Nell'articolo Windows Server 2019: Impostare la complessità della password tramite Password Settings Object abbiamo visto come fare in modo che la password scelta dagli utenti rispetti alcuni criteri di complessità. Attraverso l'utilizzo dei criteri granulari per le password (FINE-GRAINED password policy) è possibile fare in modo che gli utenti di un dominio abbiano policy relative alle password diverse. In altri termini, è possibile fare in modo, ad esempio, che gli utenti che appartengono al gruppo amministratori di dominio o del reparto IT di un azienda siano obbligati ad usare password più complesse e/o più lunghe degli altri utenti.
In questo articolo vedremo come gestire le password e blocchi degli account del Dominio tramite i Criteri di gruppo.
Per default, in un dominio Windows Server 2012 R2 o successivi, Le impostazioni di default delle password e criteri di gruppo locali sono già impostati all'interno del GPO Default Domain Policy. Vediamo come modificare le impostazioni di default.
- Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
FIG 1 - Server Manager - Espandere il dominio mycompany.local quindi cliccare, con il tasto destro del mouse, su Default Domain Policy e dal menu contestuale selezionare Modifica.
FIG 2 - Gestione Criteri di gruppo - Le impostazioni relative alle password degli account e le policy locali sono memorizzate all'interno della sezione Configurazione computer. Questo significa che indipendentemente da quale utente esegue il logon sul computer, la policy verrà sempre applicata. Posizionarsi su Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni sicurezza\Criteri account (FIG 3). Le due impostazioni che ci interessano in questo articolo sono Criteri password e Criterio di blocco account. Iniziamo con il primo. Cliccare su Criteri password.
FIG 3 - Criteri Default Domain Policy 
FIG 4 - Criteri password In Criteri password troviamo diverse impostazioni (FIG 4).
Archivia password mediante crittografia reversibile
Le password sono normalmente memorizzate in una crittografia hash a senso unico. Questo criterio, se attivato, comporta un decadimento della sicurezza e fa in modo che la cifratura sia reversibile. L'impostazione predefinita prevede che il criterio sia disattivato e, generalmente, è sconsigliabile attivarlo tuttavia è necessario attivarlo nel caso in cui si utilizza l'autenticazione Challenge-Handshake Authentication Protocol (CHAP) tramite una connessione di accesso remoto o Servizio autenticazione Internet (IAS, Internet Authentication Service), nonché quando si utilizza l'autenticazione del digest in Internet Information Services (IIS).
Imponi cronologia delle password
Questo criterio consente di migliorare la sicurezza garantendo che le vecchie password non vengano riutilizzate continuamente. Il criterio consente di specificare il numero delle nuove password univoche che devono essere associate a un account utente prima che sia possibile riutilizzare una vecchia password. Il valore deve essere compreso tra 0 e 24 (24 è il valore di default nei controller di dominio).
Le password devono essere conformi ai requisiti di complessità
Consente di specificare se le password devono essere conformi ai requisiti di complessità.I requisiti di complessità vengono verificati al momento della creazione o della modifica delle password. Se tale criterio è attivato, le password devono soddisfare i seguenti requisiti minimi:
- Non possono contenere più di due caratteri consecutivi del nome completo dell'utente o del nome dell'account utente.
- Devono includere almeno sei caratteri.
- Devono contenere caratteri appartenenti ad almeno tre delle quattro categorie seguenti:- Caratteri maiuscoli dell'alfabeto inglese (A-Z)
- Caratteri minuscoli dell'alfabeto inglese (a-z)
- Cifre decimali (0-9)
- Caratteri non alfabetici, ad esempio !, $, #, %
Lunghezza minima password
Questa impostazione di sicurezza consente di specificare il numero minimo di caratteri delle password per gli account utente. È possibile impostare un valore da 1 a 20 oppure impostare su 0 il numero dei caratteri, per specificare che non è richiesta alcuna password. L'impostazione predefinita nei controller di dominio prevede che la password abbia una lunghezza minima di 7 caratteri.
Validità massima password
Questa impostazione di sicurezza specifica il periodo di tempo (in giorni) per cui è possibile utilizzare una password prima che il sistema richieda all'utente di modificarla. È possibile impostare un periodo di validità da 1 a 999 giorni oppure impostare su 0 il numero dei giorni per specificare che le password non hanno scadenza. Se per Validità massima password si specifica un numero da 1 a 999 giorni, il valore di Validità minima password dovrà essere inferiore. Se Validità massima password è 0, per Validità minima password sarà possibile specificare qualsiasi valore compreso tra 0 e 998 giorni. Generalmente si consiglia di utilizzare password con scadenza da 30 a 90 giorni. L'impostazione predefinita prevede la scadenza dopo 42 giorni.
Validità minima password
Tale criterio permette di specificare il periodo di tempo (in giorni) per cui è necessario utilizzare una password prima che sia possibile modificarla. È possibile impostare un valore da 1 a 998 giorni oppure impostare su 0 il numero dei giorni per consentire la modifica immediata. Il valore di Validità minima password deve essere minore di quello di Validità massima password, a meno che quest'ultimo non sia impostato su 0 per specificare che le password non hanno scadenza. Se Validità massima password è 0, per Validità minima password sarà possibile specificare qualsiasi valore compreso tra 0 e 998 giorni. Per garantire l'efficacia dell'impostazione Imponi cronologia delle password, impostare Validità minima password su un valore maggiore di 0. Se la validità minima delle password non è configurata, infatti, gli utenti potranno modificare ripetutamente le password finché non potranno riutilizzare le proprie vecchie password preferite. Per default nei controller di dominio il valore è impostato a 1. - Cliccare due volte su Validità massima password, nella casella La password scadrà tra inserire 30 giorni (in alternativa indicare il numero di giorni desiderato) e cliccare su OK.
FIG 5 - Validità massima password - Posizionarsi su Criterio di blocco account (Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni sicurezza\Criteri account\Criterio di blocco account).
FIG 6 - Criterio di blocco account - In Criterio di blocco account troviamo 3 impostazioni
Blocca account per
L'impostazione Blocca account per specifica il numero di minuti per cui un account bloccato deve rimanere bloccato prima di essere sbloccato automaticamente. È possibile impostare un intervallo da 0 a 99.999 minuti. Se la durata del blocco dell'account viene impostata su 0, l'account rimarrà bloccato finché non verrà esplicitamente sbloccato da un amministratore. Se viene definita l'impostazione Soglia di blocchi dell'account, la durata del blocco dell'account dovrà essere maggiore o uguale all'intervallo di reimpostazione del contatore. Per default l'impostazione non è definita.
Reimposta contatore blocco account dopo
Questa impostazione di sicurezza specifica il numero di minuti che deve trascorrere dopo un tentativo di accesso non riuscito prima che il contatore dei tentativi di accesso non riusciti venga reimpostato su 0. È possibile impostare un intervallo da 1 a 99.999 minuti. Se viene definita l'impostazione Soglia di blocchi dell'account, l'intervallo per la reimpostazione deve essere minore o uguale al valore di Durata blocco account. Anche in questo caso l'impostazione, per default, non è definita.
Soglia di blocchi dell'account
Tale impostazioni permette di specificare il numero di tentativi di accesso non riusciti dopo il quale l'account verrà bloccato. Un account bloccato non può essere utilizzato finché non viene ripristinato da un amministratore oppure fino alla scadenza della durata del blocco per l'account. È possibile impostare da 0 a 999 tentativi di accesso non riusciti. Se viene impostato il valore 0, l'account non verrà mai bloccato. Il valore di default di tale impostazione è 0. - Cliccare due volte su Blocca account per, selezionare l'opzione Definisci le impostazioni relative al criterio e, nella casella L'account è bloccato per, impostare 30 minuti quindi cliccare su OK.
FIG 7 - Blocca account per 30 minuti - Nella finestra di dialogo Cambiamenti ai valori suggeriti, cliccare su OK per valorizzare anche i valori dei criteri Soglia di blocchi dell'account e Reimposta contatori blocco account come indicato nel messaggio.
FIG 8 - Cambimenti ai valori suggeriti - Cliccare due volte su Soglia di blocchi dell'account (dopo al modifica precedente anche tale valore risulta modificato da 0 a 5). Assicurarsi che l'opzione Definisci le impostazioni relative al criterio sia flaggata e che nella casella L'account verrà bloccato dopo sia inserito il valore 5 (o specificare il valore desiderato) come mostrato in figura, quindi cliccare su OK.
FIG 9 - Soglia di blocchi dell'account - Cliccare due volte su Reimposta contatore blocco account dopo (dopo al modifica precedente anche tale criterio viene attivato e impostato a 30 minuti). Assicurarsi che l'opzione Definisci le impostazioni relative al criterio sia flaggata e che nella casella Reimposta contatore blocco account dopo sia indicato 30 minuti (o specificare il valore desiderato) come mostrato in figura, quindi cliccare su OK.
FIG 10 - Reimposta contatore blocco account
Con le impostazioni sopra indicate, se un utente sbaglia per 5 volte l'inserimento della password durante il logon (o sblocco) su un PC del dominio, verrà visualizzato il messaggio mostrato in FIG 11 e l'account utente verrà bloccato per 30 minuti. Lo sblocco può essere comunque forzato da un amministratore di dominio ma questo verrà illustrato nel prossimo articolo.
 |
| FIG 11 - Account bloccato |
