Política de Senhas Refinada (Active Directory)

12 de dezembro de 2019 | Junio Pacheco | Security

DIRETIVAS DE SENHA

Para armazenar diretivas de senhas refinadas, o WS 2008 inclui duas novas classes de objeto no esquema de Serviços de Domínio (AD):

> Contêiner de Configuração de Senha (PSC);
> Configuração de Senha (PSO).

Sugestão (Microsoft) para Definição de Política de Senhas:

> Administrador (configuração rigorosa): a cada 14 dias;
> Usuário médio (colaboradores em geral): a cada 90 dias;
> Contas de serviços: mínimo de dias.

As Configurações de Senhas (PSO) NÃO podem ser aplicadas às Unidades Organizacionais (OUs) diretamente. Se os usuários estão organizados em OUs, considere criar "grupos de sombra" para essas OUs e aplique as recém definidas de bloqueio de senha e conta refinadas a ela.

> Grupo de Sombra: um grupo de segurança global que está logicamente mapeado a uma OU para impor uma diretiva de bloqueio de senha e conta refinadas.

Se você remover um usuário de uma OU para outra, deve atualizar as associações dos usuários nos grupos de sombra correspondentes.
A aplicação de PSO diretamente em grupos de segurança global, ao contrário de diretamente em OUs, oferece os seguintes benefícios:

> Os grupos oferecem melhor flexibilidade para gerenciar vários conjuntos de usuários do que OUs;
> Organização de usuários através de grupos de contas administrativas. Ex: administradores de domínio, administradores de empresa, administradores de esquemas, operadores de servidores, operadores de backup, etc;
> A estrutura de grupo oferece implantação mais fácil de diretivas de senhas refinadas e permite não ter que reestruturar os diretórios das organizações criando OUs.

REQUISITOS PARA DIRETIVAS DE BLOQUEIO DE SENHA E CONTAS REFINADAS

> Nível funcional do domínio: "Windows Server 2008";
> Somente os membros do grupo Administradores do Domínio podem criar PSOs;
> Podem ser delegadas permissões de Propriedade de Leitura no descritor de segurança padrão do objeto PSO no esquema para qualquer outro grupo no domínio ou na floresta. Isso poderá impedir que um usuário veja as configurações de senha dele no diretório;
> As diretivas de senhas refinadas se aplicam somente a objetos de usuário e grupos de segurança global. Elas NÃO podem ser aplicadas a objetos de computador;
> As diretivas de senhas refinadas não interferem nos filtros de senha personalizados que podem ser usados no mesmo domínio;
> Além do PSC padrão, os administradores podem criar seus próprios PSCs personalizados no contêiner "Sistema";
> O PSO pode ser atribuído diretamente a um grupo ou usuário específico.

POLÍTICA DE SENHAS PARA ADMINISTRADORES DE REDES E DE DADOS

Esta Política de Senhas foi padronizada pela TI Segura e os dados abaixo estão relacionadas à Configuração de Senha (PSO) criada via ADSI Edit (adsiedit.msc) para Administradores de Redes e de Dados dentro de uma organização:

> MSDS-PASSWORDSETTINGSPRECEDENCE: 1 (o padrão é 10);
> MSDS-PASSWORDREVERSIBLEENCRYPTIONENABLED: FALSE;
> MSDS-PASSWORDHISTORYLENGTH: 3;
> MSDS-PASSWORDCOMPLEXITYENABLED: TRUE;
> MSDS-MINIMUMPASSWORDLENGTH: 10;
> MSDS-MINIMUMPASSWORDAGE: 30:00:00:00;
> MSDS-MAXIMUMPASSWORDAGE: 120:00:00:00;
> MSDS-LOCKOUTTHRESHOLD: 10;
> MSDS-LOCKOUTOBSERVATIONWINDOW: 0:00:30:00;
> MSDS-LOCKOUTDURATION: 0:00:30:00;
> MSDS-PSOAPPLIESTO: caminho do Distinguished Name (DN) do objeto.

CONFIGURAR UMA PSO

1. Dentro do Servidor que contém o Active Directory, Executar: adsiedit.msc;

2. Clique com o botão direito em "ADSI Edit" e em seguida "Connect to...";

3. Digite o nome do seu domínio completo e clique em "OK";

4. Navegar até "CN=System" >> "CN=Password Settings Container" e clicar com o botão direito nesse CN e ir em "New" >> "Object";

5. msDS-PasswordSettings >> "Next";

6. Os próximos passos devem ser configurados da maneira desejada. Qualquer dúvida em relação a cada um dos itens, procure a referência no seguinte link: https://ldapwiki.com/wiki/MsDS-PasswordSettings;

7. Após configurar todos os passos, clicar em Finish;

8. O passo "MSDS-PSOAPPLIESTO" deve ser configurado posteriormente, facilitando a implementação.

APLICANDO A POLÍTICA DE SENHA AO OBJETO (GRUPO OU USUÁRIO)

Nesse momento, será configurado o MSDS-PSOAPPLIESTO.

Acesse o "Active Directory Users and Computers";
Vá em "View" e marque "Advanced Features";

3. Depois, encontre no seu domínio o diretório "System";

4. Dentro de System existe o diretório "Password Setting Container" que contém a sua Política de Senhas criada;

5. Clique duas vezes na Política de Senhas desejada e vá em Attribute Editor;

6. Encontre a opção MSDS-PSOAPPLIESTO, selecione-a e clique em "Edit";

7. Adicione o "Distinguished Name (DN) do Objeto". Dúvidas em como encontrar um DN, clique AQUI!;

8. Após inserir o DN, clique em "OK", "Apply" e "OK" novamente.

Fonte: Microsoft