Sådan tjekker du kravene til adgangskoder i Active Directory

Active Directory (AD) tilbyder via sin komponent til politik for grupper standardpolitikker for domæneadgangskoder og detaljerede politikker for adgangskoder for at håndhæve kravene til de adgangskoder, der oprettes, og sikre, at de er komplekse og stærke nok til at forhindre et databrud. En standardpolitik for domæneadgangskoder gælder for alle brugere i et enkelt domæne, hvorimod detaljerede politikker for adgangskoder kan oprettes for flere grupper i et domæne.

Politikken for adgangskoder i Active Directory-domænets politik for grupper indeholder følgende otte indstillinger:

• Adgangskodehistorik: Angiv antal nye adgangskoder, der skal bruges, før en gammel adgangskode kan genbruges.
• Maksimumsalder for adgangskoder: Angiv det maksimale antal gange, en adgangskode kan bruges, før en ændring er påkrævet.
• Minimumsalder for adgangskoder: Angiv det mindste antal gange, en adgangskode skal bruges, før den kan ændres.
• Minimumslængde for adgangskoder: Stil krav til det mindste antal tegn, der skal indgå i adgangskoden.
• Adgangskoder skal opfylde krav til sværhedsgrad: Følgende regler skal overholdes for at opfylde denne indstilling:
  • Må ikke indeholde brugerens kontonavn eller dele af brugerens fulde navn i mere end to på hinanden følgende tegn.
  • Skal indeholde mindst seks tegn.
  • Skal indeholde tal og symboler med enten eller både store og små bogstaver.
• Gem adgangskoder ved hjælp af kryptering, der kan annulleres: Tillad, at adgangskoder, der er gemt via kryptering, kan dekrypteres.
• Audit af adgangskodens minimumslængde: Fastsæt minimumslængden for adgangskoder, så der genereres en advarsel, og tillad ikke korte adgangskoder.
• Slæk på den øvre grænse for minimumslængde for adgangskoder: Tjek, om den højeste øvre grænse for minimumslængden af adgangskoder kan øges, så den er længere end den gamle øvre grænse på 14.

Hvordan tjekker du kravene til Active Directory-adgangskoder for en bruger?

Via sine cmdlets i Active Directory-modulet tilbyder Windows PowerShell den hurtigste måde, hvorpå du kan se de krav til adgangskoder, der gælder for en bruger. Nedenfor finder du de to cmdlets, der viser standardpolitikken for domæneadgangskoder og den detaljerede politik for adgangskoder, der gælder for et domæne:

• Get-ADDefaultDomainPasswordPolicy: Viser standardpolitikken for domæneadgangskoder, der gælder for brugerkontoen.
• Get-ADFineGrainedPasswordPolicy: Viser den detaljerede politik for adgangskoder, der gælder for brugerkontoen.

Begrænsninger i de generiske politikker for adgangskoder i Active Directory

De politikker for adgangskoder, som Active Directory tilbyder, er ret rudimentære. Når du opretter adgangskoder via PowerShell, er det en manuel proces, hvor der er risiko for menneskelige fejl. Adgangskoder, der er oprettet med PowerShell, kan heller ikke modstå moderne teknikker til at få adgangskoder til at indgå i databrud. Det kan være en ret omstændelig proces at aktivere PowerShell, hver gang brugeren ønsker at se kravene til politikken for adgangskoder.

ManageEngine ADSelfService Plus, der er en løsning til identitetssikkerhed med multifaktorgodkendelse, enkeltlogon og selvbetjente funktioner til administration af adgangskoder, tilbyder avancerede krav til Active Directory-adgangskoder, som er fordelagtige i forhold til standardpolitikker for Active Directory-adgangskoder:

• Politikken for adgangskoder kan anvendes på konkrete organisatoriske enheder samt på domæner og grupper.
• Ord i ordbøger, mønstre og palindromer kan begrænses.
• Unicode-tegn kan gøres obligatoriske.
• Gentagelse af samme tegn flere gange i træk og rækkefølger af tegn fra gamle adgangskoder og brugernavne kan forbydes.
• Det er muligt at håndhæve et minimumsantal tegn for bestemte typer tegn.

Disse avancerede krav til adgangskodernes sværhedsgrad kan anvendes til:

• Ændringer af adgangskoder på Ctrl+Alt+Del-skærmen
• Nulstilling af adgangskoder af IT-administratorer via portalen Active Directory Users and Computers
• Selvbetjente nulstillinger af adgangskoder og webbaserede ændringer af adgangskoder til Active Directory og virksomhedsapplikationer via ADSelfService Plus-portalen

Denne løsning giver også mulighed for at vise den politik for adgangskoder, der er oprettet i forbindelse med ovennævnte tilfælde af ændring og nulstilling af adgangskoder. På den måde bliver brugerne gjort opmærksomme på de krav til adgangskoder, de skal overholde, når de opretter adgangskoden.

Krav til adgangskodernes sværhedsgrad er ikke den eneste løsning til at sikre digitale identiteter. Tyveri af adgangskoder via metoder såsom phishing er blevet mere udbredt, og bekræftelse af digitale identiteter må ikke kun afhænge af adgangsoplysninger. Multifaktorgodkendelse er en vigtig løsning, der sikrer, at brugeridentiteter ikke udsættes for tyveri af og angreb på adgangsoplysninger. ADSelfService Plus tilbyder multifaktorgodkendelse via 19 forskellige godkendelsesmetoder, herunder biometrisk godkendelse, tidsbaseret engangsadgangskode og godkendelse via hardware. Multifaktorgodkendelse kan anvendes under logins til endpoints såsom enheder, virtuelle private netværk, Outlook Web Access og cloudapplikationer. Produktet bruges også til at beskytte selvbetjente nulstillinger af adgangskoder og webbaserede ændringer af adgangskoder.

Funktioner i ADSelfService Plus

• Selvbetjent nulstilling af adgangskoder og oplåsning af konti
• Multifaktorgodkendelse (MFA)
• Enkeltlogon (SSO) til virksomheder
• Synkronisering af adgangskoder
• Politikker for betinget adgang
• Funktion til håndhævelse af politik for adgangskoder
• Meddelelse om udløb af adgangskoder
• Selvbetjening af mapper
• Abonnement på mailgrupper
• Medarbejdersøgning og organisationsdiagram