如何实施密码安全策略
安全密码策略应具备哪些品质?在应用的这一集网络工作中了解如何实施和实施安全密码策略。
密码策略演示和演练
下面是 Mike 的密码策略演示和演练的编辑记录。
密码安全
(0:00-1:06)让我们面对现实吧,密码无处不在,在本集中,我想谈谈密码安全性。
我不会就什么是好密码进行大讨论。你现在应该知道这些东西了。虽然,就个人而言,我会提出我自己的意见。
与所有这些关于大写和小写,数字,感叹号和所有这些东西的讨论相反,我是喜欢输入非常非常长的密码的新的,很酷的同类。长句子使我更容易记住密码,也使它们更难破解。但这不是我们今天要报道的内容。
今天,我们将讨论密码安全问题。现在,密码无处不在。我们不仅登录操作系统,而且还通过互联网登录服务器。我们可以做各种各样的小事情 – 我有一个SSH服务器,我需要登录 – 无论它是什么,密码的复杂性和混乱使得确保它们的安全非常非常困难。
良好的密码安全策略
(1:07-1:26)我们将制定良好的安全策略。一个很好的书面密码安全策略,告诉人们我们希望他们做什么。我们将为他们提供良好的培训,以便他们在处理密码时可以牢记这一点。
至少,我希望人们在谈论密码策略时考虑三件事。
密码复杂性、过期时间和历史记录
(1:27-2:25)第一是复杂性。我们希望人们对该密码的复杂性做些什么?这包括密码长度。
第二是到期或年龄。我想多久让人们输入一次新密码?它持续 90 天还是 30 天?它会永远持续下去吗?
然后第三是密码历史记录。这几乎与到期和年龄有关。在这种情况下,我们谈论的是,如果我让人们经常更改密码,我记得多少密码,以便用户不能在两个不同的密码之间来回切换?
即使有良好的政策等等,这仍然是一个巨大的挑战。特别是,我该如何执行?如何让我的整个基础结构中的用户对密码执行正确的操作?对我们来说幸运的是,有几个地方我们可以做到这一点。可能最好的例子之一是Windows本地安全策略。
如何使用 Windows 本地安全策略
(2:26-4:29)我将在Windows中执行此操作。几乎每个操作系统都有这样的策略功能。所以,仅仅因为我在Windows中这样做,不要认为你不能在Linux Unix环境,Mac或其他任何你想做的事情中做到这一点。让我们继续开始,让我们看一下我们的本地安全策略。
这是著名的本地安全策略,它已经伴随Windows很长时间了。除了使用密码之外,我们可以在这里做很多事情,但我现在想专注于此。
当我们转到帐户策略下方时,您会看到它显示“密码策略”。因此,首先,它将具有最长密码期限。我将设置它以每 180 天更改一次密码。此密码的最短使用期限为零天,这意味着如果我愿意,我可以每天更改密码。
接下来将是最小密码长度。它会说,好吧,我们必须至少有七个字符。
密码必须满足复杂性要求。现在,这些是由Windows定义的,这意味着大写/小写,数字,特殊字符以及此类内容。
在顶部,这里的意思是强制执行密码历史记录。因此,如果我们有一个最长的密码期限,这意味着人们将不得不更改他们的密码,它将记住最后24个密码。在我看来,这可能是您能想到的让所有用户不断呼叫管理员的最佳方式,因为他们不记得密码。但是,尽管如此,请确保您了解这些工作原理。
最后一个是“使用可逆加密存储密码”。如果您愿意,您可以以更容易被破解的方式存储密码,这就是全部含义。我知道这不是任何人想要使用的选项,但它就在那里。
现在,让我们转到此处的帐户锁定策略。我们都登录了Windows,但您忘记了密码。然后它有点停滞了一分钟。这不是我在这里谈论的。在这种情况下,我们谈论的是真正的锁定。
帐户锁定策略
(4:30-5:44) 如果我们查看此当前设置方式,它会显示帐户锁定阈值,即五次无效尝试。
五次尝试后,如果搞砸了,您的帐户锁定时间为 30 分钟。所以要做对,否则你会坐着30分钟。同样,这是让人们不断呼叫管理员的好方法。三十分钟对我个人来说似乎是一个很长的时间。
这里的最后一个选项是“在此之后重置帐户锁定计数器”。现在,这个有点复杂。所以我们有五次罢工,你出局了。您登录一次,就弄错了。您登录两次,但弄错了。现在,你要停下来,因为你试图找出你的密码,所以你开始检查一些东西或打电话给某人。此选项说明我们等待多长时间才能将您的尝试重置为零?这个特定的时间设置为30分钟——有点长——但至少我们理解所有这些不同术语的含义。
因此,本地安全策略很酷的部分是,它们允许我们严格控制在此系统上执行任何操作的任何人。而且,同样,几乎每个操作系统都有一个与此类似的功能集。
如何将组策略对象用于密码
(5:45-8:28)缺点是——如果我控制一大堆计算机怎么办?难道没有一些神奇的方法可以让我继续说你们所有的计算机都必须满足这些要求并做这类事情吗?肯定有类似的东西。特别是,如果您使用的是 Windows Active Directory,则称为组策略对象。
要查看组策略对象的工作原理,我有一份从微软拉下来的Windows Server 2016副本。让我们从我们的服务器管理器开始,如果你可以滚动到这里,你可以看到一个名为组策略管理的小工具。
现在,组策略管理与您在单个系统上看到的本地安全策略几乎相同,但有一个很大的区别。
使用组策略对象,如果需要,我们可以将它们应用于整个域。我们可以将它们应用于不同的站点。我们可以将它们应用于组。我们可以建立自己的组织单位。
如果我想制作像达拉斯所有使用激光打印机的会计师一样的东西,我可以将组策略对象应用于类似的东西。所以它的真正力量是我可以以一种非常精细的方式应用它。现在,请记住,您必须拥有Windows Server的副本才能完成此操作,并且必须具有活动目录。如果你已经掌握了所有这些,让我告诉你我们可以做的一些乐趣。
现在,我有一个有趣的小域名,叫做totaltest.local。如果我们在我的域名下查看,你会看到这里是totatest.local。现在,我有一个默认的域策略,该策略在安装过程中由Windows放入其中。
我要做的是单击编辑,我可以为登录到域的任何人编辑策略。然后我转到窗口设置下,您将在此处看到安全设置。当您看到这个时,希望您会看到一些熟悉的东西 – 帐户策略,这看起来很熟悉吗,密码策略,帐户锁定策略?让我们打开它。
我们将单击“密码策略”。强制实施密码历史记录、最长密码期限、最低期限以及我们之前在本地安全策略中看到的所有内容。在锁定策略下,我们有持续时间、阈值和重置帐户锁定计数器。
因此,您的组策略对象与我们在本地安全策略中看到的对象几乎相同,但有一个很大的区别。它可以跨整个活动目录工作。请记住,您必须拥有Windows Server。您必须运行 Active Directory 才能利用组策略对象,但它效果很好。