Recomendações de segurança: Como usar senhas de alta segurança - Parte III

  • Artigo

Por Diogo Henrique Silva

Este é o terceiro e último artigo de uma série que escrevi sobre a utilização de senhas seguras.

No primeiro artigo abordei como muitos usuários mal intencionados tentam descobrir senhas, quais sistemas operacionais dão suporte para senhas seguras, descrevi como os hashes de senha são armazenados no Windows, como os caracteres Unicode ajudam a deixar a senha mais segura e por fim inseri um pequeno "passo-a-passo" sobre a configuração de senhas seguras em um ambiente com Active Directory implantado.

No segundo artigo dei algumas dicas sobre como podemos criar senhas de alta segurança para que os usuários da rede possam aprender a criar senhas seguras e fáceis de lembrar. Abordei alguns exemplos práticos que ajudam na percepção de que a criação de senhas com os cinco grupos dos caracteres mencionados na primeira parte do artigo, não são difíceis de serem criadas.

Nessa parte final coloco um "How-To" para a implantação se senhas seguras por meio de Group Policy em um ambiente Windows Server 2003 com Active Directory, segundo o padrão estabelecido pela Microsoft.

Primariamente vamos identificar as configurações relacionadas a diretivas de senha, e o que cada uma dessas diretivas significa.

No Windows Server 2003 existem cinco configurações que podem ser definidas e que são relacionadas às características de senha:

  • Aplicar histórico de senhas

  • Duração máxima da senha

  • Duração mínima da senha

  • Comprimento mínimo da senha

  • A senha deve satisfazer a requisitos de complexidade

Passemos agora a analisar cada configuração separadamente e qual a configuração recomendada para deixar essa diretiva em um padrão seguro.

Aplicar histórico de senhas - determina o número de novas senhas exclusivas que um usuário deve utilizar antes que uma senha antiga possa ser reutilizada. O valor desta configuração pode estar entre 0 e 24; se este valor for definido para 0, a opção para aplicar histórico de senhas será desativada.

Na maioria das organizações, este valor deve ser definido para 24 senhas.

Duração máxima da senha - determina quantos dias uma senha pode ser usada antes que o usuário precise alterá-la. O valor desta opção está entre 0 e 999; se for definido para 0, as senhas nunca expiram. Definir esta opção para um valor muito baixo pode causar frustração aos usuários; defini-la para um valor muito alto ou desativá-la confere aos potenciais invasores mais tempo para determinar a senhas.

Na maioria das organizações, este valor deve ser definido para 42 dias.

Duração mínima da senha determina quantos dias um usuário deve manter as novas senhas antes de poder alterá-las. Esta definição foi criada para ser usada com a opção Aplicar histórico de senhas de modo que os usuários não possam redefinir rapidamente suas senhas o número de vezes necessárias e depois voltar para suas senhas antigas. O valor desta configuração pode estar entre 0 e 999; se este valor for definido para 0, os usuários poderão imediatamente alterar novas senhas.

É recomendável que você defina este valor para 2 dias.

Comprimento mínimo da senha - determina o tamanho mínimo da senha. Embora o Windows 2000, o Windows XP e o Windows Server 2003 ofereçam suporte a senhas de até 28 caracteres, o valor desta configuração só pode estar entre 0 e 4 caracteres. Se o valor for definido para 0, os usuários poderão ter senhas em branco, por isso não é recomendável usar o valor 0.

Este valor deve ser definido para 8 caracteres.

A senha deve satisfazer a requisitos de complexidade determina se os requisitos de complexidade de senha estão sendo seguidos. Esses requisitos foram mencionados na primeira parte do artigo. Esses requisitos de complexidade são aplicados na alteração de senha ou na criação de senhas novas.

É recomendável que você ative esta configuração.

Agora vamos ver como podemos fazer isso efetivamente.

Configurando definições de diretivas de senha em um domínio baseado no Active Directory

  1. Clique em Iniciar, clique em Painel de Controle, clique duas vezes em Ferramentas Administrativas e, em seguida, clique duas vezes em Usuários e computadores do Active Directory.

  2. Clique com o botão direito do mouse no recipiente raiz do domínio:

    Cc716474.SenhasAltaSeguranca301(pt-br,TechNet.10).jpg

  3. Selecione Propriedades:

    Cc716474.SenhasAltaSeguranca302(pt-br,TechNet.10).jpg

  4. Na caixa de diálogo de propriedades do seu domínio, clique na guia Diretiva de Grupo e clique em Novo para criar um novo objeto de diretiva de grupo no recipiente raiz. Digite "Diretiva de Domínio" como o nome da nova diretiva e clique em Fechar.

    Nota: a Microsoft recomenda que você crie um novo objeto de diretiva de grupo em vez de editar o objeto interno denominado Diretiva de Domínio Padrão, porque isso facilita a recuperação em caso de problemas sérios com as configurações de segurança.

    Se as novas configurações de segurança criarem problemas, você poderá desativar

  5. Clique com o botão direito do mouse no recipiente raiz do domínio e clique em Propriedades.

  6. Na caixa de diálogo de propriedades, clique na guia Política de Grupo e selecione Política de Domínio.

  7. Clique em Para Cima para mover o novo GPO para o topo da lista e clique em Editar para abrir o Editor do Objeto de Política de Grupo para o GPO que você acabou de criar.

  8. Em Configuração do computador, navegue até a pasta Configurações do Windows\Configurações de Segurança\Diretivas de Conta\Diretivas de Senha.

    Cc716474.SenhasAltaSeguranca303(pt-br,TechNet.10).jpg

  9. No painel de detalhes, clique duas vezes em Aplicar histórico de senhas, marque a caixa de seleção Definir a configuração da diretiva, defina o valor de Manter histórico da senha por para 24, e clique em OK.

    Cc716474.SenhasAltaSeguranca304(pt-br,TechNet.10).jpg

  10. No painel de detalhes, clique duas vezes em Tempo de vida máximo da senha, marque a caixa de seleção Definir a configuração da diretiva, defina o valor de A senha expirará em para 42, clique em OK

    Cc716474.SenhasAltaSeguranca305(pt-br,TechNet.10).jpg

  11. No painel de detalhes, clique duas vezes em Tempo de vida mínimo da senha, marque a caixa de seleção Definir a configuração da diretiva, defina o valor de A senha pode ser alterada após para 2, e clique em OK

    Cc716474.SenhasAltaSeguranca306(pt-br,TechNet.10).jpg

  12. No painel de detalhes, clique duas vezes em Comprimento mínimo da senha, marque a caixa de seleção Definir a configuração da diretiva, defina o valor de A senha deve ter pelo menos para 8, e clique em OK.

    Cc716474.SenhasAltaSeguranca307(pt-br,TechNet.10).jpg

  13. No painel de detalhes, clique duas vezes em A senha deve satisfazer a requisitos de complexidade, marque a caixa de seleção Definir a configuração da diretiva, selecione Ativada, e clique em OK.

    Cc716474.SenhasAltaSeguranca308(pt-br,TechNet.10).jpg

  14. Feche o Editor do Objeto de Política de Grupo, clique em OK para fechar a caixa de diálogo de propriedades do domínio e saia do Usuários e computadores do Active Directory.

Agora sua diretiva de senha está configurada. Para verificar se as alterações foram realizadas com êxito prossiga da seguinte forma:

  1. Clique em Iniciar, clique em Painel de Controle, clique duas vezes em Ferramentas Administrativas e, em seguida, clique duas vezes em Usuários e computadores do Active Directory. Clique com o botão direito do mouse no recipiente raiz do domínio, selecione propriedades, clique na guia Política de Grupo e selecione Política de Domínio, Em Configuração do computador, navegue até a pasta Configurações do Windows\Configurações de Segurança\Diretivas de Conta\Diretivas de Senha.

    Serão mostradas todas as configurações para a diretiva de senha.

    Cc716474.SenhasAltaSeguranca309(pt-br,TechNet.10).jpg

Chegamos ao final dessa série sobre a criação de senhas.
Em breve teremos novos artigos sobre segurança.

Abraços e até a próxima.

Diogo Henrique
ITPró TechNet Brasil
contato@dhsit.com
www.dhsit.com