Článek přečtěte do 8 min.

Jedním z nejčastějších způsobů, jak se útočníci proklouznout do podnikové sítě, je kompromitace uživatelského jména a hesla legitimního uživatelského účtu. Uhodnutí uživatelských jmen je obvykle triviální, protože se řídí zavedeným standardem v dané organizaci, jako je JménoPříjmení@VaseDomena.cz.

Bohužel, prolomit základní hesla je dnes pro aktéry hrozeb také překvapivě snadné. Mohou například spustit program, který zkouší různá potenciální hesla pro konkrétní uživatelský účet. Když narazí na ten správný, mohou vklouznout do sítě a začít se pohybovat do strany, aby ukradli citlivá data, rozpoutali ransomware nebo způsobili jiné škody.

V souladu s tím je nezbytné vytvořit politiku silných hesel, která znesnadňuje uhodnutí hesel. Pokud vaše organizace používá jako primární úložiště identit službu Active Directory (AD), může vám pomoci tento článek. Vysvětluje dostupná nastavení zásad hesla domény v AD, ukazuje, jak zkontrolovat aktuální zásady, a podrobně popisuje doporučené postupy moderních zásad hesel, které je třeba dodržovat. Poté zkoumá, jak vám řešení třetích stran mohou pomoci využít výhod zásad silných hesel, aniž by frustrovali uživatele nebo zvyšovali objem hovorů na helpdesku.

Výhody zásad silných hesel

Zásady hesel stanovují standardy pro složení hesel, jako je minimální délka hesla a požadavky na složitost. Mohou také zabránit opětovnému použití předchozích hesel, řídit, jak často se musí hesla měnit, a dokonce zajistit, že nadměrný počet neúspěšných pokusů o přihlášení povede k uzamčení účtu.

Požadavek na silné a konzistentní heslo pro všechny zásady uživatelských účtů může výrazně snížit riziko kompromitace účtu tím, že zmaří útoky na sprejování hesel, hrubou sílu a nacpaní pověření. Zásady silného hesla jsou navíc nezbytné pro splnění celé řady předpisů a průmyslových standardů, jako jsou HIPAA a GDPR.

Jak nakonfigurovat zásady hesel služby Active Directory

Jak nakonfigurovat zásady hesla

Chcete-li nakonfigurovat zásady hesla, otevřete konzolu pro správu zásad skupiny (GPMC) na serveru Windows a přejděte do části Konfigurace počítače > Nastavení systému Windows > Nastavení zabezpečení > Zásady účtů. Vyberte Zásady hesla a nakonfigurujte všechna nastavení zásad vpravo.

Jaká nastavení byste měli zvolit?

Přístupy ke správě hesel se v posledních letech výrazně vyvíjely, přičemž současné osvědčené postupy kladou menší důraz na časté změny hesel a více na sílu hesla. Výchozí nastavení od společnosti Microsoft by mělo být považováno za výchozí bod; pro silné zabezpečení a dodržování předpisů zvažte následující pokyny:

Nastavení Popis Výchozí Nejlepší postupy
Vynutit historii hesel Počet jedinečných hesel, která musí uživatel vytvořit, než znovu použije staré heslo 24 Vynutit historii hesel, aby uživatelé nemohli opakovaně používat stará hesla.
Maximální stáří hesla Jak dlouho může heslo existovat, než vyprší jeho platnost a uživatel si musí vybrat jiné 42 dní Zvažte nastavení vysokého maximálního stáří hesla a vynucení uživatelů, aby svá hesla změnili pouze v případě, že je to kvůli události, jako je porušení, obezřetné.
Minimální stáří hesla  Jak dlouho musí heslo existovat, než jej uživatel smí změnit 1 den Ponechte výchozí nastavení, abyste zabránili uživatelům obcházet nastavení „vynutit historii hesel“ prováděním několika resetů hesla za sebou, aby bylo možné znovu použít preferované heslo.
Minimální délka hesla Nejmenší počet znaků, které může mít heslo 7 Společnost Microsoft doporučuje nastavit alespoň 12 znaků, protože moderní nástroje pro prolamování hesel dokážou prolomit 8znakové řetězce během několika sekund.
Audit minimální délky hesla Umožňuje správcům auditovat změny hesel, které by porušily potenciální novou zásadu minimální délky hesla, než je skutečně vynutí. 1 Společnost Microsoft doporučuje ponechat zásady auditování povolené po dobu tří až šesti měsíců, aby bylo možné detekovat veškerý software, který nepodporuje navrhovanou minimální délku hesla.
Heslo musí splňovat požadavky na složitost Řídí, zda hesla musí splňovat následující dva požadavky: Heslo nesmí obsahovat hodnotu názvu účtu uživatele nebo zobrazované jméno. Heslo musí obsahovat znaky ze 3 z následujících kategorií: Velká písmena Malá písmena Základ 10 číslic Speciální znaky, jako je $ nebo % Povoleno Ponechte zapnuté nastavení složitosti hesla. Vyžadování hesel pro splnění požadavků na složitost může zpomalit automatizované útoky a snížit pravděpodobnost, že uživatelé budou znovu používat hesla pro více účtů.
Ukládejte hesla pomocí reverzibilního šifrování Podporuje aplikace, které vyžadují, aby uživatelé pro ověření zadali heslo Zakázáno Toto nastavení ponechte deaktivované, aby útočníci nemohli dešifrovat hesla, která se jim podaří ukrást.

Jak nakonfigurovat zásady uzamčení účtu

Své zásady hesla byste měli doplnit zásadami uzamčení účtu, abyste zajistili, že se protivníci nebudou neomezeně pokoušet uhodnout heslo účtu.

V GPMC v části Zásady účtu vyberte Zásady uzamčení účtu. Napravo se zobrazí dostupná nastavení. Zejména můžete určit, kolik neúspěšných pokusů o přihlášení spustí uzamčení a jak dlouho bude uzamčení trvat.

Trvání uzamčení účtu: Počet minut, po které bude účet uzamčen po dosažení maximálního počtu neúspěšných pokusů o přihlášení.

Práh uzamčení účtu: Počet neúspěšných pokusů o přihlášení, které spustí uzamčení účtu.

Povolit uzamčení účtu správce: Určuje, zda bude vestavěný účet správce podléhat zásadám uzamčení účtu.

Vynulovat počítadlo uzamčení účtu po: Určuje počet minut, které musí uplynout po neúspěšném pokusu o přihlášení, než bude počítadlo neúspěšných pokusů o přihlášení nastaveno zpět na nulu.

Jak upravit zásady hesla

V určitém okamžiku možná budete muset aktualizovat zásady hesel nebo zásady uzamčení účtu. Můžete například chtít jiné nastavení po bezpečnostním incidentu nebo potřebujete splnit nové regulační požadavky. Úprava vaší stávající zásady hesla GPO je stejně snadná jako návrat do GPMC a změna nastavení. Dokončení procesu trvá pouhé minuty.

Jak vytvořit různé zásady hesel pro různé skupiny

Služba Active Directory podporuje jemné zásady hesel, které vám umožňují aplikovat různé zásady na různé skupiny a uživatele. (Všimněte si, že úroveň funkčnosti doménové struktury musí být alespoň Windows Server 2008.) Můžete například vyžadovat, aby vysoce rizikové skupiny, jako jsou správci, měly delší hesla a měnili je častěji než ostatní uživatelé.

Jemné zásady hesel můžete vytvářet a spravovat dvěma způsoby:

  • V Active Directory Management Center (ADAC) klikněte na svou doménu, přejděte do složky System, klikněte na kontejner Password Settings a nakonfigurujte objekt Password Settings (PSO). Poté použijte PSO na požadované skupiny.
  • Případně můžete použít příkaz PowerShell New-ADFineGrainedPasswordPolicy.

Jak sledovat a odstraňovat problémy se zásadami hesel

Jak zkontrolovat zásady hesel ve službě Active Directory

Měli byste bedlivě sledovat nastavení zásad hesla služby Active Directory.

Metody, jak toho dosáhnout, zahrnují následující:

  • Konzola pro správu zásad skupiny – Jednou z možností je použití GPMC, jak bylo uvedeno výše.
  • Místní zásady zabezpečení – Chcete-li tento nástroj otevřít na počítači připojeném k doméně, zadejte do dialogového okna Spustit nebo vyhledávacího pole secpol.msc. Poté přejděte do nastavení zásad hesla.
  • Příkazový řádek – Můžete otevřít příkazový řádek s oprávněními správce a pomocí účtů příkazové sítě zobrazit aktuální nastavení zásad hesel.
  • PowerShell — Dalším způsobem, jak zobrazit nastavení zásad hesel domény, je použít příkaz Get-ADDefaultDomainPasswordPolicy .

Jak řešit problémy se zásadami hesla

Pokud uživatel neobdrží nejaktuálnější zásady pro hesla, můžete na jeho počítači spustit následující příkazy, abyste problém prozkoumali a pokusili se vyřešit:

  • gpresult /r — Zobrazuje objekty GPO aplikované na uživatele a počítač
  • gpupdate /force — Použije aktuální nastavení GPO

Problémy se zásadami hesel mohou také souviset s problémy s replikací řadiče domény (DC) – pokud nemají všechny řadiče domény stejné nastavení zásad hesel, uživatelé mohou zaznamenat nekonzistentní výsledky v závislosti na tom, ke kterému řadiči domény se ověřují. Chcete-li zobrazit jakékoli selhání replikace nebo zpoždění mezi řadiči domény, použijte příkaz repadmin /replsummary.

Překonání společných výzev v zásadě hesel

Nejzásadnějším problémem při implementaci zásad hesel je vybalancování touhy po silném zabezpečení s realitou, že uživatelé často reagují na příliš přísná pravidla způsoby, které podkopávají bezpečnost. Například vyžadování častých změn hesel zmírňuje riziko z odcizených databází hesel – ale může to uživatele vést k tomu, že se zapojí do řešení, která podkopávají zabezpečení, jako je výběr slabších hesel nebo prostě pokaždé zvýšení čísla na konci hesla. Podobně požadavek na uživatele, aby vytvořili dlouhá a složitá hesla, snižuje riziko, že hackeři budou schopni tato hesla uhodnout nebo prolomit, aby získali přístup do podnikové sítě. Uživatelé se však mohou uchýlit k zapsání svých hesel, aby se vyhnuli frustrujícímu zablokování.

Správná komunikace může pomoci tento problém zmírnit. Bezpečnostní týmy by neměly uživatelům pouze sdělit, jaké jsou požadavky na hesla, ale také vysvětlit, proč jsou nezbytná a jak může pokus o jejich obcházení vést k narušení a dalším bezpečnostním incidentům. Kdykoli se změní zásady hesel, ujistěte se, že je váš tým technické podpory připraven poskytnout uživatelům další podporu.

Existují také nástroje třetích stran, které mohou pomoci. Zvažte zejména následující typy řešení:

  • Software pro vynucení zásad hesel vám umožňuje zavádět změny zásad hesel postupně a poskytuje tak období odkladu, během kterého jsou uživatelé povzbuzováni, ale nejsou nuceni dodržovat nové požadavky.
  • Nástroje pro správu hesel uživatelům usnadňují dodržování přísných zásad. Software vygeneruje a uloží silné a jedinečné heslo pro každý z jejich účtů a zadá je, kdykoli to bude potřeba. Tímto způsobem si uživatel musí vytvořit a zapamatovat si pouze jedno heslo – heslo pro aplikaci pro správu hesel.
  • Samoobslužný software pro resetování hesla umožňuje uživatelům bezpečně resetovat nebo změnit svá vlastní hesla a odemknout své účty, aniž by museli zavolat na technickou podporu. Vzhledem k tomu, že uzamčení je méně bolestivé, je méně pravděpodobné, že se jim uživatelé budou snažit vyhnout pomocí nezabezpečených řešení.

Snižte riziko

Zásady silného hesla jsou klíčovým prvkem v robustní strategii kybernetické bezpečnosti. Dodržováním zde uvedených osvědčených postupů můžete snížit riziko převzetí účtu útočníky, a tím zvýšit bezpečnost a dodržování předpisů.

Chcete-li přidat další vrstvu zabezpečení, požadujte vícefaktorovou autentizaci (MFA) namísto pouhého uživatelského jména a hesla, zejména v případech riskantního použití, jako jsou administrativní přihlášení a požadavky na přístup k citlivým nebo regulovaným datům.

Další informace naleznete v doporučených postupech zásad pro hesla pro silné zabezpečení v AD.

Časté dotazy

Jaké jsou zásady hesel ve službě Active Directory?

Zásady skupiny AD nabízí Zásady hesel, které správcům umožňují stanovit standardy pro uživatelská hesla. Mohou například stanovit minimální délku hesla, zabránit opětovnému použití předchozích hesel a řídit, jak často se musí hesla měnit.

Kde najdu požadavky na heslo ve službě Active Directory?

Nastavení zásad skupinového hesla můžete zobrazit některým z následujících způsobů:

  • Konzola pro správu zásad skupiny — Přejděte na Konfigurace počítače > Zásady > Nastavení systému Windows > Nastavení zabezpečení > Zásady účtů > Zásady hesel.
  • PowerShell — Použijte rutinu Get-ADDefaultDomainPasswordPolicy.
  • Nástroj Local Security Policy — Na počítači připojeném k doméně spusťte secpol.msc.
  • Centrum pro správu služby Active Directory — Zkontrolujte kontejner Nastavení hesla.

Jak upravím zásady hesel ve službě Active Directory?

Zásadu hesla AD můžete snadno upravit pomocí Konzoly pro správu zásad skupiny. Ve většině případů bude nastavení hesla součástí zásad výchozí domény.

Jak mohu zkontrolovat vypršení platnosti hesla ve službě Active Directory?

Existuje několik způsobů, jak to udělat. Zde jsou dvě možnosti:

  • V Konzole pro správu zásad skupiny přejděte na Konfigurace počítače > Zásady > Nastavení systému Windows > Nastavení zabezpečení > Zásady účtů > Zásady hesel.
  • Spusťte následující příkaz prostředí PowerShell: Get-ADDefaultDomainPasswordPolicy | Vyberte MaxPasswordAge.

Jak dlouhé může být heslo AD?

Maximální délka hesla uživatelského účtu AD je 256 znaků. Standardním uživatelům však postačí 12–14 znaků.

Co je složitost hesla?

Složitost hesel se týká pravidel, která řídí složení samotných hesel. Cílem je zabránit uživatelům ve výběru slabých hesel, jako je jednoduché slovo nebo název ze slovníku, která hackeři snadněji uhodnou nebo prolomí. Je-li povoleno, politika složitosti hesla služby AD nutí uživatele, aby si vybrali hesla, která:

  • Neobsahují hodnotu názvu účtu uživatele ani zobrazovaný název.
  • Zahrňte znaky ze tří z následujících kategorií: Velká písmena, malá písmena, základní 10 číslic a speciální znaky, jako je $ nebo %.

Jak mám přiřadit zásady skupiny pro hesla?

Ve službě Active Directory se zásady hesel konfigurují a používají pomocí zásad skupiny. I když společnost Microsoft obecně doporučuje, aby zásady skupiny byly přiřazeny na úrovni organizační jednotky (OU), je osvědčeným postupem řídit nastavení zásad pro GPO pomocí výchozí zásady domény, která platí pro všechny uživatele a počítače v Active Directory .doména. Tím se zajistí, že zásady hesel budou aplikovány na všechny uživatelské účty domény. Pro případné dotazy nás neváhejte kontaktovat.

Zdroj: Netwrix