活动目录(ActiveDirectory)是WindowsStandardServer、WindowsEnterpriseServer、WindowsDatacenterServer的目录服务。ActiveDirectory服务是WindowsServer2000操作系统平台的核心组件之一。但是ActiveDirectory密码薄弱是ActiveDirectory最长的漏洞之一。ActiveDirectory密码策略的众多功能之一是最长密码使用期限。传统的ActiveDirectory环境长期以来一直使用密码时效来增强密码安全性。默认ActiveDirectory密码策略中的本机密码有效期在配置设置中相对有限。让我们首先了解一些关于密码过期的最佳实践。使用默认的ActiveDirectory密码策略,用户对密码过期有什么控制?组织可以使用更好的工具来控制ActiveDirectory用户帐户密码的最长密码期限是多少?更改了哪些密码过期最佳做法?ActiveDirectory用户帐户的密码过期长期以来一直是安全领域的一个有争议的话题,尽管许多组织仍然采用更传统的密码时效规则,但信誉良好的安全组织已经提供了更新的密码时效指南。微软表示,他们将从Windows10v1903和WindowsServerv1903的安全基线中移除密码过期策略。美国国家标准与技术研究院(NIST)长期以来一直提供网络安全框架和安全最佳实践建议。正如在SP800-63B的《数字身份指南:身份验证和生命周期管理》部分5.1.1.2中更新的那样,请注意以下指导:验证者不应要求对存储的秘密进行任意更改,例如存储期限。但是,如果有证据表明验证器已被破坏,验证器将强制更改。NIST在其关于数字身份指南的常见问题解答页面上解释了指南中的更改内容。指南指出:当用户知道他们将不得不在不久的将来更改密码时,他们倾向于选择较难记住的密码。当发生这些更改时,他们通常会通过应用一组常见的转换(例如在密码中添加一个数字)来选择与记忆中的旧密码相似的密码。如果任何以前的密码被泄露,这种做法会给人一种错误的安全感,因为攻击者可以应用这些相同的通用转换。但是,如果有证据表明存储的密码已被泄露,例如验证者的散列密码数据库被泄露或观察到欺诈活动,则应要求订户更改其存储的密码。然而,这种基于事件的更改应该很少发生,这样他们就没有动力选择一个弱密码,因为知道它只会在有限的时间内使用。在上述组织和许多其他组织的反馈中,安全专家承认密码过期,至少就其本身而言,不一定是防止密码在环境中泄露的好策略。此外,最近对密码时效指南的更改也适用于传统的MicrosoftActiveDirectory密码策略。ActiveDirectory密码策略密码过期默认ActiveDirectory密码策略密码更改策略的功能有限,用户可以配置最长密码期限,仅此而已。默认情况下,ActiveDirectory包括以下密码策略设置:强制密码记录;最长密码使用期限;最低密码年龄;最小密码长度;最小密码长度审计;密码必须满足复杂性要求;使用可逆加密存储密码;双击设置密码最长使用期限时,可以配置一个用户最多可以使用同一个密码的天数。查看密码使用期限的描述时,用户将在组策略设置中看到以下内容:此安全设置确定在要求用户更改密码之前可以使用密码的时间段(以天为单位),并且用户可以将密码设置为1到999之间的天数后过期,或者用户可以通过将天数设置为0来指定密码永不过期。如果密码最长使用期限在1到999天之间,则密码最短使用期限必须小于密码最长使用期限;如果密码最长使用期限设置为0,则密码最短使用期限可以是0到998天之间的任何值。此安全设置确定在系统要求用户更改密码之前可以使用密码的时间段(以天为单位),用户可以将密码设置为在1到999之间的天数后过期,或者用户可以通过将天数设置为0来指定它,密码永不过期。如果密码最长使用期限在1到999天之间,则密码最短使用期限必须小于密码最长使用期限;如果密码最长使用期限设置为0,则密码最短使用期限可以是0到998天之间的任何值。使用ActiveDirectory密码策略定义最长密码期限。使用默认策略设置,用户实际上可以打开或关闭策略,然后设置用户密码到期前的天数。如果用户有其他选项来控制密码最长使用期限并根据密码复杂性设置不同的值会怎么样?基于Specops长度的密码策略如前所述,网络安全最佳实践权威机构最近提出的许多指导建议都反对它。强制更改密码,详细说明更改原因。但是,许多组织可能仍将过期密码作为其整体密码安全策略的一部分,以防止用户密码落入攻击者之手。如果IT管理员拥有ActiveDirectory提供的功能之外的其他功能会怎样?与默认的ActiveDirectory密码策略设置相比,Specops密码策略提供了许多额外的功能,包括密码过期,在Specops密码策略中包括一个称为基于长度的密码过期的选项。SpecopsPasswordReset是一种屡获殊荣的自助服务密码重置解决方案,允许用户重置或解锁他们自己的ActiveDirectory帐户安全性,而帮助台电话和电子邮件的数量明显减少。Specops使用一次性电话验证码或问答重置密码。使用此设置,组织可以根据用户密码的长度定义不同的密码过期“级别”。与使用默认的ActiveDirectory密码策略配置设置相比,它允许组织以更大的权限在ActiveDirectory环境中配置密码过期时间。它还允许定位环境中最弱的密码并强制它们尽快过期,用户会在屏幕截图中注意到,Specops密码策略中基于长度的密码过期时间限制是可配置的。它包括以下设置:Numberofexpirationlevels:输入将有多少个过期级别,过期级别决定了用户在过期前需要更改密码的天数,具体取决于用户密码的时间段。要增加级别数,请将滑块向右移动。可以存在的最大到期级别数为5。CHARACTERSPERLEVEL:每个级别的附加字符数,定义密码过期的额外天数;EXTRADAYSPERLEVEL:每个级别还有多少天到期;disableexpirationforlastlevel-satisfylist最后一个过期级别要求的密码不会过期。在Specops密码策略中配置基于长度的密码策略Specops可以很容易地在最终用户的密码即将到期时通知他们。它将在登录时或通过发送电子邮件通知通知最终用户。用户可以为这些设置中的每一个设置到期日期之前的值。在Specops密码策略中配置密码过期通知组织在Specops密码策略配置的密码规则区域定义最小和最大密码长度配置。如果更改最小和最大密码长度配置,则基于长度的密码到期的每个级别中的密码长度值也会更改。配置最小和最大密码长度基于长度的密码过期与密码保护漏洞等其他Specops密码策略功能相结合,可以增强本地和远程员工的公司密码策略。总结在大多数企业环境中,密码过期长期以来一直是ActiveDirectory密码策略的一项功能。但是,随着攻击者破解密码的能力越来越强,新的安全最佳实践指南不再建议组织使用标准密码过期时间。Specops密码策略提供了一个引人注目的密码过期功能,与默认的ActiveDirectory密码策略相比,允许延长密码过期时间。通过添加过期级别,Specops密码策略可以通过使这些密码快速过期来有效地针对环境中的弱密码,从而允许最终用户在更长的时间内使用强密码。组织甚至可以决定不让特定密码满足定义的密码长度。到期,使用Specops密码策略功能,包括基于长度的密码到期,有助于确保您的环境中更强大的密码安全功能。更多内容,请点击这里。本文翻译自:https://thehackernews.com/2020/12/how-to-use-password-length-to-set-best.html
