Tässä toisessa postauksessa, joka on omistettu järjestelmänvalvojille, jotka joutuvat käsittelemään riskinarviointi-, tietoturva-arviointi-, Due Diligence- tai vaatimustenmukaisuuskyselylomaketta: jos olet hukannut ensimmäisen postauksen, pääset lukemaan sen täällä. Tällä kertaa puhumme siitä, miten salasanakäytäntöä voidaan panna täytäntöön muuttamalla Windows Server 2012:n oletusasetuksia – salasanan monimutkaisuuden ja salasanan vähimmäispituuden osalta.
Tämä on tehtävä, joka on usein tehtävä useimpien nykyaikaisten säädösten ja standardien – kuten ISO/IEC 27001:2013, ISO/IEC 27002:2013, ISO/IEC 20000 – vaatimien turvallisuusvaatimusten noudattamiseksi:2011, NIST CyberSecurity Framework, SSAE/SOC2, ITIL, PCI-DSS ja niin edelleen – mutta se voi olla hyödyllinen myös niille, jotka haluavat vain suojata järjestelmänsä paremmin – tai tehdä täysin päinvastoin löysäämällä näitä valvontakeinoja (mitä ei normaalisti pitäisi tehdä – lue täältä ymmärtääksesi miksi).
Tänään voimme vilkaista järjestelmän nykyisiä asetuksia salasanojen vahvuuden suhteen ja muuttaa niitä haluamallamme tavalla:
Verkot, joissa ei ole Active Directorya
Jos haluat määrittää asiakkaita ja/tai palvelimia, joita ei ole liitetty Active Directory -toimialueeseen, toimi seuraavasti:
- Avaa Ohjauspaneeli.
- Navigoi kohtaan Hallintatyökalut > Paikallinen tietoturvakäytäntö.
- Aukeavassa modaalisessa ikkunassa laajenna Solmu Suojausasetukset > Tilikäytännöt > Salasanakäytäntö.
Siitä pääset tarkastelemaan ja/tai muokkaamaan Windows Server 2012:ssa käytettävissä olevia eri vaihtoehtoja. Voit esimerkiksi ottaa käyttöön tai poistaa käytöstä salasanan monimutkaisuusvaatimukset, mikä tarkoittaa seuraavaa:
Jos tämä käytäntö on käytössä, salasanojen on täytettävä seuraavat vähimmäisvaatimukset:
- Eivät saa sisältää käyttäjän tilinimeä tai käyttäjän koko nimen osia, jotka ylittävät kaksi peräkkäistä merkkiä
- Ole vähintään kuuden merkin pituisia
- Sisältävät merkkejä kolmesta seuraavista neljästä luokasta:
- Englanninkieliset isot kirjaimet (A:sta Z:hen)
- Englanninkieliset pienet kirjaimet (a:sta z:hen)
- Kymmenen perusnumeron numerot (0:sta 9:ään)
- Muut kuin alfabeettiset merkit (esim. !, $, #, %)
- Kompleksisuusvaatimukset otetaan käyttöön, kun salasanoja muutetaan tai luodaan.
Tämä vakiomuotoinen monimutkaisuusprofiili voidaan vaihtaa muuttamalla Password must meet complexity requirements -käytäntöä.
Nämä ovat varsin hyviä asetuksia, paitsi salasanan vähimmäispituus: kuusi merkkiä olisi ehkä ollut käyttökelpoinen vaihtoehto vuonna 2012, mutta se ei todellakaan riitä vuonna 2017. Onneksi voit ohittaa tuon yksittäisen asetuksen muuttamalla Minimi salasanan pituus -käytäntöä, joka kannattaa laittaa (vähintään) 8:aan, jotta useimmat brute-force-hyökkäykset voidaan torjua.
Verkot, joissa on Active Directory
Jos asiakkaasi tai palvelimesi on osa Active Directory -toimialuetta, et pysty käyttämään Paikallinen tietoturvakäytäntö -konsolia: jos näin on, käytä Ryhmäkäytäntöjen hallinnan konsolia AD-toimialueen ohjaimen Ohjauspaneelista > Hallinnolliset asetukset -valintapaneelista käsin ja muokkaamalla sieltä RYHMÄKÄYTTÖPÄÄTÖKSEN (Group Policy Management) -asetuksia.
Johtopäätös
Nyt se siitä: toivomme, että nämä vihjeet auttavat muita järjestelmänvalvojia tekemään järjestelmästään uusimpien tietoturvastandardien mukaisen.
Jos etsit tapaa asettaa tyhjäkäynnin aikakatkaisu etätyöpöytäistuntoja varten, lue tämä toinen postaus.