Wie konfigurieren Sie eine Domain -Kennwort -Ablaufrichtlinie?

Mitglieder-Login

InformationenPasswörter

Sie haben das Passwort Ihrer E -Mai… Okay, das ist eine schwierige Situation, aber nicht unbedingt hoffnungslos. Hier finden Sie eine Auf
Was ist das Ablauf des Passworts? Die Ablauf des Kennworts ist eine Sicherheitsrichtlinie, die die Benutzer nach einem bestimmten Zeit
Wie zu finden und anzeigen ein Pass… Keychain Access ist Mac OS -Passwort -Management-Dienstprogramm , die Spur hält der und speichert al
Eine Identifizierungs- und Authenti… Eine Identifizierungs- und Authentifizierungssteuerung ist ein Sicherheitsmechanismus, der die behau

Fehlerbehebung

HOME

* Computer Wissen >> Fehlerbehebung >> Passwörter >> .

Wie konfigurieren Sie eine Domain -Kennwort -Ablaufrichtlinie?

Das Konfigurieren einer Domain -Kennwort -Ablaufrichtlinie hängt von Ihrem Betriebssystem und Ihrer Umgebung ab. Hier erfahren Sie, wie Sie es in Windows Server Active Directory machen, was das häufigste Szenario ist, und ein allgemeiner Überblick über Linux.

Windows Server Active Directory

Mit den Gruppenrichtlinien verwalten Sie die Verfallsrichtlinien für die Verfallskennzeichnungen in Active Directory. Hier ist eine Schritt-für-Schritt-Anleitung:

1. Open Group Policy Management:

* Gehen Sie zu Start Geben Sie `gpmc.msc` ein und drücken Sie Eingabetaste . Dies öffnet die Gruppenpolitikverwaltungskonsole (GPMC).

* Alternativ können Sie es unter Verwaltungswerkzeugen finden .

2. Navigieren Sie zur Domäne oder OU:

* Erweitern Sie im GPMC Ihren Wald Erweitern Sie dann Ihre Domains .

* Klicken Sie mit der rechten Maustaste auf beide:

* Ihre Domain: Dies wendet die Richtlinie an * alle * Benutzer in der Domain an. Dies ist im Allgemeinen * nicht * für die körnige Kontrolle empfohlen.

* Organisationseinheit (OU): Auf diese Weise können Sie verschiedene Richtlinien auf verschiedene Benutzergruppen anwenden. Dies ist die beste Praxis für die Verwaltung verschiedener Kennwortrichtlinien.

* Wählen Sie "Erstellen Sie einen GPO in dieser Domäne und verlinken Sie es hier ..." (oder "Verknüpfen Sie einen vorhandenen GPO ..." Wenn Sie bereits einen geeigneten GPO haben). Geben Sie dem neuen GPO einen deskriptiven Namens (z. B. "Kennwortablaufrichtlinie - Standardbenutzer").

3. Bearbeiten des Gruppenrichtlinienobjekts (GPO):

* Klicken Sie mit der rechten Maustaste auf den neu erstellten (oder verlinkten) GPO im GPMC und wählen Sie "Bearbeiten" . Dies eröffnet den Redakteur für Gruppenpolitikverwaltung.

4. Navigieren Sie zu den Kennworteinstellungen:

* Navigieren Sie im Herausgeber des Gruppenpolitikmanagements zu:

* Computerkonfiguration (Hier werden die Passwortrichtlinien konfiguriert)

* Richtlinien

* Windows -Einstellungen

* Sicherheitseinstellungen

* Kontorichtlinien

* Passwortrichtlinie

5. Konfigurieren Sie die Kennwortrichtlinieneinstellungen:

* Sie sehen mehrere Einstellungen, die Sie konfigurieren können:

* "Passworthistorie durchsetzen": Dies verhindert, dass Benutzer alte Passwörter wiederverwenden. Legen Sie einen Wert wie "24 Kennwörter in Erinnerung" fest, um zu verhindern, dass Benutzer einfach nur geringfügige Variationen desselben Passworts durchlaufen.

* "Maximales Passwort Alter": Dies ist die Einstellung, nach der Sie suchen. Dies definiert, wie lange ein Passwort gültig ist, bevor der Benutzer gezwungen ist, es zu ändern. Stellen Sie dies auf einen angemessenen Wert ein, z. B. "90 Tage" oder "120 Tage". *Wichtig:Best Practices und regulatorische Anforderungen für Forschung, bevor dies festgelegt wird. Kurzkennwortlebensdauer können manchmal zu schwächeren Passwörtern führen, da Benutzer leicht erratene Optionen wählen.*

* "Minimales Passwort Alter": Dies hindert Benutzer daran, ihr Passwort zu häufig zu ändern (z. B. unmittelbar nach der gezwungenen Änderung aufgrund des Ablaufs). Ein gemeinsamer Wert ist "1 Tag". Dies verhindert, dass Benutzer den Passwortverlauf umgehen, indem sie ihr Passwort sofort mehrmals ändern.

* "Mindestkennwortlänge": Das ist *kritisch *. Erzwingen Sie eine starke Mindestkennwortlänge. *Verwenden Sie mindestens*12 Zeichen. 14-16 ist vorzuziehen. Längere Passwörter sind exponentiell schwerer zu knacken.

* "Passwort muss die Komplexitätsanforderungen erfüllen": Aktivieren Sie dies. Für diese Einstellung müssen Kennwörter eine Mischung aus Großbuchstaben, Kleinbuchstaben, Zahlen und Symbolen enthalten. Dies ist sehr wichtig für die Sicherheit.

* "Kennwörter mithilfe einer reversiblen Verschlüsselung für alle Benutzer in der Domäne speichern": Aktivieren Sie dies nicht. Diese Einstellung gilt für sehr spezifische Abwärtskompatibilitätsszenarien (normalerweise sehr alte Anwendungen). Es schwächt die Sicherheit erheblich, indem es Passwörter auf eine Weise speichert, die relativ einfach zu entschlüsseln ist.

6. Wenden Sie die Richtlinie an (wenn nicht bereits mit einer OU verknüpft):

* Stellen Sie sicher, dass der GPO mit der Domain oder dem Sie verknüpft ist, auf den Sie sie anwenden möchten (Schritt 2).

* Gruppenrichtlinien-Aktualisierungen regelmäßig (normalerweise alle 90 Minuten mit einem 30-minütigen Offset), aber Sie können ein Update auf einem Client-Computer oder dem Server mit dem Befehl erzwingen:`gpupdate /force`

7. Test:

* Testen Sie nach Anwendung der Richtlinien, um sicherzustellen, dass sie wie erwartet funktioniert. Melden Sie sich mit einem Testbenutzer in der OU an und versuchen Sie, das Kennwort zu ändern. Überprüfen Sie die Ereignisprotokolle auf Fehler. Warten Sie, bis der Ablaufzeitraum verstrebt ist und feststellt, ob der Benutzer aufgefordert wird, sein Passwort zu ändern.

Wichtige Überlegungen für Active Directory -Passwort -Richtlinien:

* feinkörnige Passwortrichtlinien (FGPP): Wenn Sie unterschiedliche Kennwortrichtlinien für verschiedene Benutzer oder Gruppen *innerhalb desselben OU *benötigen, müssen Sie feinkörnige Kennwortrichtlinien (FGPP) verwenden. FGPP bietet viel mehr körniger Kontrolle. FGPPs werden mithilfe von Active Directory Administrative Center oder PowerShell konfiguriert. Sie sind komplexer zu konfigurieren als ein Standard -GPO. FGPPs können Vorrang gegenüber den Standarddomänenrichtlinien haben, sodass Sie die Vorrangreihenfolge verstehen müssen.

* Passwortkomplexität: Eine starke Passwortkomplexität ist von entscheidender Bedeutung. Unterschätzen Sie nicht, wie wichtig es ist, eine Mischung von Charaktertypen zu erfordern.

* Benutzerausbildung: Informieren Sie Ihre Benutzer über die Bedeutung starker Passwörter und die Kennwortrichtlinie. Erklären Sie, warum sie ihre Passwörter ändern und Tipps zur Erstellung starker, unvergesslicher Passwörter geben müssen.

* Regelmäßige Bewertung: Überprüfen Sie Ihre Passwort -Richtlinie regelmäßig und passen Sie sie nach Bedarf anhand der Best Practices und der Bedürfnisse Ihres Unternehmens an.

* Kontosperrungspolitik: Konfigurieren Sie eine Kontosperrrichtlinie (auch unter Kontorichtlinien gefunden), um Benutzerkonten nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche zu sperren. Dies hilft, kennwellige Passwortangriffe zu verhindern. Betrachten Sie eine angemessene Sperrdauer (z. B. 30 Minuten).

* Prüfprotokollierung: Aktivieren Sie die Prüfung für Kontoverwaltungsveranstaltungen. Auf diese Weise können Sie Passwortänderungen und andere Konto-bezogene Aktivitäten verfolgen.

Linux (allgemeine Übersicht)

Bei Linux -Systemen werden Kennwortrichtlinien in der Regel mit `pam_pwquality.so` (Teil der Steckerauthentifizierungsmodule oder PAM) verwaltet. Die Konfiguration erfolgt über `/etc/pam.d/` und `/etc/security/pwquality.conf`. Die Einzelheiten hängen von der Verteilung ab (z. B. Debian/Ubuntu, Red Hat/CentOS).

1. bearbeiten `/etc/pam.d/Common-password` (Debian/Ubuntu):

* Öffnen Sie diese Datei mit einem Texteditor (als Stamm).

* Finden Sie die Zeile, die `pam_unix.so` enthält. Es wird ungefähr aussehen wie:

`` `

Passwort erforderlich pam_unix.so ...

`` `

* Fügen Sie `pam_pwquality.so` * vor *` pam_unix.so` hinzu. Die Reihenfolge ist wichtig. Zum Beispiel:

`` `

Passwort erfordert

Passwort erforderlich pam_unix.so ...

`` `

2. Bearbeiten `/etc/security/pwquality.conf`:

* Öffnen Sie diese Datei mit einem Texteditor (als Stamm).

* Diese Datei definiert die Kennwortrichtlinienregeln. Gemeinsame Einstellungen umfassen:

* `minlen =12` (Mindestkennwortlänge)

* `minclass =3` (minimale Anzahl von Zeichenklassen - Großbuchstaben, Kleinbuchstaben, Ziffern, Symbole)

* `dcredit =-1` (Maximale Gutschrift für Ziffern)

* `ucredit =-1` (Maximale Gutschrift für Großbuchstaben)

* `lcredit =-1` (Maximale Gutschrift für Kleinbuchstaben)

* `ocredit =-1` (Maximale Gutschrift für andere Zeichen, d. H. Symbole)

* `reject_username =true` (erlauben Sie keine Kennwörter, den Benutzernamen zu enthalten)

* `difok =3` (Die Anzahl der Zeichen im neuen Passwort, das sich vom alten Passwort unterscheiden muss)

* `maxrepeat =3` (die maximale Anzahl wiederholter Zeichen zulässig)

* `GecoScheck =1` (verhindern, dass Passwörter aus dem Feld GECOS abgeleitet werden (Benutzerinformationen)

3. Passwortablauf (Chage -Befehl):

* Linux -Systeme verwenden normalerweise den Befehl "chage", um das Kennwortalterung zu verwalten.

* `Chage -l `:Zeigt die Kennwort -Alterungsinformationen für einen Benutzer an.

* `Chage -m `:Legt die maximale Anzahl von Tagen fest, für die ein Passwort gültig ist.

* `Chage -m `:Legt die mindestens Anzahl von Tagen fest, die ein Benutzer ein Kennwort aufbewahren muss, bevor er es ändern kann.

* `Chage -W `:Legt die Anzahl der Tage vor dem Ablauf des Passworts fest, dass der Benutzer eine Warnung erhält.

* `Chage -d 0 `:zwingt den Benutzer, sein Passwort bei der nächsten Anmeldung zu ändern. (Setzt das zuletzt geänderte Datum auf 1970-01-01 zurück).

* Um eine Standard -Kennwort -Ablaufrichtlinie für * alle * neue Benutzer festzulegen, können Sie `/etc/login.defs` ändern. Suchen Sie nach den folgenden Zeilen und passen Sie entsprechend an:

`` `

PASS_MAX_DAYS 90 # Maximale Anzahl von Tagen Ein Kennwort kann verwendet werden.

PASS_MIN_DAYS 0 # Mindestanzahl von Tagen zulässigen Tagen zwischen den Kennwortänderungen.

PASS_WARN_AGE 7 # Anzahl der Tage, die vor Ablauf eines Passworts angegeben sind.

`` `

4. Tests:

* Erstellen Sie einen Testbenutzer und versuchen Sie, ein Passwort festzulegen, das gegen die Richtlinien verstößt.

* Melden Sie sich mit dem Testbenutzer an und überprüfen Sie die Warnungen für die Ablaufkennwort.

Wichtige Überlegungen für Linux -Kennwortrichtlinien:

* verteilungsspezifisch: Der genaue Speicherort der Konfigurationsdateien und die verfügbaren Optionen können je nach Linux -Verteilung variieren. Wenden Sie sich an die Dokumentation Ihrer Verteilung.

* Root -Privilegien: Sie benötigen Root -Berechtigungen (mit `sudo` oder protokollieren als root), um diese Konfigurationsdateien zu ändern.

* Pam: Das Verständnis von PAM ist der Schlüssel zur Konfiguration der Authentifizierung und Kennwortrichtlinien unter Linux.

* `chage` Befehl: Machen Sie sich mit dem Befehl "chage" vertraut, um das alternde Benutzerkennwort zu verwalten.

Allgemeine Best Practices (anwendbar für Windows und Linux):

* Starke Passwörter: Der Kern einer Passwortrichtlinie besteht darin, starke Passwörter durchzusetzen. Das heisst:

* Ausreichende Länge (mindestens 12 Zeichen, vorzugsweise länger)

* Komplexität (Mischung aus Großbuchstaben, Kleinbuchstaben, Zahlen und Symbolen)

* Einzigartigkeit (erlauben Sie keine Wiederverwendung früherer Passwörter)

* Vermeidung persönlicher Informationen (keine Wörterbuchwörter, Namen, Geburtstage usw.)

* Multi-Faktor-Authentifizierung (MFA): Implementieren Sie nach Möglichkeit Multi-Factor-Authentifizierung (MFA). Dies fügt eine zusätzliche Sicherheitsebene über die Passwörter hinaus und macht es den Angreifern viel schwieriger, Zugriff auf Konten zu erhalten, auch wenn sie das Passwort gestohlen haben.

* Passwortmanager: Ermutigen Sie die Verwendung von Passwortmanagern. Kennwortmanager können für jede Website und Anwendung starke, eindeutige Passwörter generieren und speichern, sodass Benutzer eine gute Passworthygiene einfacher befolgen können.

* reguläre Audits: Überprüfen Sie regelmäßig Ihre Kennwortrichtlinien und -konfigurationen, um sicherzustellen, dass sie effektiv und aktuell sind. Überprüfen Sie die Protokolle auf verdächtige Aktivitäten.

* Prinzip des geringsten Privilegs: Gewähren Sie den Benutzern nur die erforderlichen Berechtigungen. Dies begrenzt die Auswirkungen eines kompromittierten Kontos.

* Zero Trust: Einen Sicherheitsmodell von Zero Trust. Angenommen, alle Benutzer und Geräte sind möglicherweise beeinträchtigt und erfordern eine strenge Authentifizierung und Autorisierung, bevor er Zugriff auf Ressourcen gewährt.

Wenn Sie diese Schritte und Best Practices befolgen, können Sie eine starke Richtlinie für das Ablauf von Kennworts erstellen und beibehalten, um Ihre Systeme und Daten vor nicht autorisierten Zugriff zu schützen. Denken Sie daran, die Richtlinie an Ihre spezifischen Umgebung und Sicherheitsanforderungen anzupassen. Viel Glück!