Mengapa Anda membutuhkan password policy enforcer untuk Active Directory
Password yang lemah, digunakan ulang, atau tidak memenuhi standar kepatuhan masih menjadi salah satu risiko keamanan terbesar di lingkungan Active Directory. Fitur password policy pada Active Directory Group Policy hanya menyediakan kontrol dasar, sehingga admin IT kesulitan menerapkan standar password yang kuat di seluruh organisasi. Tanpa password policy enforcer yang andal, pengguna dapat membuat password yang mudah ditebak, melanggar persyaratan kepatuhan, atau tidak memenuhi kebijakan keamanan internal.
Seperti banyak organisasi lainnya, Anda mungkin kesulitan menemukan solusi enforcement password policy yang menyediakan fleksibilitas, kontrol, dan kapabilitas yang dibutuhkan untuk menghadapi tantangan keamanan modern. Anda memerlukan Active Directory password policy enforcer yang komprehensif, dengan dukungan aturan granular, pemeriksaan kekuatan password secara real-time, dan konfigurasi yang konsisten di seluruh jaringan.
Password policy native Windows Active Directory
Apa saja persyaratan password policy Active Directory?
- Panjang minimum password
- Masa berlaku minimum password
- Masa berlaku maksimum password
- Persyaratan kompleksitas password
- Penerapan riwayat password
- Enkripsi reversible untuk penyimpanan password
Celah dalam kompleksitas password Windows Active Directory
- Tidak ada Active Directory password policy yang cocok untuk semua kebutuhan. Password policy harus dapat dikustomisasi sesuai hierarki, wilayah geografis, dan departemen dalam organisasi. Namun, Active Directory password policy tidak memiliki fleksibilitas ini dan tidak dapat diterapkan ke OU.
- Saat admin mereset password menggunakan konsol Active Directory Users and Computers (ADUC), pengaturan password policy native tidak dapat diterapkan.
- Pengaturan password policy native tidak menyediakan kemampuan untuk mencegah pengulangan karakter yang sama secara berurutan.
- Anda tidak dapat membatasi kata dalam kamus, pola, dan palindrome saat mengonfigurasi password policy secara native.
- Pengaturan password policy native tidak dapat dikonfigurasi untuk menentukan jumlah karakter yang dibutuhkan dari tipe karakter tertentu.
- Active Directory password policy tidak mampu mencegah serangan password modern yang lebih canggih, seperti dictionary attack dan brute-force attack.
- Secara keseluruhan, admin akan kesulitan melacak password policy yang diterapkan dalam domain tertentu.
Tips dari para ahli: Panduan password NIST
National Institute of Standards and Technology (NIST) membawa perubahan besar dalam keamanan password melalui panduannya. Berikut adalah rekomendasi utama dari NIST 800-63B untuk enterprise:
5.1.1.1 Memorized Secret Authenticators
- Memorized secret harus memiliki panjang minimal delapan karakter jika dipilih oleh subscriber.
5.1.1.1 Memorized Secret Verifiers
- Verifier sebaiknya mengizinkan memorized secret yang dipilih subscriber memiliki panjang minimal 64 karakter.
- Semua karakter ASCII yang dapat dicetak, termasuk karakter spasi, sebaiknya diterima dalam memorized secret. Karakter Unicode juga sebaiknya diterima.
- Saat memproses permintaan untuk membuat dan mengubah memorized secret, verifier harus membandingkan kandidat secret dengan daftar yang berisi nilai yang diketahui umum digunakan, diperkirakan, atau telah compromised. Misalnya, daftar tersebut dapat mencakup, tetapi tidak terbatas pada:
- Password yang diperoleh dari kumpulan data hasil breach sebelumnya.
- Kata-kata dalam kamus.
- Karakter berulang atau berurutan (misalnya, 'aaaaaa', '1234abcd').
- Kata yang spesifik terhadap konteks, seperti nama layanan, username, dan turunannya.
- Verifier sebaiknya memberikan panduan kepada subscriber, seperti password-strength meter, untuk membantu pengguna memilih memorized secret yang kuat.
Password policy native Active Directory belum sepenuhnya selaras dengan panduan NIST modern. Di sinilah ManageEngine ADSelfService Plus membantu menutup celah dalam keamanan identitas.
Aturan password Active Directory yang lebih efektif dengan ADSelfService Plus
Password Policy Enforcer di ADSelfService Plus mengatasi keterbatasan password policy native Active Directory. Solusi ini memungkinkan organisasi menerapkan password policy yang kuat dan dikustomisasi, serta terintegrasi dengan mulus ke kebijakan Active Directory yang sudah ada. Dengan begitu, password Active Directory menjadi lebih kuat sehingga resource organisasi tetap terlindungi dari cyberthreat.
Cara memperkuat Active Directory password policy dengan Password Policy Enforcer di ADSelfService Plus
Password Policy Enforcer di ADSelfService Plus dapat dikonfigurasi untuk menerapkan persyaratan password policy berikut.
- Batasi karakter
- Batasi pengulangan
- Batasi pola
- Batasi
panjang - Batasi
password compromised
Batasi karakter: Bagian Password Policy Enforcer ini mencakup pengaturan jumlah karakter spesial, numerik, dan Unicode yang wajib digunakan. Anda juga dapat menentukan tipe karakter yang harus digunakan di awal password.
Konfigurasikan penggunaan karakter alfanumerik dalam password.

Batasi pengulangan: Bagian Password Policy Enforcer ini memungkinkan Anda menerapkan riwayat password dan membatasi penggunaan karakter berurutan dari username atau password sebelumnya. Pengulangan karakter yang sama secara berurutan juga dapat dibatasi.
Batasi pengguna agar tidak menggunakan kembali password lama saat membuat password baru.

Batasi pola: Bagian Password Policy Enforcer ini membatasi penggunaan kata dalam kamus kustom, pola, dan palindrome dalam password. Anda dapat mengonfigurasi regex pattern kustom yang harus dipenuhi password pengguna, sehingga Anda dapat menentukan persyaratan password secara presisi sesuai kebutuhan organisasi.
Batasi pengguna agar tidak menggunakan pola umum, kata dalam kamus, dan palindrome dalam password mereka.
Terapkan password policy yang kustom dan granular dengan regex pattern.

Batasi panjang: Bagian Password Policy Enforcer ini memungkinkan Anda menentukan jumlah minimum dan maksimum karakter untuk password.
Konfigurasikan panjang minimum dan maksimum password agar sesuai dengan panduan password NIST.

Batasi password compromised: ADSelfService Plus memungkinkan Anda terintegrasi dengan layanan Have I been Pwned, yang memblokir penggunaan password yang pernah terlibat dalam peretasan sebelumnya dan mencegah serangan credential stuffing.

Password policy GPO vs. fine-grained password policy vs. Password Policy Enforcer
| Kapabilitas | Password policy GPO | Fine-grained password policy | ADSelfService Plus |
|---|---|---|---|
| Terapkan karakter uppercase, lowercase, numerik, karakter spesial, serta Unicode. | X (Semua tipe tidak dapat diterapkan secara bersamaan) | X (Semua tipe tidak dapat diterapkan secara bersamaan) | ✓ (Penggunaan semua karakter ini dapat diterapkan) |
| Blokir password yang pernah bocor, kata dalam kamus, atau entri kamus kustom. | X | X | ✓ |
| Cegah karakter berulang, urutan karakter, palindrome, dan pola berbasis username. | X | X | ✓ |
| Batasi penggunaan ulang password lama atau karakter berurutan dari password tersebut. | X (Password lama hanya dapat diblokir secara penuh) | X (Password lama hanya dapat diblokir secara penuh) | ✓ |
| Tentukan panjang minimum dan maksimum; izinkan bypass kompleksitas untuk passphrase yang panjang. | X (Kompleksitas tidak dapat di-bypass untuk passphrase) | X (Kompleksitas tidak dapat di-bypass untuk passphrase) | ✓ |
| Terapkan kebijakan ke OU, grup, atau skenario tertentu (layar logon, reset ADUC). | X (Kebijakan tidak dapat diterapkan untuk grup atau OU tertentu) | X (Kebijakan tidak dapat diterapkan untuk grup atau OU tertentu) | ✓ |
| Tampilkan persyaratan password langsung di layar logon Windows. | ✓ | ✓ | ✓ |
Manfaat menerapkan password policy dengan ADSelfService Plus
Keunggulan ADSelfService Plus
Password self-service
Kurangi ketergantungan pengguna Windows AD pada panggilan help desk yang memakan waktu dengan menyediakan kapabilitas reset password dan account unlock secara self-service.
Multi-factor authentication
Aktifkan MFA berbasis konteks dengan 20 faktor autentikasi berbeda untuk login endpoint, application, VPN, OWA, dan RDP.
Satu identitas dengan single sign-on
Dapatkan akses one-click yang mulus ke lebih dari 100 cloud application. Dengan enterprise single sign-on (SSO), pengguna dapat mengakses seluruh cloud application mereka menggunakan kredensial Windows AD.
Notifikasi kedaluwarsa password dan akun
Beri tahu pengguna Windows AD tentang password dan akun mereka yang akan segera kedaluwarsa melalui notifikasi email dan SMS.
Sinkronisasi password
Sinkronkan password pengguna Windows AD dan perubahan akun secara otomatis di berbagai sistem, termasuk Microsoft 365, Google Workspace, IBM iSeries, dan lainnya.
Password policy enforcer
Password yang kuat mampu menghadapi berbagai ancaman peretasan. Terapkan kepatuhan password pada pengguna Windows AD dengan menampilkan persyaratan kompleksitas password.
FAQ
Password policy adalah sekumpulan aturan yang dibuat dan diterapkan untuk memperkuat password pengguna. Password yang memenuhi seluruh aturan dalam password policy dapat membantu melindungi data dengan lebih baik dari potensi serangan password. Password policy mencakup aturan seperti panjang minimum password, masa berlaku maksimum password, persyaratan riwayat password, dan detail kompleksitas password.
Password attack mengacu pada upaya threat actor untuk melakukan autentikasi secara malicious ke akun yang dilindungi password menggunakan password yang telah compromised. Berbagai jenis password attack meliputi dictionary attack, brute-force attack, credential stuffing, phishing, manipulator-in-the-middle attack, password spraying, dan keylogger attack.
Dictionary attack adalah upaya threat actor untuk meretas akun pengguna dengan mencoba berbagai kombinasi kata secara berulang. Sering kali, kata yang digunakan bukan hanya kata dalam kamus, tetapi juga pilihan password yang mudah diprediksi, seperti nama, tempat lahir, atau nama hewan peliharaan, yang umum digunakan pengguna dalam password mereka. Karena itu, pengguna disarankan untuk menghindari kata-kata seperti ini saat membuat password.
Dalam brute-force attack, semua kombinasi karakter yang mungkin dicoba secara sistematis. Sebaliknya, dictionary attack menggunakan daftar frasa umum yang telah ditentukan sebelumnya atau variasinya untuk mencoba mendapatkan akses tanpa izin. Dictionary attack umumnya lebih cepat, tetapi bergantung pada asumsi bahwa password yang benar ada di dalam daftar tersebut.
Persyaratan kompleksitas password Active Directory adalah pengaturan yang mewajibkan pengguna menyertakan karakter tertentu, seperti uppercase, lowercase, atau karakter non-alfanumerik, serta menghindari penggunaan username di dalam password. Password dianggap kuat jika memenuhi persyaratan kompleksitas dari domain password policy yang diterapkan.
Mengamankan akun pengguna atau endpoint data hanya dengan password membuatnya sangat rentan terhadap password attack modern. Menerapkan mekanisme multi-factor authentication adalah praktik yang baik untuk membuat kredensial yang telah compromised menjadi tidak berguna bagi peretas. Mekanisme autentikasi yang kuat seperti biometrik juga telah memungkinkan autentikasi pengguna tanpa password.
Active Directory domain password policy default menentukan aturan yang dapat dikonfigurasi untuk pembuatan password akun pengguna. Password policy ini hanya berlaku untuk seluruh domain yang terhubung dengannya dan tidak dapat dikustomisasi untuk kumpulan pengguna, grup, atau OU tertentu. Sementara itu, FGPP di Active Directory mengatasi keterbatasan ini dan memungkinkan password policy disesuaikan untuk pengguna dan grup yang berbeda dalam domain.








