web-dev-qa-db-ja.com

Windowsドメインのパスワードポリシーに関するアドバイス

パスワードポリシーが必要なWindowsドメインがあります。現在、1つはありません。弱いパスワードと、パスワードを書き留めるほど強いパスワードを持っているユーザーとのバランスが取れているというフィードバックはありますか?

有効期限が切れるパスワードを持っている人はいないので、ユーザーアカウントから「Passwordneverexpires」プロパティを削除することでユーザーを段階的に導入できると思いました。そうすれば、私(およびヘルプデスク)は質問やパスワードのリセットでそれほど非難されることはありません。フィードバックはありますか?

windows-server-2003securityactive-directorygroup-policypassword
3
Dave

米国国立標準技術研究所(NIST)には、いくつかの コンピュータセキュリティのトピックに関する優れた出版物 があります。それらは素晴らしいリソースです...あなたが探している出版物はNISTSpecial Publication800-53です。 (私を信じてください、それは思ったほど悪くはありません)

IMOのパスワードポリシーは次のようになります。

  • 8文字
  • 次の3つ:大文字、小文字、数字、特殊文字
  • 最後の12個のパスワードの再利用はありません
  • 30〜90日のパスワードの有効期限
4
duffbeer703

ポリシーの制限が厳しくなるほど、アカウントのロックを解除したり、パスワードをリセットしたりする必要のあるユーザーからの呼び出しが増えることに注意してください。ポリシーの制限が少ないほど、組織がさらされるリスクが高くなります。

デフォルトでは、ドメインパスワードポリシーがどのように複雑であるかを定義することはできません(少なくとも2003年まで)。ルールを変更する方法と手段はありますが、私の理解では、それは非常に複雑であり、心の弱い人のためではありません。つまり、ユーザーのパスワードを大文字3つ、特殊2つ、数字2つなどにすることはできません。

有効パスワードは複雑さの要件を満たす必要がありますデフォルトドメイングループポリシーで設定すると、次のように設定されます。

パスワードは複雑さの要件を満たす必要があります。

このセキュリティ設定は、パスワードが複雑さの要件を満たす必要があるかどうかを決定します。このポリシーが有効になっている場合、パスワードは次の最小要件を満たしている必要があります。

  • ユーザーのアカウント名または2文字を超えるユーザーのフルネームの一部を含まない長さが6文字以上であること

  • 次の4つのカテゴリのうち3つからの文字が含まれています。

  • 英語の大文字(AからZ)

  • 英語の小文字(a>からz)

  • 基数10桁(0から> 9)

  • アルファベット以外の文字(たとえば、!、$、#、%)

パスワードが変更または作成されると、複雑さの要件が適用されます。

ただし、canで設定できるのは次のとおりです。

  • パスワードの最小長
  • パスワードの最低使用期間
  • パスワードの最大有効期間
  • パスワード履歴
  • アカウントロックアウトのしきい値(無効なログイン試行)
  • アカウントのロックアウト期間

すべてのドメインで、複雑さ、最小8文字、最小年齢14日、最大年齢90日、パスワード履歴14、無効なログイン試行5回、ロックアウト期間30分を使用しています。

2
Izzy

duffbeer703のリンクは良好です。特定のパスワード制限と最小要件には、いくつかの技術的な理由があります。完全に均質な環境にいない場合は、特にこれらの制限を調査する必要があります。

とにかく、8文字、4文字のグループルールのうちの3つはかなり標準的です。私が個人的に行っているのは、パスワードの代わりにパスフレーズを作成するようにユーザーをトレーニングすることです。これにより、パスワードの作成がはるかに簡単になり、これらすべての文字要件での作業方法を理解するのにそれほど多くの時間を費やすことはありません。 「晴れです。イッピー!」のようなパスワード。思い付いて覚えるのは簡単です。

このアプローチには問題がありますが、パスフレーズを書くときに適切な英語の文法を使用すると、可能な組み合わせの総数がいくらか制限されます。つまり、常に大文字で始まりピリオドで終わるパスワードは、大文字とピリオドが含まれているからといって強力ではなく、事前に推測できるため弱くなります。

四半期ごとにパスワードを変更するだけでよいことを除けば、他の標準的なWindowsドメインルールであるIMOは問題ありません。個人的には、パスワードの有効期限の概念で売られていません。アカウントが侵害された場合、30日でさえ永遠です。とにかく、パスワードを変更しなければならないとき、人々は本当にイライラします。

セキュリティの専門家でさえ、パスワードに関連することについて良い中間点に同意することはできないので、特に高度なセキュリティ状況にない限り、極端なアドバイスのほとんどはばかげていると私は言います。私が最も重要だと思うこと、そしてユーザーに実際にサインオフしてもらうことは、次のようなステートメントです。「パスワードを誰とも共有しないでください。彼らが誰であるかは気にしませんORなぜ彼らが休暇中はコンピュータに乗る必要があります。パスワードのセキュリティISあなたの責任です。」私が見たものからのアカウントの唯一の最大の悪用は、パスワードを共有している人々から来ています。他のすべての133tハッカーのものは、通常の古いビジネスではほとんど問題になりません。

2
Boden

さて、あなたはあなたのユーザーを最もよく知っているので、パスワードを期限切れにすることが進むべき道だと思うなら、それを選んでください。それは他の選択肢と同じくらい良い選択肢です。

パスワードポリシーに関しては、完全なセキュリティ(つまり、13文字の長さ、4つの大文字、2つの記号、3つの数字、残りは小文字)と完全な利便性(つまり、ポリシーがまったくない...自動ログイン)の間のトレードオフです。基本的に、セキュリティに行き過ぎた場合、パスワードがキーボードの下部またはモニターの横のポストにテープで貼られている人を見つけます。利便性に行き過ぎた場合、セキュリティが低下し、パスワードを簡単に推測できます。

私たちの組織では、少なくとも7文字のパスワードと、少なくとも1つの数字、1つの大文字、1つの小文字が必要です(記号はどの要件にも使用できます)。これはユーザーにとってはうまく機能しているようで、ユーザーからの反発はありません。頑張ってください、これが役立つことを願っています。

1
RascalKing

Nistの公開は問題ありません。ドメインのパスワードポリシーは、パスワードを共有しないようにユーザーを教育するほど重要ではありません。有効期限が切れていないパスワードは、キーボードにテープで貼り付けられておらず、共有されていない限り、本質的に問題はありません。基本的に、設定するパラメータはすべて問題ありません。考慮すべき2つの最大の事項は次のとおりです。

アカウントロックアウトのしきい値(無効なログイン試行)アカウントロックアウト期間

これが制限するのは、あなたのセキュリティを総当たり攻撃する人々の能力です。私は通常、5のしきい値と2時間の期間をお勧めしますが、それは確かに状況によって異なります。ボーデンが指摘したように、セキュリティの専門家でさえ、安全なパスワードポリシーが何であるかについて合意することはできません。実際、パスワードポリシーについて心配する前に、 サーバーとドメインの分離 を実装します。その時点で私はあなたに私のパスワードを与えます-あなたはまだ私のリソースにアクセスしていません。

1
Jim B

フィールドからのいくつかのガイドライン:)

複雑でなくても、パスワードを長くする方がよいユーザーを教育します。 (実証済みの調査によると、複雑度の高い小さなパスワードは、長く単純なパスワードよりも早く解読されます)

パスワードの有効期限を28、42、91のように7の倍数として保持します。これにより、有効期限後の定期的なパスワードのリセットが平日で均等に分散されます。これは、何千ものアカウントがある場合に重要です。例えば月曜日にパスワードをリセットした場合、次のパスワードの有効期限は月曜日のみになります。

賢明なアカウントロックアウトポリシーを維持します。適度なものから始めて、関連するヘルプデスクの呼び出しを監視し、必要に応じてロックアウトポリシーを微調整します。例えば呼び出しが多すぎると、ロックアウトポリシーが少し緩和されます。

可能であれば、パスワードセルフサービス製品を購入して、ユーザーが自分でパスワードをリセットしたり、アカウントのロックを解除したりできるようにします。 (ヘルプデスクへの問い合わせの約30%から40%がここに関連しています)

最後に、パスワードクラッキングツールを使用して、人々が設定したパスワードの強度を定期的にチェックし、非常に単純なパスワードで人々に警告して、より適切なものを選択するようにします。ハッカーがネットワークに侵入するには、アカウントが1つだけ必要であることを忘れないでください。

1
KAPes

パスワードで覚えておくべき重要なことの1つは、期限切れになることはありません。パスワードポリシーを有効にすると、最後の変更に基づいてパスワードの有効期限が切れた場合、そのフラグをオフに切り替えるとすぐに、パスワードの有効期限が切れます。したがって、この事実をユーザーに警告する必要があります。

Windows Server 2003に対するMicrosoftの高度なセキュリティ推奨事項は、以前は次のとおりでした。

  • 15分間に10回の失敗試行
  • 15分のロック解除
  • 8文字以上のパスワード
  • 複雑さがオンになっている
  • 10個のパスワードが記憶されています(これはあいまいです...これは正しくない可能性があります)
  • 30日の有効期限(繰り返しますが、これはあいまいです)

しかし、これは私が関わった監査人とはうまく合いませんでした。私が見た中で最も寛大なのは、24時間のロック解除と、60日の有効期限を持つ24時間で10回以下の失敗を望んでいたことです。私が見た中で最も寛大でないのは、自動ロック解除がなく、24時間で3回以下の障害が発生し、有効期限が30日であるということです。すべてが8の最小文字長で一貫しており、24個のパスワードがすべて記憶された状態で複雑さがオンになっています。

1
K. Brian Kelley

うん、私は同意します adam-brand そしてそれが実際に機能することを発見しました、あなたのユーザーに宣伝する何かはこのXKCDコミックであるかもしれません:

http://xkcd.com/936/

0
lluke

パスワードの代わりにパスフレーズを実装できます。つまり、「なぜパスワードはそれほど複雑なのですか?」のようなものです。パスワードである可能性があります。

0
Adam Brand