企業運維管理團隊通常要承擔許多與安全相關的重要責任,他們需要確保企業網絡的安全,對於大多數企業來說,全面的密碼管理在網絡安全中發揮着相當重要的作用。
IT管理員必須特別考慮密碼操作,因爲終端用戶直接參與其中,但很少有人關心安全性,由於只需要一個漏洞就可以破壞整個網絡,IT管理員必須將所有密碼和密碼操作都放在他們的安全文檔上。
筆者將討論最有可能被***利用三個關於密碼管理的錯誤做法。
1. 設置弱密碼
什麼是弱密碼?有人可能會有這樣的疑惑,弱密碼多爲簡單的數字自核,如“123456””abc123”等,終端設備出廠的通用密碼基本都屬於弱密碼範疇。
當用戶可以自己設置密碼時,他們通常會選擇最簡單的密碼,而不會注意其中潛在的安全風險。減輕這種風險的一種方法是讓管理員完全控制組織中所有用戶的密碼設置和管理。然而,這需要的時間和精力遠超大多數IT團隊能夠承受的範疇,而且大多數企業寧願將精力集中在其他地方,也不會管這種瑣事。
解決方案:強制執行更強的密碼策略,或者爲用戶提供符合密碼策略的密碼×××。
2. 保存當前密碼的記錄
強大的密碼策略在保護網絡安全方面走了很長一段路,但它們不能保證密碼的安全性,即使是強密碼也能被破解。最重要的是,許多用戶要麼不瞭解安全風險,要麼根本不關心這些風險,所以員工保留當前密碼的記錄並不罕見。有些人甚至把這些記錄到自己的桌面上,這就方便了潛在的惡意者訪問。
解決方案:在Windows登錄屏幕上實現雙因素身份驗證(2FA)可以幫助驗證用戶的身份,並防止***在成功破解密碼後訪問用戶帳戶。
3.未能在密碼過期前重置密碼
用戶通常不知道他們的密碼什麼時候會過期,所以管理員需要通知他們。微軟的默認方法是使用頻繁的通用彈出窗口來通知用戶他們的密碼即將過期,這讓很多用戶感到厭煩,促使他們在閱讀消息之前關閉彈出窗口。由於總是存在這樣的情況,用戶密碼可能在某個地方泄露了,或者可能在後臺受到了隱藏的暴力***,所以用戶定期更改密碼是很重要的。
解決方案:通過電子郵件或短信向用戶發送多個定製通知,提醒他們密碼/賬戶即將到期。
那麼,怎樣通過以上最佳方案來保護網絡呢, ManageEngine ADSelfService Plus在幫助域用戶自助重置密碼、解鎖賬戶以及更新個人信息等有着極大的功勞。AD域管理員也可以利用它去自動重置密碼, 解鎖賬戶,從而大大減輕Windows AD域管理的工作量。