Como definir e gerenciar a Política de senha do Active Directory

com ataques cibernéticos explodindo em todo o mundo, é mais importante do que nunca que as organizações tenham uma política de senha robusta. Os Hackers geralmente obtêm acesso a redes corporativas por meio de credenciais legítimas de usuário ou administrador, levando a incidentes de segurança e falhas de Conformidade. Neste artigo, vamos explorar como criar e manter uma política de senha forte e eficaz do Active Directory.

como os invasores comprometem senhas corporativas

os Hackers usam uma variedade de técnicas para comprometer senhas corporativas, incluindo o seguinte:

  • ataque de Força bruta-os Hackers executam programas que inserem várias combinações de senhas em potencial até atingirem a correta.
  • Dictionary attack — esta é uma forma específica de ataque de Força bruta que envolve tentar palavras encontradas no dicionário como senhas possíveis.
  • ataque de pulverização de Senha-os Hackers inserem um nome de usuário conhecido ou outro identificador de conta e tentam várias senhas comuns para ver se funcionam.
  • Credential stuffing attack-Hackers usam ferramentas automatizadas para inserir listas de credenciais em vários portais de login da empresa.Spidering-usuários mal-intencionados coletam o máximo de informações possível sobre um alvo de hacking e, em seguida, experimentam combinações de senhas criadas usando esses dados.

Como Visualizar e editar a Política de senha do Active Directory

para se defender contra esses ataques, as organizações precisam de uma forte política de senha do Active Directory. As Políticas de senha definem regras diferentes para a criação de senha, como comprimento mínimo, detalhes sobre a complexidade (como se um caractere especial é necessário) e o período de tempo que a senha dura antes de ser alterada.

a Política de domínio padrão é um objeto de Diretiva de grupo (GPO) que contém configurações que afetam todos os objetos no domínio. Para visualizar e configurar uma política de senha de domínio, os administradores podem usar o console de gerenciamento de Diretiva de grupo (GPMC). Expanda a pasta domínios e escolha o domínio cuja política você deseja acessar e, em seguida, escolha objetos de Diretiva de grupo. Clique com o botão direito na pasta Política de domínio padrão e selecione Editar. Navegue até a configuração do computador – > Políticas- > configurações do Windows- > configurações de segurança- > Políticas de conta- > Política de senha.Como alternativa, você pode acessar sua política de senha de domínio executando o seguinte comando PowerShell:

Get-ADDefaultDomainPasswordPolicy

lembre-se de que quaisquer alterações feitas na política de senha de domínio padrão se aplicam a todas as contas desse domínio. Você pode criar e gerenciar políticas de senha refinadas usando o centro de Gerenciamento do Active Directory (ADAC) no Windows Server.

Entendendo as configurações da Política de senha do anúncio

Aqui estão as seis configurações da Política de senha e seus valores padrão:

  • impor histórico de senhas-o padrão é 24. Essa configuração especifica o número de senhas exclusivas que os usuários devem criar antes de reutilizar uma senha antiga. Recomenda-se manter o valor padrão para reduzir o risco de os usuários terem senhas comprometidas.
  • idade máxima da senha-o padrão é 42. Essa configuração estabelece quanto tempo uma senha pode existir antes que o sistema force o usuário a alterá-la. Os usuários normalmente recebem um aviso pop – up quando chegam ao final do período de expiração da senha. Você pode verificar essa configuração através do PowerShell executando o comando net user USERNAME / domain. Lembre-se de que forçar mudanças frequentes de senha pode fazer com que os usuários escrevam suas senhas ou adotem práticas como anexar o mês a uma palavra-tronco que eles reutilizam, o que realmente aumenta os riscos de segurança. Definir “idade máxima da senha” para 0 significa que as senhas nunca expiram (o que geralmente não é recomendado).
  • idade mínima da senha-o padrão é de 1 dia. Essa configuração especifica por quanto tempo uma senha deve existir antes que o usuário tenha permissão para alterá-la. Definir uma idade mínima impede que os usuários redefinam sua senha repetidamente para contornar a configuração “impor histórico de senhas” e reutilizar uma senha favorita imediatamente.
  • comprimento mínimo da senha-o padrão é 7. Essa configuração estabelece o menor número de caracteres que uma senha pode ter. Embora as senhas mais curtas sejam mais fáceis para os hackers decifrarem, exigir senhas realmente longas pode levar a bloqueios de erros de digitação e a riscos de segurança dos usuários anotando suas senhas.
  • Requisitos de complexidade-o padrão está ativado. Essa configuração detalha os tipos de caracteres que um usuário deve incluir em uma string de senha. As melhores práticas recomendam habilitar essa configuração com um comprimento mínimo de senha de pelo menos 8; Isso torna mais difícil para ataques de Força bruta terem sucesso. Os requisitos de complexidade normalmente exigem que a senha inclua uma combinação de:

    • Superior ou letras minúsculas (A até Z e a até z)
    • caracteres Numéricos (0-9)
    • caracteres Não alfanuméricos, como $, # ou %
    • Não mais do que dois símbolos no nome da conta de utilizador ou o nome para exibição
  • Armazenar senhas usando criptografia reversível — Padrão é Desabilitado. Essa configuração oferece suporte para aplicativos que exigem que os usuários insiram uma senha para Autenticação. Os administradores devem manter essa configuração desabilitada, pois habilitá-la permitiria que invasores familiarizados com a quebra dessa criptografia fizessem login na rede assim que comprometessem a conta. Como uma exceção, você pode ativar essa configuração ao usar o Internet Authentication Services (IAS) ou o Challenge Handshake Authentication Protocol (CHAP).

Política de granulação fina e como ela é configurada

versões mais antigas do AD permitiram a criação de apenas uma política de senha para cada domínio. A introdução de políticas de senhas finas (fgpp) em versões posteriores do AD possibilitou que os administradores criassem várias políticas de senhas para melhor atender às necessidades de negócios. Por exemplo, você pode exigir que as contas de administrador usem senhas mais complexas do que as contas de usuário comuns. É importante que você defina sua estrutura organizacional cuidadosamente para que ela mapeie as Políticas de senha desejadas.

enquanto você define a Política de senha de domínio padrão dentro de um GPO, os FGPPs são definidos em objetos de configurações de senha (PSOs). Para configurá-los, abra o ADAC, clique em seu domínio, navegue até a pasta do sistema e clique no contêiner de Configurações de senha.

NIST SP 800-63 Diretrizes de senha

o Instituto Nacional de padrões (NIST) é uma agência federal encarregada de emitir controles e requisitos em torno do gerenciamento de identidades digitais. A publicação especial 800-63B cobre padrões para senhas. A revisão 3 do SP 800-63B, emitida em 2017 e atualizada em 2019, é o padrão atual.

essas diretrizes fornecem às organizações uma base para a construção de uma infraestrutura robusta de segurança de senhas. As recomendações do NIST incluem o seguinte:

  • exigir que as senhas geradas pelo usuário tenham pelo menos 8 caracteres (6 para as geradas por máquina).
  • permitir que os usuários criem senhas de até 64 caracteres.
  • permitir que os usuários usem quaisquer caracteres ASCII / Unicode em suas senhas.
  • não permitir senhas com caracteres sequenciais ou repetidos.
  • não requer alterações frequentes de senha. Embora por anos, muitas organizações tenham exigido que os usuários alterem suas senhas com frequência, essa política geralmente leva os usuários a fazer alterações incrementais em uma senha base, anotando suas senhas ou experimentando bloqueios porque esquecem suas novas senhas. Consequentemente, os padrões NIST 800-63B mais recentes exigem o uso cuidadoso das políticas de expiração de senha. Pesquisas mais recentes sugerem que alternativas melhores incluem o uso de listas de senhas proibidas, o uso de frases-passe mais longas e a aplicação de autenticação multifator para segurança adicional.

práticas recomendadas da Política de senha do anúncio

mais amplamente, os administradores devem certificar-se de:

  • Defina um comprimento mínimo de senha de 8 caracteres.
  • estabelecer requisitos de complexidade de senha.
  • impor uma política de histórico de senhas que analisa as últimas 10 senhas de um usuário.
  • faça a idade mínima da senha 3 dias.
  • redefinir senhas de administração local a cada 180 dias (considere usar a ferramenta gratuita Netwrix Bulk Password Reset para isso).
  • redefinir senhas da conta do dispositivo durante a manutenção uma vez por ano.
  • exigem que as senhas para contas de administrador de domínio tenham pelo menos 15 caracteres.
  • Configurar notificações de E-mail para que os usuários saibam que as senhas estão definidas para expirar (a ferramenta Notificador de expiração de senha Netwrix gratuita pode ajudar).
  • considere criar políticas de senha granulares para se conectar a unidades organizacionais específicas em vez de editar as configurações de Política de domínio padrão.
  • Use listas de senhas proibidas.
  • Use ferramentas de gerenciamento de senhas para armazenar várias senhas.

para obter mais informações, leia nossas práticas recomendadas de política de senhas para segurança forte no AD.

a educação do Usuário é tão crucial quanto qualquer Política de senha. Eduque seus usuários sobre as seguintes regras de comportamento:

  • não anote senhas. Em vez disso, escolha senhas fortes ou senhas que você pode lembrar facilmente e use ferramentas de gerenciamento de senhas.
  • não digite sua senha quando alguém estiver assistindo.
  • entenda que HTTPS: / / endereços são mais seguros do que HTTP:// URLs.
  • não use a mesma senha para vários sites que fornecem acesso a informações confidenciais.

FAQ

Como faço para encontrar e editar minha Política de senha do Active Directory?

Você pode encontrar seu ANÚNCIO atual política de palavra-passe para um domínio específico ou navegando para Configuração do Computador -> Políticas -> Configurações do Windows -> Configurações de Segurança -> Diretivas de Conta -> Diretiva de Senha através do console de gerenciamento, ou usando o comando PowerShell Get-ADDefaultDomainPasswordPolicy.

as senhas são criptografadas no Active Directory?

Sim. As senhas criadas por um usuário passam por um algoritmo de hash que as criptografa.

o que é complexidade de senha do Active Directory?Os requisitos de complexidade controlam os caracteres que não podem ou não podem ser incluídos em uma senha. Por exemplo, os usuários podem ser impedidos de usar seu nome de usuário como senha ou obrigados a incluir pelo menos um número e uma letra minúscula na senha.

o que é a Política de senha do Windows Server?

Política de senha do Windows Server controla senhas para acessar servidores Windows.

Como faço para encontrar, editar ou desativar uma política de senha no Windows Server?

localize o GPO através do console de gerenciamento de Diretiva de grupo e clique em Editar.

o que é uma boa política de senha?

as melhores práticas incluem o seguinte:

  • Faça com que os usuários criem pelo menos 10 novas senhas antes de reutilizar uma antiga.
  • aplicar uma idade máxima de senha de 42 dias.
  • aplique uma idade mínima de senha de 3 dias.
  • Faça com que os usuários criem senhas com pelo menos 8 caracteres.
  • habilite a opção “Requisitos de complexidade”.
  • desative a criptografia reversível.
Jeff é ex-diretor de Engenharia de Soluções Globais da Netwrix. Ele é um blogueiro, palestrante e apresentador da Netwrix de longa data. No Blog Netwrix, Jeff compartilha lifehacks, dicas e truques que podem melhorar drasticamente sua experiência de administração do sistema.

Deixe uma resposta

O seu endereço de email não será publicado.