Windows 域密码策略建议

我有需要密码策略的 Windows 域名。 现在一个都没有。 任何人都对弱密码与密码如此强大以至于只需将其写下来的客户之间的完美平衡发表评论吗?

由于没有人有结束密码,我想我可以通过从他们的用户帐户中消除“密码永不过期”属性来逐步加入个人。 通过这样做,我(和帮助工作台)不会因为问题/密码重置而受到猛烈抨击。 有什么反馈吗?

3
2022-06-07 14:36:05
资源 分享
答案: 8

来自该领域的一些指导方针

教育个人密码越长越好,即使它很简单。 (经过测试的研究表明,具有高复杂性的小密码比更长更容易的密码更快地破解)

将密码到期保持为 7 的倍数,例如 28、42、91。这确保了到期后的常规密码重置在工作日方面同样扩大。 当您拥有无数帐户时,这很重要,例如。 如果您在星期一重置了密码,那么您的下一次密码到期肯定会从星期一开始。

维持合理的账户锁定计划。 从一些适度的开始,然后密切关注相关的帮助台电话,并根据需要修改锁定策略,例如。 之后打了太多电话,稍微放松了锁定政策。

如果可能的话,购买密码自助服务产品,以确保客户可以自己重置密码或解锁他们的帐户。 (大约 30% 到 40% 的帮助台电话与此处相关)

最后,使用密码拆分设备定期检查个人设置的密码强度,并提醒使用非常简单的密码的个人选择更好的密码。 请记住,黑客只需要一个帐户即可进入您的网络。

1
2022-06-08 03:25:58
资源

要记住密码的一大要点永远不会结束。 一旦您有效地制定了密码策略,如果密码肯定会根据上次修改结束,那么一旦您关闭该标志,密码肯定会结束。 因此,您需要提醒用户注意这一事实。

微软对 Windows Server 2003 的高安全性建议曾经是:

  • 15 分钟内 10 次失败的尝试
  • 15分钟解锁
  • 最少 8 个字符的密码
  • 复杂性激活
  • 记住 10 个密码(这组我很模糊这可能不合适)
  • 30 天到期(再一次,这个我不清楚)

但是,这与我与之互动的审计员不一致。 我见过的最宽容的人想要 24 小时解锁,并且在 24 小时内不超过 10 次失败,有效期为 60 天。 我见过的最不宽容的是没有自动解锁,在 24 小时内不超过 3 次失败,有效期为 30 天。 所有人都在最小个性大小为 8 时保持一致,并在记住完整的 24 个密码的情况下打开了复杂性。

1
2022-06-08 03:25:51
资源

您可以实施密码短语而不是密码。 比如“为什么密码如此复杂?” 可能是密码。

0
2022-06-07 15:04:00
资源

美国国家标准与技术研究院 (NIST) 有一些 关于计算机安全主题的优秀出版物。 它们是极好的来源您正在寻找的杂志是 NIST Special Publication 800 - 53。(相信我,它并不像看起来那么消极)

IMO 密码计划必须是这样的:

  • 8 个字符
  • 以下 3 项:资金、小写、数字、特殊人物
  • 不得重复使用最后 12 个密码
  • 30 - 90 天密码到期
4
2022-06-07 15:03:36
资源

好吧,你最了解你的客户,所以如果你认为让密码用完是可行的方法,那么就全力以赴。 它是一个很好的选择。

至于密码计划,它总是在最佳安全性(即 13 个字符长、4 个大写字母、2 个图标、3 个数字,其余小写)和理想利益(即没有任何计划)之间进行权衡自动登录)。 一般来说,如果你也非常注重安全性,你会找到将密码贴在键盘底部或屏幕旁边的帖子上的人,而且如果你朝着利益的方向走得太远,你就会变得糟糕安全性和易于推测的密码。

对于我们的组织,我们要求至少有 7 个字符的密码,至少有 1 个数字、1 个资源和 1 个小写字母(任何需求都可以使用图标)。 这似乎对我们的客户很有效,而且也没有受到他们的反对。 一切顺利,希望这会有所帮助。

1
2022-06-07 15:03:33
资源

请记住,您的政策越严格,需要解锁帐户或重置密码的客户雇用您的次数就越多。 您的计划限制越少,您的组织面临的威胁就越大。

默认情况下,您无法具体指定如何复杂一个域名密码计划是(至少2003年)。 有改变规则的方法和手段,但据我所知,这是非常复杂的,而不是为了装腔作势。 换句话说,您不能决定您的用户密码是 3 个大写字母、2 个唯一密码、2 个数字密码等。

这就是当你设置时肯定会设置的使能够密码应满足复杂要求默认域组策略中的设置:

密码必须满足复杂的需求。

此安全设置确定密码是否必须满足复杂性需求。 如果启用此策略,密码需要满足以下最低要求:

  • 不包括个人是帐户名称或个人部分是超过连续 2 个人格的全名 至少有 6 个人格

  • 包含来自 3 个坚持到 4 个组的字符:

  • 英文大写字符(A 和 Z)

  • 英文小写字符(a> 到 z)

  • 以 10 位为基数(0 到 > 9)

  • 非字母字符(例如,!,$,#,%)

转换或生成密码时会强制执行复杂性要求。

你什么能够然而,设置是:

  • 最小密码长度
  • 最低密码年龄
  • 最大密码年龄
  • 密码历史
  • 帐户锁定限制(无效登录努力)
  • 账户锁定期

在我们所有的域名中,我们使用复杂性、最少 8 个个性、最少 14 天、最多 90 天、14 密码历史记录、5 无效登录努力、30 分钟锁定持续时间

2
2022-06-07 15:03:11
资源

duffbeer703 链接很好。 确定密码限制和最低要求有一些技术原因。 如果您不在一个完全统一的环境中,您尤其需要检查这些约束。

无论如何,8字,3字四字的组队规矩还是蛮标准的。 我直接做的是训练我的用户创建密码短语而不是密码。 这使得开发密码变得更加容易,而且他们也不会花费太多时间来尝试找出如何满足所有这些字符需求。 像“天气晴朗。Yippee!”这样的密码。 提前足够简单,也请记住。

这种技术存在问题,但是如果人们在创建密码时使用正确的英语语法,从而限制了可能混合的总数。 也就是说,不断以大写字母开头和句点结尾的密码不会因为它包含大写字母和句点而更强,因为我们可以预先假设这一点,所以它很弱。

其他标准的 Windows 域名策略很好,IMO,除了我只是要求每季度更改一次密码。 就我个人而言,我并没有推销密码过期的想法。 如果帐户被盗,三十天也是无穷无尽的时间。 无论如何,当人们需要转换密码时,他们会非常生气。

鉴于安全专家也不能在与密码有关的任何事情上找到一个很好的中间立场,我声称大多数关于任何极端情况的指导都是愚蠢的,除非你特别处于高度安全的情况下。 我认为必不可少的,也是我得到个人认可的声明,类似于:“永远不要与任何人共享您的密码。我不在乎他们是谁,也不在乎他们为什么需要在何时访问您的计算机。您正在度假。您的密码安全是您的责任。” 我所见过的最大的帐户滥用来自共享密码的人。 在常规的旧服务中,所有其他 133 吨赛博朋克的东西几乎都不是问题。

2
2022-06-07 15:03:02
资源

Nist 出版物还可以,您的域密码策略不如教育和学习客户不共享密码那么重要。 只要未将其粘贴在键盘上并且未共享密码,永不过期的密码绝对没有任何根本错误。 通常,您设置的任何类型的参数都会很棒,要考虑的两个最重要的点是:

帐户锁定限制(无效登录努力) 帐户锁定期

这限制了人们增强安全性的能力。 我通常建议限制为 5 小时和 2 小时,但这绝对取决于具体情况。 正如 Boden 解释的那样,安全专家也不能确定什么是安全可靠的密码策略。 实际上,在我担心我的密码策略之前,我肯定会实施 服务器和域隔离 。 然后我会给你我的密码——你还没有进入我的资源。

1
2022-06-07 15:01:58
资源