MagicHappens 23 апр в 12:00

Повышение защищенности Active Directory для чайников и не очень

Средний

17 мин

13K

Блог компании FirstVDSИнформационная безопасность*IT-инфраструктура*

Комментарии 6

winorun 23 апр в 14:36

Длина пароля 12+ символов, меняется каждый 30 дней. Вероятность близкая к 100% пароль будет где то рядом с копьютером

MagicHappens 23 апр в 14:45

Да, наверное Вы правы. А я не подумал. С другой стороны, если есть привычка записывать пароли на бумажку и клеить на монитор, то это будет делаться в любом случае, верно?

winorun 23 апр в 16:03

Тут проблема не в привычке, а пароль на мониторе хорошо видно. Это палево.

Если пароль не могут запомнить он будет в прямой доступности. Садитесь на рабочее место осматриваетесь он будет там где его быстро можно посмотреть. Верхний ящик стола, под клавиатурой, на обложки ежедневника. Из нового - на экране смартфона. В запущенных случаях на экране блокировки.

Если пароль боятся забыть, его убирают дальше так как он постоянно не нужен. На скоч под клавиатуру, в ящики стола, в кучку непонятных записуляк. Он может хранится в ежедневнике, в заметках в телефоне. Раз видел стенагрофию пин кода от банковской карты на разрисованном маркере мониторе.

Это не привычки, привычки у всех разные. Это не способность запоминать 12+ символьные пароли по 12 раз в год. На протяжении лет эти пароли превращаются в кашу которая периодически выдавливается в мозг. И человек раза 4 может пытаться войти с паролем который был у него 3 месяца назад.

Один пароль человек запомнить может. Один пароль с генерируемой солью тоже. Генерируемые по правилам пароли запоминаются лучше всего.

Случайный набор из 12 символов меняемый каждый месяц не выполнимая задача для большей половины сотрудников.

CmpeJ1ok 23 апр в 19:38

Начал читать пост и понял, что замысел автора был таков: если дверь открыта - закройте её на замок, а если нет замка - повесьте навесной… ну как бы все логично, только актуальные антивирусные базы не панацея, если, как сказали выше: вы заставите пользователя менять пароль каждый месяц из рандомных 12+ символов! Конечно за бумажками на монике должен следить отдел ИБ и прописана административка в форме приказа, НО поддерживать актуальный рабочий антивирь - это норма, а не требование защитить контроллер домена, зато пусть лучше будет пароль «кверти» в голове пользователя, чем 12+ символов на бумажке у монитора

mumische 24 апр в 05:37

И ни слова про MFA?

agseyn 24 апр в 09:04

Жалко не упомянули про Microsoft Security Compliance ToolKit:

https://learn.microsoft.com/en-us/windows/security/operating-system-security/device-management/windows-security-configuration-framework/security-compliance-toolkit-10

Очень удобный инструмент, позволяющий и проанализировать действующие security-бэйзлайны microsoft для доменных узлов и объектов в виде отчётов html, а так же их импортировать в действующий домен организации.

Всем советую, но используйте с умом, и предварительным анализом того, что вы включаете)

Зарегистрируйтесь на Хабре, чтобы оставить комментарий