Adgangskoder er altid en frustrerende catch-22 for enhver organisation. Brugere foretrækker at bruge enkle passindo .s-adgangskoder, der er lette at huske og skrive, men du vil have, at disse adgangskoder skal være stærke og komplekse som en måde at beskytte dine brugere og forretning på. Hvis du bruger Gruppepolitik i din virksomhed, kan du som minimum indstille visse adgangskodepolitikker for at sikre et minimumsniveau for sikkerhed. Her er hvordan. (Følgende politikker kan anvendes på clientsindo .s 7, 8.1 og 10 klienter.,)
1. Åbn din gruppe politik editor. Du ønsker måske at teste dette ud på din nuværende computer i første omgang ved hjælp af den lokale Group policy editor. Du kan derefter segmentere til dit domænes Gruppepolitikkonsol, når det er tid til at oprette og implementere indstillingerne for alle.
2. Skriv gpedit i søgefeltet.msc.
3. I den lokale Gruppepolitikeditor skal du navigere til følgende indstilling: Computerkonfiguration | Settingsindo .s-Indstillinger | Sikkerhedsindstillinger | Kontopolitikker | adgangskodepolitik. Du finder de specifikke politikker, du kan indstille. Lad os gennemgå hver enkelt.,
SE: Hvordan man kan reducere brugerkonto lockout og adgangskode nulstilles (gratis PDF) (TechRepublic)
Håndhæve adgangskode historie. Denne politik begrænser brugere fra at oprette adgangskoder, de allerede har brugt. Formålet er at sikre, at enhver tidligere adgangskode, der potentielt kan være lækket eller stjålet, ikke genbruges. Hvis du aktiverer adgangskodehistorik, kan du indstille et specifikt antal tidligere adgangskoder, der ikke kan genbruges, hvor som helst fra 1 til 24 (Figur A).
Figur A
Maksimal password alder., Denne politik tvinger brugerne til at ændre deres adgangskoder regelmæssigt ved at udløbe dem efter en bestemt periode. Standard er 42 dage, men du kan indstille dette til hvor som helst fra 1 dag (ikke tilrådeligt!) til 999 dage (figur b).
Figur B
Selv om udløb af adgangskode politik er, at mange organisationer bruger, kan du ønsker at tænke sig om to gange, hvis det vedtages., Husk, at dine brugere ikke kan lide adgangskoder, og at tvinge dem til at oprette og huske en ny adgangskode hvert par måneder er endnu en byrde, der muligvis ikke er nødvendig eller effektiv. Selv Microsoft har udtalt sig imod denne politik, fastslår, at det ønsker at fjerne det som et grundlæggende indstilling i den næste version af Windows, specielt Windows 10 og Windows Server 1903, der udkommer i slutningen af Maj.
som Microsoft har hævdet, er hovedformålet med udløb af adgangskode at sikre, at en stjålet eller hacket adgangskode ikke længere kan bruges., Men hvis en adgangskode aldrig er blevet stjålet, hvorfor tvinge brugerne til at ændre den? Og hvis du ved, at en bestemt adgangskode er blevet stjålet, vil du ændre den med det samme i stedet for at vente, indtil den udløber. Din indsats bruges bedre til at konfigurere og aktivere andre adgangskodepolitikker.
Minimum pass .ord alder. Denne politik forhindrer en bruger i at ændre en adgangskode for hurtigt efter at have oprettet en ny. På nogle måder er dette en opfølgning af indstillingen for adgangskodehistorik. Målet er at forhindre brugere i at cykle gennem alle deres gamle adgangskoder, indtil de finder en tilladt af politikken., Det er også designet til at forpurre hackere, der kan få en eksisterende adgangskode og derefter nulstille den til en af deres valg. Du kan indstille det, så adgangskoden kan ændres efter hvor som helst fra 1 dag til 998 dage (figur C).
figur c
Minimum adgangskodelængde: denne politik specificerer det mindste antal tegn, der kræves for en passwordindo .s-adgangskode. Du kan indstille længden til hvor som helst fra 1 til 20 tegn (figur D). Jo længere adgangskoden er, desto vanskeligere er det for en hacker at gætte det gennem brute force-angreb og andre midler., Mange eksperter anbefaler en minimumslængde på 12 tegn, men husk at medtage dine andre adgangskodepolitikker og-metoder, når du vælger en passende adgangskodelængde til dine brugere.
Figur D
Password må betyde, kompleksitet og krav. Denne politik bestemmer, hvilke typer tegn der er tilladt og påkrævet for dine brugeradgangskoder (figur E). Hvis aktiveret, skal brugeradgangskoder:
- ikke indeholde brugerens kontonavn eller dele af brugerens fulde navn, der overstiger to på hinanden følgende tegn.,
- være mindst seks tegn i længden.
- Indeholder tegn fra tre af de følgende fire kategorier:
- engelsk, skrevet med store bogstaver (A til Z)
- engelsk tegn med små bogstaver (a til z)
- Base 10 cifre (0 til 9)
- Ikke-alfabetiske tegn (for eksempel !,$,#,%)
Når du indstiller denne politik sammen med den minimale adgangskodelængde, vil du sigte mod den rigtige balance mellem sikkerhed og brugervenlighed., En kompleks passwordindo .s-adgangskode giver større beskyttelse, men dine brugere kan blive udfordret til at huske det sammen med alle de andre adgangskoder, de sandsynligvis bruger. Hvis du opretter en mindste adgangskodelængde og adgangskodekompleksitet, skal du give hjælp eller tip til dine brugere om, hvordan du opretter en sikker adgangskode, som de lettere kan huske og bruge.
Figur E
Gemme adgangskoder ved hjælp af reversibel kryptering., Denne politik gemmer stærke adgangskoder ved hjælp af reversibel kryptering, en mulighed, der kan være nødvendig for applikationer, der kræver kendskab til brugeradgangskoder til godkendelse. Dette efterlader dog dine adgangskoder mere sårbare, så du ønsker at holde denne politik deaktiveret, medmindre det er absolut nødvendigt (figur f).,
Figur F
det er kernen password politikker, men du vil finde andre adgangskode-relaterede indstillinger i gruppepolitik, herunder dem til Konto Lockout Politik, og dem, for sikkerhedsindstillinger i henhold til Lokale Politikker.
se: pass .ord management policy (Tech Pro Research)
Husk også, at de adgangskodepolitikker, der tilbydes gennem Gruppepolitik, kun går så langt., I sit blogindlæg om adgangskodeudløbspolitikken har selv Microsoft erkendt, at “vi må gentage, at vi stærkt anbefaler yderligere beskyttelse, selvom de ikke kan udtrykkes i vores basislinjer.”Derfor skal du supplere dine gruppepolitiske indstillinger med mere avancerede og sofistikerede metoder for at sikre, at dine brugeradgangskoder er så sikre og så beskyttede som muligt.,
se Også
- Cheat sheet: Hvordan man bliver en cybersecurity pro (TechRepublic)
- De 5 mest hackede passwords (TechRepublic)
- Hvorfor næsten 50% af de organisationer, der er mangel på password-sikkerhed (TechRepublic)
- Top 5 måder til at vælge en sikker adgangskode (TechRepublic)
- Glemt adgangskode? Fem grunde til, at du har brug for en adgangskodeadministrator (passworddnet)
- grunden til, at ‘ji32k7au4a83’ er en almindelig og frygtelig adgangskode (.dnet)
- Vi dræber adgangskoder. Men er vi klar til, hvad der vil erstatte dem?, (ZDNet)
- Online sikkerhed 101: Tips til at beskytte dine personlige oplysninger mod hackere og spioner (ZDNet)
- De bedste password ledere af 2019 (CNET)
- Cybersecurity og cyberwar: Flere skal læse dækning (TechRepublic på Flipboard)