Windows Server
Grunnleggende
Active Directory og DNS
Tjenester
Passordpolicyer i Active Directory
En omfattende guide for å implementere sikre passordpolicyer og beste praksis for passordadministrasjon
Forstå passordpolicyer
Passordpolicyer er kritiske sikkerhetsinnstillinger som hjelper med å:
- Sikre at brukere velger sterke passord
- Tvinge regelmessig passordbytte
- Forhindre gjenbruk av gamle passord
- Låse kontoer ved mistenkelig aktivitet
To typer passordpolicyer
Default Domain Policy
- Gjelder hele domenet
- Enkel å administrere
- Samme policy for alle
Fine-Grained Password Policies
- Kan målrettes mot spesifikke grupper
- Mer fleksibel
- Krever Windows Server 2008 eller nyere
Konfigurere Default Domain Policy
Åpne Group Policy Management
-
Start Group Policy Management Console
Åpne via Server Manager → Tools → Group Policy Management
-
Finn Default Domain Policy
Naviger til: Forest → Domains → ditt domene → Default Domain Policy
Konfigurere passordinnstillinger
-
Åpne policyinnstillinger
Høyreklikk på Default Domain Policy → Edit
-
Naviger til passordinnstillinger
Computer Configuration → Policies → Windows Settings → Security Settings → Account Policies → Password Policy
Viktige passordinnstillinger
| Innstilling | Beskrivelse | Anbefalt verdi |
|---|---|---|
| Enforce password history | Antall unike passord før gjenbruk | 24 |
| Maximum password age | Hvor lenge et passord er gyldig | 90 dager |
| Minimum password age | Tid før passord kan endres igjen | 1 dag |
| Minimum password length | Minste lengde på passord | 12 tegn |
| Password must meet complexity requirements | Krav til ulike tegntyper | Enabled |
Kompleksitetskrav
Når kompleksitetskrav er aktivert, må passord inneholde minst tre av følgende fire kategorier:
- Store bokstaver (A-Z)
- Små bokstaver (a-z)
- Tall (0-9)
- Spesialtegn (!@#$% etc.)
I tillegg kan ikke passordet inneholde brukerens kontonavn eller deler av fullt navn.
Fine-Grained Password Policies
Fine-Grained Password Policies (FGPP) lar deg definere ulike passordkrav for forskjellige grupper av brukere.
Typiske bruksområder
Administratorer
- Lengre passord
- Hyppigere bytte
- Strengere kompleksitet
Servicekontoer
- Lengre utløpstid
- Ekstra lange passord
- Ingen tvungen endring
Standardbrukere
- Balanserte krav
- Normal utløpstid
- Standard kompleksitet
Opprette Fine-Grained Password Policy
-
Åpne ADAC
Start Active Directory Administrative Center
-
Naviger til Password Settings Container
System → Password Settings Container
-
Opprett ny policy
Høyreklikk → New → Password Settings
-
Konfigurer policy
Angi innstillinger og målgrupper
Prioritering av policyer
Når en bruker er omfattet av flere policyer:
- FGPP med høyest presedensverdi vinner
- Hvis ingen FGPP gjelder, brukes Default Domain Policy
Kontolåsing og sikkerhet
Konfigurere kontolåsing
Kontolåsing er en viktig sikkerhetsfunksjon som beskytter mot brute-force angrep.
Låseinnstillinger
| Innstilling | Anbefalt verdi |
|---|---|
| Account lockout threshold | 5 forsøk |
| Account lockout duration | 30 minutter |
| Reset account lockout counter after | 30 minutter |
Låse opp kontoer
For å låse opp en låst konto:
- Åpne ADUC
- Finn brukeren
- Høyreklikk → Properties
- Account fane → Unlock account
Beste praksis for passordpolicyer
Anbefalinger
- Balanser sikkerhet mot brukervennlighet
- Implementer strengere krav for privilegerte kontoer
- Dokumenter alle policyer og endringer
- Vurder moderne autentiseringsmetoder som multifaktor-autentisering
- Gjennomgå og oppdater policyer regelmessig
Vanlige feil å unngå
- For hyppige passordendringer som fører til svake passord
- For komplekse krav som får brukere til å notere passord
- Samme policy for alle brukertyper
- Manglende overvåking av låste kontoer
- Inkonsistent håndheving av policyer