Windows Server Active Directory
Διαχειρίζεστε τις πολιτικές λήξης του κωδικού πρόσβασης στην υπηρεσία καταλόγου Active Directory χρησιμοποιώντας την πολιτική ομάδας. Ακολουθεί ένας οδηγός βήμα προς βήμα:
1. Διαχείριση πολιτικής ομάδας:
* Μεταβείτε στο Ξεκινήστε , πληκτρολογήστε `gpmc.msc` και πατήστε Enter . Αυτό ανοίγει την κονσόλα διαχείρισης πολιτικής ομάδας (GPMC).
* Εναλλακτικά, μπορείτε να το βρείτε κάτω από διαχειριστικά εργαλεία .
2. Πλοηγηθείτε στον τομέα ή στο OU:
* Στο GPMC, επεκτείνετε το δάσος , τότε επεκτείνετε τους τομείς .
* Κάντε δεξί κλικ σε είτε:
* Ο τομέας σας: Αυτό εφαρμόζει την πολιτική σε όλους τους χρήστες στον τομέα. Αυτό είναι γενικά * όχι * συνιστάται για κοκκώδη έλεγχο.
* Οργανωτική Μονάδα (OU): Αυτό σας επιτρέπει να εφαρμόσετε διαφορετικές πολιτικές σε διαφορετικές ομάδες χρηστών. Αυτή είναι η βέλτιστη πρακτική για τη διαχείριση διαφορετικών πολιτικών κωδικού πρόσβασης.
* Επιλέξτε "Δημιουργήστε ένα GPO σε αυτόν τον τομέα και συνδέστε τον εδώ ..." (ή "Συνδέστε ένα υπάρχον GPO ..." Εάν έχετε ήδη ένα κατάλληλο GPO). Δώστε στο νέο GPO ένα περιγραφικό όνομα (π.χ. "Πολιτική λήξης κωδικού πρόσβασης - τυπικοί χρήστες").
3. Επεξεργασία του αντικειμένου πολιτικής ομάδας (GPO):
* Κάντε δεξί κλικ στο πρόσφατα δημιουργημένο (ή συνδεδεμένο) GPO στο GPMC και επιλέξτε "Επεξεργασία" . Αυτό ανοίγει τον επεξεργαστή διαχείρισης πολιτικής ομάδας.
4. Πλοηγηθείτε στις ρυθμίσεις κωδικού πρόσβασης:
* Στον επεξεργαστή διαχείρισης πολιτικής ομάδας, μεταβείτε σε:
* Διαμόρφωση υπολογιστή (Αυτό είναι όπου έχουν ρυθμιστεί οι πολιτικές κωδικού πρόσβασης)
* Πολιτικές
* Ρυθμίσεις των Windows
* Ρυθμίσεις ασφαλείας
* Πολιτικές λογαριασμού
* Πολιτική κωδικού πρόσβασης
5. Ρυθμίστε τις ρυθμίσεις πολιτικής κωδικού πρόσβασης:
* Θα δείτε αρκετές ρυθμίσεις που μπορείτε να διαμορφώσετε:
* "ΕΠΙΣΤΡΟΦΗ ΙΣΤΟΡΙΚΟ ΚΩΔΙΚΟΤΗΤΑ": Αυτό εμποδίζει τους χρήστες να επαναχρησιμοποιούν παλιούς κωδικούς πρόσβασης. Ορίστε μια τιμή όπως "24 κωδικοί πρόσβασης που θυμούνται" για να εμποδίσετε τους χρήστες να απλά ποδηλασία μέσω ελαφρών παραλλαγών του ίδιου κωδικού πρόσβασης.
* "Μέγιστη ηλικία κωδικού πρόσβασης": Αυτή είναι η ρύθμιση που ψάχνετε. Αυτό καθορίζει πόσο καιρό ισχύει ένας κωδικός πρόσβασης πριν ο χρήστης αναγκαστεί να τον αλλάξει. Ορίστε αυτό σε μια λογική τιμή, όπως "90 ημέρες" ή "120 ημέρες". *Σημαντικό:Βέλτιστες πρακτικές έρευνας και κανονιστικές απαιτήσεις πριν από τον καθορισμό αυτού. Οι σύντομες ώρες ζωής μπορούν μερικές φορές να οδηγήσουν σε ασθενέστερους κωδικούς πρόσβασης, καθώς οι χρήστες επιλέγουν εύκολα εικαστικές επιλογές.*
* "Ελάχιστη ηλικία κωδικού πρόσβασης": Αυτό εμποδίζει τους χρήστες να αλλάζουν τον κωδικό πρόσβασής τους πολύ συχνά (π.χ. αμέσως μετά την αναγκαστική τους να το αλλάξουν λόγω λήξης). Μια κοινή τιμή είναι "1 ημέρα". Αυτό εμποδίζει τους χρήστες να παρακάμπτουν το ιστορικό κωδικού πρόσβασης, αλλάζοντας αμέσως τον κωδικό πρόσβασής τους πολλές φορές.
* "Ελάχιστο μήκος κωδικού πρόσβασης": Αυτό είναι *κρίσιμο *. Επιβάλλετε ένα ισχυρό ελάχιστο μήκος κωδικού πρόσβασης. *Τουλάχιστον*, χρησιμοποιήστε 12 χαρακτήρες. Το 14-16 είναι προτιμότερο. Οι μεγαλύτεροι κωδικοί πρόσβασης είναι εκθετικά πιο δύσκολο να σπάσουν.
* "Ο κωδικός πρόσβασης πρέπει να πληροί τις απαιτήσεις πολυπλοκότητας": Ενεργοποιήστε αυτό. Αυτή η ρύθμιση απαιτεί κωδικούς πρόσβασης για να περιέχει ένα μείγμα κεφαλαίων γράμματα, πεζά γράμματα, αριθμούς και σύμβολα. Αυτό είναι πολύ σημαντικό για την ασφάλεια.
* "Αποθήκευση κωδικών πρόσβασης χρησιμοποιώντας αναστρέψιμη κρυπτογράφηση για όλους τους χρήστες του τομέα": Μην το ενεργοποιήσετε αυτό. Αυτή η ρύθμιση είναι για πολύ συγκεκριμένα σενάρια συμβατότητας προς τα πίσω (συνήθως πολύ παλιές εφαρμογές). Αποδυναμώνει σημαντικά την ασφάλεια αποθηκεύοντας τους κωδικούς πρόσβασης με τρόπο που είναι σχετικά εύκολο να αποκρυπτογραφήσει.
6. Εφαρμόστε την πολιτική (αν δεν είναι ήδη συνδεδεμένη με ένα OU):
* Βεβαιωθείτε ότι ο GPO συνδέεται με τον τομέα ή την OU που θέλετε να το εφαρμόσετε (Βήμα 2).
* Οι ενημερώσεις πολιτικής ομάδας περιοδικά (συνήθως κάθε 90 λεπτά με μετατόπιση 30 λεπτών), αλλά μπορείτε να αναγκάσετε μια ενημέρωση σε ένα μηχάνημα πελάτη ή τον διακομιστή με την εντολή:`gpupdate /force '
7. Δοκιμές:
* Αφού εφαρμόσετε την πολιτική, δοκιμάστε το για να εξασφαλίσετε ότι λειτουργεί όπως αναμένεται. Συνδεθείτε με έναν χρήστη δοκιμής στην OU και προσπαθήστε να αλλάξετε τον κωδικό πρόσβασης. Ελέγξτε τα αρχεία καταγραφής συμβάντων για σφάλματα. Περιμένετε την περίοδο λήξης για να περάσει και να δείτε εάν ο χρήστης καλείται να αλλάξει τον κωδικό πρόσβασής του.
Σημαντικές εκτιμήσεις για πολιτικές κωδικού πρόσβασης της υπηρεσίας καταλόγου Active Directory:
* Πολιτικές κωδικού πρόσβασης (FGPP): Εάν χρειάζεστε διαφορετικές πολιτικές κωδικού πρόσβασης για διαφορετικούς χρήστες ή ομάδες *εντός του ίδιου OU *, θα χρειαστεί να χρησιμοποιήσετε πολιτικές κωδικού πρόσβασης με λεπτόκοκκο κύριο (FGPP). Το FGPP προσφέρει πολύ πιο λεπτομερή έλεγχο. Τα FGPP έχουν ρυθμιστεί χρησιμοποιώντας το Administory Administrative Center ή το PowerShell. Είναι πιο περίπλοκα για να διαμορφώσουν από έναν τυπικό GPO. Τα FGPP μπορούν να υπερισχύουν σε σχέση με τις τυπικές πολιτικές τομέα, οπότε πρέπει να κατανοήσετε τη σειρά προτεραιότητας.
* Πολυπλοκότητα κωδικού πρόσβασης: Η ισχυρή πολυπλοκότητα του κωδικού πρόσβασης είναι ζωτικής σημασίας. Μην υποτιμάτε τη σημασία της απαίτησης ενός συνδυασμού τύπων χαρακτήρων.
* Εκπαίδευση χρηστών: Εκπαιδεύστε τους χρήστες σας σχετικά με τη σημασία των ισχυρών κωδικών πρόσβασης και της πολιτικής κωδικού πρόσβασης. Εξηγήστε γιατί πρέπει να αλλάξουν τους κωδικούς πρόσβασής τους και να παρέχουν συμβουλές για τη δημιουργία ισχυρών, αξέχαστων κωδικών πρόσβασης.
* Κανονική κριτική: Ελέγξτε τακτικά την πολιτική κωδικού πρόσβασης και προσαρμόστε την ανάλογα με τις ανάγκες με βάση τις βέλτιστες πρακτικές ασφαλείας και τις ανάγκες του οργανισμού σας.
* Πολιτική κλειδώματος λογαριασμού: Διαμορφώστε μια πολιτική κλειδώματος λογαριασμού (που βρίσκεται επίσης βάσει πολιτικών λογαριασμού) για να κλειδώσετε τους λογαριασμούς χρηστών μετά από έναν ορισμένο αριθμό αποτυχημένων προσπαθειών σύνδεσης. Αυτό βοηθά στην πρόληψη επιθέσεων κωδικού πρόσβασης βίας. Εξετάστε το ενδεχόμενο να ορίσετε μια λογική διάρκεια κλειδώματος (π.χ. 30 λεπτά).
* Καταγραφή ελέγχου: Ενεργοποίηση ελέγχου για συμβάντα διαχείρισης λογαριασμού. Αυτό θα σας βοηθήσει να παρακολουθείτε αλλαγές κωδικού πρόσβασης και άλλη δραστηριότητα που σχετίζεται με το λογαριασμό.
Linux (γενική επισκόπηση)
Στα συστήματα Linux, οι πολιτικές κωδικού πρόσβασης διαχειρίζονται συνήθως χρησιμοποιώντας το `PAM_PWQUILATION.so` (μέρος των μονάδων ελέγχου ταυτότητας που είναι pluggable ή PAM). Η διαμόρφωση γίνεται μέσω `/etc/pam.d/` και `/etc/security/pwquality.conf`. Οι λεπτομέρειες εξαρτώνται από τη διανομή (π.χ. Debian/Ubuntu, Red Hat/Centos).
1. Επεξεργασία `/etc/pam.d/common-password`
* Ανοίξτε αυτό το αρχείο με έναν επεξεργαστή κειμένου (ως ρίζα).
* Βρείτε τη γραμμή που περιλαμβάνει `pam_unix.so`. Θα μοιάζει κάτι σαν:
`` `
Απαιτείται κωδικός πρόσβασης pam_unix.so ...
`` `
* Προσθέστε `pam_pwquality.so` * πριν *` pam_unix.so`. Η παραγγελία είναι σημαντική. Για παράδειγμα:
`` `
κωδικός πρόσβασης που απαιτείται pam_pwquality.so retry =3
Απαιτείται κωδικός πρόσβασης pam_unix.so ...
`` `
2.
* Ανοίξτε αυτό το αρχείο με έναν επεξεργαστή κειμένου (ως ρίζα).
* Αυτό το αρχείο καθορίζει τους κανόνες πολιτικής κωδικού πρόσβασης. Οι κοινές ρυθμίσεις περιλαμβάνουν:
* `minlen =12` (ελάχιστο μήκος κωδικού πρόσβασης)
* `minclass =3` (ελάχιστος αριθμός κατηγοριών χαρακτήρων - κεφαλαία, πεζά, ψηφία, σύμβολα)
* `dcredit =-1` (μέγιστη πίστωση για ψηφία)
* `ucredit =-1` (μέγιστη πίστωση για κεφαλαία γράμματα)
* `lcredit =-1` (μέγιστη πίστωση για πεζά γράμματα)
* `ocredit =-1` (μέγιστη πίστωση για άλλους χαρακτήρες, δηλαδή σύμβολα)
* `rejer_username =true` (μην επιτρέπετε στους κωδικούς πρόσβασης να περιέχουν το όνομα χρήστη)
* `difok =3` (ο αριθμός των χαρακτήρων στον νέο κωδικό πρόσβασης που πρέπει να διαφέρει από τον παλιό κωδικό πρόσβασης)
* `maxrepeat =3` (ο μέγιστος αριθμός επαναλαμβανόμενων χαρακτήρων που επιτρέπονται)
* `gecoscheck =1` (αποτρέψτε τους κωδικούς πρόσβασης να προέρχονται από το πεδίο GECOS (πληροφορίες χρήστη)
3. Λήξη κωδικού πρόσβασης (εντολή chage):
* Τα συστήματα Linux χρησιμοποιούν συνήθως την εντολή `chage` για τη διαχείριση της γήρανσης του κωδικού πρόσβασης.
* `Chage -l
* `chage -m
* `chage -m
* `chage -w
* `Chage -d 0
* Για να ορίσετε μια προεπιλεγμένη πολιτική λήξης του κωδικού πρόσβασης για όλους τους νέους χρήστες, μπορείτε να τροποποιήσετε το `/etc/login.defs`. Αναζητήστε τις ακόλουθες γραμμές και ρυθμίστε ανάλογα:
`` `
Pass_max_days 90 # Μέγιστο αριθμό ημερών μπορεί να χρησιμοποιηθεί ένας κωδικός πρόσβασης.
Pass_min_days 0 # Ελάχιστος αριθμός ημερών που επιτρέπονται μεταξύ αλλαγών κωδικού πρόσβασης.
Pass_warn_age 7 # Αριθμός προειδοποιητικών ημερών που δόθηκε πριν λήξει ένας κωδικός πρόσβασης.
`` `
4. Δοκιμές:
* Δημιουργήστε έναν χρήστη δοκιμής και προσπαθήστε να ορίσετε έναν κωδικό πρόσβασης που παραβιάζει την πολιτική.
* Συνδεθείτε με τον χρήστη δοκιμής και επαληθεύστε τις προειδοποιήσεις λήξης του κωδικού πρόσβασης.
Σημαντικές εκτιμήσεις για πολιτικές κωδικού πρόσβασης Linux:
* Ειδική για τη διανομή: Η ακριβής θέση των αρχείων ρυθμίσεων και των διαθέσιμων επιλογών μπορεί να ποικίλει ανάλογα με τη διανομή Linux. Συμβουλευτείτε την τεκμηρίωση της διανομής σας.
* ΠΡΟΒΟΛΗ ΡΙΑ: Θα χρειαστείτε προνόμια ρίζας (χρησιμοποιώντας `sudo` ή συνδεθείτε ως ρίζα) για να τροποποιήσετε αυτά τα αρχεία ρυθμίσεων.
* Pam: Η κατανόηση της PAM είναι το κλειδί για τη διαμόρφωση πολιτικών ελέγχου ταυτότητας και κωδικού πρόσβασης στο Linux.
* `εντολή chage`: Γνωρίστε την εντολή `chage` για τη διαχείριση της γήρανσης του μεμονωμένου κωδικού χρήστη.
Γενικές βέλτιστες πρακτικές (που ισχύουν τόσο για τα Windows όσο και για το Linux):
* Ισχυροί κωδικοί πρόσβασης: Ο πυρήνας οποιασδήποτε πολιτικής κωδικού πρόσβασης επιβάλλει ισχυρούς κωδικούς πρόσβασης. Αυτό σημαίνει:
* Επαρκές μήκος (τουλάχιστον 12 χαρακτήρες, κατά προτίμηση μεγαλύτερο)
* Πολυπλοκότητα (μείγμα κεφαλαίων, πεζών, αριθμών και συμβόλων)
* Μοναδικότητα (μην επιτρέπετε την επαναχρησιμοποίηση προηγούμενων κωδικών πρόσβασης)
* Αποφυγή προσωπικών πληροφοριών (χωρίς λεξικά, ονόματα, γενέθλια κ.λπ.)
* Έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA): Εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) όποτε είναι δυνατόν. Αυτό προσθέτει ένα επιπλέον στρώμα ασφάλειας πέρα από τους κωδικούς πρόσβασης, καθιστώντας πολύ πιο δύσκολο για τους επιτιθέμενους να αποκτήσουν πρόσβαση σε λογαριασμούς, ακόμη και αν έχουν κλέψει τον κωδικό πρόσβασης.
* Διαχειριστές κωδικού πρόσβασης: Ενθαρρύνετε τη χρήση διαχειριστών κωδικών πρόσβασης. Οι διαχειριστές κωδικών πρόσβασης μπορούν να δημιουργήσουν και να αποθηκεύουν ισχυρούς, μοναδικούς κωδικούς πρόσβασης για κάθε ιστότοπο και εφαρμογή, διευκολύνοντας τους χρήστες να ακολουθούν καλή υγιεινή κωδικού πρόσβασης.
* Τακτικοί έλεγχοι: Ελέγξτε τακτικά τις πολιτικές και τις διαμορφώσεις κωδικού πρόσβασης για να διασφαλίσετε ότι είναι αποτελεσματικές και ενημερωμένες. Ελέγξτε τα αρχεία καταγραφής για ύποπτη δραστηριότητα.
* Αρχή του ελάχιστου προνομίου: Παραχωρούν μόνο τους χρήστες τα ελάχιστα απαραίτητα προνόμια. Αυτό περιορίζει τον αντίκτυπο ενός συμβιβασμένου λογαριασμού.
* μηδενική εμπιστοσύνη: Υιοθετήστε ένα μοντέλο ασφαλείας μηδενικής εμπιστοσύνης. Ας υποθέσουμε ότι όλοι οι χρήστες και οι συσκευές είναι ενδεχομένως συμβιβασμένες και απαιτούν αυστηρή πιστοποίηση και εξουσιοδότηση πριν από τη χορήγηση πρόσβασης σε πόρους.
Ακολουθώντας αυτά τα βήματα και τις βέλτιστες πρακτικές, μπορείτε να δημιουργήσετε και να διατηρήσετε μια ισχυρή πολιτική λήξης του κωδικού πρόσβασης που βοηθά στην προστασία των συστημάτων και των δεδομένων σας από μη εξουσιοδοτημένη πρόσβαση. Θυμηθείτε να προσαρμόσετε την πολιτική στις συγκεκριμένες ανάγκες περιβάλλοντος και ασφάλειας. Καλή τύχη!
Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα