ProHoster > Blog > Verwaltung > Konfigurieren einer Passwortsicherheitsrichtlinie in Zimbra

Konfigurieren einer Passwortsicherheitsrichtlinie in Zimbra

Neben der E-Mail-Verschlüsselung und der Verwendung digitaler Signaturen ist eine gute Passwort-Sicherheitsrichtlinie eine der effektivsten und kostengünstigsten Möglichkeiten, E-Mails vor Hackerangriffen zu schützen. Passwörter, die auf Papier niedergeschrieben, in öffentlichen Dateien gespeichert oder einfach nicht sicher genug sind, stellen immer einen großen Verstoß gegen die Informationssicherheit eines Unternehmens dar und können zu schwerwiegenden Vorfällen mit spürbaren geschäftlichen Folgen führen. Aus diesem Grund sollte jedes Unternehmen über eine strenge Passwort-Sicherheitsrichtlinie verfügen.

Konfigurieren einer Passwortsicherheitsrichtlinie in Zimbra

Jeder Sicherheitsbeauftragte weiß jedoch, dass eine Passwortrichtlinie nur dann Ergebnisse bringt, wenn sie nicht nur existiert, sondern von allen oder zumindest von wichtigen Mitarbeitern der Organisation strikt eingehalten wird. Dies zu erreichen ist schwieriger als es aussieht. Bereits stark belastete Mitarbeiter vergessen ständig die Notwendigkeit, das Passwort zu ändern, oder gehen den Weg des geringsten Widerstands, wodurch das Passwort jedes Mal immer einfacher wird und so der gesamte Effekt zunichte gemacht wird. Deshalb wird die Frage der Einhaltung der Passwortrichtlinie in Unternehmen meist durch verschiedene technische Mittel gelöst.

Zimbra benötigt keine Anwendungen von Drittanbietern, um Passwortrichtlinien durchzusetzen. Dies kann mit integrierten Tools erreicht werden.

Zunächst lohnt es sich zu verstehen, wie die Passwortverwaltung in Zimbra funktioniert. Wenn ein neues Konto erstellt wird, wird ihm vom Administrator ein temporäres Passwort zugewiesen. Danach kann sich der Benutzer selbstständig in das Konto einloggen und das Passwort ändern. Alle Passwörter werden bei Zimbra verschlüsselt auf dem Server gespeichert und sind daher selbst für den Serveradministrator unzugänglich. Deshalb muss der Benutzer, wenn er das Passwort vergisst, ein neues erstellen. Denken Sie daran, dass die Erstellung eines neuen Passworts bis vor Kurzem die Beteiligung eines Administrators erforderte, die neueste Version der Zimbra Creative Suite 8.8.9 jedoch die Möglichkeit für Benutzer hinzugefügt hat, selbst ein neues Passwort festzulegen.

Konfigurieren einer Passwortsicherheitsrichtlinie in Zimbra
Einstellungen zur Passwortrichtlinie finden Sie in den Einstellungen für einzelne Benutzer und Benutzergruppen. Sie können Folgendes einrichten:

  • Passwortlänge – ermöglicht Ihnen die Festlegung der minimalen und maximalen Passwortlänge. Standardmäßig beträgt die Mindestlänge des Passworts 6 Zeichen und die Höchstlänge 64.
  • Passwortalterung – ermöglicht Ihnen das Festlegen der Zeit, nach der das Passwort ungültig wird. Benutzer müssen nicht warten, bis das Passwort abläuft, sie können es ändern, bevor das Passwort abläuft
  • Mindestanzahl an Großbuchstaben – ermöglicht Ihnen die Festlegung der Mindestanzahl an Großbuchstaben, die im Passwort verwendet werden
  • Mindestanzahl an Kleinbuchstaben – ermöglicht es Ihnen, die Mindestanzahl an Kleinbuchstaben festzulegen, die im Passwort verwendet werden
  • Mindestzahl an numerischen Zeichen – ermöglicht Ihnen die Festlegung der Mindestanzahl an Ziffern von 0 bis 9, die im Passwort verwendet werden
  • Mindestanzahl an Satzzeichen – ermöglicht es Ihnen, die Mindestanzahl an Satzzeichen und Sonderzeichen festzulegen, die im Passwort verwendet werden
  • Kennwortverlauf erzwingen – ermöglicht Ihnen, die Anzahl der zu merkenden Kennwörter festzulegen, damit der Benutzer nicht regelmäßig wiederholte Kennwörter verwendet
  • Passwort gesperrt – Mit dieser Option können Sie verhindern, dass der Benutzer das Passwort ändert
  • Sperre bei fehlgeschlagener Anmeldung aktivieren – mit dieser Option können Sie die Systemreaktion auf die Eingabe eines falschen Passworts konfigurieren

Wie Sie sehen, sind die Passworteinstellungen in Zimbra recht flexibel und können an die Passwortrichtlinien in fast jedem Unternehmen angepasst werden. Darüber hinaus können Sie mithilfe eines einfachen Skripts Erinnerungen an Benutzer senden, dass ihr Passwort bald abläuft. Dank einer solchen Erinnerung kann der Mitarbeiter das Passwort in entspannter Atmosphäre ändern, während die Post, die morgens nicht an den Mitarbeiter geht, der den Moment der Passwortänderung verpasst hat, seine Effizienz negativ beeinflussen kann.

Damit dieses Skript funktioniert, müssen Sie es in eine Datei kopieren und diese Datei ausführbar machen. Es wird empfohlen, die Ausführung dieses Skripts mit Cron zu automatisieren, damit Benutzer, die ihr Passwort nicht täglich aktualisiert haben, darüber informiert werden, dass es bald nicht mehr funktioniert. Darüber hinaus müssen Sie im Skript anstelle von zimbra.server.com den Namen Ihrer eigenen Domäne ersetzen.

#!/bin/bash
# Задаем ряд переменных:
# Сперва количество дней для первого напоминания, затем для последнего:
FIRST="3"
LAST="1"
# Задаем адрес отправителя:
FROM="[email protected]"
# Задаем адрес получателя, который будет получать письмо со списком аккаунтов с истекшими паролями
ADMIN_RECIPIENT="[email protected]"
# Указываем путь к исполняемому файлу Sendmail
SENDMAIL=$(ionice -c3 find /opt/zimbra/common/sbin/sendmail* -type f -iname sendmail)
# Получаем список всех пользователей.
USERS=$(ionice -c3 /opt/zimbra/bin/zmprov -l gaa $DOMAIN)
# Указываем дату с точностью до секунды:
DATE=$(date +%s)
# Проверяем каждого из них:
for USER in $USERS
 do
# Узнаем, когда был установлен пароль
USERINFO=$(ionice -c3 /opt/zimbra/bin/zmprov ga "$USER")
PASS_SET_DATE=$(echo "$USERINFO" | grep zimbraPasswordModifiedTime: | cut -d " " -f 2 | cut -c 1-8)
PASS_MAX_AGE=$(echo "$USERINFO" | grep "zimbraPasswordMaxAge:" | cut -d " " -f 2)
NAME=$(echo "$USERINFO" | grep givenName | cut -d " " -f 2)
# Проверяем, нет ли среди пользователей тех, у кого срок действия пароля уже истек.
if [[ "$PASS_MAX_AGE" -eq "0" ]]
then
  continue
fi
# Высчитываем дату окончания действия паролей
EXPIRES=$(date -d  "$PASS_SET_DATE $PASS_MAX_AGE days" +%s)
# Считаем, сколько дней осталось до окончания срока действия пароля
DEADLINE=$(( (($DATE - $EXPIRES)) / -86400 ))
# Отправляем письмо пользователям
SUBJECT="$NAME - Ваш пароль станет недействительным через $DEADLINE дней"
BODY="
Здравствуйте, $NAME,
Пароль вашего аккаунта станет недействительным через $DEADLINE дней, Пожалуйста, создайте новый как можно скорее.
Вы можете также создать напоминание о смене пароля в календаре Zimbra.
Заранее спасибо.
С уважением, IT-отдел
"
# Первое предупреждение
if [[ "$DEADLINE" -eq "$FIRST" ]]
then
	echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER"
	echo "Reminder email sent to: $USER - $DEADLINE days left"
# Последнее предупреждение
elif [[ "$DEADLINE" -eq "$LAST" ]]
then
	echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER"
	echo "Reminder email sent to: $USER - $DEADLINE days left"
# Final
elif [[ "$DEADLINE" -eq "1" ]]
then
    echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER"
	echo "Last chance for: $USER - $DEADLINE days left"
fi
done

Somit können wir sagen, dass die Zimbra Collaboration Suite selbst für Unternehmen, die eine strenge Passwortrichtlinie implementiert haben, durchaus geeignet ist und dank der integrierten Funktionen die strikte Umsetzung durch die Mitarbeiter recht einfach zu erreichen ist.

Bei allen Fragen im Zusammenhang mit der Zextras Suite können Sie sich per E-Mail an die Vertreterin des Zextras-Unternehmens Katerina Triandafilidi wenden [E-Mail geschützt]

Source: habr.com

Kommentar hinzufügen