Polityki haseł i kont domenowych: co poprawić nim będzie za późno

November 25, 2021, 12:02

O tym jak ważne są właściwe polityki haseł w środowisku Active Directory nie trzeba chyba nikogo przekonywać. Pytanie tylko, co kryje się pod hasłem "właściwe"? W tym artykule zostaną wyjaśnione słabości polityki haseł w domyślnej konfiguracji AD oraz metody, jak sobie z nimi radzić.

O pomstę do nieba woła polityka haseł w domyślnej konfiguracji czyli takiej, jaka pozostaje po czystej instalacji i wdrożeniu AD. Co więcej, w wielu środowiskach pozostaje niezmieniana przez lata!

O co chodzi? Przede wszystkim o dwie rzeczy: długość haseł i czasowa blokada konta po nieudanych próbach logowania.

1.     Długość haseł

Domyślna długość wynosząca 7 znaków (nawet przy włączonym wymogu co do złożoności hasła), to dzisiaj niepoważnie mało:

Dla porównania – obecnie przeciętnej klasy komputer osobisty z odpowiednim oprogramowaniem, jest w stanie złamać 8 znakowe hasło w mniej niż pół dnia, a podane 7 znaków to kwestia od kilku do kilkunastu sekund! Biorąc pod uwagę rosnącą ilość ataków na systemy informatyczne, przyjmuje się obecnie za bezpieczne następujące, minimalne długości haseł:

·         12 znaków dla kont użytkowników

·         16 znaków dla kont administratorów

·         20 znaków dla kont, w których kontekście zabezpieczeń działają usługi systemowe

2.     Czasowa blokada haseł po nieudanych próbach logowania:

Czasowa blokada haseł (standardowo wyłączona) oznacza, że ataki na nasze konta mogą odbywać się nieskończoną ilość razy (sprawdzanie kolejnych kombinacji znaków) bez jakiejkolwiek blokady w przypadku serii nieudanych prób z rzędu. Taka sytuacja nie może mieć miejsca, pozwalamy wtedy na łatwy atak on-line na nasze konta w totalnie nieskrępowany sposób. Czasowa blokada, powinna być niezwłocznie włączona! Zalecane ustawienie to 5 nieudanych prób i minimum 15 minut czasowej blokady konta. Pozwoli to znacząco zredukować i opóźnić ilość prób „odgadnięcia” właściwego hasła w przypadku prób ataków. Dodatkowo zaleca się włączenie inspekcji zdarzeń logowania nieudanych prób logowania aby wiedzieć, że taki atak w ogóle ma lub miał już miejsce.

Warto o tym pamiętać, ponieważ od bezpieczeństwa kont domenowych, zależy bezpieczeństwo całego naszego środowiska oraz dostępu do jego zasobów i usług (VPN, serwer plików, serwery bazodanowe i aplikacyjne, stacje robocze itp.).

O tym, co jeszcze można poprawić w domyślnej konfiguracji Active Directory i jak jeszcze bardziej zabezpieczyć środowisko działające w oparciu o tę usługę traktuje artykuł: Active Directory – jak poprawnie zabezpieczyć, który również warto przeczytać, żeby spać spokojniej :) 

PK