# Programvara för självbetjänad lösenordsåterställning för Active Directory och företagsapplikationer

## Vad är CJIS?

Criminal Justice Information Services Division (CJIS) är en avdelning inom Federal Bureau of Investigation i USA som fastställer standarder och lämpliga kontroller för att skydda, överföra, lagra och få tillgång till information om brottmål (CJI). CJIS gör det möjligt för brottsbekämpande personal att få tillgång till och dela kritisk CJI, inklusive biometri, identitetshistorik och ärendehistorik. Alla organisationer som har tillgång till CJI i någon av dess former måste se till att de följer de föreskrivna CJIS-reglerna.

## Vilka lösenordskrav gäller för CJIS?

Organisationer måste tillämpa de senaste lösenords- och autentiseringskraven som nämns i CJIS säkerhetspolicy v5.9.1 för att uppfylla CJIS krav. I följande tabell anges dessa krav och förklaras hur ADSelfService Plus hjälper din organisation att uppfylla dem.

| CJIS krav | Beskrivning av dina behov | Så hjälper ADSelfService Plus dig att uppfylla kraven |
|---|---|---|
| Avsnitt 5.5.2.2 | **Kontroll av systemåtkomst**<br>Förhindra flera samtidiga aktiva sessioner för en användaridentifiering, för de applikationer som har åtkomst till CJI, såvida inte byrån ger behörighet baserat på operativa affärsbehov. | ADSelfService Plus förhindrar att en och samma användare har flera aktiva sessioner samtidigt. |
| Avsnitt 5.5.2.2 | **Kontroll av systemåtkomst**<br>Se till att endast behörig personal kan lägga till, ändra eller ta bort komponentenheter, uppringda anslutningar och ta bort eller ändra program. | ADSelfService Plus utför identitetsverifiering med hjälp av starka autentiseringsfaktorer innan auktoriserade användare tillåts ändra nödvändiga inställningar i systemet. |
| Avsnitt 5.5.3 | **Misslyckade inloggningsförsök**<br>Om det är tekniskt möjligt skall systemet upprätthålla en gräns på högst fem på varandra följande ogiltiga åtkomstförsök av en användare (som försöker få tillgång till CJI eller system med tillgång till CJI). Systemet ska automatiskt låsa kontot i tio minuter om det inte frigörs av en administratör. | Med ADSelfService Plus kan du konfigurera antalet misslyckade inloggningsförsök som tillåts för användare inom en viss tid. Du kan också konfigurera hur länge spärren ska gälla och om administratören måste ingripa för att låsa upp användare. |
| Avsnitt 5.5.6 | **Fjärråtkomst**<br>Myndigheten ska godkänna, övervaka och kontrollera alla metoder för fjärråtkomst till informationssystemet. | ADSelfService Plus tillhandahåller MFA för fjärråtkomstsessioner, som kan tillämpas antingen på klient- eller målmaskinnivå. Den använder starka autentiserare som biometri, YubiKey och TOTP. |
| Avsnitt 5.6.1 | **Policy och rutiner för identifiering**<br>Varje person som är behörig att lagra, bearbeta och/eller överföra CJI ska vara unikt identifierad. En unik identifiering krävs också för alla personer som administrerar och underhåller de system som ger tillgång till CJI eller nätverk som används för CJI-transitering. | ADSelfService Plus lagrar och identifierar varje användare på ett unikt sätt och tilldelar autentiserare individuellt för varje användare. Det är förbjudet att dela autentiseringsfaktorer mellan flera användare. |
|  | **Grundläggande standarder för lösenord**<br>CJIS erbjuder både grundläggande och avancerade lösenordsstandarder, vilket gör det möjligt för organisationer att välja den som bäst passar deras behov. Följande är de grundläggande lösenordsstandarder som CJIS har listat. |  |
| Avsnitt 5.6.2.1.1.1 | Lösenord ska vara minst åtta tecken långa för alla system. | Med ADSelfService Plus Verkställare av lösenordspolicyer kan du anpassa den minsta lösenordslängden till åtta tecken eller mer, beroende på dina krav. Du kan också anpassa den maximala lösenordslängden efter behov. |
| Avsnitt 5.6.2.1.1.1 | Lösenord får inte vara ordboksord eller egennamn. | Med ADSelfService Plus kan du hindra användare från att använda ordboksord, palindromer och förutsägbara mönster när de skapar nya lösenord. Genom att integrera med Have I Been Pwned?, en databas med lösenord som har äventyrats, säkerställer det att dina användare inte anger svaga eller äventyrade lösenord vid återställning och ändring av lösenord. |
| Avsnitt 5.6.2.1.1.1 | Lösenord får inte vara samma som användar-ID. | Med ADSelfService Plus kan du hindra användare från att använda upprepade tecken eller tecken i följd från användarnamn och gamla lösenord när de skapar nya lösenord. |
| Avsnitt 5.6.2.1.1.1 | Lösenord ska upphöra att gälla inom högst 90 kalenderdagar. | ADSelfService Plus erbjuder anpassningsbara aviseringar om lösenordets utgång som kan schemaläggas för att påminna användarna om att lösenordet snart kommer att upphöra att gälla var 90:e dag. |
| Avsnitt 5.6.2.1.1.1 | Lösenorden får inte vara identiska med de föregående tio lösenorden. | Med ADSelfService Plus kan du ange hur många tidigare lösenord som en användare inte kan upprepa när han eller hon väljer ett nytt lösenord. |
| Avsnitt 5.6.2.1.1.1 | Lösenord ska inte visas när de matas in. | ADSelfService Plus visar inte lösenord som standard när de anges, men ger användarna möjlighet att visa dem om så krävs. |
|  | **Avancerade standarder för lösenord**<br>Följande är de avancerade lösenordsstandarder som listas av CJIS. |  |
| Avsnitt 5.6.2.1.1.2 | Lösenord ska bestå av minst tjugo tecken utan några ytterligare krav på komplexitet (t.ex. ASCII-tecken, emojis, alla tangentbordstecken och mellanslag accepteras). | Med ADSelfService Plus kan du anpassa den minsta lösenordslängden till tjugo tecken eller mer, beroende på dina behov. |
| Avsnitt 5.6.2.1.1.2 | Lösenordsverifierare får inte tillåta användning av en lagrad “ledtråd” för bortglömda lösenord eller uppmana användare att välja specifika typer av information när de skapar ett lösenord. | ADSelfService Plus kan konfigureras att inte ge lösenordshintar till användare under identitetsverifiering. |
| Avsnitt 5.6.2.1.1.2 | Verifierare ska upprätthålla en lista över “förbjudna lösenord” som innehåller värden som är kända för att vara allmänt använda, förväntade eller komprometterade. Listan kan till exempel innehålla, men är inte begränsad till:<br><ul><li>Lösenord som erhållits från tidigare intrång</li><li>Ordlista</li><li>Upprepade eller sekventiella tecken (t.ex. “aaaaaa”, “1234abcd”)</li><li>Kontextspecifika ord, t.ex. namnet på tjänsten, användarnamnet och avledningar därav</li></ul><br>När användare skapar, ändrar eller återställer lösenord ska kontrollanterna jämföra de föreslagna lösenorden med listan över “förbjudna lösenord” och uppmana användarna att välja ett annat lösenord om det finns en matchning. | Med ADSelfService Plus kan du hindra användare från att använda ordboksord, palindromer, förutsägbara mönster, upprepade tecken och tecken i följd från användarnamn och gamla lösenord när de skapar nya lösenord. Genom att integrera med Have I Been Pwned?, en databas med lösenord som har äventyrats, säkerställer det att dina användare inte anger svaga eller äventyrade lösenord vid återställning och ändring av lösenord. |
| Avsnitt 5.6.2.1.1.2 | Verifierare ska tvinga fram ett lösenordsbyte varje år eller om det finns bevis för att en autentiserare har äventyrats. | ADSelfService Plus uppmuntrar inte till frekventa eller periodiska lösenordsbyten för slutanvändare, men gör det möjligt för administratörer att utlösa en automatisk återställning av lösenord för användare med potentiellt komprometterade lösenord. |
| Avsnitt 5.6.2.2 | När användarbaserade certifikat, t.ex. smartkort, mjukvarutokens, hårdvarutokens, biometriska system och PKI-certifikat (Public Key Infrastructure), används för autentisering måste de tilldelas enskilda användare och får inte delas mellan flera användare. | ADSelfService Plus tilldelar autentiseringsfaktorer, t.ex. säkerhetstoken, smartkort och PKI-certifikat, unikt till enskilda användare och förbjuder att de delas mellan flera användare. |

## Förenkla efterlevnaden av CJIS med ADSelfService Plus

ADSelfService Plus erbjuder en stark lösenordspolicy och MFA-inställningar som säkerställer att ditt företag uppfyller kraven i CJIS. Du kan skapa en anpassad lösenordspolicy som uppfyller alla CJIS-krav och genomdriva den för alla eller specifika AD-användare baserat på deras domän-, OU- eller gruppmedlemskap. Nedan visas några av de inställningar som ADSelfService Plus Verkställare av lösenordspolicyer erbjuder:

1. **Förbjud ordboksord och mönster:** Blockera läckta eller svaga AD-lösenord samt mönster, ordboksord och palindromer.
2. **Begränsa tecken från användarnamn:** Begränsa specifika eller upprepade tecken från ett användarnamn.
3. **Framtvinga lösenordshistorik:** Säkerställ lösenordets styrka genom att förhindra att tidigare lösenord används vid återställning och ändring av lösenord.
4. **Ange en anpassad lösenordslängd:** Kräv längre lösenord för AD-användare genom att ange den minsta lösenordslängden.
5. **Öka lösenordets styrka:** Begränsa användarna från att använda kopiera och klistra in i lösenordsfältet. Hjälp användarna att välja starka lösenord med hjälp av Password Strength Analyzer, som visar lösenordets styrka.
6. **Obligatoriskt MFA för användare:** Säkra användarnas åtkomst till kortinnehavardata genom att aktivera adaptiv MFA för slutpunkter, t.ex. för maskininloggningar, applikationsinloggningar, VPN-inloggningar, RDP-inloggningar och OWA-inloggningar. Välj mellan 20 olika MFA-autentiserare, inklusive FIDO-lösennycklar och biometri för att verifiera användarnas identiteter.

![A screenshot of the Password Policy Enforcer feature in ADSelfService Plus](https://cdn.manageengine.com/sites/meweb/images/se/self-service-password/images/password-policy-feature-adssp.png)

**Figure 1. The Password Policy Enforcer feature in ADSelfService Plus.**

Uppfyll CJIS lösenordskrav genom att konfigurera minsta lösenordslängd och inkludering av alfanumeriska tecken i lösenord.  
Begränsa användarna från att återanvända sina tidigare lösenord när de skapar nya lösenord.  
Välj det minsta antal komplexitetskrav som användarnas lösenord ska uppfylla enligt organisationens säkerhetsbehov.

![A screenshot showing the variety of authentication factors available in ADSelfService Plus](https://cdn.manageengine.com/sites/meweb/images/se/self-service-password/images/authentication-factors-list-adssp.png)

Välj mellan 20 olika autentiserare för att verifiera dina användares identiteter.  
Uppfyll CJIS-kraven genom att säkra alla slutpunkter i ditt nätverk med hjälp av MFA.

## Fördelar med att använda ADSelfService Plus för att uppfylla kraven i CJIS

- **Verkställ OU och gruppbaserade policyer:**  
  Granulärt genomdriva flera lösenordspolicyer i samma AD-domän baserat på OU- och gruppmedlemskap.
- **Ökad säkerhet för lösenord:**  
  Tillämpa lösenfraser och begränsa upprepningen av tecken från gamla lösenord och användarnamn.
- **Meddela användare om lösenordets giltighetstid:**  
  Använd anpassade aviseringar om lösenordets utgång och se till att användarna ändrar sina lösenord i tid.
- **Skapande av anpassade mallar:**  
  Skapa flera lösenordspolicyer som uppfyller kraven i pCI DSS-, HIPAA-, NIST SP 800-63B-, SOX- och CJIS-standarder.