Tämän ohjeen sisältö:

• Salasanavaatimukset AD
• Tunnusten lukitsemiskäytännöt Entra ID -kirjautumisissa
• Tunnusten lukitsemiskäytännöt AD / LDAP -kirjautumisissa

---

Salasanavaatimukset AD

1. Salasanan pituus vähintään 12 merkkiä.
   • Se ei saa sisältää mitään osaa käyttäjätunnuksesta tai käyttäjän nimestä.
   • Sen täytyy sisältää merkkejä kolmesta eri kategoriasta:
     • Isot kirjaimet
     • Pienet kirjaimet
     • Numerot
     • Erikoismerkit
2. Salasanan vanhenemisaika on 365 päivää.
3. Järjestelmä muistaa aiemmista salasanoista 5 edellistä, joihin salasanaa ei voi vaihtaa.
4. Salasanan minimiaika on 0 päivää. 

---

Tunnusten lukitsemiskäytännöt Entra ID -kirjautumisissa

Lukitsemispolitiikka

1. Tunnus lukittuu 10 virheellisen salasanan jälkeen.
   • Saman virheellisen salasanan syöttäminen peräjälkeen ei kasvata laskuria.
   • Käyttäjän tunnetut kirjautumislokaatiot ja käyttäjän uudet kirjautumislokaatiot omaavat oman laskurinsa.
2. Tunnus on lukittuna 600 sekunnin ajan ja tämän jälkeen avautuu automaattisesti.
3. Mikäli avautumisen jälkeen seuraava kirjautumisyritys on väärällä salasanalla, tunnus lukittuu heti uudestaan.
4. Toistuvat lukittautumiset kasvattavat lukituksen aikaa.

Näiden sääntöjen lisäksi käytössä on myös Microsoftin Identity Protection -ominaisuus, joka tunnistaa kirjautumisista anonyymit IP-osoitteet, password spray -hyökkäykset ja tiedossa olevat tunnus- ja salasanaparin vuodot. Näiden pohjalta Identity Protection nostaa käyttäjän tai kirjautumisen riskitasoa.

Kirjautumisten riskitaso

Mikäli kirjautumisen riskitaso on Identity Protectionin osalta merkitty korkeaksi, vaaditaan kirjautumisessa aina kaksivaiheinen tunnistautuminen.

---

Tunnusten lukitsemiskäytännöt AD/LDAP -kirjautumisissa

Lukitsemispolitiikka

1. Tunnus lukittuu 20 virheellisen kirjautumisen jälkeen.
2. Tunnus on lukittuna 600 sekunnin ajan ja tämän jälkeen avautuu automaattisesti.
3. Väärien yritysten laskuri nollautuu 10 minuutin jälkeen.

 

« Takaisin