Как проверить требования к паролю в Active Directory

Active Directory (AD) через свой объект групповой политики (GPO) предлагает политики паролей домена по умолчанию и детальные политики паролей, чтобы обеспечить соблюдение требований к создаваемым паролям и гарантировать, что они достаточно сложные и надежные, чтобы предотвратить взлом. Политика паролей домена по умолчанию распространяется на всех пользователей в одном домене, в то время как детальные политики паролей могут быть созданы для нескольких групп в домене.

Политика паролей групповой политики домена Active Directory состоит из следующих восьми параметров:

• Журнал паролей: установите количество новых паролей, которые необходимо использовать, прежде чем можно будет повторно использовать старый пароль.
• Максимальный срок действия пароля: укажите максимальное количество раз, которое можно использовать пароль, прежде чем его изменение станет обязательным.
• Минимальный срок действия пароля: укажите минимальное количество раз использования пароля для его смены.
• Минимальная длина пароля: укажите минимальное количество символов, которое должен содержать пароль.
• Пароль должен соответствовать требованиям к сложности: для соблюдения этого требования необходимо обеспечить соответствие следующим правилам:
  • Пароль не должен содержать имя учетной записи пользователя или части полного имени пользователя, превышающие по длине два последовательных символа.
  • Длина должна быть не менее шести символов.
  • Пароль должен содержать цифры и символы, состоящие из заглавных и строчных букв или из обоих регистров.
• Использовать обратимое шифрование для хранения паролей: разрешить расшифровку паролей, сохраненных в шифрованном виде.
• Аудит минимальной длины пароля: определите минимальную длину пароля, при которой будет выдаваться предупреждение, и не допускайте использования коротких паролей.
• Допустимая минимальная длина пароля: управление тем, может ли максимальный предел минимальной длины пароля быть увеличен сверх устаревшего ограничения в 14 символов.

Как проверить требования к паролю Active Directory для пользователя?

Windows PowerShell предлагает самый быстрый способ просмотра требований к паролю, применимых к пользователю, с помощью командлетов в модуле Active Directory. Вот два командлета, которые отображают политику паролей домена по умолчанию и детальную политику паролей, примененную к домену:

• Get-ADDefaultDomainPasswordPolicy: отображает политику паролей домена по умолчанию, управляющую учетной записью пользователя.
• Get-ADFineGrainedPasswordPolicy: отображает детальную политику паролей, управляющую учетной записью пользователя.

Ограничения общих политик паролей Active Directory

Политики паролей, предлагаемые Active Directory, довольно примитивны. Создание паролей с помощью PowerShell - процесс, выполняемый вручную и подверженный ошибкам, вызванным человеческим фактором. Кроме того, пароли, созданные с помощью PowerShell, не могут противостоять современным методам взлома паролей. Вызов PowerShell каждый раз, когда пользователь хочет просмотреть требования политики паролей, может оказаться довольно утомительным процессом.

ManageEngine ADSelfService Plus - решение для защиты удостоверений с многофакторной аутентификацией, единым входом и возможностями самостоятельного управления паролями - предлагает расширенные требования к паролям Active Directory, которые обеспечивают преимущества по сравнению со стандартными политиками паролей Active Directory:

• Политику паролей можно применять как к определенным организационным подразделениям, так и к доменам и группам.
• Слова, шаблоны и палиндромы из словаря могут быть ограничены.
• Использование символов Юникода может быть обязательным.
• Последовательное повторение одного и того же символа, а также строки символов из старых паролей и имен пользователей могут быть запрещены.
• Для определенных типов символов можно задать минимальное количество.

Эти расширенные требования к сложности пароля могут применяться к следующим операциям:

• Изменение пароля с помощью экрана CTRL+ALT+DEL
• Сброс пароля ИТ-администраторами с помощью портала "Пользователи и компьютеры" в Active Directory
• Самостоятельный сброс паролей и изменение паролей для Active Directory и корпоративных приложений через Интернет с помощью портала ADSelfService Plus

Это решение также предоставляет возможность отображать политику паролей, созданную во время описанных выше случаев изменения и сброса пароля. Таким образом, пользователи информируются о требованиях к паролю, которые им необходимо соблюдать при его создании.

Требования к сложности пароля - не единственное решение для защиты цифровых идентификационных данных. Кража паролей с помощью таких методов, как фишинг, стала более распространенной, и проверка цифровых идентификационных данных не может зависеть исключительно от учетных данных. Многофакторная аутентификация - важное решение, гарантирующее, что идентификационные данные пользователя не подвергнуться краже учетных данных и атакам. ADSelfService Plus предлагает многофакторную аутентификацию с использованием 19 различных методов аутентификации, включая биометрическую аутентификацию, одноразовый пароль на основе времени и аппаратную аутентификацию. Многофакторную аутентификацию можно применять при входе на конечные точки, такие как компьютеры, виртуальные частные сети, Outlook Web Access и облачные приложения. Она также используется для безопасного самостоятельного сброса паролей и изменения паролей через веб-интерфейс с помощью продукта.

Возможности ADSelfService Plus

• Самостоятельный сброс паролей и разблокирование учетных записей
• Многофакторная аутентификация
• Корпоративный единый вход
• Синхронизация паролей
• Политики условного доступа
• Средство принудительного применения политики паролей
• Уведомление об истечении срока действия пароля
• Самостоятельное управление каталогами
• Подписка на почтовые группы
• Поиск сотрудников и организационная структура