Polityki haseł i kont domenowych: co poprawić nim będzie za późno
Listopad 25, 2021, 12:02
O tym jak ważne są właściwe polityki haseł w środowisku Active Directory nie trzeba chyba nikogo przekonywać. Pytanie tylko, co kryje się pod hasłem "właściwe"? W tym artykule zostaną wyjaśnione słabości polityki haseł w domyślnej konfiguracji AD oraz metody, jak sobie z nimi radzić.
O pomstę do nieba woła polityka haseł w domyślnej konfiguracji czyli takiej, jaka pozostaje po czystej instalacji i wdrożeniu AD. Co więcej, w wielu środowiskach pozostaje niezmieniana przez lata!
O co chodzi? Przede wszystkim o dwie rzeczy: długość haseł i czasowa blokada konta po nieudanych próbach logowania.
1. Długość haseł
Domyślna długość wynosząca 7 znaków (nawet przy włączonym wymogu co do złożoności hasła), to dzisiaj niepoważnie mało:
Dla porównania – obecnie przeciętnej klasy komputer osobisty z odpowiednim oprogramowaniem, jest w stanie złamać 8 znakowe hasło w mniej niż pół dnia, a podane 7 znaków to kwestia od kilku do kilkunastu sekund! Biorąc pod uwagę rosnącą ilość ataków na systemy informatyczne, przyjmuje się obecnie za bezpieczne następujące, minimalne długości haseł:
· 12 znaków dla kont użytkowników
· 16 znaków dla kont administratorów
· 20 znaków dla kont, w których kontekście zabezpieczeń działają usługi systemowe
2. Czasowa blokada haseł po nieudanych próbach logowania:
Czasowa blokada haseł (standardowo wyłączona) oznacza, że ataki na nasze konta mogą odbywać się nieskończoną ilość razy (sprawdzanie kolejnych kombinacji znaków) bez jakiejkolwiek blokady w przypadku serii nieudanych prób z rzędu. Taka sytuacja nie może mieć miejsca, pozwalamy wtedy na łatwy atak on-line na nasze konta w totalnie nieskrępowany sposób. Czasowa blokada, powinna być niezwłocznie włączona! Zalecane ustawienie to 5 nieudanych prób i minimum 15 minut czasowej blokady konta. Pozwoli to znacząco zredukować i opóźnić ilość prób „odgadnięcia” właściwego hasła w przypadku prób ataków. Dodatkowo zaleca się włączenie inspekcji zdarzeń logowania nieudanych prób logowania aby wiedzieć, że taki atak w ogóle ma lub miał już miejsce.
Warto o tym pamiętać, ponieważ od bezpieczeństwa kont domenowych, zależy bezpieczeństwo całego naszego środowiska oraz dostępu do jego zasobów i usług (VPN, serwer plików, serwery bazodanowe i aplikacyjne, stacje robocze itp.).
O tym, co jeszcze można poprawić w domyślnej konfiguracji Active Directory i jak jeszcze bardziej zabezpieczyć środowisko działające w oparciu o tę usługę traktuje artykuł: Active Directory – jak poprawnie zabezpieczyć, który również warto przeczytać, żeby spać spokojniej :)
PK
