| Het configureren van een beleid voor het verlopen van domeinwachtwoorden is afhankelijk van uw besturingssysteem en omgeving. Hier ziet u hoe u dit kunt doen in Windows Server Active Directory, het meest voorkomende scenario, en een algemeen overzicht voor Linux.
Windows Server Active Directory
U beheert het beleid voor het verlopen van wachtwoorden in Active Directory met behulp van Groepsbeleid. Hier is een stapsgewijze handleiding:
1. Open Groepsbeleidsbeheer:
* Ga naar Start , typ `gpmc.msc` en druk op Enter . Hiermee wordt de Groepsbeleidsbeheerconsole (GPMC) geopend.
* U kunt het ook vinden onder Beheerprogramma's .
2. Navigeer naar het domein of de OE:
* Vouw in de GPMC je Bos uit en vouw vervolgens uw domeinen uit .
* Klik met de rechtermuisknop op een van beide:
* Uw domein: Hiermee wordt het beleid toegepast op *alle* gebruikers in het domein. Dit wordt over het algemeen *niet* aanbevolen voor gedetailleerde controle.
* Organisatie-eenheid (OU): Hierdoor kunt u verschillend beleid toepassen op verschillende groepen gebruikers. Dit is de beste praktijk voor het beheren van verschillende wachtwoordbeleidsregels.
* Selecteer "Maak een GPO in dit domein en koppel deze hier..." (of 'Koppel een bestaand groepsbeleidsobject...' als u al een geschikt GPO heeft). Geef het nieuwe GPO een beschrijvende naam (bijvoorbeeld "Wachtwoordvervalbeleid - Standaardgebruikers").
3. Bewerk het groepsbeleidsobject (GPO):
* Klik met de rechtermuisknop op het nieuw gemaakte (of gekoppelde) GPO in de GPMC en selecteer "Bewerken" . Hiermee wordt de Groepsbeleidsbeheer-editor geopend.
4. Navigeer naar de wachtwoordinstellingen:
* Navigeer in de Groepsbeleidsbeheer-editor naar:
* Computerconfiguratie (Dit is waar het wachtwoordbeleid wordt geconfigureerd)
* Beleid
* Windows-instellingen
* Beveiligingsinstellingen
* Accountbeleid
* Wachtwoordbeleid
5. Configureer de instellingen voor het wachtwoordbeleid:
* Je ziet verschillende instellingen die je kunt configureren:
* "Wachtwoordgeschiedenis afdwingen": Dit voorkomt dat gebruikers oude wachtwoorden opnieuw gebruiken. Stel een waarde in zoals '24 wachtwoorden onthouden' om te voorkomen dat gebruikers eenvoudigweg door kleine variaties van hetzelfde wachtwoord bladeren.
* "Maximale wachtwoordleeftijd": Dit is de instelling die je zoekt. Dit definieert hoe lang een wachtwoord geldig is voordat de gebruiker wordt gedwongen het te wijzigen. Stel dit in op een redelijke waarde, zoals '90 dagen' of '120 dagen'. *Belangrijk:onderzoek best practices en wettelijke vereisten voordat u dit instelt. Een korte levensduur van wachtwoorden kan soms leiden tot zwakkere wachtwoorden, omdat gebruikers gemakkelijk te raden opties kiezen.*
* "Minimale wachtwoordleeftijd": Dit voorkomt dat gebruikers hun wachtwoord te vaak wijzigen (bijvoorbeeld onmiddellijk nadat ze gedwongen zijn het te wijzigen vanwege de vervaldatum). Een veel voorkomende waarde is "1 dag". Dit voorkomt dat gebruikers de wachtwoordgeschiedenis omzeilen door hun wachtwoord onmiddellijk meerdere keren te wijzigen.
* "Minimale wachtwoordlengte": Dit is *kritiek*. Dwing een sterke minimale wachtwoordlengte af. *Gebruik minimaal* 12 tekens. 14-16 heeft de voorkeur. Langere wachtwoorden zijn exponentieel moeilijker te kraken.
* "Wachtwoord moet voldoen aan de complexiteitsvereisten": Schakel dit in. Deze instelling vereist dat wachtwoorden een combinatie van hoofdletters, kleine letters, cijfers en symbolen bevatten. Dit is erg belangrijk voor de veiligheid.
* "Wachtwoorden opslaan met omkeerbare codering voor alle gebruikers in het domein": SCHAKEL DIT NIET IN. Deze instelling is bedoeld voor zeer specifieke achterwaartse compatibiliteitsscenario's (meestal zeer oude toepassingen). Het verzwakt de beveiliging aanzienlijk door wachtwoorden op te slaan op een manier die relatief eenvoudig te ontsleutelen is.
6. Pas het beleid toe (indien nog niet gekoppeld aan een OE):
* Zorg ervoor dat het GPO is gekoppeld aan het domein of de OE waarop u het wilt toepassen (stap 2).
* Groepsbeleid wordt periodiek bijgewerkt (meestal elke 90 minuten met een vertraging van 30 minuten), maar u kunt een update op een clientcomputer of de server forceren met de opdracht:`gpupdate /force`
7. Testen:
* Nadat u het beleid heeft toegepast, test u het om er zeker van te zijn dat het naar verwachting werkt. Log in met een testgebruiker in de OE en probeer het wachtwoord te wijzigen. Controleer de gebeurtenislogboeken op fouten. Wacht tot de vervalperiode is verstreken en kijk of de gebruiker wordt gevraagd zijn wachtwoord te wijzigen.
Belangrijke overwegingen voor Active Directory-wachtwoordbeleid:
* Fijnkorrelig wachtwoordbeleid (FGPP): Als u een ander wachtwoordbeleid nodig heeft voor verschillende gebruikers of groepen *binnen dezelfde OE*, moet u een fijnkorrelig wachtwoordbeleid (FGPP) gebruiken. FGPP biedt veel gedetailleerdere controle. FGPP's worden geconfigureerd met behulp van Active Directory Administratief Centrum of PowerShell. Ze zijn complexer om te configureren dan een standaard GPO. FGPP's kunnen voorrang hebben op standaard domeinbeleid, dus u moet de volgorde van voorrang begrijpen.
* Wachtwoordcomplexiteit: Een sterke wachtwoordcomplexiteit is van cruciaal belang. Onderschat niet het belang van het vereisen van een mix van karaktertypen.
* Gebruikerseducatie: Informeer uw gebruikers over het belang van sterke wachtwoorden en het wachtwoordbeleid. Leg uit waarom ze hun wachtwoord moeten wijzigen en geef tips voor het maken van sterke, gedenkwaardige wachtwoorden.
* Regelmatige beoordeling: Controleer uw wachtwoordbeleid regelmatig en pas het indien nodig aan op basis van best practices op het gebied van beveiliging en de behoeften van uw organisatie.
* Accountvergrendelingsbeleid: Configureer een accountvergrendelingsbeleid (ook te vinden onder Accountbeleid) om gebruikersaccounts te vergrendelen na een bepaald aantal mislukte inlogpogingen. Dit helpt brute-force-wachtwoordaanvallen te voorkomen. Overweeg een redelijke uitsluitingsduur in te stellen (bijvoorbeeld 30 minuten).
* Controleregistratie: Schakel controle in voor accountbeheergebeurtenissen. Hiermee kunt u wachtwoordwijzigingen en andere accountgerelateerde activiteiten bijhouden.
Linux (algemeen overzicht)
Op Linux-systemen wordt het wachtwoordbeleid doorgaans beheerd met behulp van `pam_pwquality.so` (onderdeel van de Pluggable Authentication Modules, of PAM). Configuratie wordt gedaan via `/etc/pam.d/` en `/etc/security/pwquality.conf`. De details zijn afhankelijk van de distributie (bijvoorbeeld Debian/Ubuntu, Red Hat/CentOS).
1. Bewerk `/etc/pam.d/common-password` (Debian/Ubuntu):
* Open dit bestand met een teksteditor (als root).
* Zoek de regel die `pam_unix.so` bevat. Het zal er ongeveer zo uitzien:
```
wachtwoord vereist pam_unix.so ...
```
* Voeg `pam_pwquality.so` *voor* `pam_unix.so` toe. De volgorde is belangrijk. Bijvoorbeeld:
```
wachtwoord vereist pam_pwquality.so retry=3
wachtwoord vereist pam_unix.so ...
```
2. Bewerk `/etc/security/pwquality.conf`:
* Open dit bestand met een teksteditor (als root).
* Dit bestand definieert de wachtwoordbeleidsregels. Veel voorkomende instellingen zijn onder meer:
* `minlen =12` (minimale wachtwoordlengte)
* `minclass =3` (minimaal aantal tekenklassen - hoofdletters, kleine letters, cijfers, symbolen)
* `dcredit =-1` (maximaal tegoed voor cijfers)
* `ucredit =-1` (maximaal krediet voor hoofdletters)
* `lcredit =-1` (maximaal krediet voor kleine letters)
* `ocredit =-1` (maximaal krediet voor andere karakters, d.w.z. symbolen)
* `reject_username =true` (sta niet toe dat wachtwoorden de gebruikersnaam bevatten)
* `difok =3` (het aantal tekens in het nieuwe wachtwoord dat moet verschillen van het oude wachtwoord)
* `maxrepeat =3` (het maximale aantal toegestane herhaalde tekens)
* `gecoscheck =1` (Voorkom dat wachtwoorden worden afgeleid uit het GECOS-veld (gebruikersinformatie)
3. Wachtwoord verlopen (chage-opdracht):
* Linux-systemen gebruiken doorgaans het `chage`-commando om wachtwoordveroudering te beheren.
* `chage -l `:Toont de wachtwoordverouderingsinformatie voor een gebruiker.
* `chage -M `:Stelt het maximale aantal dagen in dat een wachtwoord geldig is.
* `chage -m `:Stelt het minimum aantal dagen in dat een gebruiker een wachtwoord moet behouden voordat hij het kan wijzigen.
* `chage -W `:Stelt het aantal dagen vóór het verlopen van het wachtwoord in dat de gebruiker een waarschuwing ontvangt.
* `chage -d 0 `:Dwingt de gebruiker om zijn wachtwoord te wijzigen bij de volgende login. (Reset de laatst gewijzigde datum naar 1970-01-01).
* Om een standaard beleid voor het verlopen van wachtwoorden in te stellen voor *alle* nieuwe gebruikers, kunt u `/etc/login.defs` wijzigen. Zoek naar de volgende regels en pas deze dienovereenkomstig aan:
```
PASS_MAX_DAYS 90 # Maximaal aantal dagen dat een wachtwoord mag worden gebruikt.
PASS_MIN_DAYS 0 # Minimum aantal toegestane dagen tussen wachtwoordwijzigingen.
PASS_WARN_AGE 7 # Aantal dagen waarschuwing gegeven voordat een wachtwoord verloopt.
```
4. Testen:
* Maak een testgebruiker aan en probeer een wachtwoord in te stellen dat in strijd is met het beleid.
* Log in met de testgebruiker en controleer de waarschuwingen voor het verlopen van het wachtwoord.
Belangrijke overwegingen voor Linux-wachtwoordbeleid:
* Distributiespecifiek: De exacte locatie van configuratiebestanden en de beschikbare opties kunnen variëren, afhankelijk van de Linux-distributie. Raadpleeg de documentatie van uw distributie.
* Rootrechten: Je hebt rootrechten nodig (door `sudo` te gebruiken of in te loggen als root) om deze configuratiebestanden te wijzigen.
* PAM: Het begrijpen van PAM is de sleutel tot het configureren van authenticatie- en wachtwoordbeleid op Linux.
* `chage` commando: Maak uzelf vertrouwd met het `chage`-commando voor het beheren van de wachtwoordveroudering van individuele gebruikers.
Algemene best practices (van toepassing op zowel Windows als Linux):
* Sterke wachtwoorden: De kern van elk wachtwoordbeleid is het afdwingen van sterke wachtwoorden. Dit betekent:
* Voldoende lengte (minimaal 12 tekens, bij voorkeur langer)
* Complexiteit (mix van hoofdletters, kleine letters, cijfers en symbolen)
* Uniciteit (hergebruik van eerdere wachtwoorden is niet toegestaan)
* Vermijden van persoonlijke informatie (geen woordenboekwoorden, namen, verjaardagen, enz.)
* Multi-Factor Authenticatie (MFA): Implementeer waar mogelijk multifactorauthenticatie (MFA). Dit voegt een extra beveiligingslaag toe naast wachtwoorden, waardoor het voor aanvallers veel moeilijker wordt om toegang te krijgen tot accounts, zelfs als ze het wachtwoord hebben gestolen.
* Wachtwoordbeheerders: Moedig het gebruik van wachtwoordmanagers aan. Wachtwoordbeheerders kunnen voor elke website en applicatie sterke, unieke wachtwoorden genereren en opslaan, waardoor het voor gebruikers gemakkelijker wordt om een goede wachtwoordhygiëne te volgen.
* Regelmatige audits: Controleer regelmatig uw wachtwoordbeleid en -configuraties om er zeker van te zijn dat ze effectief en up-to-date zijn. Controleer logboeken op verdachte activiteiten.
* Privilegeprincipe: Geef gebruikers alleen de minimaal noodzakelijke rechten. Dit beperkt de impact van een gecompromitteerd account.
* Nul vertrouwen: Kies voor een Zero Trust-beveiligingsmodel. Ga ervan uit dat alle gebruikers en apparaten mogelijk zijn aangetast en strikte authenticatie en autorisatie vereisen voordat toegang tot bronnen wordt verleend.
Door deze stappen en best practices te volgen, kunt u een sterk beleid voor het verlopen van wachtwoorden opstellen en onderhouden dat uw systemen en gegevens helpt beschermen tegen ongeoorloofde toegang. Vergeet niet om het beleid aan te passen aan uw specifieke omgeving en beveiligingsbehoeften. Succes! |
