lösenord är alltid en frustrerande catch-22 för alla organisationer. Användare föredrar att använda enkla Windows-lösenord som är lätta att komma ihåg och skriva, men du vill att dessa lösenord ska vara starka och komplexa som ett sätt att skydda dina användare och företag. Om du använder Grupprincip på ditt företag kan du åtminstone ange vissa lösenordspolicyer för att säkerställa en lägsta säkerhetsnivå. Så här gör vi. (Följande policyer kan tillämpas på Windows 7, 8.1 och 10 klienter.,)
1. Öppna din principeditorn. Du kanske vill testa detta på din nuvarande dator från början med hjälp av den lokala grupprincipredigeraren. Du kan sedan gå till domänens grupprincip-konsol när det är dags att skapa och distribuera inställningarna för alla.
2. Skriv gpedit i sökfältet.msc.
3. Gå till följande inställning i den lokala grupprincipredigeraren: Datorkonfiguration / Windows-Inställningar / Säkerhetsinställningar | Kontopolicyer / lösenordspolicy. Du hittar de specifika policyer som du kan ange. Låt oss granska var och en.,
se: så här minskar du låsningar för användarkonto och lösenordsåterställningar (gratis PDF) (TechRepublic)
genomdriva lösenordshistorik. Den här policyn begränsar användare från att skapa lösenord som de redan har använt. Syftet är att säkerställa att tidigare lösenord som potentiellt kan ha läckt eller stulits inte återanvänds. Om du aktiverar lösenordshistorik kan du ange ett visst antal tidigare lösenord som inte kan återanvändas, var som helst från 1 till 24 (Figur A).
figur a
maximal lösenordsålder., Denna policy tvingar användarna att ändra sina lösenord regelbundet genom att de löper ut efter en viss tid. Standard är 42 dagar, men du kan ställa in detta till var som helst från 1 dag(inte tillrådligt!) till 999 dagar (Figur b).
Figur b
även om lösenordspolicyn är en som många organisationer använder, kanske du vill tänka två gånger om att anta den., Kom ihåg att dina användare inte gillar lösenord, och tvinga dem att behöva skapa och komma ihåg ett nytt lösenord med några månader är ännu en börda som kanske inte är nödvändig eller effektiv. Även Microsoft har kommit ut mot denna policy och säger att det vill ta bort det som en baslinjeinställning i nästa version av Windows, speciellt Windows 10 och Windows Server 1903, på grund av i slutet av maj.
som Microsoft har hävdat är huvudsyftet med lösenordsutgången att säkerställa att ett stulet eller hackat lösenord inte längre kan användas., Men om ett lösenord aldrig har stulits, varför tvinga användare att ändra det? Och om du vet att ett visst lösenord har stulits, skulle du ändra det omedelbart istället för att vänta tills det löper ut. Dina ansträngningar är bättre spenderas konfigurera och aktivera andra lösenord politik.
lägsta lösenordsålder. Denna policy förhindrar att en användare ändrar ett lösenord för snabbt efter att ha skapat en ny. På vissa sätt är detta en uppföljning av inställningen lösenordshistorik. Målet är att förhindra användare från att cykla genom alla sina gamla lösenord tills de hittar en tillåten enligt policyn., Den är också utformad för att omintetgöra hackare som kan få ett befintligt lösenord och sedan återställa den till en av deras val. Du kan ställa in det så att lösenordet kan ändras efter var som helst från 1 dag till 998 dagar (figur C).
figur c
minsta lösenordslängd: denna policy anger det minsta antalet tecken som krävs för ett Windows-lösenord. Du kan ställa in längden till var som helst från 1 till 20 tecken (figur D). Ju längre lösenord, desto svårare är det för en hacker att gissa det genom brute force attacker och andra medel., Många experter rekommenderar en minsta lösenordslängd på 12 tecken, men kom ihåg att faktor i dina andra lösenord politik och metoder när du väljer ett lämpligt lösenord längd för dina användare.
figur d
Lösenordet måste betyda komplexitetskrav. Den här policyn avgör vilka typer av tecken som är tillåtna och nödvändiga för dina användarlösenord (figur E). Om det är aktiverat måste användarlösenord:
- inte innehålla användarens kontonamn eller delar av användarens fullständiga namn som överstiger två på varandra följande tecken.,
- vara minst sex tecken i längd.
- innehåller tecken från tre av följande fyra kategorier:
- Svenska stora bokstäver (A till Z)
- Svenska små bokstäver (A till z)
- bas 10 siffror (0 till 9)
- icke-alfabetiska tecken (till exempel !,$,#,%)
När du ställer in denna policy i samband med minsta lösenordslängd vill du sträva efter rätt balans mellan säkerhet och användarvänlighet., Ett komplext Windows-lösenord ger större skydd, men dina användare kan utmanas att komma ihåg det tillsammans med alla andra lösenord som de sannolikt använder. Om du skapar en minsta lösenordslängd och lösenord komplexitet, bör du ge hjälp eller tips för dina användare om hur du skapar ett säkert lösenord som de lättare kan komma ihåg och använda.
figur e
lagra lösenord med vändbar kryptering., Denna policy lagrar starka lösenord med vändbar kryptering, ett alternativ som kan behövas för applikationer som kräver kunskap om användarlösenord för autentisering. Detta lämnar dock dina lösenord mer sårbara, så du vill hålla denna policy inaktiverad om det inte är absolut nödvändigt (figur F).,
figur f
det här är huvudpolicyerna för lösenord, även om du hittar andra lösenordsrelaterade inställningar i grupprincipen, inklusive de för Kontolåsningspolicy och de för säkerhetsalternativ under Lokala policyer.
se: Policy för lösenordshantering (Tech Pro Research)
tänk också på att lösenordspolicyn som erbjuds genom grupprincipen bara går så långt., I sitt blogginlägg om lösenordspolicyn har även Microsoft erkänt att ” vi måste upprepa att vi starkt rekommenderar ytterligare skydd även om de inte kan uttryckas i våra baslinjer.”Av den anledningen måste du komplettera dina grupprincipinställningar med mer avancerade och sofistikerade metoder för att säkerställa att dina användarlösenord är så säkra och så skyddade som möjligt.,
se även
- Cheat sheet: hur man blir en cybersecurity pro (TechRepublic)
- de 5 mest hackade lösenorden (TechRepublic)
- Varför nästan 50% av organisationerna misslyckas med lösenordsskydd (TechRepublic)
- Topp 5 sätt att välja ett säkert lösenord (TechRepublic)
- Glömt lösenord? Fem anledningar till varför du behöver en lösenordshanterare (ZDNet)
- anledningen till att ”ji32k7au4a83” är ett vanligt och hemskt lösenord (ZDNet)
- vi dödar lösenord. Men är vi redo för vad som kommer att ersätta dem?, (ZDNet)
- online security 101: Tips för att skydda din integritet från hackare och spioner (ZDNet)
- de bästa lösenordshanterare 2019 (CNET)
- cybersäkerhet och cyberwar: mer måste läsa täckning (TechRepublic på Flipboard)