评论:Specops密码策略

Specops密码政策 是一种强大的工具,可以克服Microsoft 活动目录环境中默认密码策略的限制。公平地说,多年来,Microsoft确实修改和升级了默认密码策略,并引入了其他细粒度的微调选项,但是对于某些企业环境而言,这仍然不够,因此可以使用密码策略来解决!

安装

为了进行此检查,安装是在包含所有必要服务的服务器上完成的:Specops Sentinel–安装在所有域控制器上的密码过滤器以及Specops密码策略管理工具。请记住,如果需要,可以将其拆分到不同的服务器上。如果您购买了违反密码保护,则还需要安装Specops Arbiter。

设置过程很顺利,您可以在一个小时内启动并运行。从下图可以看到,标准要求是适度的,对于任何需要这种解决方案的企业环境来说,这都不是问题。

Specops密码政策评论

图1. Specops密码策略的最低要求

密码政策模板

从Specops密码策略域管理开始时,您会注意到四个预定义的密码策略模板,您可以从以下模板中进行选择:

Specops密码政策评论

图2. Specops密码策略域管理(包括默认模板)

这些模板便于快速设置,但是自然地,您可以通过自定义它们将它们提升到另一个层次。如果您在需要满足特定法规标准的环境中工作,则提供的模板可以节省时间。即使您不能或不想使用这些策略,也可以将它们用作加强策略或创建与环境兼容的策略的基础。

让我们创建一个新的空白策略以查看该过程的外观。创建一个将带您进入组策略编辑器:

Specops密码政策评论

图3.组策略编辑器中的Specops密码策略

如果您觉得很熟悉,那是因为在同一环境中您可以更改Active Directory中的默认密码策略。这里的一个主要区别是,Specops密码策略将密码设置应用于组策略的用户部分而不是计算机。这更有意义,因为通常是用户设置了错误的密码,而不是计算机。

在测试了选项并考虑了它如何适合我的网络后,我不得不赞扬Specops,因为它们不会不必要地使事情复杂化,并选择了大多数系统管理员都熟悉的工作流程。

密码短语

当我在组策略编辑器中打开Specops密码政策时,我惊讶地发现它支持密码短语的使用。更重要的是,它还为处理它们提供了帮助(Active Directory则没有)。您可以使用正则表达式来定义密码短语对组织的含义,即3个单词,每个单词中至少包含6个字符,不应重复任何单词,也不应使用任何模式111111 222222等。

Specops密码政策评论

图4,5.密码支持和密码选项

“常规设置”菜单为习惯在Active Directory环境中使用组策略编辑器的任何人提供熟悉的设置。此处的一个巧妙补充是“客户端消息”选项,该选项允许您创建自定义消息,以在不满足密码策略要求的情况下显示在Active Directory登录屏幕上。

Specops密码政策评论

图6.带有选项和客户端消息通知的常规设置

密码选项

密码过期选项卡提供了很多选项,包括最长密码使用期限,密码过期通知等。此处的主要功能是基于长度的密码时效规则。这意味着密码越长,用户保留密码的时间就越长。鼓励用户使用密码短语可能是真正的诱因。

Specops密码政策评论

图7.密码到期规则和密码到期通知的选项

“密码规则”菜单带来了附加的密码规则粒度,该粒度应实际上允许任何密码策略方案。值得注意的是,可以通过创建自定义词典或下载Specops提供的词典来使用带有禁止词的词典。

Specops密码政策评论

图8.在一个地方调节密码规则要求

Specops密码政策评论

图9.试图颠覆密码策略的用户的额外保护

违反密码保护

在“违反密码保护”下可以找到很多选项。简而言之,它使系统可以将Active Directory密码与已知的违反密码列表进行比较。可以预料,密码会在此过程中进行哈希处理。

如果在违反的密码列表中发现密码,则该操作将触发通知/警报的传递。

Specops密码政策评论

图10.违反密码保护完整API

Specops密码政策评论

图11.违反密码保护快速列表

通过该API,Specops密码策略支持电子邮件和SMS通知。使用快速列表(可下载的密码列表)时,您只能使用电子邮件通知。

我意识到有一个狭窄的应用程序,但是我希望在将来的版本中看到对自定义SMS网关的支持,因为大型企业可能会发现这很有用。 Specops软件告诉我,由于使用SMS通知功能不涉及任何额外费用,因此从未要求他们提供自定义SMS平台。

什么是新的?

最新版本的Specops密码策略具有一些强大的新功能,Powershell CMDlet和安全扫描程序。

密码扫描泄漏

尽管Powershell支持对于Specops密码策略而言并不是什么新鲜事物,但最新版本为我们带来了功能强大的新CMDlet:

  • Get-SppPasswordExpirationGet-PasswordPolicyAffectingUser 是与用户相关的CMDlet,可启用检查,直到现在,PowerShell都无法请求或编写脚本。我发现它们在故障排除过程中非常有用,同时试图辨别某个策略为何未按预期工作。使用带有漂亮的不言自明名称的CMDlet比浏览新安装的应用程序的菜单要快得多。
  • Get-SppPasswordExpiration 检查密码的到期日期,返回密码的日期和可靠性。
  • Get-PasswordPolicyAffectingUser –如果您曾经处理过一个多策略环境,那么您就会知道,解决一个问题或进入一个几乎无穷无尽的故障排除循环之间的区别,就像了解适用于用户的确切策略一样简单。您只需要在提供用户名即可 sAMAccountName 要么 userPrincipalName CMDlet返回的格式 GpoID, GpoName,以及密码策略名称。
  • Start-PasswordPolicyLeakedPasswordScanning –从名称可以明显看出,它开始在Active Directory环境中扫描泄漏的密码。即使Domain Admin工具中提供了此功能,该CMDlet还是有用的,因为它可以被脚本化和延迟,这对于在大型环境中工作的管理员来说是理想的选择。运行CMDlet之后,将在下次登录时通知所有不符合该策略的用户以更改其密码。密码泄漏扫描需要“ Specops违反密码保护”许可证。

Specops密码政策评论

图12.所有可用的Specops密码策略CMDlet

照顾您的密码

Specops软件会根据众多来源维护泄漏密码的完整列表。它包含数十亿个密码,并且经常更新。

可以使用两个设置来配置“违反密码保护”:“违反密码保护完整”和“违反密码保护Express”。

“完整”设置带有存储在云中的泄露密码的主列表。如果用户将密码更改为可以在列表中找到的密码,则会通过电子邮件或SMS发送通知,然后他们在下次登录时被迫更改密码。为此,您’将需要.Net 4.7.1和Windows Server 2012 R2或更高版本,并带有Specops Arbiter的安装和API密钥。

违反密码保护Express会下载泄漏密码列表的一部分,通常每6个月更新一次。这也意味着管理员将需要手动检查更新并启动更新列表的下载。还立即阻止用户将其密码更改为在泄漏列表中找到的密码。

基于长度的密码到期

Specops已经找到了一种方法,可以通过延长授权密码更改的时间范围来奖励注重安全的用户。

Specops密码政策评论

图13.密码越长,密码过期越晚

可以通知用户他们即将进行的授权密码更改。由于更改密码的时限由密码长度决定,因此通知用户非常重要,因为它可以帮助用户提前准备。可以使用常规Active Directory资源,在登录屏幕上或通过电子邮件向用户显示通知。对于这两种方法,您都可以定义显示或发送强制密码更改通知之前的天数。

密码审核员

这是用于Active Directory的安全扫描程序,它是一种非常简单但非常宝贵的工具。它包含在Specops密码策略中,并且可以作为 独立的免费软件。它对在Active Directory中发现的所有可能的密码安全问题进行了分组。概览概述实际上指出了您需要担心的所有事情,并且可以在这里快速发现是否有您可能不知道的问题(例如密码在泄漏列表中)。

Specops选择了一种明智的方法来汇总有关密码安全性和策略的重要区域,以显示最相关的问题并提供对潜在问题的快速了解。

Specops密码政策评论

图14.仔细查看密码过期

了解所有问题后,您可以快速关注关键问题。我发现这是同时审核Active Directory环境中各种问题的简便方法。

结论

在各种情况下测试了Specops密码策略一周后,我可以肯定地说我们正在谈论一个强大的解决方案。它不仅使简单易用的密码策略变得更好,而且还可以检测并解决您可能一开始并不了解的问题。

我强烈建议在任何Active Directory环境中使用Specops密码策略,并且我想说这对于处理合规性法规和特定密码策略要求的复杂环境是必不可少的。该解决方案可以在任何Active Directory环境中提高安全级别,您无法争论更好的安全性的好处,对吗?

分享这个