Dicembre 7, 2020

Come configurare un criterio password di dominio

In questo articolo imparerai come configurare il criterio password di dominio Active Directory.

Imparerai anche:

  • Qual è il criterio della password del dominio predefinito
  • Comprendere le impostazioni del criterio della password
  • Criterio della password meglio pratiche
  • Modifica il criterio della password del dominio

Che cosè il criterio della password del dominio predefinito?

Per impostazione predefinita, Active Directory è configurato con un dominio predefinito politica delle password. Questo criterio definisce i requisiti della password per gli account utente di Active Directory come la lunghezza della password, letà e così via.

Questa politica per le password è configurata dalla politica di gruppo e collegata alla radice del dominio. Per visualizzare la politica delle password, segui questi passaggi:

1. Apri la console di gestione dei criteri di gruppo

2. Espandi Domini, il tuo dominio, quindi gli oggetti Criteri di gruppo

3. Fare clic con il pulsante destro del mouse sul criterio di dominio predefinito e fare clic su modifica

4. Ora vai a Configurazione computer \ Criteri \ Impostazioni di Windows \ Impostazioni di sicurezza \ Criteri account \ Criterio password

Puoi anche visualizzare il politica della password predefinita con Powershell utilizzando questo comando. 

Get-ADDefaultDomainPasswordPolicy

Importante: il criterio password predefinito viene applicato a tutti i computer in il dominio. Se si desidera applicare criteri di password diversi a un gruppo di utenti, è consigliabile utilizzare criteri di password granulari. Non creare un nuovo oggetto Criteri di gruppo e collegarlo a ununità organizzativa, questo non è consigliato.

Strumento consigliato: Active Directory Cleanup Tool

Trova utenti e computer inattivi, mantieni AD sicuro e pulito.

Scarica la tua copia di Active Directory Cleanup Tool

Comprensione delle impostazioni dei criteri delle password

Ora che sai come visualizzare i criteri delle password predefinite del dominio, guardiamo alle impostazioni.

Applica la cronologia delle password:

Questa impostazione definisce quante password univoche devono essere utilizzate prima che una vecchia password possa essere riutilizzata. Ad esempio, se la mia password attuale è “Th334goore0!” quindi non posso riutilizzare quella password fino a quando non ho cambiato la mia password 24 volte (o qualunque numero sia impostato il criterio). Questa impostazione è utile in modo che gli utenti non continuino a riutilizzare la stessa password. Limpostazione predefinita è 24

Età massima della password:

Questa impostazione definisce per quanto tempo una password può essere utilizzata prima di dover essere modificata. Limpostazione predefinita è 42 giorni

Password minima età

Questa impostazione determina per quanto tempo una password deve essere utilizzata prima che possa essere modificata. Limpostazione predefinita è 1 giorno

Lunghezza minima della password

Questa impostazione determina quanti caratteri deve avere una password. Limpostazione predefinita è 7. Ciò significa che la mia password deve contenere almeno 7 caratteri.

La password deve soddisfare i requisiti di complessità

Se abilitata, le password devono soddisfare questi requisiti :

  • Non contenere il nome dellaccount dellutente o parti del nome completo dellutente che superano i due caratteri consecutivi
  • contenere almeno sei caratteri
  • Conta in caratteri di tre delle seguenti quattro categorie:
    • Caratteri maiuscoli inglesi (dalla A alla Z)
    • Caratteri minuscoli inglesi (dalla a alla z)
    • Cifre in base 10 ( Da 0 a 9)
    • Caratteri non alfabetici (ad esempio,!, $, #,%)

Questo è abilitato da predefinito

Memorizza le password utilizzando la crittografia reversibile

Questa impostazione determina se i sistemi operativi memorizzano le password utilizzando la crittografia reversibile. Questo è essenzialmente lo stesso dellarchiviazione delle versioni più semplici delle password. Questo criterio non deve MAI essere impostato su abilitato a meno che non si dispongano di requisiti applicativi molto specifici.

Best practice per le norme sulle password

Ci sono opinioni diverse su questo, quindi farò riferimento a due fonti. Inoltre, la politica delle password della tua organizzazione può essere determinata da requisiti di conformità / regolamentazione come PCI / SOX / CJIS e così via.

Impostazioni della password consigliate da Microsoft

Queste impostazioni provengono da Security Compiance Toolkit di Microsoft. Questo toolkit fornisce le impostazioni GPO consigliate da Microsoft.

  • Applica cronologia password: 24
  • Età massima password: non impostata
  • Età minima password: non impostata
  • Password minima lunghezza: 14
  • La password deve soddisfare la complessità: Abilitato
  • Archivia le password utilizzando la crittografia reversibile: Disabilitato

NOTA: Microsoft ha abbandonato i criteri di scadenza delle password a partire dalla base di sicurezza del 1903. Puoi leggere di più su questo qui

Penso che questa sia una buona decisione, ma alcune organizzazioni dovranno comunque seguire guide specifiche (come PCI, SOX, CJIS). Si spera che vengano aggiornati presto.

Impostazioni della password del benchmark CIS

Queste impostazioni provengono dai benchmark CIS.Il centro per la sicurezza in Internet è unorganizzazione senza scopo di lucro che sviluppa linee guida e benchmark sulla sicurezza.

  • Applica cronologia password: 24
  • Età massima della password: 60 o meno giorni
  • Età minima della password: 1 o più
  • Lunghezza minima della password: 14
  • La password deve soddisfare la complessità: abilitata
  • Archivia le password utilizzando la crittografia reversibile: disabilitata

Modifica criterio password di dominio predefinito

Per modificare il criterio della password sarà necessario modificare il criterio del dominio predefinito.

1. Apri la console di gestione dei criteri di gruppo

2. Espandi Domini, il tuo dominio, quindi gli oggetti Criteri di gruppo

3. Fai clic con il pulsante destro del mouse sul criterio di dominio predefinito e fai clic su modifica

4. Ora vai a Configurazione computer \ Criteri \ Impostazioni di Windows \ Impostazioni di sicurezza \ Criteri account \ Criterio password

5. Ora fai doppio clic su una delle impostazioni da modificare. Ad esempio, raddoppierò il pulcino sulla lunghezza minima della password.

Cambierò questa impostazione da 7 a 14 caratteri, quindi farò clic su Applica.

Fare doppio clic su qualsiasi altra impostazione dei criteri per la password da modificare.

Spero che questo articolo ti sia piaciuto.

Hai domande? Fammi sapere nei commenti qui sotto.

Strumento consigliato: SolarWinds Server & Application Monitor

Questa utility è stata progettata per monitorare Active Directory e altri servizi critici come DNS & DHCP. Individuerà rapidamente i problemi del controller di dominio, previene gli errori di replica, tiene traccia dei tentativi di accesso non riusciti e molto altro ancora.

Quello che mi piace di più di SAM è la semplicità di utilizzo della dashboard e delle funzioni di avviso. Ha anche la capacità di monitorare le macchine virtuali e larchiviazione.

Scarica la tua prova gratuita qui

admin
0

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Archivi

Articoli recenti