Come impostare i criteri delle password in Active Directory

Un criterio delle password complesse è la prima linea di difesa di qualsiasi organizzazione contro gli intrusi. In Microsoft Active Directory, è possibile utilizzare i criteri di gruppo per applicare e controllare molti requisiti di password diversi, come la complessità, la durata e la durata.,

Il dominio di default la password è la politica trova nella seguente oggetto Criteri di Gruppo (GPO): Configurazione Computer -> Politiche> Impostazioni di Windows ->Impostazioni di Protezione -> Account Politiche -> Password Policy

a Partire da Windows Server 2008 livello di funzionalità del dominio, è possibile definire a grana fine, le politiche per le diverse unità organizzative che utilizza Active Directory Centro Amministrativo (DSAC) o PowerShell.,

Linee guida sulle password del NIST

Il National Institute of Standards and Technology (NIST) offre linee guida sull’identità digitale per una valida politica sulle password, incluse le seguenti raccomandazioni:

Complessità e lunghezza delle password

Molte organizzazioni richiedono che le password includano una varietà di simboli, ad esempio almeno un numero, lettere maiuscole e minuscole, Tuttavia, il vantaggio di queste regole non è così significativo come previsto e rendono le password molto più difficili da ricordare e digitare per gli utenti.,

La lunghezza della password, d’altra parte, è stata trovata come un fattore primario nella forza della password. Di conseguenza, il NIST raccomanda di incoraggiare gli utenti a scegliere password lunghe o passphrase fino a 64 caratteri (spazi inclusi).

Password age

Le precedenti linee guida del NIST raccomandavano di forzare gli utenti a cambiare le password ogni 90 giorni (180 giorni per le passphrase). Tuttavia, la modifica delle password troppo spesso irrita gli utenti e di solito li fa riutilizzare vecchie password o utilizzare modelli semplici, il che danneggia la postura della sicurezza delle informazioni., Mentre le strategie per prevenire il riutilizzo delle password possono essere implementate, gli utenti potranno ancora trovare modi creativi intorno a loro.

Pertanto, l’attuale raccomandazione del NIST sull’età massima della password è di chiedere ai dipendenti di creare una nuova password solo in caso di potenziale minaccia o sospetto accesso non autorizzato.,

Password particolarmente suscettibili agli attacchi di forza bruta

Si consiglia di utilizzare scoraggiare o vietare la seguente password:

• Facile da indovinare le password, in particolare la frase “password”
• Una stringa di numeri o lettere come “1234” o “abcd”
• Una stringa di caratteri che appaiono in sequenza sulla tastiera, come “@#$%^&”
• Un nome dell’utente, il nome del coniuge o del partner, o altri nomi
• Il numero di telefono o numero di targa, nessuno data di nascita, o altre informazioni facilmente ottenuti su di un utente (ad es.,, indirizzo o alma mater)
• Lo stesso carattere digitato più volte come “zzzzzz”
• Parole che si possono trovare in un dizionario
• Default o suggerito password, anche se sembrano forti
• Nomi o nomi host utilizzato come password
• Qualsiasi, seguita o preceduta da una sola cifra
• Password che costituiscono motivo di incremento di un numero o un carattere all’inizio o alla fine

le Migliori pratiche per la politica di password

gli Amministratori dovrebbero essere sicuri di:

• Configurare una lunghezza minima della password.,
• Applica la politica della cronologia delle password con almeno 10 password precedenti memorizzate.
• Imposta un’età minima della password di 3 giorni.
• Abilitare l’impostazione che richiede password per soddisfare i requisiti di complessità. Questa impostazione può essere disabilitata per le passphrase, ma non è raccomandata.
• Reimposta le password dell’amministratore locale ogni 180 giorni. Questo può essere fatto con lo strumento gratuito Netwrix Bulk Password Reset.
• Reimposta le password dell’account di servizio una volta all’anno durante la manutenzione.
• Per gli account amministratore di dominio, utilizzare passphrase forti con un minimo di 15 caratteri.,
• Tenere traccia di tutte le modifiche della password utilizzando una soluzione come Netwrix Auditor per Active Directory.
• Crea notifiche e-mail per la scadenza della password. Questo può essere fatto con lo strumento gratuito Netwrix Password Expiration Notifier.
• Invece di modificare le impostazioni predefinite in criteri di dominio, si consiglia di creare criteri di controllo granulari e collegarli a unità organizzative specifiche.

Best practice aggiuntive per password e autenticazione

• Le applicazioni aziendali devono supportare l’autenticazione di singoli account utente, non di gruppi.,
• Le applicazioni aziendali devono proteggere le password memorizzate e trasferite con la crittografia per garantire che i tracker non le incrinino.
• Gli utenti (e le applicazioni) non devono memorizzare le password in chiaro o in qualsiasi forma facilmente reversibile e non devono trasmettere le password in chiaro sulla rete.
• Utilizzare l’autenticazione a più fattori (MFA) quando possibile per mitigare i rischi per la sicurezza di password rubate e mal gestite.
• Quando i dipendenti lasciano l’organizzazione, modificare le password per i loro account.,

User education

Inoltre, assicurati di educare i tuoi utenti su quanto segue:

• È fondamentale ricordare la tua password senza scriverla da qualche parte, quindi scegli una password complessa o una passphrase che ricorderai facilmente. Se si dispone di molte password diverse, è possibile utilizzare gli strumenti di gestione delle password, ma è necessario scegliere una chiave master forte e ricordarla.
• Essere consapevoli di come le password vengono inviate attraverso Internet. Gli URL (indirizzi web) che iniziano con “https://” anziché “http://” hanno maggiori probabilità di essere sicuri per l’uso della password.,
• Se sospetti che qualcun altro possa conoscere la tua password corrente, cambiala immediatamente.
• Non digitare la password mentre qualcuno sta guardando.
• Evitare di utilizzare la stessa password per più siti web contenenti informazioni sensibili.