活动目录(Active Directory)是朝向Windows Standard Server、Windows Enterprise Server及其 Windows Datacenter Server的列表服务项目,活动目录服务是Windows Server 2000电脑操作系统服务平台的核心部件之一。但是弱活动目录密码是Active Directory最多的系统漏洞之一。Active Directory密码策略的诸多作用之一是最多密码应用限期。传统式的Active Directory自然环境一直以来一直应用密码时效来提高密码安全性。默认设置Active Directory密码策略中的远程服务器密码有效期限在配备设定中遭受相对性限定。
使我们先看一下一些在密码到期层面早已开展过的最佳实践方式,应用默认设置的Active Directory密码策略,客户可以对密码到期实行什么控制方法?机构可以应用更快的设备来操纵Active Directory客户账号的最多密码限期吗?
什么密码到期的最好作法已发生了变更?
Active Directory客户账号的密码到期一直以来一直是安全防护中的一个有争论的话题讨论,虽然很多机构仍选用更传统式的密码时效标准,但有名的安全性机构已给予了自动更新的密码时效手册。微软公司表明,她们将从Windows 10 v1903和Windows Server v1903的安全性标准中删掉密码到期策略。英国国家行业标准技术性研究所(NIST)一直以来一直给予网络信息安全架构和安全性最佳实践提议。
正如SP 800-63B的《数字身份指南:身份验证和生命周期管理》第5.1.1.2节中所升级的那般,一定要注意下列手册:
NIST在其相关“数据真实身份规则”的“疑难问题”网页页面中表述了手册中产生的变化一部分。
手册中强调:
在以上机构和众多其他组织的意见反馈,安全性权威专家认可,密码到期,最少对其自身而言,不一定是避免密码在自然环境中泄露的好策略。此外,密码限期手册的全新变更也适用传统式的Microsoft Active Directory密码策略。
Active Directory密码策略密码到期
默认设置Active Directory密码策略中的密码变更策略的功用是有局限的,客户可以配备最多密码应用限期,我不相信爱情。默认设置状况下,Active Directory包含下列密码策略设定:
- 实行密码纪录;
- 密码最多应用限期;
- 密码最短应用限期;
- 最少密码长短;
- 最少密码长短审批;
- 密码务必合乎多元性规定;
- 应用可逆性数据库存储密码;
双击鼠标最多密码应用限期时,可以配备客户可以应用同一密码的最多日数。查询密码应用时间的表明时,客户将在组策略设定中见到以下几点:
此安全策略明确在系统要求客户变更密码以前可以应用密码的时间范围(以日为企业),客户可以将密码设定为在1到999中间的日数后到期,或是客户可以特定根据将日数设定为0,则密码绝不到期。假如最多密码限期在1到999天中间,则最少密码限期务必低于最多密码限期;假如将最多密码限期设定为0,则最少密码限期年纪可以是0到998天中间的一切值。
应用Active Directory密码策略界定最多密码应用限期
应用默认设置策略设定,客户其实可以开启或关掉该策略,随后设定客户密码到期以前的日数。假如客户也有别的挑选来操纵最多密码应用限期并依据密码复杂性设定不一样的值该怎么办?
根据Specops长短的密码策略
如前所述,很多网络信息安全最佳实践权威性近期公布的手册提议都抵制强制性变更密码,并详细介绍了变更密码的缘故。可是,很多公司很有可能仍将到期的密码做为其总体密码安全性策略的一部分,以预防客户密码掉入网络攻击手上。假如IT管理员除开Active Directory给予的作用以外也有别的作用,会怎么样?
与默认设置的Active Directory密码策略设定对比,Specops密码策略给予了很多别的作用,包含密码有效期限,Specops密码策略中包括的一个选择项称为 “根据长短的密码到期。Specops密码重设是一个屡获荣誉的自助服务终端密码重设的解决方法,它容许客户更改或开启自身的Active Directory账号的安全性,大幅度降低了协助台的联系电话和电子邮箱。Specops更改密码,可以应用都一次性手机验证码或解答。
应用此设定,机构可以按照客户密码的长短来界定密码到期的不一样“等级”。与应用默认设置的Active Directory密码策略配备设定对比,它可以机构在Active Directory自然环境中配备密码到期的管理权限更高。
它还容许精准定位自然环境中较弱的密码,并驱使他们尽早到期,客户会在屏幕截屏中注意到,Specops密码策略中根据长短的密码到期期限是可以可配备的。
它涉及下列设定:
- 到期等级总数:键入可能有多少个到期等级,到期等级明确客户在密码到期以前必须多少天才可以变更密码,这在于客户密码的時间限期。要提升等级数,请往右边挪动滚轮。可以出现的较大到期等级数是5。
- 每一个等级的字符数:每一个等级的别的字符数,这种标识符界定密码到期的附加日数;
- 每一个等级的附加日数:每一个等级附加的到期日数多少钱;
禁止使用最后一个等级的到期-达到目录中最后一个到期等级规定的密码不容易到期。
在Specops密码策略中配备根据长短的密码策略
根据Specops,可以简单地在终端用户密码将要到期時间通告终端用户。它将在登陆时或根据推送邮件通告的形式通告终端用户。客户可以为这种设定中的每一个配备到期日前的值。
在Specops密码策略中配备密码到期通告
机构在“Specops密码策略”配备的“密码标准”地区中界定最少和最多密码长短配备。假如变更最少和最多密码长短配备,则根据长短的密码有效期限的各个等级中的密码长短值也将变更。
配备最少和最多密码长短
根据长短的密码有效期限与别的Specops密码策略作用(如密码维护被攻克)紧密结合,可以提高对于当地和远程控制工作员的公司密码策略。
汇总
一直以来,密码到期一直是大部分公司自然环境中Active Directory密码策略的作用。可是,伴随着网络攻击可以能够更好地破译密码,新的安全性最佳实践手册不会再提议机构应用规范的密码到期。
Specops密码策略给予了引人瞩目的密码到期作用,与默认设置的Active Directory密码策略对比,该作用容许拓展密码到期作用。根据加上到期等级,Specops密码策略可以根据迅速到期这种密码来合理地对于自然环境中的弱密码,终端用户可以在更久的時间期内应用强密码
机构乃至可以决策不许达到界定密码长短的特殊密码到期,应用Specops密码策略作用,包含根据长短的密码到期,有利于保证自然环境中更强有力的密码安全性作用。详细资料,请点此。
文中翻譯自:
https://thehackernews.com/2020/12/how-to-use-password-length-to-set-best.html