Untuk memastikan tingkat keamanan yang tinggi untuk akun dalam domain Active Directory, administrator perlu mengonfigurasi dan menerapkan kebijakan kata sandi yang menyediakan kompleksitas, panjang kata sandi, dan frekuensi perubahan kata sandi yang cukup untuk pengguna dan akun layanan. Dengan demikian, adalah mungkin untuk mempersulit penyerang kemampuan untuk memilih atau memotong kata sandi pengguna.
Secara default, dalam domain AD, persyaratan seragam untuk kata sandi pengguna dikonfigurasikan menggunakan kebijakan grup. Kebijakan kata sandi akun domain dikonfigurasikan dalam kebijakan Kebijakan domain default.
- Untuk mengonfigurasi kebijakan kata sandi, buka konsol manajemen domain GPO (Konsol manajemen kebijakan grup - gpmc.msc).
- Perluas domain Anda dan temukan kebijakannya Kebijakan domain default. Klik kanan padanya dan pilih Edit.
- Kebijakan kata sandi ada di bagian editor GPO berikut: Konfigurasi Komputer -> Konfigurasi Windows -> Pengaturan Keamanan -> Kebijakan Akun -> Kebijakan Kata Sandi (Konfigurasi komputer-> Pengaturan Windows-> Pengaturan Keamanan -> Kebijakan Akun -> Kebijakan Kata Sandi).
- Untuk mengedit pengaturan kebijakan yang diinginkan, klik dua kali padanya. Untuk mengaktifkan kebijakan, centang kotak. Tetapkan pengaturan kebijakan ini dan tentukan pengaturan yang diperlukan (dalam contoh di tangkapan layar, saya menetapkan panjang kata sandi pengguna minimum menjadi 8 karakter). Simpan perubahan.
- Pengaturan kebijakan kata sandi baru akan diterapkan ke semua komputer domain di latar belakang untuk beberapa waktu (90 menit), ketika komputer dinyalakan, atau Anda dapat langsung menerapkan pengaturan dengan menjalankan perintah gpupdate / force.
Sekarang pertimbangkan semua pengaturan manajemen kata sandi yang tersedia untuk konfigurasi. Ada enam kebijakan kata sandi secara total:
- Menyimpan log kata sandi (Menerapkan riwayat kata sandi) - menentukan jumlah kata sandi lama yang disimpan dalam AD, mencegah pengguna menggunakan kembali kata sandi lama.
- Usia kata sandi maksimum - menentukan masa berlaku kata sandi dalam beberapa hari. Setelah periode ini sistem akan meminta pengguna untuk mengubah kata sandi. Memberikan perubahan kata sandi reguler untuk pengguna.
- Usia kata sandi minimum - seberapa sering pengguna dapat mengubah kata sandi mereka. Parameter ini tidak akan memungkinkan pengguna untuk mengubah kata sandi beberapa kali berturut-turut untuk kembali ke kata sandi lama favorit dengan menimpa kata sandi dalam log Riwayat Kata Sandi. Sebagai aturan, ada baiknya meninggalkan 1 hari di sini untuk memungkinkan pengguna untuk mengubah kata sandi sendiri jika ia dikompromikan (jika tidak, administrator harus mengubah kata sandi).
- Panjang kata sandi minimum - Tidak disarankan untuk membuat kata sandi lebih pendek dari 8 karakter (jika Anda menentukan 0 di sini, maka kata sandi tidak diperlukan).
- Kata sandi harus memenuhi persyaratan kompleksitas - ketika kebijakan ini diaktifkan, pengguna dilarang menggunakan nama akunnya di kata sandi (tidak lebih dari dua karakter berturut-turut dari nama pengguna atau Nama Depan), juga kata sandi harus menggunakan 3 jenis karakter dari daftar berikut: angka (0 - 9), karakter huruf besar, huruf kecil, karakter khusus ($, #,%, dll.). Selain itu, untuk mengecualikan penggunaan kata sandi sederhana (dari kamus kata sandi populer), disarankan untuk mengaudit kata sandi akun domain secara berkala..
- Simpan kata sandi menggunakan enkripsi yang dapat dibalik - kata sandi pengguna dalam database AD disimpan dalam bentuk terenkripsi, tetapi dalam beberapa kasus beberapa aplikasi perlu menyediakan akses ke kata sandi dalam domain. Ketika Anda mengaktifkan kebijakan ini, kata sandi disimpan dalam bentuk yang kurang aman (pada dasarnya terbuka), yang tidak aman (Anda dapat mengakses basis data kata sandi ketika DC dikompromikan, Anda dapat menggunakan RODC sebagai salah satu langkah perlindungan).
Selain itu, Anda perlu menyorot pengaturan secara terpisah di bagian GPO: Kebijakan Kata Sandi Penguncian Akun:
- Ambang Batas Akun - berapa banyak upaya untuk memasukkan kata sandi yang salah yang dapat dilakukan pengguna sebelum akunnya diblokir.
- Durasi Penguncian Akun - berapa lama untuk memblokir akun (memblokir akses) jika pengguna telah memasukkan kata sandi yang salah beberapa kali.
- Waktu hingga reset counter penguncian akun setelah - berapa menit setelah kata sandi salah yang terakhir dimasukkan, penghitung Penguncian Akun akan diatur ulang. Jika akun diblokir terlalu sering, Anda dapat menemukan sumber kuncinya sehingga.
Pengaturan kebijakan kata sandi domain AD standar tercantum dalam tabel:
Politik | Nilai standar |
Terapkan sejarah kata sandi | 24 kata sandi |
Usia kata sandi maksimum | 42 hari |
Usia kata sandi minimum | 1 hari |
Panjang kata sandi minimum | 7 |
Kata sandi harus memenuhi persyaratan kompleksitas | Termasuk |
Simpan kata sandi menggunakan enkripsi yang dapat dibalik | Tidak aktif |
Durasi penguncian akun | Tidak ditentukan |
Ambang batas penguncian akun | 0 |
Setel ulang penghitung penguncian akun setelah | Tidak ditentukan |
Hanya ada satu kebijakan kata sandi seperti itu dalam domain yang diterapkan ke root domain (tentu saja ada nuansa, tetapi lebih pada mereka di bawah). Jika Anda menerapkan kebijakan kata sandi pada OU, pengaturannya akan diabaikan. Pengontrol domain, pemilik peran FSMO PDC Emulator, bertanggung jawab untuk mengelola kebijakan kata sandi domain. Kebijakan berlaku untuk komputer domain, bukan pengguna. Untuk mengedit pengaturan Kebijakan Domain Default, Anda harus memiliki hak administrator domain.
Pengaturan kebijakan grup manajemen kata sandi berlaku untuk semua pengguna dan komputer dalam domain. Jika Anda perlu membuat kebijakan kata sandi terpisah untuk grup pengguna yang berbeda, Anda harus menggunakan fungsionalitas Kebijakan Sandi Butir-Butir terpisah yang muncul di AD Windows Server 2008. Kebijakan kata sandi granular memungkinkan Anda menentukan, misalnya, peningkatan panjang atau kompleksitas kata sandi untuk akun administrator (lihat artikel tentang melindungi akun administratif dalam AD), atau sebaliknya, menyederhanakan (menonaktifkan) kata sandi untuk beberapa akun.
Dalam kelompok kerja, kebijakan kata sandi harus dikonfigurasi pada setiap komputer secara terpisah menggunakan editor GPO lokal - gpedit.msc, atau Anda dapat mentransfer pengaturan untuk GPO lokal di antara komputer seperti ini.