Come impostare e gestire la politica delle password di Active Directory

Con attacchi informatici che esplodono in tutto il mondo, è più importante che mai per le organizzazioni di avere una politica delle password robusta. Gli hacker spesso ottengono l’accesso alle reti aziendali tramite credenziali utente o amministratore legittime, causando incidenti di sicurezza e errori di conformità. In questo articolo, esploreremo come creare e mantenere una politica di password Active Directory forte ed efficace.

Come gli aggressori compromettono le password aziendali

Gli hacker utilizzano una varietà di tecniche per compromettere le password aziendali, tra cui le seguenti:

  • Attacco di forza bruta-Gli hacker eseguono programmi che inseriscono varie combinazioni di password potenziali fino a quando non colpiscono quello giusto.
  • Dictionary attack-Questa è una forma specifica di attacco di forza bruta che coinvolge cercando parole trovate nel dizionario come possibili password.
  • Password spraying attack-Gli hacker inseriscono un nome utente noto o un altro identificatore di account e provano più password comuni per vedere se funzionano.
  • Credential stuffing attack-Gli hacker utilizzano strumenti automatizzati per inserire elenchi di credenziali contro vari portali di login aziendali.
  • Spidering-Gli utenti malintenzionati raccolgono quante più informazioni possibili su un obiettivo di hacking e quindi provano le combinazioni di password create utilizzando tali dati.

Come visualizzare e modificare la politica delle password di Active Directory

Per difendersi da questi attacchi, le organizzazioni hanno bisogno di una forte politica delle password di Active Directory. I criteri password definiscono regole diverse per la creazione della password, ad esempio la lunghezza minima, i dettagli sulla complessità (ad esempio se è richiesto un carattere speciale) e il periodo di tempo in cui la password dura prima di essere modificata.

Criterio di dominio predefinito è un oggetto Criteri di gruppo (GPO) che contiene impostazioni che interessano tutti gli oggetti nel dominio. Per visualizzare e configurare un criterio di password di dominio, gli amministratori possono utilizzare la Console di gestione criteri di gruppo (GPMC). Espandere la cartella Domini e scegliere il dominio di cui si desidera accedere ai criteri, quindi scegliere Oggetti Criteri di gruppo. Fare clic con il pulsante destro del mouse sulla cartella dei criteri di dominio predefinita e selezionare Modifica. Passare a Configurazione computer – > Criteri- > Impostazioni di Windows- > Impostazioni di sicurezza -> Criteri account – > Criteri password.

In alternativa, è possibile accedere al criterio della password del dominio eseguendo il seguente comando PowerShell:

Get-ADDefaultDomainPasswordPolicy

Ricorda, tutte le modifiche apportate al criterio di password del dominio predefinito si applicano a tutti gli account all’interno di quel dominio. È possibile creare e gestire criteri di password a grana fine utilizzando Active Directory Management Center (ADAC) in Windows Server.

Comprensione delle impostazioni dei criteri delle password degli annunci

Ecco le sei impostazioni dei criteri delle password e i relativi valori predefiniti:

  • Imponi la cronologia delle password: l’impostazione predefinita è 24. Questa impostazione specifica il numero di password univoche che gli utenti devono creare prima di riutilizzare una vecchia password. Si consiglia di mantenere il valore predefinito per ridurre il rischio che gli utenti abbiano password compromesse.
  • Età massima della password: l’impostazione predefinita è 42. Questa impostazione stabilisce per quanto tempo può esistere una password prima che il sistema costringa l’utente a modificarla. Gli utenti in genere ricevono un avviso pop-up quando raggiungono la fine del periodo di scadenza della password. È possibile controllare questa impostazione tramite PowerShell eseguendo il comando net user USERNAME / domain. Tieni presente che forzare frequenti modifiche alle password può portare gli utenti a scrivere le loro password o ad adottare pratiche come aggiungere il mese a una parola stem che riutilizzano, il che aumenta effettivamente i rischi per la sicurezza. Impostare “Età massima password” su 0 significa che le password non scadono mai (che in genere non è raccomandato).
  • Età minima della password: l’impostazione predefinita è 1 giorno. Questa impostazione specifica per quanto tempo deve esistere una password prima che l’utente possa modificarla. L’impostazione di un’età minima impedisce agli utenti di reimpostare ripetutamente la password per aggirare l’impostazione” Applica cronologia password ” e riutilizzare immediatamente una password preferita.
  • Lunghezza minima della password-Il valore predefinito è 7. Questa impostazione stabilisce il minor numero di caratteri che una password può avere. Mentre le password più brevi sono più facili da decifrare per gli hacker, richiedere password molto lunghe può portare a blocchi da errori di digitazione e ai rischi per la sicurezza degli utenti che annotano le loro password.
  • Requisiti di complessità: l’impostazione predefinita è abilitata. Questa impostazione descrive i tipi di caratteri che un utente deve includere in una stringa di password. Le best practice consigliano di abilitare questa impostazione con una lunghezza minima della password di almeno 8; ciò rende più difficile il successo degli attacchi di forza bruta. I requisiti di complessità in genere richiedono che la password includa un mix di:

    • Superiore o lettere minuscole (A-Z e a-z)
    • caratteri Numerici (0-9)
    • caratteri Non alfanumerici come $, # o %
    • Non più di due simboli da il nome account dell’utente o il nome visualizzato
  • Memorizzare le password tramite la crittografia reversibile — di Default è Disabilitato. Questa impostazione offre il supporto per le app che richiedono agli utenti di inserire una password per l’autenticazione. Gli amministratori dovrebbero mantenere questa impostazione disabilitata perché abilitarla consentirebbe agli aggressori che hanno familiarità con la violazione di questa crittografia di accedere alla rete una volta compromesso l’account. Come eccezione, è possibile abilitare questa impostazione quando si utilizzano IAS (Internet Authentication Services) o CHAP (Challenge Handshake Authentication Protocol).

Criteri a grana fine e come configurati

Le versioni precedenti di AD consentivano la creazione di un solo criterio di password per ogni dominio. L’introduzione di criteri di password a grana fine (FGPP) nelle versioni successive di AD ha permesso agli amministratori di creare più criteri di password per soddisfare meglio le esigenze aziendali. Ad esempio, è possibile richiedere agli account amministratore di utilizzare password più complesse rispetto agli account utente normali. È importante definire la struttura organizzativa in modo ponderato in modo da mappare i criteri di password desiderati.

Mentre si definisce il criterio di password di dominio predefinito all’interno di un GPO, gli FGPP vengono impostati negli oggetti Impostazioni password (PSO). Per configurarli, apri ADAC, fai clic sul tuo dominio, vai alla cartella di sistema, quindi fai clic sul contenitore Impostazioni password.

NIST SP 800-63 Password Guidelines

Il National Institute of Standards (NIST) è un’agenzia federale incaricata di emettere controlli e requisiti sulla gestione delle identità digitali. La pubblicazione speciale 800-63B copre gli standard per le password. La revisione 3 di SP 800-63B, rilasciata nel 2017 e aggiornata nel 2019, è lo standard attuale.

Queste linee guida forniscono alle organizzazioni una base per la creazione di una solida infrastruttura di sicurezza delle password. Le raccomandazioni NIST includono quanto segue:

  • Richiede che le password generate dall’utente siano lunghe almeno 8 caratteri (6 per quelle generate dalla macchina).
  • Consente agli utenti di creare password lunghe fino a 64 caratteri.
  • Consente agli utenti di utilizzare qualsiasi carattere ASCII/Unicode nelle proprie password.
  • Non consentire le password con caratteri sequenziali o ripetuti.
  • Non richiedono frequenti modifiche della password. Anche se per anni, molte organizzazioni hanno richiesto agli utenti di cambiare le loro password di frequente, questa politica porta spesso agli utenti di apportare modifiche incrementali a una password di base, scrivere le loro password verso il basso, o sperimentando blocchi perché dimenticano le loro nuove password. Di conseguenza, gli ultimi standard NIST 800 – 63B richiedono l’utilizzo di criteri di scadenza delle password con attenzione. Ricerche più recenti suggeriscono che le alternative migliori includono l’utilizzo di elenchi di password vietati, l’utilizzo di passphrase più lunghe e l’applicazione dell’autenticazione a più fattori per una maggiore sicurezza.

Best practice sulla politica delle password degli annunci

Più in generale, gli amministratori dovrebbero assicurarsi di:

  • Impostare una lunghezza minima della password di 8 caratteri.
  • Stabilire i requisiti di complessità della password.
  • Applica un criterio di cronologia delle password che esamina le ultime 10 password di un utente.
  • Rendere l’età minima della password 3 giorni.
  • Reimposta le password dell’amministratore locale ogni 180 giorni (considera l’utilizzo dello strumento gratuito di reimpostazione della password di Netwrix Bulk per questo).
  • Reimposta le password dell’account del dispositivo durante la manutenzione una volta all’anno.
  • Richiede che le password per gli account amministratore di dominio siano lunghe almeno 15 caratteri.
  • Imposta le notifiche e-mail per far sapere agli utenti che le password sono impostate per scadere (lo strumento gratuito Netwrix Password Expiration Notifier può aiutare).
  • Prendere in considerazione la creazione di criteri di password granulari per il collegamento con unità organizzative specifiche invece di modificare le impostazioni predefinite dei criteri di dominio.
  • Usa elenchi di password vietati.
  • Utilizzare gli strumenti di gestione delle password per memorizzare più password.

Per ulteriori informazioni, leggi le nostre best practice sulla politica delle password per una sicurezza elevata in AD.

L’istruzione degli utenti è cruciale quanto qualsiasi politica sulle password. Istruisci i tuoi utenti sulle seguenti regole di comportamento:

  • Non scrivere le password. Invece, scegliere password complesse o passphrase è possibile richiamare facilmente, e utilizzare strumenti di gestione delle password.
  • Non digitare la password quando qualcuno sta guardando.
  • Comprendere che gli indirizzi HTTPS:// sono più sicuri degli URL HTTP://.
  • Non utilizzare la stessa password per più siti web che forniscono accesso a informazioni sensibili.

FAQ

Come posso trovare e modificare la mia politica di password di Active Directory?

È possibile trovare il criterio della password dell’ANNUNCIO corrente per un dominio specifico accedendo a Configurazione computer -> Criteri -> Impostazioni di Windows -> Impostazioni di sicurezza -> Criteri dell’account -> Criteri della password tramite la console di gestione o utilizzando il comando PowerShell Get-ADDefaultDomainPasswordPolicy.

Le password sono crittografate in Active Directory?

Sì. Le password create da un utente passano attraverso un algoritmo di hashing che le crittografa.

Che cos’è la complessità della password di Active Directory?

I requisiti di complessità controllano i caratteri che non possono o non possono essere inclusi in una password. Ad esempio, agli utenti potrebbe essere impedito di utilizzare il proprio nome utente come password o richiesto di includere almeno un numero e una lettera minuscola nella password.

Qual è la politica della password di Windows Server?

I criteri password di Windows Server controllano le password per l’accesso ai server Windows.

Come faccio a trovare, modificare o disabilitare un criterio di password in Windows Server?

Individuare il GPO tramite la Console di gestione criteri di gruppo e fare clic su Modifica.

Che cos’è una buona politica di password?

Le migliori pratiche includono quanto segue:

  • Fai in modo che gli utenti creino almeno 10 nuove password prima di riutilizzarne una vecchia.
  • Applica un’età massima della password di 42 giorni.
  • Applica un’età minima della password di 3 giorni.
  • Consente agli utenti di creare password lunghe almeno 8 caratteri.
  • Abilitare l’opzione “Requisiti di complessità”.
  • Disabilita la crittografia reversibile.
Jeff è un ex direttore di Global Solutions Engineering di Netwrix. Lui è un blogger di lunga data Netwrix, altoparlante, e presentatore. Nel blog Netwrix, Jeff condivide lifehacks, suggerimenti e trucchi che possono migliorare notevolmente la vostra esperienza di amministrazione del sistema.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.