Come configurare più criteri di Password e di blocco account

Dal Windows Server 2008, Microsoft ha permesso agli amministratori di creare molteplici password policies per i domini in Active Directory. In un ambiente moderno abilitato al cloud, è importante che gli account con privilegi superiori siano bloccati tramite policy e sottoposti regolarmente a audit.

Ecco una guida passo dopo passo su come abilitare Politiche Multiple di Password e di Blocco Account nel tuo ambiente. Questo è anche noto come politica di password a grana fine.

Non dimenticare che puoi sempre utilizzare lo strumento gratuito AD account tool di Netwrix per investigare
blocco degli account utente più velocemente.

Prima di tentare ciò, assicurati che il livello funzionale del tuo dominio e della foresta sia almeno 2008 o superiore e che tu sia connesso come Amministratore di Dominio (o superiore).

Active Directory memorizza queste nuove politiche per le password in un contenitore di impostazioni password (PSC) – da qui inizieremo:

1. Apri adsiedit.msc dal Menu Start
2. Fare clic con il pulsante destro del mouse su ‘ADSI Edit’ nel riquadro di sinistra e selezionare ‘Connect To’
3. Nel riquadro 'name', inserisci il nome del dominio su cui desideri implementare ciò e fai clic su OK
4. Espandi l'albero a sinistra: DC=Your Domain -> CN=System -> CN= Password Settings Container

1. Fare clic con il tasto destro dello spazio vuoto sulla destra e selezionare 'Nuovo' -> 'Oggetto' -> msDS-PasswordSettings -> Avanti
2. Dai un nome a questa policy, qui la chiamo 'Chief Executives' -> Avanti
3. Per ciascuno degli attributi per cui l'assistente vi sollecita, inserite un valore appropriato:
   1. Precedenza dell'impostazione della password – da 0 in su
      • Questo è l'ordine in cui la Password Policy si applica a un utente: un numero INFERIORE
        indica una priorità SUPERIORE (avrà la precedenza sugli altri).
   2. La crittografia reversibile è abilitata – vero o falso
      • Memorizza la password utilizzando la crittografia reversibile – non consigliato!
   3. Lunghezza dello storico delle password – da 0 a 1024
      • Quante password vengono ricordate dopo che gli utenti le hanno cambiate.
   4. Complessità della password abilitata – vero o falso
      • La password deve soddisfare i requisiti di complessità (cioè deve contenere numeri, simboli, lettere maiuscole e minuscole)
   5. Lunghezza minima della password – da 0 a 255
   6. Età minima della password – un intervallo di tempo espresso in gg:hh:mm:ss oppure (nessuno)
      • Quanto tempo l'utente deve mantenere una password prima di poterla cambiare (impedisce di cambiarla e poi di ripristinarla)
   7. Età massima della password – un intervallo di tempo espresso in gg:hh:mm:ss oppure (mai)
   8. Soglia di blocco – da 0 a 65535
      • Quante password possono essere inserite in modo errato prima che l'account venga bloccato
   9. Finestra di osservazione del blocco – un intervallo di tempo espresso in gg:hh:mm:ss o (nessuno)
      • Il periodo in cui esaminare le password errate precedenti e bloccare l'accesso se necessario.
   10. Durata del blocco – un intervallo di tempo scritto in dd:hh:mm:ss o (mai)
       • Per quanto tempo bloccare un account una volta raggiunto il conteggio delle password errate
   11. Fai clic su ‘Finish’, poi clicca con il tasto destro sulla nuova politica delle password e seleziona ‘Properties’
   12. Trova l'attributo ‘msDS-PSOAppliesTo’ e fai doppio clic, poi ‘Aggiungi Account Windows’

Specificare i gruppi o gli utenti ai quali questa politica delle password dovrebbe essere applicata:

1. Premi OK fino alla fine quando hai terminato!

Una volta che la nuova policy per le password è replicata sugli altri domain controller, dovrebbe essere applicata quasi istantaneamente.

Se sei abbastanza fortunato da avere un dominio Windows Server 2012, o un computer Windows 8 o superiore con gli strumenti di amministrazione remota del server installati, questo processo è un po' più semplice:

1. Apri il Centro amministrativo di Active Directory e connettiti al tuo dominio
2. Naviga nella stessa posizione come all'interno di ADSI: Dominio -> Sistema -> Contenitore delle Impostazioni Password
3. Fai clic destro e scegli 'Nuovo' -> 'Impostazioni password'

Apparirà una finestra di dialogo con opzioni molto simili a quelle descritte sopra, ma con un controllo minore su alcune delle durate (ad esempio, non è possibile impostare una durata in ore o minuti per l'età minima/massima della password.

1. Imposta le tue opzioni e poi aggiungi gli utenti / gruppi ai quali questa politica delle password dovrebbe essere applicata, quindi premi OK.

In alternativa, puoi fare tutto in due comandi PowerShell come segue...

Creare la Password Policy:

Nuovo – ADFineGrainedPasswordPolicy – ComplexityEnabled: $true -LockoutDuration: “00:30:00” – LockoutObservationWindow: “00:30:00” – LockoutThreshold: “5” – MaxPasswordAge: “42.00:00:00” -MinPasswordAge: “1.00:00:00” – MinPasswordLength: “7” -Name: “FriendlyNameHere” – PasswordHistoryCount: “24” – Precedence: “5” -ReversibleEncryptionEnabled: $false – Server: “domaincontroller.domain.local”

E applicalo a un gruppo o utente:

Aggiungi – ADFineGrainedPasswordPolicySubject – Identità: “CN=FriendlyNameHere, CN=Password Settings Container, CN=System, DC=domain, DC=local” – Server: “domaincontroller.domain.local” – Soggetti: “DNPathToUserOrGroup”

Ancora una volta, le descrizioni degli attributi sono sopra.

Consiglierei vivamente di configurare le Fine-Grained Password Policies – ecco i 4 livelli che abbiamo impostato:

• Account ospiti e ‘usa e getta’
  – Consentite password semplici, più di 5 caratteri, nessuna scadenza
• Personale ordinario
  – Consentite password semplici, più di 12 caratteri, scadenza di 30 giorni
• Personale Finanza e Materiale Riservato
  – Password complesse, più di 12 caratteri, scadenza ogni 30 giorni, memorizzazione delle ultime 12 password
• Personale ICT e Amministratori
  – Password complesse, più di 12 caratteri, scadenza di 14 giorni, 12 password ricordate