如何設置和管理Active Directory密碼策略

教學
PowerShell

如何設置和管理Active Directory密碼策略。隨著全球 網絡攻擊 的增加,組織現在比以往任何時候都更需要一個強大的 密碼 策略。可悲的是,黑客利用用戶和管理員來訪問公司 網絡,導致 安全漏洞合規 失敗。本文介紹了一個堅固而有效的 Active Directory(AD) 密碼策略 的制定和維護。

我們開始如何設置和管理Active Directory密碼策略。

另請參閱 SSPR:啟用Azure Active Directory自助密碼重置

如何設置和管理Active Directory密碼策略在我們開始之前,讓我們看一下為什麼我們需要在我們的 AD 環境中實施強密碼。

在開始之前,讓我們先看看為什麼我們需要在AD環境中強制執行強密碼。

也請閱讀使用PowerShell查找密碼已過期的Active Directory用戶

攻擊者如何破壞企業密碼

強制執行強Active Directory 密碼對於確保您組織網絡的安全至關重要。攻擊者利用弱或容易猜測的密碼來獲取未經授權的訪問到敏感信息,破壞用戶帳戶,並進行惡意活動,如數據盜竊或破壞。另一方面,強密碼使得攻擊者更難破解或猜測密碼並獲得未經授權的訪問。

敵手用來破壞企業密碼的一些方法:

  • 暴力破解攻擊:駭客使用工具輸入大量可能的密碼以嘗試特定用戶帳戶,直到找到可用的密碼為止。
  • 字典攻擊:這種暴力破解攻擊涉及將字典中的單詞作為可能的密碼進行測試。
  • 密碼噴灑攻擊:這種攻擊使用多個用戶帳戶來測試常用密碼的有效性,被稱為“密碼噴灑攻擊”。
  • 憑證填充攻擊:這種攻擊使用自動化系統將憑證列表提交到多個公司的登錄網站,被稱為“憑證填充攻擊”。
  • 網絡爬蟲:這種攻擊是指對手在測試使用該信息製作的密碼之前,盡可能多地收集有關目標的信息以進行黑客攻擊。

另請閱讀查看活動目錄密碼報告

查看和編輯活動目錄密碼策略

組織需要一個強大的活動目錄密碼政策來保護自己免受這些威脅。密碼政策指定了密碼創建標準,例如最小長度、複雜性(例如是否需要特殊字符)以及密碼更改的頻率。

管理員使用域密碼政策使用默認域政策組策略對象(GPO)設置,該設置適用於所有域對象。通過以下方式查看或修改此GPO:

  1. 訪問組策略管理控制台(GPMC)。
  2. 展開文件夾並選擇您想要訪問政策的域。

3. 點擊群組原則物件.
4. 右鍵點擊預設網域原則資料夾並選擇編輯.
5. 導航到密碼原則部分,位於電腦配置下,然後導航到原則 > Windows設定 > 安全性設定 > 帳戶原則.

或者,我們可以通過執行以下PowerShell命令來訪問我們的網域密碼原則:

Get-ADDefaultDomainPasswordPolicy

請記住,我們對網域的預設密碼原則所做的任何修改都會影響其所有帳戶。Active Directory 管理中心(ADAC)在Windows Server中允許我們以更細的粒度設計和管理密碼原則。此外,我們建議不要建立新的GPO並將新原則連接到OU.

提升您的Active Directory安全性 & Azure AD。

試用我們免費,獲取所有功能。- 200多個AD報告模板可供使用。輕鬆自定義您自己的AD報告。




另請閱讀Connect-AzureAD – 如何使用Powershell連接到Azure AD

了解AD密碼策略設置

了解AD密碼策略設置對於任何希望保持強大安全態勢並保護其敏感數據和資源的組織來說都是至關重要的。我們列出了以下六個密碼策略選項及其默認值:

  • 執行密碼歷史 — 默認值為24。確定用戶在使用之前密碼之前必須生成多少個唯一密碼。此策略降低了受損密碼的風險。
  • 密碼最長有效期 — 默認值為42天。指定用戶再次更改其密碼之前的最低持續時間。它防止密碼立即被重用。
  • 密碼最短有效期— 默認值為一天。在用戶更改此參數之前,密碼的長度指定它。最小年齡限制防止用戶不斷更改其密碼以繞過“強制密碼歷史”設置並立即重用喜愛的密碼。
  • 最小密碼長度—默認值為7個字符。確定密碼的最低字符數。較長的密碼更安全,但如果寫下來,可能會導致鎖定和安全風險。
  • 複雜度要求 — 默認值為 啟用。指定密碼必須包含的字符類型,例如大寫或小寫字母、數字字符和非字母數字字符。
  • 使用可逆加密存儲密碼 — 默認值為 禁用。 如果啟用,攻擊者破解加密後可以登錄到網絡。

另請閱讀 部署Active Directory密碼報告

配置細粒度密碼策略

在早期AD迭代中,我們只為每個域創建一個密碼策略。然而,由於細粒度密碼策略(FGPP),管理員現在可以定義各種密碼規則以更好地適應業務需求。例如,我們應該要求管理員帳戶使用比標準用戶帳戶更強的密碼。此外,我們必須對我們的組織結構進行深思熟慮,以便它映射到我們期望的密碼策略。

當我們在一個GPO中定義預設的網域密碼原則時,我們也會在密碼設定物件(PSOs)中設定FGPPs。我們需要更改預設的網域原則來修改密碼原則。

從我們上一步的步驟開始,讓我們嘗試雙擊您想要修改的設定,例如最小密碼長度

同時閱讀使用PowerShell獲取Active Directory群組成員並導出到CSV

密碼原則最佳實踐

為了提升Active Directory的安全性,建議遵循密碼政策最佳實踐。此外,我們還必須配置一個帳戶鎖定政策,在多次失敗的登入嘗試後鎖定用戶。以下是來自微軟、CIS和NIST安全基準的密碼政策最佳實踐。

微軟密碼指引

這些設置來自微軟的安全合規工具包。這個工具包提供了微軟推薦的GPO設置。

  • 強制密碼歷史: 24
  • 最長密碼有效期: 未設置
  • 最短密碼有效期: 未設置
  • 最短密碼長度: 14
  • 密碼必須符合複雜性: 已啟用
  • 使用可逆加密儲存密碼: 已停用

注意: 自1903安全基線起,微軟已取消密碼過期政策。

另請閱讀 試用Active Directory直接報告工具(InfraSOS)

CIS基準密碼指南

這些設定來自CIS基準。網際網路安全中心是一個非營利組織,負責制定安全指南和基準。

  • 強制密碼歷史: 24
  • 最大密碼有效期: 60天或更短
  • 最短密碼有效期: 1天或以上
  • 最短密碼長度: 14個字符
  • 密碼必須符合複雜性要求: 已啟用
  • 使用可逆加密存儲密碼: 已禁用

另請閱讀 什麼是NIST網絡安全框架?(最佳實踐)

NIST SP 800-63密碼指南

A federal organization called the National Institute of Standards (NIST) is responsible for issuing guidelines and specifications for managing digital IDs. Special Publication 800-63B covers the standards for strong passwords. The most recent version of SP 800-63B is Revision 3, released in 2017 and revised in 2019.

這些建議為企業提供了一個堅實的基礎,用以建立密碼安全的關鍵基礎設施。NIST提出以下建議:

  • 對於用戶生成的密碼,設置至少八(8)個字符的最小密碼長度,對於機器生成的密碼,設置六個字符。
  • 允許用戶創建最多64個字符的密碼。
  • 允許在密碼中使用任何ASCII/Unicode字符。
  • 禁止包含連續(“12345”或“qwerty”)或重複(“ffff”)字符的密碼。
  • 避免要求頻繁更換密碼,因為這會導致用戶製作容易被猜到的增量密碼或將其寫下。相反,考慮使用禁用密碼列表,推廣更長的密碼短語,並執行多因素 認證(MFA)以增加安全性,這是根據最新的NIST 800-63B標準和最近的研究所推薦的。

微軟、CIS和NIST都是指導密碼政策設置的知名組織。微軟的指南基於其軟件產品的最佳實踐和建議,而CIS提供行業標準安全配置的基準。另一方面,NIST提供詳細且最新的密碼政策指導,許多組織廣泛使用。

值得注意的是,每個指南可能根據組織的大小、行業和特定的安全要求等因素有不同的建議。因此,查看每個指南並選擇最符合您組織需求的指南至關重要。

感謝您閱讀如何設置和管理Active Directory密碼政策。我們將結束本文。

也閱讀Active Directory密碼重置工具-自助門戶

如何設置和管理AD密碼政策結論

總之,為Active Directory設置和管理密碼政策對於確保組織網絡的安全至關重要。通過實施強大的密碼政策並強制執行定期更改密碼,我們減少了未經授權的訪問風險,保護了敏感信息。請記住選擇適合的密碼複雜性,定義帳戶鎖定和密碼到期設置,並定期審查和更新我們的密碼政策以應對不斷發展的安全威脅。

通過採用這些最佳實踐,我們加強了組織的安全姿態,並防範潛在的安全漏洞。

Source:
https://infrasos.com/how-to-setup-and-manage-active-directory-password-policy/