25
ינו
11

בדיקת מדיניות סיסמאות

ציינתי כאן בעבר שהחוליה הכי רגישה, והראשונה לניסיונות התקפה ופריצה, היא הסיסמא למערכת/לרשת. אם מצליחים לעקוף את מנגנון ההזדהות ללא מאמץ רב, אין צורך להשקיע זמן יקר בשבירת מנגנונים קשים להבנה כגון הצפנה והרשאות.

כיום כולם כבר יודעים להגדיר מדיניות או מורכבות סיסמאות בארגון. המינימום שנגדיר יהיה דומה להגדרות הבאות:

  • מספר תווים מינימלי: 6
  • מורכבות סיסמא: פעילה (כלומר לפחות ספרה אחת, אות גדולה אחת ואות קטנה אחת)
  • גיל סיסמא (מספר ימים עד שחייבים לשנותה): 90
  • היסטוריית סיסמאות (מספר דורות שלא ניתן לחזור על סיסמא קודמת): 5
  • מספר כשלונות בהקשת סיסמא עד נעילת היוזר: 5
  • וישנן הגדרות נוספות.

עכשיו נשאלת השאלה האם אנחנו בטוחים שהסיסמא של כל העובדים בארגון אכן תואמת את מדיניות החברה. על פניו התשובה נראית חיובית. הרי כפינו מדיניות סיסמאות על כל העובדים (דרך GPO).

בארגונים גדולים מגדירים יוזרים בתהליך מסודר ועפ"י נהלים ידועים. אבל כשמנהל הרשת או נציגו מגדיר יוזר חדש, הוא יכול להגדירו באופן שאינו עומד מהמדיניות. אז כיצד נהיה בטוחים שאין כאן כשל?

דרך אחת היא לבדוק את הערכים של השדות הבאים של כל משתמש ב – AD:

  • שדה Password Required: לוודא שאין משתמשים שלא מחויבים בהזדהות עם סיסמא.
  • שדה Password Last Changed: לבדוק שאין שורות שהתאריך בהן הוא מעל 90 יום.
  • שדה Password Expires: לאתר משתמשים שהוגדר להם שלא חייבים להחליף את הסיסמא. למעט חשבונות Service.

אפשר לשלוף נתונים אלה ע"י סקריפטים הזמינים באינטרנט, או ע"י כלי שהארגון רכש. נוח מאוד לייצא את הנתונים לאקסל, לפלטר את השדות האלה ולנתח בעזרת חיתוכים שונים. את הפלט שולחים ישר למנהל הרשת לטיפול.

באותה הזדמנות שכבר מבצעים את הבדיקות האלה, כדאי לבדוק גם את השדה הבא: Last Login
הבדיקה הזו מאפשרת לאתר משתמשים שלא התחברו, נאמר, שישה חודשים. משתמשים כאלה צריך לבטל שכן העובדים עזבו כנראה את הארגון.


4 Responses to “בדיקת מדיניות סיסמאות”


  1. 1 Rami
    27/01/2011 ב- 0:24

    איפה אפשר למצוא את השדות\ערכים :
    Last Login
    Password Expires
    Password Last Changed
    ועוד ..

    אתה מכיר ויכול להמליץ על כלי חינמי שיכול למצוא את הנתונים האלו ?

    תודה

  2. 27/01/2011 ב- 9:57

    אם אין לך כלי מסחרי שמבצע Audit על AD, חפש בגוגל ביטויים כגון:
    Dumpsec
    Security audit tool for AD
    How to extract data from AD?

  3. 20/10/2011 ב- 14:53

    לגבי מי שמחפש כלים,ציינתי בפוסט שלי מספר כלים רלוונטים:
    http://so-secure.blogspot.com/2011/10/active-directory-account-lockout-audit.html

    חג שמח,
    רונן


להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל

אתה מגיב באמצעות חשבון Google שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s


ינואר 2011
א ב ג ד ה ו ש
« דצמ   פבר »
 1
2345678
9101112131415
16171819202122
23242526272829
3031  

הרשומות הנצפות ביותר


%d בלוגרים אהבו את זה: