Criteri di gruppo per il monitoraggio delle password

Come amministratore, devi assicurarti che la tua rete sia sicura. Una grande parte di ciò include la decisione di una strategia per le password degli account utente e degli account amministratore. Puoi educare i tuoi utenti sulle migliori pratiche per la creazione di password ma puoi anche abilitare politiche che obblighino gli utenti ad aderire alle migliori pratiche. Inoltre, puoi monitorare la tua rete per cambiamenti di password e blocchi degli account.

Educare gli utenti

• Richiedere l'uso di password complesse. Di seguito è riportata la definizione di una Password forte come definita da Windows:
  1. La password deve essere lunga almeno otto caratteri.
  2. Non contiene il tuo nome utente, nome reale o nome dell'azienda.
  3. Non contiene una parola completa.
  4. È significativamente diversa dalle password precedenti.
  5. Contiene caratteri di ciascuna delle seguenti quattro categorie: Definire un'impostazione della policy di lunghezza minima della password in modo che le password debbano essere composte da almeno un numero specificato di caratteri. Le password lunghe – sette caratteri o più – sono generalmente più sicure di quelle brevi. Con questa impostazione della policy, gli utenti non possono utilizzare password vuote e devono creare password che siano lunghe un certo numero di caratteri.
• Si sente sempre dire che le password non dovrebbero mai essere scritte. In alcuni casi, una password può essere troppo complessa per essere memorizzata. Se questo è il caso, assicurati di conservare il foglio in un luogo sicuro e di distruggerlo quando non è più necessario.
• Non condividere mai le password.
• Dovrebbe essere utilizzata una password diversa per tutti gli account utente.
• Se si ritiene che una password sia stata compromessa, dovrebbe essere cambiata immediatamente.
• Se c'è un'opzione affinché un'applicazione ricordi la password, l'utente dovrebbe scegliere mai.
• Non consentire l'utilizzo di password precedenti.
• Richiedere agli utenti di cambiare le loro password regolarmente. A seconda della vostra organizzazione, una buona regola generale è che gli utenti cambino le password ogni 90 giorni e gli amministratori ogni 30 giorni.
• Definire un'età minima per la password per impedire agli utenti di cambiare ripetutamente la loro password per aggirare la politica di cronologia delle password.

Criteri di gruppo per monitorare i cambiamenti delle password

La Group Policy che devi abilitare per monitorare i cambiamenti delle password è la Audit Policy di gestione degli account utente. Questa impostazione della policy ti permette di verificare le modifiche agli account utenti per includere quando un account utente viene creato, modificato, eliminato; rinominato, disabilitato, abilitato, bloccato o sbloccato. Monitora anche quando la password di un account utente viene impostata o modificata.

Puoi accedere a questa impostazione andando in Configurazione computer | Impostazioni Windows | Impostazioni di sicurezza | Configurazione criteri di controllo avanzati | Gestione account | Gestione account utente.

Dopo aver abilitato il Successo e il Fallimento dell'Audit User Account Management, puoi cercare gli eventi 4273 e 4274 nel registro Sicurezza del Visualizzatore eventi. L'evento 4273 indica un tentativo di cambiare la password di un account e l'evento 4274 indica un tentativo di reimpostare la password di un account.