lunedì 20 aprile 2020

Kali Linux: Creare una wordlist con Crunch

Tra i sistemi più utilizzati per scardinare le password di un account o di un servizio troviamo gli attacchi di forza bruta e gli attacchi a dizionario. I due tipi di attacco sono molto simili ma, mentre nell'attacco a forza bruta l'attaccante prova tutte le possibili combinazioni di caratteri, in un attacco a dizionario vengono utilizzate solo le password ritenute più probabili e contenute in una lista (definita dizionario).

Online è possibile trovare dizionari già pronti per le nostre esigenze e anche Kali Linux ne mette a disposizione diversi in /usr/share/wordlists/metasploit/. Tuttavia, se si vuole creare un proprio dizionario da dare in pasto a strumenti come Hydra o Medusa, è possibile utilizzare Crunch, un generatore di wordlist che è già incluso in Kali Linux. Il tool viene utilizzato da riga di comando e consente la generazione di un elenco contenente tutte le possibili combinazioni/permutazioni realizzabili a partire dall'insieme di caratteri specificato o da un pattern.
Dizionari inclusi in Kali Linux
FIG 1 - Dizionari inclusi in Kali Linux

Sintassi
La sua sintassi è
crunch [min] [max] [charset] [options] 


Opzioni
-b 
Permette di specificare la dimensione massima del file di output e richiede l'utilizzo anche del parametro -o START. Se l'output è maggiore della grandezza specificata allora verrà suddiviso in più file. Ad es. il comando
crunch 4 5  -b 20mib  -o START
Genererà 4 file di output  (aaaa-gvfed.txt, gvfee-ombqy.txt, ombqz-wcydt.txt, wcydu-zzzzz.txt) ciascuno di una grandezza massima di 20 mib. Non ci devono essere spazi tra il numero e il tipo. I tipi accettati sono kb, mb, gb, kib, mib e gib. I primi 3 sono kilobyte, megabyte e gigabyte (base 1000) mentre gli ultimi 3 sono kibibyte, mebibyte, gibibyte (base 1024).

-c
Consente di specificare il massimo numero di righe nel file di output. Anche in questo caso va utilizzato insieme a -o START.

-d
Con tale parametro viene limitato il numero massimo di duplicati. Ad es. -d 2@ limita a 2 il numero di caratteri alfabetici minuscoli duplicati all'interno dell'output.

-e
A tale parametro viene passata una stringa che indica quando fermarsi.

-f
Al parametro va passato il nome di un file (ad es. charset.lst) contenente il charset da utilizzare.

-i 
Se specificato inverte l'output. Ad es. invece di avere in output aaa, aab, aac, aad, ecc utilizzando tale parametro si avrà aaa, baa, caa, daa, aba, bba, ecc

-l
Alcuni caratteri come @,%^ vengono utilizzati per specificare caratteri minuscoli, maiuscoli, numeri e simboli (si veda parametro -t). Per utilizzarli come semplici caratteri senza che Crunch tenta di interpretarli bisogna specificare il parametro -l. In questo modo, ad esempio, possiamo utilizzare il simbolo percentuale (%) all'interno di un pattern senza che Crunch lo sostituisca con un numero.

-o
Consente di specificare il file di output.

-p
Permette di generare stringhe senza la ripetizione di caratteri (permutazioni). É comunque necessario dichiarare il numero minimo e massimo di caratteri da utilizzare anche se, con tale parametro, verranno ignorati durante la generazione dell'output. Al parametro va passato il charset.

-q
Il funzionamento è analogo al parametro -p con la differenza che va passato un file.

-r
Permette di recuperare la generazione della wordlist interrotta. Funziona solo se è stato specificato il parametro -o. Eseguendo nuovamente il comando interrotto e aggiungendo il parametro -r la generazione della wordlist viene ripresa dal punto in cui era stata interrotta.

-s
Tramite tale parametro è possibile specificare una stringa di partenza.

-t 
Permette di specificare un pattern inoltre tramite l'utilizzo dei simboli @,%^, consente la sostituzione solo di alcuni caratteri all'interno del pattern: 
@ inserisce caratteri alfabetici minuscoli.
, inserisce caratteri alfabetici maiuscoli.
% inserisce numeri.
^ inserisce simboli.

-u
Va usato come ultimo parametro e consente di non mostrare la percentuale di completamento.

-z
Consente di comprimere il file di output specificando il tipo di compressione desiderato tra: gzip, bzip2, lzma e 7z. Va utilizzato insieme al parametro -o. Il formato gzip è il più veloce ma offre una compressione minima mentre il formato 7z è quello più lento ma fornisce la compressione migliore.


Esempi

Esempio 1
crunch 1 2 ab 
Il primo parametro, in questo caso 1, indica la lunghezza minima della combinazione.
Il secondo parametro (2) indica la lunghezza massima della combinazione desiderata.
Il terzo parametro indica il charset cioè l'insieme di caratteri da utilizzare.

L'output di tale comando sarà costituito dalle seguenti 6 combinazioni possibili
a
aa
ab
b
ba
bb
Come visibile in FIG 1, il comando fornisce anche la dimensione dell'output. Informazione utile nel caso si intenda generare un file.
Crunch
FIG 2 - Crunch

Esempio 2
crunch 2 2 0123456789 -o wordlist.txt
In questo esempio come charset è stato specificato l'insieme di numeri da 0 a 9. Il parametro -o consente di salvare l'output all'interno del file specificato (wordlist.txt).


Esempio 3
Supponiamo di voler creare un dizionario contenente la parola password seguita da tutte le lettere dell'alfabeto. Il comando sarà:
crunch 9 9 -t password@ -o wordlist.txt
Il carattere @ verrà sostituito ogni volta con una lettera minuscola dell'alfabeto.
Se invece vogliamo che la stringa password venga seguita da 3 numeri il comando diventa
crunch 11 11 -t password%%% -o wordlist.txt


Esempio 4
crunch 4 5 -p abc
In output saranno prodotte le permutazioni abc, acb, bac, bca, cab, cba.

Passando più stringhe al parametro -p
crunch 4 5 -p dog cat bird
l'output sarà il seguente birdcatdog, birddogcat, catbirddog, catdogbird, dogbirdcat, dogcatbird.


Esempio 5
crunch 1 5 -o START -c 3000 -z 7z
In questo caso verranno generati più file di output compressi in formato 7z contenenti ciascuno al massimo 3000 parole. I file di output avranno il nome del tipo prima_parola-ultima_parola.txt.7z





venerdì 17 aprile 2020

Windows Server 2019: Limitare il logon degli account utente a determinate workstation

Come specificato negli articoli precedenti un account utente può, per default, eseguire il logon su qualsiasi workstation appartenente al dominio.
Tuttavia ci sono situazioni in cui sarebbe opportuno limitare l'accesso ad un account utente a specifiche workstation. Active Directory consente di applicare delle restrizioni sui computer ai quali un account o un gruppo di account utente può eseguire il logon. In questo articolo verranno mostrati i passaggi per applicare tali restrizioni agendo manualmente in Active Directory. Non si tratta di un'operazione raccomandata. Come mostrerò in un prossimo articolo, per questo tipo di operazioni, è preferibile agire tramite l'utilizzo delle group policy.

All'interno del nostro dominio mycompany.local abbiamo creato l'unità organizzativa Direzione al cui interno sono presenti ulteriori due unità organizzative: Computer contente, al momento, un unica workstation con nome PCDIR001 e Utenti contenente diversi account utente. Vediamo come fare in modo che uno o più utenti di direzione (mycompany.local\Direzione\Utenti) possano accedere esclusivamente alla workstation PCDIR001.




Limitare il logon degli account utente a determinate workstation tramite il Centro di amministrazione di Active Directory

  • Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.
    Windows Server 2019, Centro di amministrazione di Active Directory
    FIG 1 - Windows Server 2019, Centro di amministrazione di Active Directory
  • Posizionarsi sull'unità organizzativa mycompany.local\Direzione\Utenti.
  • Selezionare un'account utente (ad es. Yosemite Sam), cliccarci su con il tasto destro del mouse e selezionare Proprietà dal menu contestuale.
    Centro di amministrazione di Active Directory, Proprietà account utente
    FIG 2 - Centro di amministrazione di Active Directory, Proprietà account utente
  • Cliccare sul link Accedi a...
    Proprietà account utente, Accedi a...
    FIG 3 - Proprietà account utente, Accedi a...
  • Selezionare l'opzione I computer seguenti. Nell'apposita casella digitare il nome della workstation a cui l'account utente potrà accedere quindi cliccare sul tasto Aggiungi. Ripetere l'operazione nel caso si vogliano aggiungere altre workstation.
    Specificare le workstation alle quali l'account utente potrà accedere
    FIG 4 - Specificare le workstation alle quali l'account utente potrà accedere
  • Terminata l'aggiunta delle workstation cliccare su OK all'interno della finestra Accedi a quindi nuovamente su OK per chiudere la finestra delle proprietà dell'account.
E' possibile eseguire l'operazione contemporaneamente su più account selezionandoli e procedendo in maniera analoga a quanto mostrato sopra. L'unica differenza è nella finestra Proprietà che sarà come quella mostrata in FIG 5. Spuntare la casella accanto al link Accedi a quindi cliccare su quest'ultimo per specificare le workstation a cui gli account selezionati potranno accedere.
Proprietà per più account utente
FIG 5 - Proprietà per più account utente





Limitare il logon degli account utente a determinate workstation tramite Utenti e computer di Active Directory

  • Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e Computer di Active Directory (Active Directory Users and Computers). In alternativa premere la combinazione di tasti WIN+R digitare dsa.msc e premere invio.
    Server Manager, Strumenti, Utenti e computer di Active Directory
    FIG 6 - Server Manager, Strumenti, Utenti e computer di Active Directory
  • Posizionarsi sull'unità organizzativa mycompany.local\Direzione\Utenti.
  • Selezionare un'account utente (ad es. Yosemite Sam), cliccarci su con il tasto destro del mouse e selezionare Proprietà dal menu contestuale.
    Utenti e computer di Active Directory, Proprietà account utente
    FIG 7 - Utenti e computer di Active Directory, Proprietà account utente
  • All'interno della scheda Account, selezionare la casella Restrizioni computer quindi cliccare sul pulsante Accedi a.
    Account utente, Accedi a...
    FIG 8 - Account utente, Accedi a...
  • Selezionare l'opzione I seguenti computer. Nell'apposita casella digitare il nome del computer a cui l'account utente selezionato potrà accedere e cliccare sul pulsante Aggiungi.
    Specificare le workstation alle quali l'account utente potrà accedere
    FIG 9 - Specificare le workstation alle quali l'account utente potrà accedere
  • Terminata l'aggiunta delle workstation cliccare su OK all'interno della finestra Accedi a quindi su Applica all'interno della finestra delle proprietà dell'account.

Anche in questo caso è possibile eseguire l'operazione contemporaneamente su più account selezionandoli e procedendo in maniera analoga a quanto mostrato sopra. Nella finestra Proprietà di più oggetti selezionare la scheda Account (FIG 10), spuntare la casella Restrizioni computer quindi cliccare sul pulsante Accedi a per specificare le workstation a cui gli account selezionati potranno accedere.
FIG 10 - Restrizioni computer per più account utente





Limitare il logon degli account utente a determinate workstation tramite PowerShell

Per applicare la restrizione ad un account utente tramite PowerShell si utilizza il cmdlet Set-ADUser
Avviare Windows PowerShell (amministratore) ed eseguire il comando
Set-ADUser -Identity:"CN=Yosemite Sam,OU=Utenti,OU=Direzione,DC=mycompany,DC=local" -LogonWorkstations:"PCDIR001" -Server:"Server1DC.mycompany.local"
è possibile specificare più workstation passando i nomi, separati da virgola, al parametro LogonWorkstations come nel comando
Set-ADUser -Identity:"CN=Yosemite Sam,OU=Utenti,OU=Direzione,DC=mycompany,DC=local" -LogonWorkstations:"PCDIR001,PCDIR003" -Server:"Server1DC.mycompany.local"







martedì 14 aprile 2020

Windows Server 2019: Limitare l'accesso a orari e giorni specifici di un account utente

Tramite Active Directory è possibile limitare il logon di un'account utente a determinati orari e giorni.


Limitare l'accesso di un account utente tramite il Centro di Amministrazione di Active Directory

  • Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.
    Windows Server 2019, Centro di amministrazione di Active Directory
    FIG 1 - Windows Server 2019, Centro di amministrazione di Active Directory
  • Espandere il domino e le unità organizzative fino a raggiungere l'account utente di proprio interesse. Cliccare con il tasto destro del mouse sull'account utente e selezionare Proprietà.
    Centro di amministrazione di Active Directory, Proprietà account utente
    FIG 2 - Centro di amministrazione di Active Directory, Proprietà account utente
  • All'interno della finestra relativa all'account utente, cliccare sul link Orario di accesso....
    Proprietà account utente, Orario di accesso
    FIG 3 - Proprietà account utente, Orario di accesso
  • Come visibile in FIG 4 le caselle blu evidenziano quando l'utente può effettuare il logon mentre quelle in bianco indicano quando il logon è inibito. Per default l'utente è sempre abilitato ad effettuare il logon. Per impedire che l'utente possa effettuare il logon a determinate ore/giorni, selezionare le caselle corrispondenti e cliccare sull'opzione Accesso negato.
    Impostazione Orario di accesso
    FIG 4 - Impostazione Orario di accesso
  • Cliccare su OK per confermare la restrizione.
  • Per ripristinare il logon basta selezionare le relative caselle di colore bianco e cliccare sull'opzione Accesso autorizzato.
Da questo momento se l'utente tenterà di effettuare il logon in un'ora/giorno non previsto visualizzerà il messaggio mostrato in FIG 5. Da tenere in considerazione che la restrizione non esegue automaticamente il logoff forzato di un utente già loggato.
Windows 10, Restrizioni dell'account sull'orario di accesso
FIG 5 - Windows 10, Restrizioni dell'account sull'orario di accesso




Limitare l'accesso di un account utente tramite Utenti e Computer di Active Directory

  • Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e Computer di Active Directory (Active Directory Users and Computers). In alternativa premere la combinazione di tasti WIN+R digitare dsa.msc e premere invio.
    Server Manager, Strumenti, Utenti e computer di Active Directory
    FIG 6 - Server Manager, Strumenti, Utenti e computer di Active Directory
  • Espandere il domino e le unità organizzative fino a raggiungere l'account utente di proprio interesse. Cliccare con il tasto destro del mouse sull'account utente e selezionare Proprietà.
    Utenti e computer di Active Directory, Account utente
    FIG 7 - Utenti e computer di Active Directory, Account utente
  • Selezionare la scheda Account quindi cliccare sul pulsante Orario di accesso...
    Account utente, Orario di accesso
    FIG 8 - Account utente, Orario di accesso
  • Per impedire che l'utente possa effettuare il logon a determinate ore/giorni, selezionare le caselle relative e cliccare sull'opzione Accesso negato.
    Impostazione Orario di accesso
    FIG 9 - Impostazione Orario di accesso
  • Cliccare su OK per confermare la restrizione.



Limitare l'accesso di un account utente tramite tramite PowerShell

Per limitare l'accesso di un account utente a specifiche ore/giorni della settimana tramite PowerShell è possibile utilizzare il cmdlet Set-AdUser. Ad es. per impedire all'utente Yosemite Sam (presente nel dominio mycompany.local\Direzione\Utenti) di loggarsi la domenica, da Windows PowerShell (amministratore) eseguire il comando:
Set-ADUser -Identity:"CN=Yosemite Sam,OU=Utenti,OU=Direzione,DC=mycompany,DC=local" -Replace:@{"logonHours"="0","0","128","255","255","255","255","255","255","255","255","255","255","255","255","255","255","255","255","255","127"} -Server:"Server1DC.mycompany.local"







sabato 11 aprile 2020

Windows 10: Visualizzazione attività in stile Windows XP

In Windows 7 e Windows 10, per accedere temporaneamente alla vecchia interfaccia in stile Windows XP della funzione Visualizzazione attività basta usare una particolare combinazione di tasti:
  • Tenere premuto il tasto ALT (quello alla sinistra della barra spaziatrice);
  • Premere e rilasciare velocemente il tasto ALT Gr (alla destra della barra spazio);
  • Premere il tasto TAB tenendo sempre premuto il tasto ALT.


Se si vuole impostare in maniera permanente la vecchia interfaccia è necessario procedere tramite il registro di sistema:
  • Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare regedit seguito da invio per avviare l'editor del registro di sistema;
  • Posizionarsi sulla chiave
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
  • Creare un nuovo valore DWORD a 32-bit (basta cliccare con il tasto destro del mouse in un punto vuoto nella parte destra della finestra e selezionare la voce corrispondente nel menu Nuovo), e rinominarlo in AltTabSettings.
  • Eseguire un doppio click sulla voce AltTabSettings, impostare il suo valore ad 1 e confermare la modifica cliccando su OK.
    Regedit, AltTabSettings
    FIG 1 - Regedit, AltTabSettings
Per rendere effettiva la modifica far disconnettere/riconnettere l'utente al sistema (in alternativa è possibile terminare e avviare nuovamente il processo explorer.exe).

Per ripristinare l'impostazione di default basterà eliminare il valore AltTabSettings e procedere nuovamente alla disconnessione/riconnessione dell'utente al sistema.

Per chi non vuole mettere le mani all'interno del registro può scaricare, dal seguente link, i file .reg per attivare/disattivare la Visualizzazione attività in stile Windows XP.
DOWNLOAD





giovedì 9 aprile 2020

Windows Server 2019: Assegnare ad un gruppo restrizioni sulla password (PSO)

Nell'articolo Windows Server 2019: Impostare la complessità della password tramite Password Settings Object è stato mostrato come creare un oggetto contenente impostazioni/restrizioni relative alla password (FINE-GRAINED password policy). In questo articolo mostrerò come assegnare tali restrizioni ad un gruppo.
Supponiamo di voler assegnare tali impostazioni a tutti gli utenti che fanno parte del gruppo GRP_Marketing (creato negli articoli precedenti all'intero del nostro dominio nell'unità organizzativa Marketing). Vediamo come è possibile effettuare l'operazione tramite il Centro di amministrazione di Active Directory e PowerShell.


Assegnare ad un gruppo restrizioni sulla password (PSO) tramite Centro di amministrazione di Active Directory

  • Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.
    Windows Server 2019, Centro di amministrazione di Active Directory
    FIG 1 - Windows Server 2019, Centro di amministrazione di Active Directory
  • Selezionare il proprio dominio quindi cliccare sulla UO Marketing, selezionare il gruppo GRP_Marketing,  cliccarci su con il tasto destro del mouse e selezionare Proprietà dal menu contestuale.
    Centro di amministrazione di Active Directory, Proprietà gruppo
    FIG 2 - Centro di amministrazione di Active Directory, Proprietà gruppo
  • Cliccare su Impostazioni password. In Impostazioni password associate direttamente cliccare sul pulsante Assegnare.
    Impostazioni password associate direttamente
    FIG 3 - Impostazioni password associate direttamente
  • Nella casella Immettere il nome dell'oggetto da selezionare digitare il nome del PSO creato nell'articolo precedente, cliccare su Controlla nomi, quindi cliccare su OK per procedere con l'assegnazione.
    Seleziona Oggetto impostazioni password
    FIG 4 - Seleziona Oggetto impostazioni password
  • Da questo momento gli utenti che appartengono al gruppo GRP_Marketing, nel cambio password, dovrà rispettare le condizioni impostate.
    PSO aggiunto al gruppo
    FIG 5 - PSO aggiunto al gruppo



Assegnare ad un gruppo restrizioni sulla password (PSO) tramite PowerShell

Per assegnare ad un gruppo la policy FINE-GRAINED policy tramite PowerShell, viene utilizzato il cmdlet Add-ADFineGrainedPasswordPolicySubjectAvviare Windows PowerShell (amministratore) ed eseguire il comando
Add-ADFineGrainedPasswordPolicySubject -Identity:"CN=PSO_Domain_Admin,CN=Password Settings Container,CN=System,DC=mycompany,DC=local" -Server:"Server1DC.mycompany.local" -Subjects:"CN=GRP_Marketing,OU=Marketing,DC=mycompany,DC=local"




Verificare Impostazioni password di un account utente

Nei paragrafi precedenti è stato assegnato al gruppo GRP_Marketing la restrizione sulle password tramite l'assegnazione del PSO. Per verificare le restrizioni attribuite ad un account utente che fa parte del gruppo:

  • Dal Centro di amministrazione di Active Directory navigare all'interno del dominio fino all'account utente che si intende verificare (ne nostro caso mycompany.local\Marketing\Utenti)
  • Cliccare sull'account da verificare con il tasto destro del mouse e selezionare Visualizza impostazioni password risultanti.
    Centro di amministrazione di Active Directory, Visualizza impostazioni password risultanti
    FIG 6 - Centro di amministrazione di Active Directory, Visualizza impostazioni password risultanti
  • Apparirà a video l'oggetto PSO che è stato assegnato al gruppo GRP_Marketing e di conseguenza agli account utente appartenenti al gruppo.
    Password Settings Object
    FIG 7 - Password Settings Object






lunedì 6 aprile 2020

Windows Server 2019: Impostare la complessità della password tramite Password Settings Object

All'interno di un dominio è sempre consigliabile stabilire una policy aziendale per forzare l'utilizzo di password complesse al fine di prevenire (o quantomeno rendere difficili) accessi non autorizzati.
Già a partire da Windows Server 2012 è possibile controllare la complessità delle password attraverso l'utilizzo dei criteri granulari per le password (FINE-GRAINED password policy) e la creazione di Password Settings Object (PSO). I requisiti minimi per procedere sono i seguenti:
  • Sia presente almeno un Domain Controller con Windows Server 2012 o superiore;
  • Il livello di funzionalità della foresta sia impostata almeno su Windows Server 2008.
Utilizzando Windows Server 2019 e il livello di funzionalità della foresta di Windows Server 2016 i requisiti sono ampiamente rispettati. Solo i membri del gruppo Domain Admin possono creare PSO.



Creazione di Password Settings Object (PSO) tramite il Centro di amministrazione di Active Directory

  • Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.
    Windows Server 2019, Centro di amministrazione di Active Directory
    FIG 1 - Windows Server 2019, Centro di amministrazione di Active Directory
  • Selezionare il proprio dominio quindi aprire il container System con un doppio click;
    Centro di amministrazione di Active Directory, container System
    FIG 2 - Centro di amministrazione di Active Directory, container System

  • Cliccare due volte su Password Settings container;
    Centro di amministrazione di Active Directory, Password Settings Container
    FIG 3 - Centro di amministrazione di Active Directory, Password Settings Container
  • Sul pannello Attività (sul lato destro della finestra) cliccare su Nuovo quindi Impostazioni password;
    Impostazioni password
    FIG 4 - Impostazioni password
  • All'interno della casella Nome specificare il nome da assegnare all'oggetto. E' consigliabile utilizzare un nome significativo che consenta di capire il suo scopo. Ad es. dovendo creare un PSO per gli amministratori di dominio un nome significativo potrebbe essere PSO_Domain_Admin.
  • All'interno del campo Precedenza inserire il valore 1. Il valore di tale campo ci permette di specificare la precedenza dell'oggetto: nel caso in cui su un account utente o su un gruppo siano definite più PSO, quello con il valore più basso avrà la precedenza.
  • Il campo Lunghezza minima password consente di specificare il numero minimo di caratteri da utilizzare per la password. Impostare tale campo a 15 caratteri.
  • Imponi cronologia delle password.Tale campo, se selezionato, permette di impedire che l'utente riutilizzi una password già utilizzata in precedenza. Il valore di default di tale campo è 24 il che comporta che l'utente può reinserire una password già utilizzata in passato solo dopo 24 cambi password. Lasciare l'opzione attiva con il valore di default.
  • Imponi validità minima password. Permette di specificare dopo quanto tempo dal cambio password l'utente potrà nuovamente modificarla. Il valore di default è 1 quindi quando l'utente cambia la password dovrà aspettare il giorno successivo (24h) per poterla cambiare nuovamente.
  • Imponi validità massima password. Il valore di default è 42. Modificare tale valore in 30. Il campo permette di specificare dopo quanti giorni l'utente è obbligato a cambiare password.
  • Attivare l'opzione Applica criteri di blocco account. Nel campo Numero di tentativi di accesso non riusciti consentiti inserire 5. Nel campo Ripristina conteggio tentativi di accesso non riusciti lasciare il valore 30. Lasciare attiva l'opzione Per un periodo di tempo pari a (minuti) valorizzata a 30. Con tali opzioni, dopo 5 tentativi di accesso non riusciti, l'account verrà bloccato per 30 minuti. Il contatore degli accessi non riusciti verrà resettato dopo 30 accessi riusciti consecutivi.
  • Cliccare su OK per completare la creazione del PSO con le impostazioni settate.
    Creazione PSO
    FIG 5 - Creazione PSO

Nuovo oggetto impostazioni password (PSO)
FIG 6 - Nuovo oggetto impostazioni password (PSO)

Creazione di Password Settings Object (PSO) tramite PowerShell

Per eseguire la stessa operazione tramite PowerShell è necessario utilizzare il cmdlet New-ADFineGrainedPasswordPolicy. Avviare Windows PowerShell (amministratore) ed eseguire il seguente comando
New-ADFineGrainedPasswordPolicy -ComplexityEnabled:$true -LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -LockoutThreshold:"5" -MaxPasswordAge:"30.00:00:00" -MinPasswordAge:"1.00:00:00" -MinPasswordLength:"15" -Name:"PSO_Domain_Admin" -PasswordHistoryCount:"24" -Precedence:"1" -ReversibleEncryptionEnabled:$false -Server:"Server1DC.mycompany.local"






mercoledì 1 aprile 2020

Windows Server 2019: Recuperare un oggetto cancellato tramite il Cestino di Active Directory

Se è stato eliminato accidentalmente un'oggetto in AD e il cestino di Active Directory è attivo (si veda articolo Windows Server 2019: Abilitare il cestino di Active Directory), è possibile recuperarlo velocemente seguendo questi semplici passaggi:
  • Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.
    Server Manager, Centro di amministrazione di Active Directory
    FIG 1 - Server Manager, Centro di amministrazione di Active Directory
  • Dal navigation pane (sul lato sinistro della finestra) selezionare il proprio dominio quindi eseguire un doppio click sul container Deleted Objects.
    Centro di amministrazione di Active Directory, container Deleted Objects
    FIG 2 - Centro di amministrazione di Active Directory, container Deleted Objects
  • Cliccare, con il tasto destro del mouse, sull'oggetto che si intende recuperare e, dal menu contestuale, selezionare l'opzione Ripristina.
    Centro di amministrazione di Active Directory, ripristina oggetto eliminato
    FIG 3 - Centro di amministrazione di Active Directory, ripristina oggetto eliminato
  • L'oggetto sarà ripristinato all'interno del container/UO da cui era stato eliminato.
    Centro di amministrazione di Active Directory, oggetto recuperato dal cestino di Active Directory
    FIG 4 - Centro di amministrazione di Active Directory, oggetto recuperato dal cestino di Active Directory