Детализированная политика паролей (FGPP)

Active Directory поставляется с политикой паролей по умолчанию, которая определяет настраиваемые правила создания паролей учетных записей пользователей. Правила включают минимальный и максимальный срок действия пароля, длину, сложность, историю и параметры шифрования. Однако эту традиционную политику паролей невозможно настроить для конкретного набора пользователей, групп или подразделений, поскольку она применима только ко всему домену, с которым она связана. Чтобы преодолеть этот существенный недостаток, Active Directory предлагает функцию детальной политики паролей (FGPP) (в Windows Server 2008 и более поздних версиях), которая позволяет настраивать политики паролей для разных пользователей и групп в домене.

Объем и функциональность FGPP

• Для использования FGPP домен должен работать на функциональном уровне Windows Server 2008 и выше.
• FGPP работает путем создания нескольких объектов настроек паролей (PSO) внутри домена. Политики паролей и блокировки учетных записей можно настраивать в каждом PSO.
• Администраторы домена или пользователи с делегированными разрешениями могут создавать и назначать объекты PSO в центре администрирования Active Directory или с помощью PowerShell. Подробный порядок настройки представлен на этой веб-странице.
• Объекты PSO FGPP применимы только к объектам пользователей и глобальным группам безопасности.
• Когда FGPP применяется к набору пользователей или глобальным группам безопасности в домене, политика паролей домена по умолчанию больше не применяется к этим объектам.
• FGPP можно использовать в случаях, когда учетные записи пользователей, получающие доступ к конфиденциальным данным или синхронизированные с несколькими источниками конфиденциальных данных, требуют более строгих политик паролей и блокировки учетных записей.

Недостатки FGPP

• FGPP не в полной мере соответствует термину "детальная", поскольку она неприменимы к подразделениям.
• Она не развертывается с использованием объектов групповой политики и вступает в силу для пользователей только на основании их членства в группах.
• Применение и управление несколькими FGPP может оказаться непростой задачей из-за сложностей, связанных с отслеживанием назначенных политик.
• Из-за ограниченных настроек паролей и блокировки учетных записей FGPP не может обеспечить соответствие требованиям к паролям, таким как в стандартах паролей NIST.
• FGPP не может предотвратить сложные современные атаки на пароли, такие как атаки по словарю и атаки методом подбора.

Как ADSelfService Plus защищает пароли и идентификационные данные

ADSelfService Plus предлагает средство принудительного применения политики паролей, которое помогает сотрудникам организации задавать сложные пароли, соответствующие требованиям NIST, которые практически невозможно взломать. С помощью ADSelfService Plus можно применять настраиваемые политики паролей, которые с легкостью интегрируются со встроенными политиками паролей Active Directory, обеспечивая более детальный контроль, чем последние. Такие настраиваемые политики паролей предоставляют множество сложных настроек паролей, включая ограничения на использование слов из пользовательского словаря, палиндромов и повторений символов.

• Запретить символы: эти параметры политики паролей включают обязательное использование определенного количества специальных символов, цифр и символов Юникода. также можно задать тип символа, с которого должен начинаться пароль.

  

• Запретить повторения: эти настройки ограничивают использование последовательных символов из имен пользователей или предыдущих паролей. Последовательное повторение одного и того же символа также может быть ограничено.

  

• Запретить наборы символов: настройки на этой вкладке ограничивают использование слов, шаблонов и палиндромов из пользовательского словаря в паролях. Можно настроить пользовательские шаблоны регулярных выражений, которым должны соответствовать пароли пользователей, что позволит определить точные требования к паролям для вашей организации.

  

• Запретить длину: эти правила позволяют установить минимальное и максимальное количество символов для пароля.

  

Все еще сомневаетесь, стоит ли вашей организации попробовать ADSelfService Plus? Вот почему не стоит медлить:

Средство принудительного применения политики паролей ADSelfService Plus дает следующие преимущества:

• Помогает пользователям выбирать надежные пароли
• Поощряет использование парольных фраз
• Реализует детальные политики паролей
• Анализирует надежность пароля
• Обеспечивает повсеместное соблюдение политики
• Обеспечивает соответствия требованиям
• Повышает удобство работы пользователей

Усильте киберзащиту своего бизнеса с помощью ADSelfService Plus - решения по защите персональных данных с функцией самостоятельного управления паролями, MFA и SSO, которое помогает вашим сотрудникам применять передовые методы работы с паролями.