Memahami kebijakan kata sandi Microsoft AD yang AWS Dikelola - AWS Directory Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memahami kebijakan kata sandi Microsoft AD yang AWS Dikelola

AWS Microsoft AD yang dikelola memungkinkan Anda menentukan dan menetapkan kebijakan penguncian kata sandi dan akun yang berbeda (juga disebut sebagai kebijakan kata sandi berbutir halus) untuk grup pengguna yang Anda kelola di domain Microsoft AD Terkelola AWS . Saat Anda membuat direktori Microsoft AD AWS Terkelola, kebijakan domain default dibuat dan diterapkan ke Active Directory. Kebijakan ini mencakup pengaturan berikut:

Kebijakan Pengaturan
Memberlakukan riwayat kata sandi 24 kata sandi diingat
Usia kata sandi maksimal 42 hari *
Usia kata sandi minimum 1 hari
Panjang kata sandi minimum 7 karakter
Kata sandi harus memenuhi persyaratan kompleksitas Diaktifkan
Menyimpan kata sandi menggunakan enkripsi reversibel Nonaktif
catatan

* Usia kata sandi maksimum 42 hari termasuk kata sandi admin.

Misalnya, Anda dapat menetapkan pengaturan kebijakan yang kurang ketat untuk karyawan yang memiliki akses ke informasi sensitivitas rendah saja. Untuk manajer senior yang secara teratur mengakses informasi rahasia Anda dapat menerapkan pengaturan yang lebih ketat.

Sumber daya berikut memberikan informasi lebih lanjut tentang Microsoft Active Directory kebijakan kata sandi halus dan kebijakan keamanan:

AWS menyediakan serangkaian kebijakan kata sandi berbutir halus di AWS Microsoft AD Terkelola yang dapat Anda konfigurasikan dan tetapkan ke grup Anda. Untuk mengonfigurasi kebijakan, Anda dapat menggunakan standar Microsoft Alat kebijakan seperti Active Directory Pusat Administrasi. Untuk memulai dengan Microsoft alat kebijakan, lihatMenginstal Alat Administrasi Direktori Aktif untuk Microsoft AD yang AWS Dikelola.

Bagaimana kebijakan kata sandi diterapkan

Ada perbedaan dalam bagaimana kebijakan kata sandi berbutir halus diterapkan tergantung pada apakah kata sandi disetel ulang atau diubah. Pengguna domain dapat mengubah kata sandi mereka sendiri. Sesi Active Directory administrator atau pengguna dengan izin yang diperlukan dapat mengatur ulang kata sandi pengguna. Lihat bagan berikut untuk informasi lebih lanjut.

Kebijakan Reset Kata Sandi Perubahan Kata Sandi
Memberlakukan riwayat kata sandi Tidak Ya
Usia kata sandi maksimal Ya Ya
Usia kata sandi minimum Tidak Ya
Panjang kata sandi minimum Ya Ya
Kata sandi harus memenuhi persyaratan kompleksitas Ya Ya

Perbedaan ini memiliki implikasi keamanan. Misalnya, setiap kali kata sandi pengguna disetel ulang, riwayat penegakan kata sandi dan kebijakan usia kata sandi minimum tidak diberlakukan. Untuk informasi selengkapnya, lihat dokumentasi Microsoft tentang pertimbangan keamanan yang terkait dengan menerapkan riwayat kata sandi dan kebijakan usia kata sandi minimum.

Pengaturan kebijakan yang didukung

AWS Microsoft AD yang dikelola mencakup lima kebijakan berbutir halus dengan nilai prioritas yang tidak dapat diedit. Kebijakan memiliki sejumlah properti yang dapat Anda konfigurasikan untuk memberlakukan kekuatan kata sandi, dan tindakan penguncian akun jika terjadi peristiwa kegagalan login. Anda dapat menetapkan kebijakan ke nol atau lebih grup Direktori Aktif. Jika pengguna akhir adalah anggota dari beberapa grup dan menerima lebih dari satu kebijakan kata sandi, Direktori Aktif memberlakukan kebijakan dengan nilai prioritas terendah.

AWS kebijakan kata sandi yang telah ditentukan sebelumnya

Tabel berikut mencantumkan lima kebijakan yang disertakan dalam direktori AD Microsoft AWS Terkelola dan nilai prioritas yang ditetapkan. Untuk informasi selengkapnya, lihat Precedence.

Nama kebijakan Precedence
Pelanggan PSO -01 10
Pelanggan PSO -02 20
Pelanggan PSO -03 30
Pelanggan PSO -04 40
Pelanggan PSO -05 50

Properti kebijakan kata sandi

Anda dapat mengedit properti berikut dalam kebijakan kata sandi agar sesuai dengan standar kepatuhan yang memenuhi kebutuhan bisnis Anda.

Anda tidak dapat mengubah nilai prioritas untuk kebijakan ini. Untuk detail selengkapnya tentang bagaimana pengaturan ini memengaruhi penegakan kata sandi, lihat AD DS: Kebijakan kata sandi berbutir halus di situs web Microsoft. TechNet Untuk informasi umum tentang kebijakan ini, lihat Kebijakan kata sandi di TechNet situs web Microsoft.

Kebijakan penguncian akun

Anda juga dapat mengubah properti berikut dari kebijakan kata sandi Anda untuk menentukan apakah dan bagaimana Direktori Aktif harus mengunci akun setelah kegagalan login:

  • Jumlah upaya masuk yang gagal diizinkan

  • Durasi penguncian akun

  • Mengatur ulang upaya masuk yang gagal setelah beberapa durasi

Untuk informasi umum tentang kebijakan ini, lihat Kebijakan penguncian akun di TechNet situs web Microsoft.

Precedence

Kebijakan dengan nilai prioritas yang lebih rendah memiliki prioritas yang lebih tinggi. Anda menetapkan kebijakan kata sandi untuk grup keamanan Direktori Aktif. Meskipun Anda harus menerapkan kebijakan tunggal untuk grup keamanan, satu pengguna tunggal mungkin menerima lebih dari satu kebijakan kata sandi. Misalnya, misalkan jsmith adalah anggota kelompok SDM dan juga anggota MANAGERS kelompok. Jika Anda menetapkan Pelanggan PSO -05 (yang memiliki prioritas 50) ke grup SDM, dan Pelanggan PSO -04 (yang memiliki prioritas 40) keMANAGERS, Pelanggan PSO -04 memiliki prioritas yang lebih tinggi dan Active Directory menerapkan kebijakan tersebut. jsmith

Jika Anda menetapkan beberapa kebijakan untuk pengguna atau grup, Direktori Aktif menentukan kebijakan yang dihasilkan sebagai berikut:

  1. Kebijakan yang Anda tetapkan langsung ke objek pengguna berlaku.

  2. Jika tidak ada kebijakan yang diberikan langsung ke objek pengguna, kebijakan dengan nilai prioritas terendah dari semua kebijakan yang diterima oleh pengguna sebagai hasil dari keanggotaan grup berlaku.

Untuk detail tambahan, lihat AD DS: Kebijakan kata sandi berbutir halus di situs web Microsoft. TechNet

Artikel blog AWS Keamanan Terkait