از /

سیاست‌های رمز عبور قوی و مدیریت امن رمزها

رمزهای قلدر برای شبکه‌های حساس

سیاست‌های رمز عبور قوی و مدیریت امن رمزها

در دنیای امروز، حملاتی مثل Kerberoasting، Password Spraying و Credential Dumping، اولین چیزی که نشونه می‌رن رمزهای ضعیفه — مخصوصاً برای اکانت‌های مهم.

✅ چی باید پیاده کنیم؟

– سیاست رمز قوی (Strong Password Policy)

تا جلوی رمزهای ساده و معروف گرفته بشه.

  • حداقل طول: ۱۲ کاراکتر

  • ترکیب: حروف بزرگ، کوچک، عدد، نماد

  • جلوگیری از رمزهای قبلاً استفاده شده

  • انقضا (مثلاً هر ۹۰ روز)

  • محدود کردن تعداد تلاش لاگین ناموفق

– جلوگیری از رمزهای معروف / قابل حدس

🔒 Active Directory به تنهایی نمی‌تونه تشخیص بده که رمزی مثل P@ssw0rd! ضعیفه چون پیچیده به نظر میاد.
ولی ابزارهایی مثل این‌ها می‌تونن این ضعف رو پوشش بدن:

  • Azure AD Password Protection (on-prem / cloud)

  • Specops Password Policy

  • Open Source: Pwned Passwords AD Module
    این ابزارها جلوی استفاده از رمزهای لو رفته یا رایج رو می‌گیرن.

Fine-Grained Password Policies (FGPP)

به جای اعمال یک سیاست رمز واحد روی کل دامنه، می‌تونی سیاست‌های مختلفی برای گروه‌ها یا کاربران خاص تعریف کنی.

🎯 کاربرد:

  • مدیران: سیاست بسیار سخت‌تر

  • کاربران عادی: سیاست استاندارد

  • سرویس اکانت‌ها: سیاست متفاوت (مثلاً بدون انقضا)

⌨️ ابزارها:

  • از طریق Active Directory Administrative Center (ADAC)

  • یا با PowerShell:

 

New-ADFineGrainedPasswordPolicy -Name “AdminsPolicy” -Precedence 1 -MinPasswordLength 14 -LockoutDuration “00:10:00” -PasswordHistoryCount 24 -MaxPasswordAge “30.00:00:00” -MinPasswordAge “1.00:00:00” -ReversibleEncryptionEnabled $false -ComplexityEnabled $true -LockoutThreshold 5 -LockoutObservationWindow “00:10:00”

و اتصالش به گروه خاص:

Add-ADFineGrainedPasswordPolicySubject -Identity “AdminsPolicy” -Subjects “Domain Admins”

🛡️ Microsoft LAPS / LAPS2

رمز Local Admin روی همه سیستم‌ها، اگر ثابت و مشترک باشه، فقط یکی از اون‌ها باید لو بره تا بتونه از طریق lateral movement کل شبکه رو آلوده کنه.

✋ راه‌حل؟

LAPS = Local Administrator Password Solution

✅ LAPS کلاسیک (Windows Server 2012+):

  • پسورد ادمین لوکال هر کلاینت به‌صورت تصادفی تولید میشه

  • در Active Directory ذخیره میشه (attribute اختصاصی)

  • فقط گروه خاصی (مثلاً Helpdesk) به پسوردها دسترسی داره

✅ LAPS نسخه جدید (Windows LAPS – از Windows 11 / Server 2022 به بعد):

  • به‌صورت Built-in در ویندوز گنجانده شده

  • رمز رو می‌تونه در AD یا Azure AD ذخیره کنه

  • پشتیبانی از Directory Services Restore Mode password rotation

  • با GPO یا Intune قابل مدیریت

⌨️ فعال‌سازی LAPS2 با GPO:

  1. GPO → Computer Configuration → Administrative Templates → Windows LAPS

  2. فعال‌سازی:

    • Enable password backup to Active Directory

    • Configure password settings (length, age, complexity)

    • Configure authorized readers

  3. بررسی ذخیره شدن رمز:

Get-LapsADPassword -Identity “PC-NAME”

💡 چرا این موضوع مهمه؟

  • رمزهای ثابت و ضعیف = ورودی رایگان برای مهاجم

  • Kerberoasting و Password Spray فقط با یه رمز ضعیف می‌تونن کل AD رو به خطر بندازن

  • رمزهای لوکال ادمینِ مشترک باعث پخش سریع باج‌افزارها می‌شن

دیدگاه‌ خود را بنویسید

پیمایش به بالا