评论:Specops 密码策略

Specops 密码策略 是克服 Microsoft Active Directory 环境中存在的默认密码策略限制的强大工具。公平地说,多年来,微软确实修改和升级了默认密码策略,并引入了额外的、精细的微调选项,但对于一些企业环境来说仍然不够,所以 Specops 密码策略来救援!

安装

出于本次审查的目的,安装是在包含所有必要服务的服务器上完成的:Specops Sentinel – 安装在所有域控制器上的密码过滤器,以及 Specops 密码策略管理工具。请记住,如果需要,可以将其拆分到不同的服务器上。如果您购买了 违反密码保护,则还需要安装 Specops Arbiter。

设置过程很顺利,您可以在一小时内启动并运行。从下图中可以看出,标准要求是适度的,对于需要此类解决方案的任何企业环境来说都不是问题。

Specops 密码政策审查

图 1. Specops 密码策略最低要求

密码策略模板

当您开始使用 Specops 密码策略域管理时,您会注意到四个预定义的密码策略模板可供您选择:

Specops 密码政策审查

图 2. Specops 密码策略域管理,包括默认模板

这些模板便于快速设置,但自然而然,您可以通过自定义将它们提升到另一个级别。如果您在需要满足特定监管标准的环境中工作,提供的模板可以成为救星。即使您不能或不想使用这些策略,您也可以将它们用作基础来加强您的策略或创建与您的环境兼容的策略。

让我们创建一个新的空白策略来看看这个过程是什么样的。创建一个将带您进入组策略编辑器:

Specops 密码政策审查

图 3. 组策略编辑器中的 Specops 密码策略

如果您觉得它很熟悉,那是因为它与您在 Active Directory 中更改默认密码策略的环境相同。这里的一个主要区别是 Specops 密码策略将密码设置应用于组策略的用户部分而不是计算机。这更有意义,因为通常设置错误密码的是用户而不是机器。

在测试了选项并思考这如何适合我的网络之后,我不得不赞扬 Specops 没有不必要地使事情复杂化并选择使用大多数系统管理员熟悉的工作流程。

密码短语

当我在组策略编辑器中打开 Specops 密码策略时,我惊喜地发现它支持使用密码短语。更重要的是,它还提供处理它们的帮助(Active Directory 没有的东西)。您可以使用正则表达式来定义密码对您的组织意味着什么,即 3 个单词,每个单词至少有 6 个字符,不应重复任何单词,不应使用任何模式 111111 222222 等。

Specops 密码政策审查

图 4、5. 密码支持和密码选项

常规设置菜单为习惯在 Active Directory 环境中使用组策略编辑器的任何人提供熟悉的设置。这里一个巧妙的补充是“客户端消息”选项,它允许您创建自定义消息,以便在不满足密码策略要求的情况下显示在 Active Directory 登录屏幕上。

Specops 密码政策审查

图 6. 带有选项和客户端消息通知的常规设置

密码选项

密码过期选项卡提供了丰富的选项,包括最长密码使用期限、密码过期通知等。这里的一个关键特性是基于长度的密码时效规则。这意味着密码越长,用户保留它的时间就越长。鼓励用户转向密码短语可能是真正的动力。

Specops 密码政策审查

图 7. 密码过期规则和密码过期通知选项

密码规则菜单带来了额外的密码规则粒度,应该允许几乎任何密码策略方案。值得注意的是,可以通过创建自定义词典或下载 Specops 提供的词典来使用带有禁用词的词典。

Specops 密码政策审查

图 8. 在一处调节密码规则要求

Specops 密码政策审查

图 9. 防止用户试图破坏密码策略的额外保护

违反密码保护

在 违反密码保护 下可以找到一组很棒的选项。简而言之,它允许系统将 Active Directory 密码与已知泄露密码列表进行比较。正如所料,在此过程中对密码进行了散列处理。

如果在泄露密码列表中发现密码,则该操作会触发通知/警报的传递。

Specops 密码政策审查

图 10. 破解密码保护完整 API

Specops 密码政策审查

图 11. 违反密码保护 Express 列表

通过 API,Specops 密码策略支持电子邮件和 SMS 通知。使用 Express List(可下载的密码列表)时,您只能使用电子邮件通知。

我意识到它的应用范围很窄,但我希望在未来的版本中看到对自定义 SMS 网关的支持,因为大型企业可能会发现这很有用。 Specops Software 告诉我,由于使用 SMS 通知功能不涉及额外费用,因此他们从未被要求提供自定义 SMS 平台。

什么是新的?

最新版本的 Specops 密码策略带有多项强大的新功能、Powershell CMDlets 和安全扫描程序。

泄露密码扫描

虽然 Specops 密码策略支持 Powershell 并不是什么新鲜事,但最新版本为我们带来了强大的新 CMDlet:

  • Get-SppPasswordExpiration and Get-PasswordPolicyAffectingUser 是与用户相关的 CMDlet 启用检查,到目前为止无法通过 Powershell 请求或编写脚本。我发现它们在故障排除过程中非常有用,同时试图辨别为什么某个策略没有按预期工作。使用具有不言自明的名称的 CMDlet 比浏览新安装的应用程序的菜单要快得多。
  • Get-SppPasswordExpiration 检查密码到期日期,返回密码的日期和可靠性。
  • Get-PasswordPolicyAffectingUser – 如果您曾经处理过多策略环境,您就会知道了解应用于用户的确切策略这样简单的事情可能是解决问题或进入几乎无休止的故障排除循环之间的区别。您只需要提供用户名 SAM账户名 or 用户主体名称 CMDlet 返回的格式 GpoID, 名称, 和密码策略名称。
  • Start-PasswordPolicyLeakedPasswordScanning – 从名称可以看出,它开始扫描您的 Active Directory 环境中泄露的密码。尽管此功能存在于域管理工具中,但此 CMDlet 很有用,因为它可以编写脚本和延迟,非常适合在大型环境中工作的管理员。运行 CMDlet 后,所有不符合策略的用户将在下次登录时收到更改密码的通知。泄露密码扫描需要 Specops 违反密码保护 许可证。

Specops 密码政策审查

图 12. 所有可用的 Specops 密码策略 CMDlet

保护您的密码

Specops 软件 维护了一份基于众多来源的泄露密码的完整列表。它包含数十亿个密码并且经常更新。

违反密码保护 可以配置两个设置:违反密码保护 Complete 和 违反密码保护 Express。

完整设置带有存储在云中的泄露密码的主列表。如果用户将其密码更改为可在列表中找到的密码,则会通过电子邮件或短信发送通知,并且他们将在下次登录时被迫更改密码。为此,您需要 .Net 4.7 .1 和 Windows Server 2012 R2 或更高版本,安装了 Specops Arbiter 和 API 密钥。

违反密码保护 Express 会下载泄露密码列表的子集,通常每 6 个月更新一次。这也意味着管理员将需要手动检查更新并启动更新列表的下载。用户也被立即阻止将他们的密码更改为在泄露列表中找到的密码。

基于长度的密码过期

Specops 找到了一种方法,通过延长强制更改密码的时间范围来奖励具有安全意识的用户。

Specops 密码政策审查

图 13. 密码越长,过期越晚

可以通知用户他们即将进行的强制密码更改。由于强制更改密码的时间范围由密码长度决定,因此通知用户非常重要,因为它可以帮助用户提前做好准备。可以使用常规 Active Directory 资源、在登录屏幕上或通过电子邮件向用户显示通知。对于这两种方法,您可以定义显示或发送强制密码更改通知之前的天数。

密码审核员

这是 Active Directory 的安全扫描程序,它是如此简单但非常宝贵的工具。它包含在 Specops 密码策略中,可作为 独立的免费软件.它将在您的 Active Directory 中发现的所有可能的密码安全问题分组。这个一目了然的概述基本上指出了您需要担心的所有事情,如果存在您可能不知道的问题(例如密码在泄露列表中),它是一个快速发现的地方。

Specops 选择了巧妙的方式来聚合密码安全和策略的重要领域,显示最相关的问题并提供对潜在问题的快速洞察。

Specops 密码政策审查

图 14. 仔细查看过期密码

一旦您了解了所有问题,您就可以快速关注关键问题。我发现这是同时审核 Active Directory 环境中各种问题的简便方法。

结论

在各种场景中测试 Specops 密码策略一周后,我可以肯定地说我们正在谈论一个强大的解决方案。它不仅使加强密码策略的过程变得更好,同时使用起来更简单,而且它可以检测和解决您一开始可能没有意识到的问题。

我可以为任何 Active Directory 环境强烈推荐 Specops 密码策略,我什至会说它是处理合规性法规以及特定密码策略要求的复杂环境所必需的。此解决方案可以提高任何 Active Directory 环境的安全级别,而且您不能争论更高安全性的好处,对吗?




分享这个