Como configurar múltiplas políticas de senha e bloqueio de conta

Desde o Windows Server 2008, a Microsoft permitiu que os administradores criassem múltiplas password policies para domínios no Active Directory. Em um ambiente moderno habilitado para a nuvem, é importante que contas com privilégios mais altos sejam protegidas usando políticas e auditadas regularmente.

Aqui está um guia passo a passo sobre como habilitar Políticas de Senha Múltipla e de Bloqueio de Conta no seu ambiente. Isso também é conhecido como uma política de senha de granularidade fina.

Não se esqueça de que você sempre pode usar a ferramenta gratuita AD account tool da Netwrix para investigar
bloqueios de conta de usuário mais rapidamente.

Antes de tentar isso, por favor, certifique-se de que o nível funcional do seu domínio e floresta seja pelo menos 2008 ou superior e que você esteja logado como um Administrador de Domínio (ou superior).

O Active Directory armazena essas novas políticas de senha em um Password Settings Container (PSC) – é aqui que começaremos:

1. Abra o adsiedit.msc a partir do Menu Iniciar
2. Clique com o botão direito em ‘ADSI Edit’ no painel esquerdo e selecione ‘Conectar a’
3. No campo ‘name’, insira o nome do domínio no qual deseja implementar isso e clique em OK
4. Expanda a árvore do lado esquerdo: DC=Your Domain -> CN=System -> CN= Password Settings Container

1. Clique com o botão direito do mouse no espaço vazio à direita e selecione 'Novo' -> 'Objeto' -> msDS-PasswordSettings -> Avançar
2. Dê um nome a esta política, aqui estou chamando-a de ‘Chief Executives’ -> Próximo
3. Para cada um dos atributos que o assistente lhe solicitar, preencha com um valor apropriado:
   1. Precedência de Configuração de Senha – 0 para cima
      • Esta é a ordem pela qual a Política de Senhas se aplica a um usuário: um número INFERIOR indica uma prioridade MAIOR (irá prevalecer sobre as outras).
   2. A Criptografia Reversível Habilita – verdadeiro ou falso
      • Armazene a senha usando criptografia reversível – não recomendado!
   3. Comprimento do Histórico de Senhas – 0 a 1024
      • Quantas senhas são lembradas após os usuários as terem alterado.
   4. Complexidade de Senha Ativada – verdadeiro ou falso
      • A senha deve atender aos requisitos de complexidade (ou seja, deve conter números, símbolos, letras maiúsculas e minúsculas)
   5. Comprimento mínimo da senha – 0 a 255
   6. Idade Mínima da Senha – um período de tempo escrito em dd:hh:mm:ss ou (nenhum)
      • Por quanto tempo o usuário deve manter uma senha antes de ser permitido alterá-la (impede que seja alterada e depois revertida)
   7. Idade Máxima da Senha – um período expresso em dd:hh:mm:ss ou (nunca)
   8. Limite de bloqueio – 0 a 65535
      • Quantas senhas podem ser inseridas incorretamente antes que a conta seja bloqueada
   9. Janela de Observação de Bloqueio – um intervalo de tempo escrito em dd:hh:mm:ss ou (nenhum)
      • O período em que se deve analisar senhas incorretas anteriores e bloquear se necessário.
   10. Duração do Bloqueio – um intervalo de tempo escrito em dd:hh:mm:ss ou (nunca)
       • Por quanto tempo bloquear uma conta depois que o limite de tentativas de senha incorreta foi atingido
   11. Clique em ‘Concluir’, depois clique com o botão direito na nova política de senha e clique em ‘Propriedades’
   12. Encontre o atributo ‘msDS-PSOAppliesTo’ e clique duas vezes, depois ‘Adicionar Conta Windows’

Especifique os grupos ou usuários aos quais essa política de senha deve ser aplicada:

1. Pressione OK até sair quando terminar!

Assim que sua nova política de senha for replicada para outros controladores de domínio, ela deve ser aplicada quase instantaneamente.

Se você tem a sorte de possuir um domínio Windows Server 2012, ou um computador com Windows 8 ou superior com as ferramentas de Administração Remota de Servidor instaladas, esse processo é um pouco mais fácil:

1. Abra o Centro Administrativo do Active Directory e conecte-se ao seu domínio
2. Navegue até o mesmo local que no ADSI: Domínio -> Sistema -> Contêiner de Configurações de Senha
3. Clique com o botão direito e escolha ‘Novo’ -> ‘Configurações de Senha’

Aparecerá uma caixa de diálogo com praticamente as mesmas opções descritas acima, mas com menos controle sobre algumas das durações (por exemplo, você não pode definir uma duração em horas ou minutos para idade mínima/máxima da senha.

1. Defina suas opções e depois adicione os usuários / grupos aos quais essa política de senha deve se aplicar, em seguida, pressione OK.

Alternativamente, você pode fazer tudo em dois comandos do PowerShell da seguinte forma...

Crie a Política de Senhas:

Novo – ADFineGrainedPasswordPolicy – ComplexityEnabled: $true -LockoutDuration: “00:30:00” – LockoutObservationWindow: “00:30:00” – LockoutThreshold: “5” – MaxPasswordAge: “42.00:00:00” -MinPasswordAge: “1.00:00:00” – MinPasswordLength: “7” -Name: “FriendlyNameHere” – PasswordHistoryCount: “24” – Precedence: “5” -ReversibleEncryptionEnabled: $false – Server: “domaincontroller.domain.local”

E aplique-o a um grupo ou usuário:

Adicionar – ADFineGrainedPasswordPolicySubject – Identidade: “CN=FriendlyNameHere, CN=Password Settings Container, CN=System, DC=domain, DC=local” – Servidor: “domaincontroller.domain.local” – Assuntos: “DNPathToUserOrGroup”

Novamente, as descrições dos atributos estão acima.

Eu recomendaria fortemente configurar as Fine-Grained Password Policies – aqui estão os 4 níveis que configuramos:

• Contas de convidado e ‘descartáveis’
  – Senhas simples permitidas, mais de 5 caracteres, sem expiração
• Funcionários Regulares
  – Senhas simples permitidas, mais de 12 caracteres, validade de 30 dias
• Equipe de Material Confidencial e Financeiro
  – Senhas complexas, mais de 12 caracteres, validade de 30 dias, 12 senhas lembradas
• Pessoal de TIC e Administradores
  – Senhas complexas, mais de 12 caracteres, validade de 14 dias, 12 senhas memorizadas