מדיניות סיסמאות בGPO


מתחילים באבטחת מידע? רוצים להקשיח כניסה ובקרת משתמשים? מתכוננים לכניסת GDPR לארגון? המדריך הבא בשבילכם:

אבטחת מידע- מכאן הכל מתחיל

אחד הדברים הבסיסיים בארגונים קטנים/בינוניים הוא הצורך באבטחת המידע, באמצעות הקשחה מתאימה וקלה היום, אפשר לחסוך כאבי ראש לעתיד.

לעתים קרובות אחד הדברים הראשונים שלא נאכפים או לא מופעלים הן ההגדרות ברמת הGPO.

אלו דברים שבארגון המכבד את עצמו הם מה שנקרא: "אלף בית של גימל דלת".

גם אם חרב ה-GDPR לא מונפת על ראש ארגונכם, או אם תקן ISO ממש לא בראש מעיינותיכם, עדיין יש כאן אמירה קריטית באבטחת מידע. ניתן לקרוא כאן עוד על כללי ונהלי אבטחת מידע בארגון.

מתחילים

בשרת שלנו יש כלי שנקרא Group Policy Management

מגיעים אליו דרך הקלקה על כפתור חלונות/התחל, ואז על Administrative Tools:

שרת Windows Server 2012R2 בגרסת טרמינל

בחלון שנפתח נקליק על Group Policy Management:

Group Policy Management

חלון הGPO נראה כך:

GPO

פתחו את שם השרת (קליק על החץ משמאל לשם השרת), ובצעו קליק ימני על Default Domain Policy ואז על Edit:

קליק ימני על שם השרת ואז על Edit

בחלון שנפתח נווטו אל:

Computer Configuration – > Windows Settings -> Security Settings -> Account Policies -> Password Policy

Password Policy

כפי שניתן לראות ניתן לשנות כאן:

לאכוף את היסטוריית הסיסמאות

הגדרת אבטחה זו קובעת את מספר הסיסמאות החדשות שמשתמש יוכל ליצור, לפני שיוכל לחזור עליהן שוב. הערך חייב להיות בין 0 ל -24 סיסמאות.

מדיניות זו מאפשרת לאנשי IT לשפר את האבטחה על ידי הבטחת סיסמאות ישנות, על ידי מניעה מהמשתמשים לחזור עליהן שוב ושוב ברציפות.

הערה: כברירת מחדל, מחשבים שואבים את התצורה המוגדרת מה-DC שלהם.

גיל סיסמה מירבי

הגדרת אבטחה זו קובעת את פרק הזמן (בימים) שניתן להשתמש בסיסמה לפני שהמערכת מחייבת את המשתמש לשנות אותה. אפשר להגדיר סיסמאות שיפוג תוקפן לאחר מספר ימים, בין 1 ל 999, או להגדיר שסיסמאות לעולם לא יפוגו- על ידי הגדרת מספר הימים ל 0.

אם גיל הסיסמה המרבי הוא בין 1 ל 999 ימים, גיל הסיסמה המינימלי חייב להיות פחות מגיל הסיסמה המרבי. אם גיל הסיסמה המרבי מוגדר כ-0, גיל הסיסמה המינימלי יכול להיות כל ערך בין 0 ל- 998 ימים.

הערה: זוהי שיטה מומלצת לאבטחה שתוקף הסיסמאות יפוג כל 30 עד 90 יום, תלוי בארגון. בדרך זו, לתוקף יש פרק זמן מוגבל לפיצוח סיסמת המשתמש ולקבל גישה למשאבי הרשת שלך.

גיל סיסמה מינימלי

הגדרת אבטחה זו קובעת את פרק הזמן (בימים) שיש להשתמש בסיסמה לפני שהמשתמש יכול לשנות אותה. אפשר להגדיר ערך בין 1 ל- 998 ימים, או להגדיר שינויים שיבוצעו מיד על ידי הגדרת מספר הימים ל-0.

גיל הסיסמא המינימלי חייב להיות פחות מגיל הסיסמה המרבי, אלא אם כן גיל הסיסמה המקסימלי מוגדר כ-0, מה שיוביל לכך שסיסמאות לעולם לא יפוגו.

כדאי לקבוע את גיל הסיסמה המינימלי כך שיהיה יותר מ-0 על מנת לאכוף את היסטוריית הסיסמאות. ללא גיל סיסמה מינימלי, משתמשים יכולים לעבור על סיסמאות שוב ושוב.

הערה: אם היסטוריית הסיסמאות מוגדרת על 0, המשתמש אינו צריך לבחור סיסמה חדשה.

אורך סיסמה מינימלי

הגדרת אבטחה זו קובעת את מספר התווים הנמוך ביותר שסיסמת משתמש חייבת להכיל. הערך הוא בין 1 ל 14 תווים. תוכל גם לקבוע כי אין צורך בסיסמה על ידי הגדרת מספר התווים ל 0.

מורכבות סיסמה

אם מדיניות זו מופעלת, סיסמאות חייבות לעמוד בדרישות המינימום הבאות:

  • אין להכניס שם פרטי או חלקים משמו המלא של המשתמש בסיסמה.
  • על הסיסמה להיות בעלת 6 תווים לפחות.
  • הסיסמה חייבת להכיל אותיות גדולות באנגלית (A עד Z)
  • חייבת להכיל אותיות קטנות באנגלית (a עד z)
  • חייבת להכיל 10 ספרות (0 עד 9) לפחות.
  • חייבת להכיל תווים מיוחדים (לדוגמה: ,!, $, #,%@).

אחסון סיסמאות באמצעות הצפנה הפוכה

מדיניות זו מספקת תמיכה ביישומים המשתמשים בפרוטוקולים הדורשים הכרת סיסמת המשתמש לצרכי אימות.

מדיניות זו נדרשת בעת שימוש באימות Challenge-Handhake Authentication Protocol (CHAP) באמצעות גישה מרחוק או שירותי אימות אינטרנט (IAS). זה נדרש גם בעת אימות Digest בשירותי מידע באינטרנט (IIS).
ברירת מחדל: מושבתת.

הערה: אין להפעיל הגדרה זו

בהמשך נרחיב גם על מדיניות נעילת חשבונות משתמשים


en_US
he_IL en_US