Criterio Password – Group Policy

Oggi analizziamo le impostazioni che troviamo nella sezione Criterio Password e che possono essere modificare con le Group Policy, si tratta di impostazioni tramite cui è possibile controllare il tipo di password che gli utenti possono utilizzare.

Configurazione Computer\Impostazioni di Windows\Criteri account\Criterio password
(Computer Configuration\
Windows Settings\Security Settings\Account Policies\Password Policy)

Applica l’unicità della password memorizzando le ultime (Enforce Password History)
Questa impostazione specifica il numero di password univoche che un utente deve impostare prima di potere riutilizzare una vecchia password.
Il valore deve essere compreso tra 0 e 24.
Utilizzare un valore basso può causare un rischio per la sicurezza se gli utenti continuano a utilizzare sempre le stesse password.
Per migliorare l’efficacia di questa impostazione è necessario configurare anche Validità minina password in modo che le password non possano essere cambiate immediatamente.
Impostazioni Consigliate
Legacy Client        24 password memorizzate
Enterprise Client    24 password memorizzate
High Security        24 password memorizzate
Impostazione predefinita
24 password memorizzate

Consenti archiviazione password con crittografia reversibile per tutti gli utenti del dominio (Store passwords using
reversible encryption)
Questa impostazione specifica se deve essere utilizzata la crittografia reversibile per archiviare le password.
Le password archiviate con la crittografia reversibile sono più vulnerabili quindi attivare questa impostazione crea rischi per la sicurezza.
L’abilitazione di questa impostazione è richiesta per ambienti che utilizzano il protocollo CHAP tramite accesso remoto.
Impostazioni Consigliate
Legacy Client        Disabilitato
Enterprise Client    Disabilitato
High Security        Disabilitato
Impostazione predefinita
Disabilitato

Le password devono essere conformi ai requisiti di complessità (Password Must Meet
Complexity Requirements)
Questa impostazione verifica che le nuove password che vengono impostate rispettino i requisiti di complessità
Questi requisiti prevedono i seguenti elementi
-Le password non possono contenere più di due caratteri consecutivi del nome completo dell’utente o del nome dell’account
-Le password devono includere almeno sei caratteri
-Le password devono contenere caratteri appartenenti a almeno tre delle seguenti quattro categorie
Caratteri maiuscoli dell’alfabeto inglese.
Caratteri minuscoli dell’alfabeto inglese.
Cifre decimali.
Caratteri che non sono alfabetici.
I criteri per la complessità della password possono essere modificati utilizzando una versione diversa del file Passfilt.dll.
Impostazioni Consigliate
Legacy Client        Attivato
Enterprise Client    Attivato
High Security        Attivato
Impostazione predefinita
Attivato

Lunghezza minima password (Minimum Password Length)
Questa impostazioni specifica il numero minimo di caratteri delle password.
Il valore deve essere compreso tra 0 e 14. Se si imposta 0 non è richiesta nessuna password.
Aumentare la lunghezza della password permette di diminuire i rischi per la sicurezza.
Impostazioni Consigliate
Legacy Client        8 caratteri
Enterprise Client    8 caratteri
High Security        12 caratteri
Impostazione predefinita
7 caratteri

Validità massima password (Maximum Password Age)
Questa impostazione specifica il numero di giorni per cui è possibile utilizzare una password prima che sia necessario modificarla.
Il valore deve essere incluso tra 0 e 999. Se si imposta 0 le password non scadono.
Impostare un valore basso permette di diminuire il rischio che le password vengano scoperte da chi effettua un attacco.
Impostazioni Consigliate
Legacy Client        42 giorni
Enterprise Client    42 giorni
High Security        42 giorni
Impostazione predefinita
42 giorni

Validità minima password (Minimum Password Age)
Questa impostazione specifica il numero di giorni in cui una password deve essere utilizzata prima che possa essere cambiata.
Il valore deve essere incluso tra 0 e 999. Se si imposta 0 la password può essere modificata immediatamente.
Per fare in modo che l’impostazione Applica l’unicità della password memorizzando le ultime sia efficare è  necessario impostare la validità minima delle password con un valore superiore a 0 per impedire agli utenti di camibiare immediatamente la password più volte in modo da potere riutilizzare una vecchia password.
Impostazioni Consigliate
Legacy Client        1 giorno
Enterprise Client    1 giorno
High Security        1 giorno
Impostazione predefinita
1 giorno

Queste impostazioni sono molto importanti per aumentare la sicurezza e quindi devono essere utilizzate nel modo giusto.