我最常见的一个问题是:对于那些并不关心安全的用户来说,应该如何去实施强化密码?毫无疑问,在广泛寻求利用不义之财的威胁中,强度偏弱的密码是最大的漏洞之一。不幸的是,管理人员或其他员工设置的密码策略往往让许多人陷入困境。

查看Active Directory中一些长期存在的组策略对象(Group Policy Objects),很多人的设置都有问题。他们认为设置越严格越好,但情况并不总是这样。例如,下面的这种Active Directory策略设置是很罕见的:

•强制密码历史:730天

•密码最长使用效期:30天

•密码长度最小值:10字节

•密码必须符合复杂性要求:开启

•账户锁定阀值:3次无效登陆

对于在IT行业工作了几年的人来说,每个月设置复杂密码的工作量并不大。归根到底,我们(通常)知道如何创建牢固的密码并且常常使用密码管理器来保持它们的强度。将我们自己的个性设置强加给用户,这样的策略都是很荒谬的。最根本的问题是我们很容易认为用户知道该做什么并且放任他们去做,或者认为他们只能自己处理,毕竟这跟安全有关。

许多跟我交谈过的用户无法领悟有关如何创建复杂口令培训的第二重意义。没人会教给他们设置超级容易记住的口令,并且不需要每隔6-12个月进行更改(例如,Great_year2015!)。Active Directory密码策略设置和培训往往是后期才会想到的,因为许多人认为在基础之上需要更多的安全策略。我一直认为这不符合真实性,并且越来越多的研究支持这一理论。

当你努力让你的企业密码更有弹性时,注意不要只关注域密码。Windows环境里还有其他值得关注的重要系统,这些系统往往没有强密码策略,比如:

•本地Windows账户可以不受域密码策略管理(常见的忽略)。

•SQL Server数据库以标准认证方式运行(非域环境)。

•虚拟机,包括开发、QA和分期系统没有加入企业域环境,但是数据库仓库仍然可以产生数据和接收内部访问。

•网站和应用可以连接到内部和外部。

•防火墙、路由器和网络相关的基础架构系统。

最后,密码标准和策略应该全面标准化和策略化的应用。Windows Server或非Windows Server,所设置的较弱密码会在你的网络环境中制造麻烦。要在来年制定出更好的密码。首先,确定风险在哪里,你可能已经知道了弱点在哪里,因此不必要执行正式的评估或审计。如果不是,你可以使用常用的漏洞扫描工具Nexpose和LanGuard。假如你只是想扫描Windows系统,微软的免费MBSA工具(现在是2.3版本,支持Windows Server 2012 R2系统)是一个不错的选择。也有密码破解专用工具,如Elcomsoft和l0phtcrack,可以深层次发现并且展示出你的系统弱势在哪里。

一旦决定你的密码标准,立刻调整标准和部署策略,使其能够正确按照你的想法来完成工作。最后,使用Active Directory或者一个第三方的密码和Active Directory审计工具,比如使用Avatier、ManageEngine和Netwrix来加强你的密码。记住,在你的密码标准和策略的制定完成前,如果开始创建规则外的某个组成员和整个企业系统,那就是麻烦接踵而来的时刻。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2018-06-29 10:12:34
云安全 云原生:企业安全的下一个发展趋势
今天,组织所面临的威胁在严重性和频率上增加。根据卡巴斯基实验室的统计,2017年前几个月,手机勒索软件增长超过250%。这些例子证明,攻击越来越聪明,企业正在变得脆弱, <详情>
2018-06-28 11:50:24
云安全 云原生给企业安全带来革命的三个原因
在我上一篇文章中,我讨论了对数据中心造成严重破坏的威胁,以及为什么即使是相对简单的攻击也会给企业造成大量问题。今天,组织所面临的威胁在严重性和频率上增加。根据卡 <详情>
2017-06-26 10:11:10
大数据资讯 大数据还未真正落地 企业信息化会遇到哪些挑战?
大数据应用仍处在非常初级的阶段,就目前来看,企业CIO对大数据的应用主要集中在数据的预处理和存储这两个环节,占比高达63%。 <详情>
2017-02-27 09:48:29
云安全 为什么安全应该首先防范内部威胁?
数据泄露始终成为头条新闻,但通过外部的网络攻击目标实际上是非常罕见的,组织的努力可能需要更好地服务于其他防御机制。 <详情>
2017-02-09 13:48:41
大数据资讯 大数据对企业安全的意义
为了应对日益复杂的攻击,企业开始向大数据架构寻求依托,将其用于安全系统中,那么,这些方法是否足够安全,足以让企业安全人员高枕无忧了呢? <详情>