Werkwijze: Gedetailleerde wachtwoordbeleidslijnen beheren via PowerShell
Wachtwoordbeleidslijnen zijn cruciaal voor het afdwingen van de aanmaak van sterke wachtwoorden en het beschermen van gebruikers vanaf op referenties gebaseerde aanvallen. De hieronder opgegeven PowerShell-scripts kunnen worden gebruikt voor het beheren van een gedetailleerd wachtwoordbeleid en standaard domeinbeleid voor een Active Directory-domein. ADSelfService Plus, de oplossing voor de identiteitsbeveiliging met meervoudige verificatie, eenmalige aanmelding en capaciteiten voor selfservice wachtwoordbeheer, biedt geavanceerde wachtwoordbeleidsinstellingen die kunnen worden toegepast voor zowel on-premises als cloudtoepassingen. Het volgende is een vergelijking tussen de PowerShell-scripts die worden gebruikt voor het beheer van gedetailleerde wachtwoordbeleidsinstellingen en ADSelfService Plus.
Met PowerShell
Voer de volgende scripts uit in PowerShell:
- Maak een nieuw gedetailleerd Active Directory-wachtwoordbeleid
New-ADFineGrainedPasswordPolicy
[-WhatIf]
[-Confirm]
[-AuthType <ADAuthType>]
[-ComplexityEnabled <Boolean>]
[-Credential <PSCredential>]
[-Description <String>]
[-DisplayName <String>]
[-Instance <ADFineGrainedPasswordPolicy>]
[-LockoutDuration <TimeSpan>]
[-LockoutObservationWindow <TimeSpan>]
[-LockoutThreshold <Int32>]
[-MaxPasswordAge <TimeSpan>]
[-MinPasswordAge <TimeSpan>]
[-MinPasswordLength <Int32>]
[-Name] <String>
[-OtherAttributes <Hashtable>]
[-PassThru]
[-PasswordHistoryCount <Int32>]
[-Precedence] <Int32>
[-ProtectedFromAccidentalDeletion <Boolean>]
[-ReversibleEncryptionEnabled <Boolean>]
[-Server <String>]
[<CommonParameters>]
Copied
Klik om het volledige script te kopiëren
- Voer een zoekopdracht uit voor het ophalen van een of meerdere gedetailleerde wachtwoordbeleidslijnen
Get-ADFineGrainedPasswordPolicy
[-AuthType <ADAuthType>]
[-Credential <PSCredential>]
[-Identity] <ADFineGrainedPasswordPolicy>
[-Properties <String[]>]
[-Server <String>]
[<CommonParameters>]
- Voer een zoekopdracht uit voor het ophalen van een of meerdere standaard beleidslijnen voor het domeinwachtwoord
Get-ADDefaultDomainPasswordPolicy
[-AuthType <ADAuthType>]
[-Credential <PSCredential>]
[-Current <ADCurrentDomainType>]
[-Server <String>]
[<CommonParameters>]
Met ADSelfService Plus:
- Configureer een aangepast wachtwoordbeleid via de functie Afdwingen wachtwoordbeleid
- Meld aan bij de beheerdersportal van ADSelfService Plus.
- Ga naar Configuratie > Selfservice > Afdwingen wachtwoordbeleid.
- Schakel Aangepast wachtwoordbeleid afdwingen in.
- Vanaf het tabblad Tekens beperken:
- Stel het aantal speciale en numerieke tekens in dat moet worden gebruikt.
- Sta het opnemen van Unicode-tekens toe.
- Verplicht een minimum aantal kleine en grote letters.
- Een cijfer als laatste teken niet toestaan.
- Beperk op het tabblad Herhaling beperken het gebruik van tekenreeksen van de gebruikersnaam of oude wachtwoorden, evenals de opeenvolgende herhaling van hetzelfde teken.
- Verbied op het tabblad Patroon beperken woordenboekwoorden of zwakke wachtwoorden, toetsenbordpatronen en palindromen.
- Geef op het tabblad Lengte beperken de minimum en maximum wachtwoordlengte op.
- Gebruik de instelling Wachtwoord moet voldoen aan minstens _ van de bovenstaande complexiteitsvereisten om gebruikers de mogelijkheid te geven de regels te kiezen die ze wille naleven zonder in te leveren op de wachtwoordbeveiliging.
- Gebruik de instelling Alle complexiteitsregels overschrijven bij een wachtwoordlengte van minstens _ voor het afdwingen van wachtwoordzinnen in plaats van wachtwoordcomplexiteitsregels als het wachtwoord langer is dan een ingesteld aantal.
- Klik op Opslaan.
Voordelen van ADSelfService Plus op PowerShell:
- De geavanceerde instellingen voor wachtwoordbeleid van ADSelfService Plus verbiedt woordenboekwoorden en zwakke wachtwoorden, palindromen, toetsenbordpatronen en meer.
- ADSelfService Plus integreert met de "Have I Been Pwned?"-service om ervoor te zorgen dat gebruikers geen gecompromitteerde wachtwoorden gebruiken bij het opnieuw instellen en het wijzigen van wachtwoorden.
- Geef de wachtwoordvereisten weer voor eindgebruikers tijdens het wijzigen of opnieuw instellen van wachtwoorden op het scherm Ctrl+Alt+Del.
- Dwing de instellingen voor het aangepaste wachtwoordbeleid af, zelfs voor wachtwoordwijzigingen via het Windows-aanmeldingsscherm (Ctrl+Alt+Del) en tijdens het opnieuw instellen van ADUC-wachtwoorden.
Belangrijke functies van ADSelfService Plus
- Verdediging tegen cyberaanvallen:
Zorgt ervoor dat gebruiker geen gemakkelijk exploiteerbare wachtwoorden gebruikt, zoals pass@123.
- Verbetert de IT-beveiliging:
Biedt geavanceerde meervoudige verificatietechnieken inclusief biometrie en YubiKey.
- Universeel afdwingen:
Beheerders kunnen aangepaste wachtwoordbeleidslijnen afdwingen voor zowel Active Directory- als cloudtoepassingen.
- Afdwingen op basis van OU en groep:
Beheerders kunnen kiezen om verschillende wachtwoordsbeleidslijnen voor gebruikers af te dwingen op basis van hun OU en groepslidmaatschappen.