我最常见的一个问题是:对于那些并不关心安全的用户来说,应该如何去实施强化密码?毫无疑问,在广泛寻求利用不义之财的威胁中,弱密码是最大的漏洞之一。不幸的是,管理人员或其他员工设置的密码策略往往让许多人陷入困境。
查看Active Directory中一些长期存在的组策略对象(Group Policy Objects),很多人的设置都有问题。他们认为设置越严格越好,但情况并不总是这样。例如,下面的这种Active Directory策略设置是很罕见的:
•强制密码历史:730天
•密码最长使用效期:30天
•密码长度最小值:10字节
•密码必须符合复杂性要求:开启
•账户锁定阀值:3次无效登陆
对于在IT行业工作了几年的人来说,每个月设置复杂密码的工作量并不大。归根到底,我们(通常)知道如何创建牢固的密码并且常常使用密码管理器来保持它们的强度。将我们自己的个性设置强加给用户,这样的策略都是很荒谬的。最根本的问题是我们很容易认为用户知道该做什么并且放任他们去做,或者认为他们只能自己处理,毕竟这跟安全有关。
许多跟我交谈过的用户无法领悟有关如何创建复杂口令培训的第二重意义。没人会教给他们设置超级容易记住的口令,并且不需要每隔6-12个月进行更改(例如,Great_year2015!)。Active Directory密码策略设置和培训往往是后期才会想到的,因为许多人认为在基础之上需要更多的安全策略。我一直认为这不符合真实性并且越来越多的研究支持这一理论。。
当你努力让你的企业密码更有弹性时,注意不要只关注域密码。Windows环境里还有其他值得关注的重要系统,这些系统往往没有强密码策略,比如:
•本地Windows账户可以不受域密码策略管理(常见的忽略)。
•SQL Server数据库以标准认证方式运行(非域环境)。
•虚拟机,包括开发、QA和分期系统没有加入企业域环境,但是数据库仓库仍然可以产生数据和接收内部访问。
•网站和应用可以连接到内部和外部。
•防火墙、路由器和网络相关的基础架构系统。
最后,密码标准和策略应该全面标准化和策略化的应用。Windows Server或非Windows Server,所设置的较弱密码会在你的网络环境中制造麻烦。要在来年制定出更好的密码。首先,确定风险在哪里,你可能已经知道了弱点在哪里,因此不必要执行正式的评估或审计。如果不是,你可以使用常用的漏洞扫描工具Nexpose和LanGuard。假如你只是想扫描Windows系统,微软的免费MBSA工具(现在是2.3版本,支持Windows Server 2012 R2系统)是一个不错的选择。也有密码破解专用工具,如Elcomsoft和l0phtcrack,可以深层次发现并且展示出你的系统弱势在哪里。
一旦决定你的密码标准,立刻调整标准和部署策略,使其能够正确按照你的想法来完成工作。最后,使用Active Directory或者一个第三方的密码和Active Directory审计工具,比如使用Avatier、ManageEngine和Netwrix来加强你的密码。记住,在你的密码标准和策略的制定完成前,如果开始创建规则外的某个组成员和整个企业系统,那就是麻烦接踵而来的时刻。