Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memahami kebijakan kata sandi Microsoft AD yang AWS Dikelola
AWS Microsoft AD yang dikelola memungkinkan Anda menentukan dan menetapkan kebijakan penguncian kata sandi dan akun yang berbeda (juga disebut sebagai [kebijakan kata sandi berbutir halus](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-#fine_grained_pswd_policy_mgmt)) untuk grup pengguna yang Anda kelola di domain Microsoft AD Terkelola AWS . Saat Anda membuat direktori Microsoft AD AWS Terkelola, kebijakan domain default dibuat dan diterapkan ke Direktori Aktif. Kebijakan ini mencakup pengaturan berikut:
****
| Kebijakan | Pengaturan |
| --- | --- |
| Memberlakukan riwayat kata sandi | 24 kata sandi diingat |
| Usia kata sandi maksimal | 42 hari \* |
| Usia kata sandi minimum | 1 hari |
| Panjang kata sandi minimum | 7 karakter |
| Kata sandi harus memenuhi persyaratan kompleksitas | Diaktifkan |
| Menyimpan kata sandi menggunakan enkripsi reversibel | Nonaktif |
**catatan**
\* Usia kata sandi maksimum 42 hari termasuk kata sandi admin.
Misalnya, Anda dapat menetapkan pengaturan kebijakan yang kurang ketat untuk karyawan yang memiliki akses ke informasi sensitivitas rendah saja. Untuk manajer senior yang secara teratur mengakses informasi rahasia Anda dapat menerapkan pengaturan yang lebih ketat.
Sumber daya berikut memberikan informasi lebih lanjut tentang kebijakan kata sandi dan kebijakan keamanan berbutir halus Microsoft Active Directory:
+ [Konfigurasikan setelan kebijakan keamanan](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/how-to-configure-security-policy-settings)
+ [Persyaratan kompleksitas kata sandi](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
+ [Pertimbangan keamanan kompleksitas kata sandi](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements#security-considerations)
AWS menyediakan serangkaian kebijakan kata sandi berbutir halus di AWS Microsoft AD Terkelola yang dapat Anda konfigurasikan dan tetapkan ke grup Anda. Untuk mengonfigurasi kebijakan, Anda dapat menggunakan alat Microsoft kebijakan standar seperti [Pusat Administrasi Direktori Aktif](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/active-directory-administrative-center). Untuk memulai dengan alat Microsoft kebijakan, lihat[Menginstal Alat Administrasi Direktori Aktif untuk Microsoft AD yang AWS Dikelola](ms_ad_install_ad_tools.md).
## Bagaimana kebijakan kata sandi diterapkan
Ada perbedaan dalam bagaimana kebijakan kata sandi berbutir halus diterapkan tergantung pada apakah kata sandi disetel ulang atau diubah. Pengguna domain dapat mengubah kata sandi mereka sendiri. Administrator Active Directory atau pengguna dengan izin yang diperlukan dapat [mengatur ulang kata sandi pengguna](ms_ad_manage_users_groups_reset_password.md). Lihat bagan berikut untuk informasi lebih lanjut.
****
| Kebijakan | Reset Kata Sandi | Perubahan Kata Sandi |
| --- | --- | --- |
| Memberlakukan riwayat kata sandi | Tidak | Ya |
| Usia kata sandi maksimal | Ya | Ya |
| Usia kata sandi minimum | Tidak | Ya |
| Panjang kata sandi minimum | Ya | Ya |
| Kata sandi harus memenuhi persyaratan kompleksitas | Ya | Ya |
Perbedaan-perbedaan ini memiliki implikasi keamanan. Misalnya, setiap kali kata sandi pengguna disetel ulang, riwayat penegakan kata sandi dan kebijakan usia kata sandi minimum tidak diberlakukan. Untuk informasi selengkapnya, lihat dokumentasi Microsoft tentang pertimbangan keamanan yang terkait dengan [menerapkan riwayat kata sandi dan kebijakan](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/enforce-password-history#security-considerations) [usia kata sandi minimum](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/minimum-password-age#security-considerations).
## Pengaturan kebijakan yang didukung
AWS Microsoft AD yang dikelola mencakup lima kebijakan berbutir halus dengan nilai prioritas yang tidak dapat diedit. Kebijakan memiliki sejumlah properti yang dapat Anda konfigurasikan untuk memberlakukan kekuatan kata sandi, dan tindakan penguncian akun jika terjadi peristiwa kegagalan login. Anda dapat menetapkan kebijakan ke nol atau lebih grup Direktori Aktif. Jika pengguna akhir adalah anggota dari beberapa grup dan menerima lebih dari satu kebijakan kata sandi, Direktori Aktif memberlakukan kebijakan dengan nilai prioritas terendah.
### AWS kebijakan kata sandi yang telah ditentukan sebelumnya
Tabel berikut mencantumkan lima kebijakan yang disertakan dalam direktori AD Microsoft AWS Terkelola dan nilai prioritas yang ditetapkan. Untuk informasi selengkapnya, lihat [Precedence](#precedence).
****
| Nama kebijakan | Precedence |
| --- | --- |
| PelangganPSO-01 | 10 |
| PelangganPSO-02 | 20 |
| PelangganPSO-03 | 30 |
| PelangganPSO-04 | 40 |
| PelangganPSO-05 | 50 |
#### Properti kebijakan kata sandi
Anda dapat mengedit properti berikut dalam kebijakan kata sandi agar sesuai dengan standar kepatuhan yang memenuhi kebutuhan bisnis Anda.
+ Nama kebijakan
+ [Menegakkan riwayat kata sandi](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/enforce-password-history)
+ [Panjang kata sandi minimum](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-length)
+ [Usia kata sandi minimum](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-age)
+ [Usia kata sandi maksimum](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-password-age)
+ [Simpan kata sandi menggunakan enkripsi yang dapat dibalik](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/store-passwords-using-reversible-encryption)
+ [Kata sandi harus memenuhi persyaratan kompleksitas](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
Anda tidak dapat mengubah nilai prioritas untuk kebijakan ini. *Untuk detail selengkapnya tentang bagaimana pengaturan ini memengaruhi penegakan kata sandi, lihat [AD DS: Kebijakan kata sandi berbutir halus di situs](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) web Microsoft. TechNet* Untuk informasi umum tentang kebijakan ini, lihat [Kebijakan kata sandi](https://technet.microsoft.com/en-us/library/hh994572(v=ws.11).aspx) di TechNet situs web *Microsoft*.
### Kebijakan penguncian akun
Anda juga dapat mengubah properti berikut dari kebijakan kata sandi Anda untuk menentukan apakah dan bagaimana Direktori Aktif harus mengunci akun setelah kegagalan login:
+ Jumlah upaya masuk yang gagal diizinkan
+ Durasi penguncian akun
+ Mengatur ulang upaya masuk yang gagal setelah beberapa durasi
Untuk informasi umum tentang kebijakan ini, lihat [Kebijakan penguncian akun](https://technet.microsoft.com/en-us/library/hh994563(v=ws.11).aspx) di TechNet situs web *Microsoft*.
### Precedence
Kebijakan dengan nilai prioritas yang lebih rendah memiliki prioritas yang lebih tinggi. Anda menetapkan kebijakan kata sandi untuk grup keamanan Direktori Aktif. Meskipun Anda harus menerapkan kebijakan tunggal untuk grup keamanan, satu pengguna tunggal mungkin menerima lebih dari satu kebijakan kata sandi. Sebagai contoh, misalkan `jsmith` adalah anggota dari grup HR dan juga anggota dari grup MANAJER. Jika Anda menetapkan **CustomerPSO-05** (yang memiliki prioritas 50) untuk grup HR, dan **CustomerPSO-04** (yang memiliki prioritas 40) untuk MANAJER, **CustomerPSO-04** memiliki prioritas yang lebih tinggi dan Direktori Aktif menerapkan kebijakan tersebut untuk `jsmith`.
Jika Anda menetapkan beberapa kebijakan untuk pengguna atau grup, Direktori Aktif menentukan kebijakan yang dihasilkan sebagai berikut:
1. Kebijakan yang Anda tetapkan langsung ke objek pengguna berlaku.
1. Jika tidak ada kebijakan yang diberikan langsung ke objek pengguna, kebijakan dengan nilai prioritas terendah dari semua kebijakan yang diterima oleh pengguna sebagai hasil dari keanggotaan grup berlaku.
*Untuk detail tambahan, lihat [AD DS: Kebijakan kata sandi berbutir halus](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) di situs web Microsoft. TechNet*
**Topics**
+ [Bagaimana kebijakan kata sandi diterapkan](#how_password_policies_applied)
+ [Pengaturan kebijakan yang didukung](#supportedpolicysettings)
+ [Menetapkan kebijakan kata sandi ke pengguna Microsoft AD yang AWS Dikelola](assignpasswordpolicies.md)
+ [Mendelegasikan siapa yang dapat mengelola kebijakan kata sandi Microsoft AD AWS Terkelola](delegatepasswordpolicies.md)
**Artikel blog AWS Keamanan Terkait**
+ [Cara mengonfigurasi kebijakan kata sandi yang lebih kuat untuk membantu memenuhi standar keamanan Anda dengan menggunakan Directory Service untuk Microsoft AD yang AWS Dikelola](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)