Como Configurar e Gerenciar a Política de Senhas do Active Directory

Tutoriais
PowerShell

Como Configurar e Gerenciar a Política de Senhas do Active Directory. As organizações precisam de uma política de senha forte agora mais do que nunca, com o aumento dos ataques cibernéticos em todo o mundo. Infelizmente, os hackers usam usuários e administradores para acessar as redes da empresa, o que resulta em violacões de segurança e falhas de conformidade. Este artigo aborda o desenvolvimento e a manutenção de uma política de senha do Active Directory (AD) sólida e eficiente.

Vamos começar com Como Configurar e Gerenciar a Política de Senhas do Active Directory.

Leia também SSPR: Habilitar Redefinição de Senha de Autoatendimento do Azure Active Directory

Como Configurar e Gerenciar a Política de Senhas do Active DirectoryAntes de começarmos, vamos analisar por que precisamos aplicar senhas fortes em nosso ambiente AD.

Antes de começarmos, vamos analisar por que precisamos impor senhas fortes em nosso ambiente AD.

Leia também Encontre Usuários do Active Directory com Senha Expirada (PowerShell)

Como os Assaltantes Comprometem Senhas Corporativas

Impor senhas fortes no Active Directory passwords é fundamental para garantir a segurança da rede de sua organização. Os atacantes exploram senhas fracas ou fáceis de adivinhar para obter acesso não autorizado a informações sensíveis, comprometer contas de usuário e realizar atividades mal-intencionadas, como roubo de dados ou sabotagem. Por outro lado, senhas fortes tornam muito mais difícil para os atacantes quebrarem ou adivinharem a senha e obtê-la de forma não autorizada.

Algumas das técnicas que os adversários utilizam para comprometer senhas corporativas:

  • Ataque Brute Force: Os hackers utilizam ferramentas para inserir inúmeras senhas potenciais para uma determinada conta de usuário até que encontrem a que funciona em um ataque de força bruta.
  • Ataque de Dicionário: Este ataque de força bruta envolve testar palavras de dicionário como senhas potenciais.
  • Ataque de Espreitamento de Senha: Este ataque usa muitas contas de usuário para testar a eficácia de senhas comuns, conhecido como “ataque de espalhamento de senha”.
  • Ataque de Surfar Credenciais: Este ataque usa sistemas automatizados para enviar listas de credenciais para várias empresassites de loginsão conhecidos como “ataques de abocamentos de credenciais”.
  • Rastreamento: Este ataque é a prática de adversários coletando o máximo de informações possível sobre um alvo para invasão antes de testar senhas feitas com essas informações.

Leia tambémConfira os Relatórios de Senhas do Active Directory

Visualização e Edição da Política de Senha do Active Directory

As organizações necessitam de uma robusta política de senhas do Active Directory password policy para se protegerem contra essas ameaças. As políticas de senhas especificam critérios para a criação de senhas, como o comprimento mínimo, a complexidade (como se um caractere especial for necessário) e a frequência das mudanças de senha.

Os administradores configuram uma política de senha de domínio usando o Default Domain Policy Group Policy Object (GPO), que possui configurações que se aplicam a todos os objetos de domínio. Veja ou modifique este GPO por:

  1. Acesse o Console de Gerenciamento de Política de Grupo (GPMC).
  2. Expanda a pasta Domains e selecione o domínio para o qual deseja acessar a política.

3. Clique em Objetos de Política de Grupo.
4. Clique com o botão direito do mouse na pasta Política de Domínio Padrão e selecione Editar.
5. Navegue até a seção Política de Senha sob Configuração do Computador, depois navegue até Políticas > Configurações de Windows > Configurações de Segurança > Políticas de Conta.

Alternativamente, podemos acessar nossa política de senha de domínio executando o seguinte comando PowerShell:

Get-ADDefaultDomainPasswordPolicy

Lembre-se de que quaisquer alterações que fizermos em uma política de senha padrão de domínio afetarão todas as suas contas. O Active Directory Administrative Center (ADAC) no Windows Server nos permite projetar e administrar políticas de senha com granularidade mais fina. Além disso, recomendamos contra a criação de um novo GPO e a conexão da nova política a um OU.

Melhore sua Segurança do Active Directory & Azure AD

Experimente nossa solução de graça, com acesso a todas as funcionalidades. – Mais de 200 modelos de relatórios AD disponíveis. Personalize facilmente seus próprios relatórios AD.




Leia também Connect-AzureAD – Como se conectar ao Azure AD usando o Powershell

Compreendendo as Configurações de Política de Senha do AD

Compreender as configurações de política de senha do AD é essencial para qualquer organização que deseja manter uma postura de segurança forte e manter seus dados e recursos sensíveis seguros. Temos seis opções de política de senha listadas abaixo, juntamente com seus valores padrão:

  • Impor histórico de senha — O valor padrão é 24. Determina quantas senhas únicas um usuário deve criar antes de poder usar uma senha anterior. Essa política reduz o risco de senhas comprometidas.
  • Duração máxima da senha — O valor padrão é 42.Especifica o período mínimo antes que um usuário altere sua senha novamente. Isso impede o reuso imediato da senha.
  • Duração mínima da senha— O valor padrão é um dia.O comprimento de uma senha antes que um usuário altere esse parâmetro especifica isso. Uma restrição de idade mínima impede que os usuários mudem constantemente suas senhas para contornar a configuração de “Aplicar histórico de senhas” e reutilizar imediatamente uma senha favorita.
  • Comprimento mínimo da senha— O valor padrão é 7. Determina o número mínimo de caracteres para uma senha. Senhas mais longas são mais seguras, mas podem levar a bloqueios e riscos de segurança, se escritas.
  • Requisitos de complexidade — O valor padrão é Ativado. Especifica os tipos de caracteres que uma senha deve incluir, como letras maiúsculas ou minúsculas, caracteres numéricos e não alfanuméricos.
  • Armazenar senhas usando criptografia reversível — O valor padrão é Desativado. Se ativado, invasores podem acessar a rede se conseguirem quebrar a criptografia.

Leia também Implantar Relatórios de Senha do Active Directory

Configurando Políticas de Senha Detalhadas

Apenas criamos uma política de senha para cada domínio nas versões anteriores do AD. No entanto, os administradores agora definem várias regras de senha para melhor se adequarem às necessidades do negócio graças às políticas de senha detalhadas (FGPP). Por exemplo, devemos exigir que contas de administrador usem senhas mais fortes do que contas de usuário padrão. Além disso, precisamos definir nossa estrutura organizacional cuidadosamente, para que seja mapeado para nossas políticas de senha desejadas.

Enquanto definimos a política de senha de domínio padrão dentro de um GPO, também configuramos os FGPPs nas configurações de senha (PSOs). Precisamos alterar a política padrão do domínio para modificar a política de senha.

A partir do nosso último passo anterior, vamos tentar clicar duas vezes na configuração que deseja modificar, como Comprimento Mínimo da Senha.

Leia também Obter Membros do Grupo do Active Directory e Exportar para CSV usando o PowerShell

Melhor Prática de Política de Senha

Para melhorar a segurança do Active Directory, é recomendado seguir as melhores práticas de política de senhas. Além disso, também devemos ter uma política de bloqueio de conta configurada para bloquear usuários após muitas tentativas falhas de login. Abaixo estão as melhores práticas de política de senhas dos benchmarks de segurança da Microsoft, CIS e NIST security.

Diretrizes de Senha da Microsoft

Essas configurações são deMicrosoft’s Security Compiance Toolkit.Este toolkit fornece configurações recomendadas de GPO da Microsoft.

  • Aplicar Histórico de Senhas: 24
  • Idade máxima da senha: não definida
  • Idade mínima da senha: não definida
  • Comprimento mínimo da senha: 14
  • A senha deve atender a complexidade: Habilitado
  • Armazenar senhas usando criptografia reversível: Desabilitado

Nota:A Microsoft abandonou as políticas de expiração de senha a partir da linha de base de segurança 1903.

Leia também Experimente a Ferramenta de Relatórios Diretos do Active Directory (InfraSOS)

Diretrizes de Senha do CIS Benchmark

Essas configurações são do CIS Benchmarks. O centro para segurança na internet é uma organização sem fins lucrativos que desenvolve diretrizes e benchmarks de segurança. 

  • Impor Histórico de Senhas: 24
  • Idade máxima da senha: 60 dias ou menos
  • Período mínimo de senha: 1 ou mais
  • Comprimento mínimo de senha: 14
  • A senha deve atender à complexidade: Habilitado
  • Armazenar senhas usando criptografia reversível: Desabilitado

Leia também O que é a Estrutura de Cibersegurança NIST? (Melhores práticas)

Diretrizes de Senha NIST SP 800-63

A federal organization called the National Institute of Standards (NIST) is responsible for issuing guidelines and specifications for managing digital IDs. Special Publication 800-63B covers the standards for strong passwords. The most recent version of SP 800-63B is Revision 3, released in 2017 and revised in 2019.

Essas recomendações fornecem às empresas uma base sólida para estabelecer uma infraestrutura vital para a segurança das senhas. O NIST oferece as seguintes sugestões:

  • Defina um comprimento mínimo de senha de oito (8) caracteres para senhas geradas pelo usuário e seis para as geradas por máquina.
  • Permitir usuários criar senhas com um tamanho máximo de 64 caracteres.
  • Permitir o uso de quaisquer caracteres ASCII/Unicode nas senhas.
  • Proibir senhas contendo caracteres sequenciais (“12345” ou “qwerty”) ou repetidos (“ffff”).
  • Evite exigir mudanças frequentes de senha, pois isso resulta em usuários fazendo alterações incrementais facilmente adivinháveis em suas senhas ou anotando-as. Em vez disso, considere usar listas de senhas proibidas, promovendo senhas mais longas (passphrases) e imponha autenticação multifator autenticação (MFA) para maior segurança, como recomendado pelos últimos padrões NIST 800-63B e pesquisas recentes.

Microsoft, CIS e NIST são todas organizações respeitáveis que orientam as configurações de política de senha. As diretrizes da Microsoft são baseadas em práticas recomendadas e recomendações para seus produtos de software, enquanto o CIS fornece um benchmark para configurações padrão de segurança no setor. Por outro lado, o NIST fornece orientação detalhada e atualizada sobre políticas de senha que muitas organizações utilizam amplamente.

É importante notar que cada diretriz pode ter recomendações diferentes com base em vários fatores, incluindo o tamanho da organização, setor e requisitos de segurança específicos. Portanto, é essencial revisar cada diretriz e selecionar aquela que melhor se alinha às necessidades da sua organização.

Obrigado por ler Como Configurar e Gerenciar a Política de Senha do Active Directory. Vamos concluir o artigo.

Também leia Ferramenta de Redefinição de Senha do Active Directory – Portal de Autoatendimento

Como Configurar e Gerenciar a Política de Senhas do AD Conclusão

Em conclusão, configurar e gerenciar uma política de senhas para o Active Directory é crucial para garantir a segurança da rede de nossa organização. Ao implementar uma política de senhas forte e aplicar alterações regulares de senha, reduzimos o risco de acessos não autorizados e protegemos informações sensíveis. Lembre-se de escolher uma complexidade de senha adequada, definir as configurações de bloqueio de conta e expiração de senha, e revisar e atualizar regularmente nossa política de senhas para acompanhar as ameaças de segurança em constante evolução.

Com essas melhores práticas implementadas, fortalecemos a postura de segurança de nossa organização e protegemos contra possíveis violações de segurança.

Source:
https://infrasos.com/how-to-setup-and-manage-active-directory-password-policy/