Att konfigurera en policy för utgång av lösenord beror på ditt operativsystem och miljö. Så här gör du det i Windows Server Active Directory, som är det vanligaste scenariot och en allmän översikt för Linux.
Windows Server Active Directory
Du hanterar lösenordsutgångspolicy i Active Directory med grupppolicy. Här är en steg-för-steg-guide:
1. Öppen grupppolicyhantering:
* Gå till starta typ `gpmc.msc` och tryck på Enter . Detta öppnar Group Policy Management Console (GPMC).
* Alternativt kan du hitta det under administrativa verktyg .
2. navigera till domänen eller OU:
* I GPMC, utöka din skogen , utöka sedan dina domäner .
* Högerklicka på antingen:
* Din domän: Detta tillämpar policyn för * alla * användare i domänen. Detta rekommenderas i allmänhet * inte * för granulär kontroll.
* Organisationsenhet (OU): Detta gör att du kan tillämpa olika policyer på olika grupper av användare. Detta är bästa praxis för att hantera olika lösenordspolicyer.
* Välj "Skapa en GPO i den här domänen och länk den här ..." (eller "länk en befintlig GPO ..." Om du redan har en lämplig GPO). Ge den nya GPO ett beskrivande namn (t.ex. "Lösenordsutgångspolicy - Standardanvändare").
3. Redigera grupppolicyobjektet (GPO):
* Högerklicka på den nyligen skapade (eller länkade) GPO i GPMC och välj "Redigera" . Detta öppnar gruppen Policy Management Editor.
4. navigera till lösenordsinställningarna:
* I grupppolicyhanteringsredigeraren navigerar du till:
* Datorkonfiguration (Det är här lösenordspolicyer är konfigurerade)
* policy
* Windows -inställningar
* Säkerhetsinställningar
* Kontopolicy
* Lösenordspolicy
5. Konfigurera lösenordspolicyinställningarna:
* Du ser flera inställningar du kan konfigurera:
* "Tvinga lösenordshistorik": Detta hindrar användare från att återanvända gamla lösenord. Ställ in ett värde som "24 lösenord som kommer ihåg" för att förhindra att användare helt enkelt cyklar genom små variationer av samma lösenord.
* "Maximal lösenordsålder": Det här är den inställning du letar efter. Detta definierar hur länge ett lösenord är giltigt innan användaren tvingas ändra det. Ställ in detta till ett rimligt värde, till exempel "90 dagar" eller "120 dagar". *VIKTIGT:Forskning bästa praxis och lagstiftningskrav innan du ställer in detta. Korta lösenordslivslängder kan ibland leda till svagare lösenord eftersom användare väljer lätt gissningsalternativ.*
* "Minsta lösenordsålder": Detta hindrar användare från att ändra sitt lösenord för ofta (t.ex. omedelbart efter att de tvingats ändra det på grund av utgången). Ett gemensamt värde är "1 dag". Detta förhindrar användare från att kringgå lösenordshistorik genom att omedelbart ändra lösenordet flera gånger.
* "Minsta lösenordslängd": Detta är *kritiskt *. Tvinga fram en stark lägsta lösenordslängd. *Använd åtminstone*12 tecken. 14-16 är att föredra. Längre lösenord är exponentiellt svårare att spricka.
* "Lösenord måste uppfylla komplexitetskraven": Aktivera detta. Den här inställningen kräver att lösenord innehåller en blandning av versaler, små bokstäver, siffror och symboler. Detta är mycket viktigt för säkerheten.
* "Lagra lösenord med reversibel kryptering för alla användare i domänen": Aktivera inte detta. Denna inställning är för mycket specifika bakåtkompatibilitetsscenarier (vanligtvis mycket gamla applikationer). Det försvagar säkerheten genom att lagra lösenord på ett sätt som är relativt lätt att dekryptera.
6. Tillämpa policyn (om inte redan är kopplad till en OU):
* Se till att GPO är länkad till domänen eller OU som du vill tillämpa den på (steg 2).
* Grupppolicyuppdateringar regelbundet (vanligtvis var 90 minut med en 30-minuters offset), men du kan tvinga en uppdatering på en klientmaskin eller servern med kommandot:`gpupdate /force '
7. Testning:
* När du har tillämpat policyn, testa den för att säkerställa att den fungerar som förväntat. Logga in med en testanvändare i OU och försök att ändra lösenordet. Kontrollera händelseloggarna för fel. Vänta tills utgångsperioden går och se om användaren uppmanas att ändra lösenordet.
Viktiga överväganden för Active Directory -lösenordspolicy:
* finkorniga lösenordspolicyer (FGPP): Om du behöver olika lösenordspolicyer för olika användare eller grupper *inom samma OU *, måste du använda finkorniga lösenordspolicyer (FGPP). FGPP erbjuder mycket mer granulär kontroll. FGPP:er är konfigurerade med Active Directory Administrative Center eller PowerShell. De är mer komplexa att konfigurera än en standard GPO. FGPP:er kan ha företräde framför standarddomänpolicyer, så du måste förstå företrädesordningen.
* Lösenordskomplexitet: Stark lösenordskomplexitet är avgörande. Underskatta inte vikten av att kräva en blandning av karaktärstyper.
* Användarutbildning: Utbilda dina användare om vikten av starka lösenord och lösenordspolicyn. Förklara varför de måste ändra sina lösenord och ge tips för att skapa starka, minnesvärda lösenord.
* Regelbunden recension: Granska din lösenordspolicy regelbundet och justera den efter behov baserat på bästa praxis för säkerhet och din organisations behov.
* Account Lockout Policy: Konfigurera en CONTO LOCKOUT -policy (finns också under kontopolicyer) för att låsa användarkonton efter ett visst antal misslyckade inloggningsförsök. Detta hjälper till att förhindra attacker av brute-force-lösenord. Överväg att ställa in en rimlig lockout -varaktighet (t.ex. 30 minuter).
* revisionsloggning: Aktivera revision för kontohanteringshändelser. Detta hjälper dig att spåra lösenordsändringar och annan kontorelaterad aktivitet.
Linux (allmän översikt)
På Linux -system hanteras vanligtvis lösenordspolicyer med hjälp av `pam_pwquality.so` (en del av de pluggbara autentiseringsmodulerna eller PAM). Konfiguration görs via `/etc/pam.d/` och `/etc/säkerhet/pwquality.conf`. Specifikationerna beror på distributionen (t.ex. Debian/Ubuntu, Red Hat/CentOS).
1. redigera `/etc/pam.d/common-password` (Debian/Ubuntu):
* Öppna den här filen med en textredigerare (som root).
* Hitta linjen som innehåller `pam_unix.so '. Det kommer att se ut som:
`` `
lösenord krävs pam_unix.so ...
`` `
* Lägg till `pam_pwquality.so` * före *` pam_unix.so`. Ordern är viktig. Till exempel:
`` `
lösenord nödvändigt pam_pwquality.so försök =3
lösenord krävs pam_unix.so ...
`` `
2. redigera `/etc/säkerhet/pwquality.conf`:
* Öppna den här filen med en textredigerare (som root).
* Den här filen definierar lösenordspolicyreglerna. Vanliga inställningar inkluderar:
* `minlen =12` (lägsta lösenordslängd)
* `Minclass =3` (Minsta antal teckenklasser - versaler, små bokstäver, siffror, symboler)
* `dcredit =-1 '(maximal kredit för siffror)
* `Ucredit =-1 '(Maximal kredit för versaler)
* `Lcredit =-1 '(Maximal kredit för små bokstäver)
* `Ocredit =-1 '(Maximal kredit för andra tecken, dvs symboler)
* `DESPECT_USERNAME =TRUE '(Låt inte lösenord innehålla användarnamnet)
* `DIFOK =3` (Antalet tecken i det nya lösenordet som måste skilja sig från det gamla lösenordet)
* `MaxRePeat =3 '(det maximala antalet upprepade tecken tillåtna)
* `Gecoscheck =1 '(förhindra att lösenord härrör från GECOS -fältet (användarens information)
3. Lösenordsutgång (Chage Command):
* Linux -system använder vanligtvis kommandot "Chage" för att hantera lösenordsåldring.
* `Chage -l `:Visar lösenordsåldringsinformation för en användare.
* `Chage -M `:Ställer in det maximala antalet dagar ett lösenord är giltigt för.
* `Chage -M `:Ställer in det minsta antalet dagar som en användare måste hålla ett lösenord innan de kan ändra det.
* `Chage -w `:Ställer in antalet dagar före lösenordsutgång som användaren får en varning.
* `Chage -D 0 `:tvingar användaren att ändra sitt lösenord vid nästa inloggning. (Återställer det sista ändrade datumet till 1970-01-01).
* För att ställa in en standardlösningspolicy för * alla * nya användare kan du ändra `/etc/login.defs`. Leta efter följande rader och justera därefter:
`` `
PASS_MAX_DAYS 90 # Maximalt antal dagar ett lösenord kan användas.
PASS_MIN_DAYS 0 # Minsta antal tillåtna dagar mellan lösenordsändringar.
PASS_WARN_AGE 7 # Antal dagar Varning som ges innan ett lösenord löper ut.
`` `
4. testning:
* Skapa en testanvändare och försök att ställa in ett lösenord som bryter mot policyn.
* Logga in med testanvändaren och verifiera varningar för lösenordsuppgång.
Viktiga överväganden för Linux -lösenordspolicy:
* Distributionsspecifikt: Den exakta platsen för konfigurationsfiler och tillgängliga alternativ kan variera beroende på Linux -distributionen. Se din distributions dokumentation.
* Root Privileges: Du behöver root -privilegier (med "sudo" eller logga in som root) för att ändra dessa konfigurationsfiler.
* Pam: Att förstå PAM är nyckeln till att konfigurera autentisering och lösenordspolicy på Linux.
* `Chage" -kommandot: Bli bekant med kommandot "Chage" för att hantera enskilda åldrande av användarlösenord.
Allmänna bästa metoder (tillämpas på både Windows och Linux):
* Starka lösenord: Kärnan i alla lösenordspolicy upprätthåller starka lösenord. Det här betyder:
* Tillräcklig längd (minst 12 tecken, helst längre)
* Komplexitet (blandning av versaler, små bokstäver, siffror och symboler)
* Unikhet (tillåt inte återanvändning av tidigare lösenord)
* Undvikande av personlig information (inga ordbokord, namn, födelsedagar etc.)
* Multi-Factor Authentication (MFA): Implementera multifaktorautentisering (MFA) när det är möjligt. Detta lägger till ett extra lager av säkerhet utöver lösenord, vilket gör det mycket svårare för angripare att få tillgång till konton, även om de har stulit lösenordet.
* Lösenordschefer: Uppmuntra användningen av lösenordschefer. Lösenordschefer kan generera och lagra starka, unika lösenord för varje webbplats och applikation, vilket gör det enklare för användare att följa bra lösenordshygien.
* Regelbundna revisioner: Granska regelbundet dina lösenordspolicyer och konfigurationer för att säkerställa att de är effektiva och uppdaterade. Kontrollera loggar för misstänkt aktivitet.
* princip för minst privilegium: Ge endast användare de minsta nödvändiga privilegierna. Detta begränsar effekterna av ett komprometterat konto.
* Zero Trust: Anta en säkerhetsmodell för Zero Trust. Antag att alla användare och enheter potentiellt är komprometterade och kräver strikt autentisering och tillstånd innan du ger tillgång till resurser.
Genom att följa dessa steg och bästa metoder kan du skapa och upprätthålla en stark lösenordsutgångspolicy som hjälper till att skydda dina system och data från obehörig åtkomst. Kom ihåg att anpassa policyn till din specifika miljö och säkerhetsbehov. Lycka till!
