活動(dòng)目錄(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目錄服務(wù)，活動(dòng)目錄服務(wù)是Windows Server 2000操作系統(tǒng)平臺(tái)的中心組件之一。不過弱活動(dòng)目錄密碼是Active Directory最長(zhǎng)的漏洞之一。Active Directory密碼策略的眾多功能之一是最長(zhǎng)密碼使用期限。傳統(tǒng)的Active Directory環(huán)境長(zhǎng)期以來一直使用密碼時(shí)效來增強(qiáng)密碼安全性。默認(rèn)Active Directory密碼策略中的本機(jī)密碼有效期在配置設(shè)置中受到相對(duì)限制。

[[373247]]

讓我們先看一下一些在密碼過期方面已經(jīng)進(jìn)行過的最佳實(shí)踐方法，使用默認(rèn)的Active Directory密碼策略，用戶可以對(duì)密碼過期執(zhí)行哪些控制措施?組織可以使用更好的工具來控制Active Directory用戶帳戶的最長(zhǎng)密碼期限嗎?

哪些密碼過期的最佳做法已發(fā)生了更改?

Active Directory用戶帳戶的密碼過期長(zhǎng)期以來一直是安全防護(hù)中的一個(gè)有爭(zhēng)議的話題，盡管許多組織仍采用更傳統(tǒng)的密碼時(shí)效規(guī)則，但著名的安全性組織已提供了更新的密碼時(shí)效指南。微軟表示，他們將從Windows 10 v1903和Windows Server v1903的安全性基準(zhǔn)中刪除密碼過期策略。美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)長(zhǎng)期以來一直提供網(wǎng)絡(luò)安全框架和安全最佳實(shí)踐建議。

正如SP 800-63B的《數(shù)字身份指南：身份驗(yàn)證和生命周期管理》第5.1.1.2節(jié)中所更新的那樣，請(qǐng)注意以下指南：

NIST在其有關(guān)“數(shù)字身份準(zhǔn)則”的“常見問題”頁面中解釋了指南中發(fā)生的改變部分。

指南中指出：

在上述組織和許多其他組織的反饋，安全專家承認(rèn)，密碼過期，至少對(duì)其本身來說，不一定是防止密碼在環(huán)境中泄漏的好策略。另外，密碼期限指南的最新更改也適用于傳統(tǒng)的Microsoft Active Directory密碼策略。

Active Directory密碼策略密碼過期

默認(rèn)Active Directory密碼策略中的密碼更改策略的功能是有限的，用戶可以配置最長(zhǎng)密碼使用期限，僅此而已。默認(rèn)情況下，Active Directory包括以下密碼策略設(shè)置：

• 執(zhí)行密碼記錄;
• 密碼最長(zhǎng)使用期限;
• 密碼最短使用期限;
• 最小密碼長(zhǎng)度;
• 最小密碼長(zhǎng)度審核;
• 密碼必須符合復(fù)雜性要求;
• 使用可逆加密存儲(chǔ)密碼;

雙擊最長(zhǎng)密碼使用期限時(shí)，可以配置用戶可以使用同一密碼的最長(zhǎng)天數(shù)。查看密碼使用期限的說明時(shí)，用戶將在組策略設(shè)置中看到以下內(nèi)容：

此安全設(shè)置確定在系統(tǒng)要求用戶更改密碼之前可以使用密碼的時(shí)間段(以天為單位)，用戶可以將密碼設(shè)置為在1到999之間的天數(shù)后過期，或者用戶可以指定通過將天數(shù)設(shè)置為0，則密碼永不過期。如果最長(zhǎng)密碼期限在1到999天之間，則最小密碼期限必須小于最長(zhǎng)密碼期限;如果將最長(zhǎng)密碼期限設(shè)置為0，則最小密碼期限年齡可以是0到998天之間的任何值。

使用Active Directory密碼策略定義最長(zhǎng)密碼使用期限

使用默認(rèn)策略設(shè)置，用戶實(shí)際上可以打開或關(guān)閉該策略，然后設(shè)置用戶密碼過期之前的天數(shù)。如果用戶還有其他選擇來控制最長(zhǎng)密碼使用期限并根據(jù)密碼復(fù)雜度設(shè)置不同的值怎么辦?

基于Specops長(zhǎng)度的密碼策略

如前所述，許多網(wǎng)絡(luò)安全最佳實(shí)踐權(quán)威最近發(fā)布的指南建議都反對(duì)強(qiáng)制更改密碼，并詳細(xì)說明了更改密碼的原因。但是，許多組織可能仍將過期的密碼作為其整體密碼安全策略的一部分，以防止用戶密碼落入攻擊者手中。如果IT管理員除了Active Directory提供的功能之外還有其他功能，會(huì)怎么樣呢?

與默認(rèn)的Active Directory密碼策略設(shè)置相比，Specops密碼策略提供了許多其他功能，包括密碼有效期，Specops密碼策略中包含的一個(gè)選項(xiàng)叫做 “基于長(zhǎng)度的密碼過期。Specops密碼重置是一個(gè)屢獲殊榮的自助服務(wù)密碼重置的解決方案，它允許用戶重設(shè)或解鎖自己的Active Directory帳戶的安全，大大降低了幫助臺(tái)的電話和電子郵件。Specops重設(shè)密碼，可以使用都一次性手機(jī)驗(yàn)證碼或問答。

使用此設(shè)置，組織可以根據(jù)用戶密碼的長(zhǎng)度來定義密碼過期的不同“級(jí)別”。與使用默認(rèn)的Active Directory密碼策略配置設(shè)置相比，它允許組織在Active Directory環(huán)境中配置密碼過期的權(quán)限更大。

它還允許定位環(huán)境中最弱的密碼，并迫使它們盡快過期，用戶會(huì)在屏幕截圖中注意到，Specops密碼策略中基于長(zhǎng)度的密碼過期時(shí)限是可以可配置的。

它包括以下設(shè)置：

• 過期級(jí)別數(shù)量：輸入將會(huì)有多少個(gè)過期級(jí)別，過期級(jí)別確定用戶在密碼過期之前需要多少天才能更改密碼，這取決于用戶密碼的時(shí)間期限。要增加級(jí)別數(shù)，請(qǐng)向右移動(dòng)滑塊?？梢源嬖诘淖畲筮^期級(jí)別數(shù)是5。
• 每個(gè)級(jí)別的字符數(shù)：每個(gè)級(jí)別的其他字符數(shù)，這些字符定義密碼過期的額外天數(shù);
• 每個(gè)級(jí)別的額外天數(shù)：每個(gè)級(jí)別額外的過期天數(shù)是多少;

禁用最后一個(gè)級(jí)別的過期-滿足列表中最后一個(gè)過期級(jí)別要求的密碼不會(huì)過期。

在Specops密碼策略中配置基于長(zhǎng)度的密碼策略

通過Specops，可以輕松地在最終用戶密碼即將過期時(shí)間通知最終用戶。它將在登錄時(shí)或通過發(fā)送電子郵件通知的方式通知最終用戶。用戶可以為這些設(shè)置中的每一個(gè)配置過期日前的值。

在Specops密碼策略中配置密碼過期通知

組織在“Specops密碼策略”配置的“密碼規(guī)則”區(qū)域中定義最小和最長(zhǎng)密碼長(zhǎng)度配置。如果更改最小和最長(zhǎng)密碼長(zhǎng)度配置，則基于長(zhǎng)度的密碼有效期的每個(gè)級(jí)別中的密碼長(zhǎng)度值也將更改。

配置最小和最長(zhǎng)密碼長(zhǎng)度

基于長(zhǎng)度的密碼有效期與其他Specops密碼策略功能(如密碼保護(hù)被攻破)相結(jié)合，可以增強(qiáng)針對(duì)本地和遠(yuǎn)程工作人員的企業(yè)密碼策略。

總結(jié)

長(zhǎng)期以來，密碼過期一直是大多數(shù)企業(yè)環(huán)境中Active Directory密碼策略的功能。但是，隨著攻擊者能夠更好地破解密碼，新的安全最佳實(shí)踐指南不再建議組織使用標(biāo)準(zhǔn)的密碼過期。

Specops密碼策略提供了引人注目的密碼過期功能，與默認(rèn)的Active Directory密碼策略相比，該功能允許擴(kuò)展密碼過期功能。通過添加過期級(jí)別，Specops密碼策略可以通過快速過期這些密碼來有效地針對(duì)環(huán)境中的弱密碼，最終用戶可以在更長(zhǎng)的時(shí)間期限內(nèi)使用強(qiáng)密碼

組織甚至可以決定不讓滿足定義密碼長(zhǎng)度的特定密碼過期，使用Specops密碼策略功能，包括基于長(zhǎng)度的密碼過期，有助于確保環(huán)境中更強(qiáng)大的密碼安全功能。詳細(xì)信息，請(qǐng)點(diǎn)此。

本文翻譯自：

https://thehackernews.com/2020/12/how-to-use-password-length-to-set-best.html