以减少未经授权的访问风险并保护敏感信息。请记住选择适当的密码复杂性,定义帐户锁定和密码过期设置,并定期审查和更新我们的密码策略以跟上不断发展的安全威胁。

有了这些最佳实践,我们加强了组织的安全姿态,并防范潜在的安全漏洞。

Source:
https://infrasos.com/how-to-setup-and-manage-active-directory-password-policy/