Como configurar uma política de senha de domínio

Neste artigo, você aprenderá a configurar a política de senha de domínio do Active Directory.

Você também aprenderá:

• Qual é a política de senha de domínio padrão
• Compreender as configurações da política de senha
• Melhor política de senha práticas
• Modificar a política de senha de domínio

O que é a política de senha de domínio padrão?

Por padrão, o Active Directory é configurado com um domínio padrão política de senha. Esta política define os requisitos de senha para contas de usuário do Active Directory, como comprimento de senha, idade e assim por diante.

Esta política de senha é configurada pela política de grupo e vinculada à raiz do domínio. Para visualizar a política de senha, siga estas etapas:

1. Abra o console de gerenciamento de política de grupo

2. Expanda Domínios, seu domínio e, em seguida, objetos de política de grupo

3. Clique com o botão direito na política de domínio padrão e clique em editar

4. Agora navegue até Configuração do computador \ Políticas \ Configurações do Windows \ Configurações de segurança \ Políticas de conta \ Política de senha

Você também pode visualizar o política de senha padrão com Powershell usando este comando.

Get-ADDefaultDomainPasswordPolicy

Importante: a política de senha padrão é aplicada a todos os computadores em o domínio. Se você deseja aplicar políticas de senha diferentes a um grupo de usuários, a melhor prática é usar políticas de senha refinadas. Não crie um novo GPO e vincule-o a uma UO, isso não é recomendado.

Compreender as configurações da política de senha

Agora que você sabe como visualizar a política de senha padrão do domínio, vamos dar uma olhada nas configurações.

Impor histórico de senha:

Esta configuração define quantas senhas exclusivas devem ser usadas antes que uma senha antiga possa ser reutilizada. Por exemplo, se minha senha atual for “Th334goore0!” então, não poderei reutilizar essa senha até que eu mude minha senha 24 vezes (ou qualquer número para o qual a política esteja definida). Esta configuração é útil para que os usuários não continuem a reutilizar a mesma senha. A configuração padrão é 24

Duração máxima da senha:

Esta configuração define por quanto tempo em dias uma senha pode ser usada antes de precisar ser alterada. A configuração padrão é 42 dias

Senha mínima idade

Esta configuração determina por quanto tempo uma senha deve ser usada antes de ser alterada. A configuração padrão é 1 dia

Comprimento mínimo da senha

Esta configuração determina quantos caracteres uma senha deve ter. O padrão é 7. Isso significa que minha senha deve conter pelo menos 7 caracteres.

A senha deve atender aos requisitos de complexidade

Se habilitada, as senhas devem atender a esses requisitos :

• Não conter o nome da conta do usuário ou partes do nome completo do usuário que excedam dois caracteres consecutivos
• Ter pelo menos seis caracteres
• Conta em caracteres de três das quatro categorias a seguir:
  • Caracteres maiúsculos do inglês (A a Z)
  • Caracteres minúsculos do inglês (a até z)
  • Dígitos de base 10 ( 0 a 9)
  • Caracteres não alfabéticos (por exemplo,!, $, #,%)

Isso é ativado por padrão

Armazenar senhas usando criptografia reversível

Esta configuração determina se o sistema operacional armazena senhas usando criptografia reversível. Isso é essencialmente o mesmo que armazenar as versões do plantest de senhas. Esta política NUNCA deve ser definida como ativada, a menos que você tenha alguns requisitos de aplicativo muito específicos.

Práticas recomendadas para políticas de senha

Existem diferentes opiniões sobre isso, então vou citar duas fontes. Além disso, a política de senha da sua organização pode ser orientada por requisitos de conformidade / regulamentação, como PCI / SOX / CJIS e assim por diante.

Configurações de senha recomendadas da Microsoft

Essas configurações são do Security Compiance Toolkit da Microsoft. Este kit de ferramentas fornece configurações de GPO recomendadas da Microsoft.

• Aplicar histórico de senha: 24
• Idade máxima da senha: não definida
• Idade mínima da senha: não definida
• Senha mínima comprimento: 14
• A senha deve atender à complexidade: Ativado
• Armazenar senhas usando criptografia reversível: Desativado

NOTA: A Microsoft retirou as políticas de expiração de senha começando com a linha de base de segurança de 1903. Você pode ler mais sobre isso aqui

Acho que é uma boa decisão, mas algumas organizações ainda precisarão seguir guias específicos (como PCI, SOX, CJIS). Esperançosamente, eles serão atualizados em breve.

Configurações de senha de benchmark CIS

Essas configurações são dos benchmarks CIS.O centro de segurança na Internet é uma organização sem fins lucrativos que desenvolve diretrizes e referências de segurança.

• Aplicar histórico de senha: 24
• Duração máxima da senha: 60 ou menos dias
• Duração mínima da senha: 1 ou mais
• Comprimento mínimo da senha: 14
• A senha deve atender à complexidade: Ativado
• Armazenar senhas usando criptografia reversível: Desativado

Modificar Política de Senha de Domínio Padrão

Para modificar a política de senha, você precisará modificar a política de domínio padrão.

1. Abra o console de gerenciamento de política de grupo

2. Expanda Domínios, seu domínio e, em seguida, objetos de política de grupo

3. Clique com o botão direito na política de domínio padrão e clique em editar

4. Agora navegue até Configuração do computador \ Políticas \ Configurações do Windows \ Configurações de segurança \ Políticas de conta \ Política de senha

5. Agora clique duas vezes em uma das configurações para editar. Por exemplo, vou duplicar o comprimento mínimo da senha.

Vou alterar essa configuração de 7 para 14 caracteres e, em seguida, clicar em aplicar.

Clique duas vezes em qualquer outra configuração de política de senha para alterar.

Espero que tenha gostado deste artigo.

Você tem alguma dúvida? Deixe-me saber nos comentários abaixo.