弱口令问题一直是企业安全管理的痛点,一旦企业用户的账号密码泄露或被破解,将导致大量的内部信息泄露。

假设一个场景:一家大型企业使用AD域架构实现用户账号管理。面对大量的域用户弱口令问题,如何通过技术手段来实现弱口令安全治理呢,这个就是我们今天探讨的话题。

01、安全场景分析

比较常见的用户密码登录场景如下:

业务系统:门户、邮箱、OA等核心应用
网络接入:准入、VPN、虚拟桌面等
运维管理:服务器、堡垒机、网络/安全等设备

02、安全问题描述

(1)为了便于记忆设置弱口令,用户账号容易遭受暴力破解、邮件钓鱼等攻击。

(2)大部分系统都采取独立的用户管理体系,用户管理难。

(3)集权类系统会成为攻击者的主要目标,需加强身份验证。

03、密码策略分析

域控密码策略:强制密码历史、密码最短使用期限、密码最长使用期限,密码长度最小值,密码复杂性要求

缺点:无法灵活定制域密码策略,容易存在企业特色弱口令。
应对策略:加强域密码策略,比如弱密码黑名单、关键词过滤、不能连续字符或相同字符连续3位以上。

Web密码策略:密码复杂度、验证码、登录失败处理策略、密码过期策略、短信验证码验证等。

缺点:每个应用系统维护一套密码策略管理,系统开发成本较高。
应对:建立统一认证平台。

04、安全解决方案

强密码策略插件(域控制器):基于微软标准的Password Filters功能开发,对于域控各种修改密码途径都能有效控制,提供更加灵活的域用户密码策略配置。

统一身份认证(IAM):集中账号管理,统一用户密码策略,应用系统单点登录。

多因素身份验证 (MFA):使用多重身份验证机制加强访问控制,从而提高用户密码安全等级。

思维导图如下:

企业弱口令治理方案_运维