ארכיון עבור ינואר, 2011

25
ינו
11

בדיקת מדיניות סיסמאות

ציינתי כאן בעבר שהחוליה הכי רגישה, והראשונה לניסיונות התקפה ופריצה, היא הסיסמא למערכת/לרשת. אם מצליחים לעקוף את מנגנון ההזדהות ללא מאמץ רב, אין צורך להשקיע זמן יקר בשבירת מנגנונים קשים להבנה כגון הצפנה והרשאות.

כיום כולם כבר יודעים להגדיר מדיניות או מורכבות סיסמאות בארגון. המינימום שנגדיר יהיה דומה להגדרות הבאות:

  • מספר תווים מינימלי: 6
  • מורכבות סיסמא: פעילה (כלומר לפחות ספרה אחת, אות גדולה אחת ואות קטנה אחת)
  • גיל סיסמא (מספר ימים עד שחייבים לשנותה): 90
  • היסטוריית סיסמאות (מספר דורות שלא ניתן לחזור על סיסמא קודמת): 5
  • מספר כשלונות בהקשת סיסמא עד נעילת היוזר: 5
  • וישנן הגדרות נוספות.

עכשיו נשאלת השאלה האם אנחנו בטוחים שהסיסמא של כל העובדים בארגון אכן תואמת את מדיניות החברה. על פניו התשובה נראית חיובית. הרי כפינו מדיניות סיסמאות על כל העובדים (דרך GPO).

בארגונים גדולים מגדירים יוזרים בתהליך מסודר ועפ"י נהלים ידועים. אבל כשמנהל הרשת או נציגו מגדיר יוזר חדש, הוא יכול להגדירו באופן שאינו עומד מהמדיניות. אז כיצד נהיה בטוחים שאין כאן כשל?

דרך אחת היא לבדוק את הערכים של השדות הבאים של כל משתמש ב – AD:

  • שדה Password Required: לוודא שאין משתמשים שלא מחויבים בהזדהות עם סיסמא.
  • שדה Password Last Changed: לבדוק שאין שורות שהתאריך בהן הוא מעל 90 יום.
  • שדה Password Expires: לאתר משתמשים שהוגדר להם שלא חייבים להחליף את הסיסמא. למעט חשבונות Service.

אפשר לשלוף נתונים אלה ע"י סקריפטים הזמינים באינטרנט, או ע"י כלי שהארגון רכש. נוח מאוד לייצא את הנתונים לאקסל, לפלטר את השדות האלה ולנתח בעזרת חיתוכים שונים. את הפלט שולחים ישר למנהל הרשת לטיפול.

באותה הזדמנות שכבר מבצעים את הבדיקות האלה, כדאי לבדוק גם את השדה הבא: Last Login
הבדיקה הזו מאפשרת לאתר משתמשים שלא התחברו, נאמר, שישה חודשים. משתמשים כאלה צריך לבטל שכן העובדים עזבו כנראה את הארגון.

מודעות פרסומת



ינואר 2011
א ב ג ד ה ו ש
« דצמ   פבר »
 1
2345678
9101112131415
16171819202122
23242526272829
3031