Mystery of the Active Directory

Salasanapolitiikkaa

IT-suunnittelijat ja infa-arkkitehdit ovat varmasti kerran jos toisenkin mananneet ja pähkäilleet miten saavat salasanapolitiikat Active Directory -domaineissa kohdilleen, kun ne voidaan määrittää vain kertaalleen Default Domain Policyllä domainin juureen. Muutokset ja erilaiset tarpeet on tähän asti jouduttu hoitamaan erilaisilla filttereillä suodattamalla, sekä tekemällä eri domain heille, jotka tarvitsevat esimerkiksi huomattavasti tiukempaa salasanapolitiikkaa käsitellessään arkaluontoisempaa tietoa tai heille, joilla on Admin-tason tunnuksia AD-ympäristössä. Server 2008 muuttaa hieman käytäntöä tältä osin parempaan suuntaan.

Hienojakoinen salasanapolitiikka server 2008:ssa

Server 2008 tuo salasanapolitiikkojen viilaamiseen ja muokkaamiseen hyviä muutoksia. Muutoksen lähtökohtana on ollut helpottaa infran suunnittelijoiden työtä jakamalla salasanapolitiikka pienempiin osiin ja tehdä siitä dynaamisempi, jolloin se mukautuu huomattavasti paremmin erilaisiin ympäristöihin. Server 2008 AD DS:ssä voidaan siis määritellä domainiin useita eri salasanapolitiikkoja ja hallita niitä entistä tarkemmin kohdistamalla ne Globaaleihin ryhmiin ja käyttäjäobjekteihin (User ja InetOrgPerson).

OU-tasolla tätä hienojakoista salasanapolitiikkaa ei voida ottaa käyttöön. Jos halutaan kohdistaa jossain tietyssä OU:ssa olevat käyttäjät uuden salasanapolitiikan alle käy se helpoiten tekemällä globaali ryhmä, johon kaikki OU:n alla olevat käyttäjät lisätään membereiksi. Tähän globaaliin “haamu” ryhmään sitten kohdistetaan uusi hienojakoinen salasanapolitiikka, joka määrittelee esimerkiksi, että kaikilla admin-tason tunnuksilla pitää olla vähintään 12-merkkiä pitkä salasana ja se pitää vaihtaa kuukauden välein. Tunnuksen siirtyessä toisen OU:n alle esimerkiksi työtehtävien muuttuessa täytyy administraattorin muistaa sitten liittää tunnus oman OU:nsa haamuryhmään, jotta uuden OU:n salasanapolitiikka tulee täytäntöön.

Käytännössä AD DS sisältää Policy Settings Containerin (PSC), jonne Administraattorit luovat uusia Policy Settings Objekteja (PSO), joita linkitetään haluttuihin käyttäjiin ja ryhmiin. Linkkejä voi luonnollisesti olla useita ja niiden luontia voidaan delegoida eteenpäin halutuille käyttäjille. Lisäksi on huomioitava, että PSO:n on sisällettävä vähintään yhdeksän (9) ennalta määrättyä asetusta, joiden arvot on määriteltävä ennenkuin PSO voidaan ottaa käyttöön. Nämä ovat:

-Salasanahistoria
-Salasanan minimipituus
-Salasanan minimi-ikä
-Salasanan maksimi-ikä
-Salasanan kompleksisuus
-Salasanan tallennus käänteisellä kryptauksella
-Salasanan lukituksen kesto
-Salasanan lukituskynnys
-Salasanan lukituksen resetointi

Näillä uusilla ominaisuuksilla saadaan siis tuotua lisää tietoturvaa salasanapolitiikan muodossa ilman suurempia järjestelmämuutoksia tai ylimääräisien domainien rakenteluja.

• Sivut

  • Active Directoryn dokumentointi/mallintaminen
  • AD 2008
  • Read-only Domain Controller (RODC)
  • Salasanapolitiikkaa
  • Server 2008 Core
  • Windows Server Virtualization (WSV)

• Arkisto

  • Lokakuu 2007

• Aiheet

  • Yleistä

• Etsi

• Meta

  • Kirjaudu

Alustana toimii ilmainen blogipalvelu.