Vitajte na [www.pocitac.win] Pripojiť k domovskej stránke Obľúbené stránky
Windows Server Active Directory
Spravujete zásady vypršania platnosti hesla v Active Directory pomocou skupinovej politiky. Tu je podrobný sprievodca:
1. Open Group Policy Management:
* Prejdite na Štart , zadajte `gpmc.msc` a stlačte Enter . Tým sa otvára konzola skupinovej politiky (GPMC).
* Prípadne ho nájdete v rámci administratívnych nástrojov .
2. naviguje do domény alebo ou:
* V GPMC rozbaľte svoj les , potom rozšírite svoje domény .
* Kliknite pravým tlačidlom myši:
* Vaša doména: To sa uplatňuje na politiku pre všetkých * používateľov v doméne. Toto sa vo všeobecnosti * neodporúča pre granulovanú kontrolu.
* Organizačná jednotka (ou): To vám umožní uplatniť rôzne politiky na rôzne skupiny používateľov. Toto je osvedčená prax na správu rôznych zásad hesla.
* Vyberte "Vytvorte GPO v tejto doméne a prepojte ho sem ..." (alebo „Link And Existujúce GPO ...“ Ak už máte vhodné GPO). Dajte novému GPO opisný názov (napr. „Pravidlá vypršania hesla - štandardní používatelia“).
3.
* Pravým tlačidlom myši kliknite na novovytvorené (alebo prepojené) GPO v GPMC a vyberte "edit" . Tým sa otvára editor riadenia skupiny.
4. Prejdite na nastavenia hesla:
* V editore riadenia skupinových politík prejdite na:
* Konfigurácia počítača (Tu sú nakonfigurované zásady hesla)
* politiky
* Nastavenia systému Windows
* Nastavenia zabezpečenia
* Pravidlá účtu
* Pravidlá hesla
5. Nakonfigurujte nastavenia politiky hesla:
* Uvidíte niekoľko nastavení, ktoré môžete nakonfigurovať:
* "Vymáhať históriu hesiel": To bráni používateľom opakovať staré heslá. Nastavte hodnotu, ako je „24 hesiel zapamätaných“, aby ste zabránili jednoduchým cyklistikám pomocou miernych variácií toho istého hesla.
* "Maximálny vek hesla": Toto je nastavenie, ktoré hľadáte. To definuje, ako dlho je heslo platné skôr, ako je používateľ nútený zmeniť ho. Nastavte to na primeranú hodnotu, napríklad „90 dní“ alebo „120 dní“. *Dôležité:Najlepšie postupy výskumu a regulačné požiadavky pred týmto stanovením. Krátka životnosť hesla môže niekedy viesť k slabším heslám, pretože používatelia zvolia ľahko odhadovateľné možnosti.*
* "Minimálny vek hesla": To bráni používateľom príliš často meniť svoje heslo (napr. Ihneď po tom, čo boli nútení zmeniť ho v dôsledku vypršania platnosti). Bežná hodnota je „1 deň“. To bráni používateľom v obchádzaní histórie hesiel okamžite viackrát zmenou hesla.
* "Minimálna dĺžka hesla": Toto je *kritické *. Vynútiť silnú minimálnu dĺžku hesla. *Minimálne*použite 12 znakov. 14-16 je výhodné. Dlhšie heslá sa exponenciálne ťažšie prasknú.
* „Heslo musí spĺňať požiadavky na zložitosť“: Povoľte to. Toto nastavenie vyžaduje, aby heslá obsahovali kombináciu veľkých písmen, malých písmen, čísel a symbolov. To je veľmi dôležité pre bezpečnosť.
* „Uložte heslá pomocou reverzibilného šifrovania pre všetkých používateľov v doméne“: to nepovoľte. Toto nastavenie je určené pre veľmi špecifické scenáre spätnej kompatibility (zvyčajne veľmi staré aplikácie). Výrazne oslabuje bezpečnosť uložením hesiel spôsobom, ktorý sa relatívne ľahko dešifruje.
6. Uplatňuje politiku (ak ešte nie je prepojená s OU):
* Uistite sa, že GPO je prepojený s doménou alebo s OU, na ktorú ju chcete použiť (krok 2).
* Aktualizácie politiky skupiny pravidelne (zvyčajne každých 90 minút s 30-minútovým posunom), ale môžete si vynútiť aktualizáciu na klientskom počítači alebo serveri príkazom:`GPUPDATE /FORCE`
7. Testovanie:
* Po uplatňovaní politiky otestujte ju, aby ste sa uistili, že funguje podľa očakávania. Prihláste sa s testovacím používateľom v OU a pokúste sa zmeniť heslo. Skontrolujte chyby protokolov udalostí. Počkajte, kým uplynie obdobie vypršania platnosti a zistite, či sa používateľ zobrazí, aby zmenil svoje heslo.
Dôležité úvahy o politikách Active Directory Password:
* Politiky s jemne zrnitými heslom (FGPP): Ak potrebujete rôzne zásady hesla pre rôznych používateľov alebo skupín *v rámci toho istého OU *, budete musieť použiť pravidlá s jemnozrnným heslom (FGPP). FGPP ponúka oveľa väčšiu zrnitú kontrolu. FGPP sú nakonfigurované pomocou administratívneho centra Active Directory alebo PowerShell. Sú zložitejšie na konfiguráciu ako štandardný GPO. FGPP môžu mať prednosť pred štandardnými politikami domény, takže musíte porozumieť poradiu priority.
* Zložitosť hesla: Silná zložitosť hesla je nevyhnutná. Nepodceňujte dôležitosť vyžadovania kombinácie typov znakov.
* Vzdelávanie používateľov: Vzdelávajte svojich používateľov o dôležitosti silných hesiel a pravidlách hesla. Vysvetlite, prečo musia zmeniť svoje heslá a poskytnúť tipy na vytvorenie silných a nezabudnuteľných hesiel.
* Pravidelná recenzia: Pravidelne kontrolujte svoje zásady hesla a podľa potreby ju upravte na základe osvedčených postupov zabezpečenia a potrieb vašej organizácie.
* Zásady blokovania účtu: Konfigurujte politiku blokovania účtu (tiež nájdené v rámci pravidiel účtu) na uzamknutie používateľských účtov po určitom počte neúspešných pokusov o prihlásenie. To pomáha predchádzať útokom hesla pre Brute-Force. Zvážte nastavenie primeraného trvania blokovania (napr. 30 minút).
* protokolovanie auditu: Povoľte audit pre udalosti správy účtov. Pomôže vám to sledovať zmeny hesla a inú aktivitu súvisiacu s účtom.
Linux (všeobecný prehľad)
V systémoch Linux sa zásady hesla zvyčajne spravujú pomocou `pam_pwquality.so` (súčasť pluggable autentifikačných modulov alebo PAM). Konfigurácia sa vykonáva prostredníctvom `/etc/pam.d/` a `/etc/zabezpečenie/pwquality.conf`. Špecifiká závisia od distribúcie (napr. Debian/Ubuntu, Red Hat/Centos).
1.
* Otvorte tento súbor pomocou textového editora (ako root).
* Nájdite riadok, ktorý obsahuje `pam_unix.so`. Bude to vyzerať niečo ako:
`` `
Požadované heslo Pam_unix.so ...
`` `
* Pridajte `pam_pwquality.so` * Pred *` pam_unix.so`. Objednávka je dôležitá. Napríklad:
`` `
heslo požadované pam_pwquality.so Retry =3
Požadované heslo Pam_unix.so ...
`` `
2.
* Otvorte tento súbor pomocou textového editora (ako root).
* Tento súbor definuje pravidlá politiky hesla. Bežné nastavenia zahŕňajú:
* `minlen =12` (minimálna dĺžka hesla)
* `minclass =3` (minimálny počet tried znakov - veľké písmená, malé písmená, číslice, symboly)
* `dcredit =-1` (maximálny kredit za číslice)
* `ucredit =-1` (maximálny kredit za veľké písmená)
* `lcredit =-1` (maximálny kredit za malé písmená)
* `ocredit =-1` (maximálny kredit za iné znaky, t. J. Symboly)
* `rection_username =true` (nedovoľte, aby heslá obsahovali používateľské meno)
* `difok =3` (počet znakov v novom hesle, ktoré sa musia líšiť od starého hesla)
* `maxRepeat =3` (maximálny počet opakovaných znakov povolených)
* `gecoscheck =1` (zabrániť odvodeniu hesiel z poľa GECOS (informácie používateľa)
3. Platnosť hesla (príkaz Chage):
* Linuxové systémy zvyčajne používajú príkaz `Chage` na správu starnutia hesla.
* `Chage -l
* `Chage -M
* `Chage -M
* `Chage -W
* `Chage -d 0
* Ak chcete nastaviť predvolenú pravidlá vypršania platnosti hesla pre * všetkých * nových používateľov, môžete upraviť `/etc/login.defs`. Vyhľadajte nasledujúce riadky a podľa toho upravte:
`` `
Pass_max_days 90 # Maximálny počet dní sa môže použiť heslo.
Pass_min_days 0 # Minimálny počet dní povolených medzi zmenami hesla.
Pass_warn_age 7 # Počet dní VAROVANIE VZORNATÉ PRED PLYVOM HESSOU.
`` `
4. Testovanie:
* Vytvorte používateľa testu a pokúste sa nastaviť heslo, ktoré porušuje politiku.
* Prihláste sa s testovacím používateľom a overte varovania o vypršaní platnosti hesla.
Dôležité úvahy o politikách Linux Password:
* distribu špecifická: Presné umiestnenie konfiguračných súborov a dostupné možnosti sa môžu líšiť v závislosti od distribúcie Linuxu. Poraďte sa s dokumentáciou svojej distribúcie.
* Root Equestionges: Na zmenu týchto konfiguračných súborov budete potrebovať koreňové oprávnenia (pomocou `sudo` alebo prihlásenia sa ako root).
* pam: Pochopenie PAM je kľúčom k konfigurácii pravidiel autentifikácie a hesla v systéme Linux.
* `príkaz Chage`: Oboznámte sa s príkazom „Chage“ na správu starnutia jednotlivých používateľov.
Všeobecné osvedčené postupy (uplatniteľné pre Windows aj Linux):
* Strong Heslá: Jadrom akejkoľvek politiky hesla je presadzovanie silných hesiel. To znamená:
* Dostatočná dĺžka (najmenej 12 znakov, najlepšie dlhšie)
* Zložitosť (kombinácia veľkých, malých písmen, čísel a symbolov)
* Jedinečnosť (nepovoľte opätovné použitie predchádzajúcich hesiel)
* Vyhýbanie sa osobným informáciám (žiadne slovné slová, mená, narodeniny atď.)
* Multifaktorové overenie (MFA): Implementujte multifaktorovú autentifikáciu (MFA), kedykoľvek je to možné. To pridáva ďalšiu vrstvu zabezpečenia nad rámec hesiel, čo sťažuje útočníkom oveľa ťažšie získať prístup k účtom, aj keď ukradli heslo.
* Manažéri hesiel: Podporujte používanie správcov hesiel. Manažéri hesiel môžu generovať a ukladať silné, jedinečné heslá pre každú webovú stránku a aplikáciu, čo používateľom uľahčuje sledovanie dobrého hygieny hesla.
* Pravidelné audity: Pravidelne kontrolujte svoje zásady a konfigurácie hesiel, aby ste sa uistili, že sú efektívne a aktuálne. Skontrolujte podozrivú aktivitu protokoly.
* Princíp najmenších privilégií: Poskytnite používateľom iba minimálne potrebné výsady. To obmedzuje vplyv narušeného účtu.
* Zero Trust: Prijmite model zabezpečenia nulovej dôvery. Predpokladajme, že všetci používatelia a zariadenia sú potenciálne ohrozené a pred poskytnutím prístupu k zdrojom vyžadujú prísne overenie a autorizáciu.
Postupom týchto krokov a osvedčených postupov môžete vytvoriť a udržiavať silnú politiku vypršania platnosti hesla, ktorá pomáha chrániť vaše systémy a údaje pred neoprávneným prístupom. Nezabudnite prispôsobiť politiku svojmu konkrétnemu životnému prostrediu a bezpečnostným potrebám. Veľa šťastia!