Pericoli e contromisure
Capitolo 2: Criteri a livello di dominio
Questo capitolo esamina le impostazioni dei criteri di gruppo applicati a livello di dominio. Il Criterio controller di dominio predefinito incorporato comprende valori di impostazione predefiniti per i criteri, che in genere vengono definiti come criteri di account.
In questa pagina
Criteri di account Ulteriori informazioni
Criteri di account
I criteri di account sono di tre tipi diversi: criteri di password, criteri di blocco account e criteri del protocollo di autenticazione Kerberos. Un unico dominio Microsoft Windows Server 2003 può essere dotato di ciascuno dei tre criteri menzionati. L'impostazione di questi criteri in un qualsiasi altro livello di Active Directory avrà effetto solo sugli account locali dei server membri.
Nota: per ogni account di dominio è consentito un singolo criterio di account. Il criterio di account deve essere definito nel Criterio dominio predefinito o in un nuovo criterio collegato alla radice del dominio a cui è stata assegnata la priorità rispetto al Criterio di dominio predefinito, applicato dai controller di dominio. Un controller di dominio ottiene il criterio di account sempre dal controller principale del dominio, anche se esiste un criterio di account diverso applicato all'unità organizzativa che contiene il controller stesso. La radice del dominio è il contenitore di livello superiore del dominio, da non confondere con il dominio principale di un insieme di strutture, che corrisponde invece al dominio di livello superiore all'interno di tale insieme.
Tutte le impostazioni del criterio di account di Criteri di gruppo vengono applicate a livello di dominio. I valori predefiniti si trovano nel Criterio controller di dominio predefinito incorporato per i criteri account, di blocco account e Kerberos. Quando si configurano questi criteri nel servizio directory Active Directory, Microsoft Windows consente l'utilizzo di un solo criterio di account di dominio, ovvero il criterio di account applicato al dominio principale della struttura. Il criterio di account di dominio diverrà il criterio di account predefinito di tutti i computer Windows membri del dominio.
L'unica eccezione a questa regola si ha quando è stato definito un altro criterio di account per un'unità organizzativa (UO). Le impostazioni del criterio di account per l'UO influiranno sul criterio locale di qualsiasi computer contenuto in tale unità. Ad esempio, se un criterio dell'unità organizzativa definisce una validità massima password diversa da quella del criterio di account a livello di dominio, tale criterio verrà applicato e imposto solo quando gli utenti accedono al computer locale. Solo i criteri predefiniti per il computer locale verranno applicati ai computer in un workgroup o in un dominio, cui non si applica il criterio di account dell'UO o il criterio di dominio.
Le impostazioni per ciascuno di questi tipi di criteri sono descritte in questo capitolo.
Criterio password
In Windows e in molti altri sistemi operativi, il metodo più comune per autenticare l'identità di un utente consiste nell'utilizzo di password o di una frase password segreta. Un ambiente di rete protetto richiede che tutti gli utenti utilizzino password complesse, composte da almeno dieci caratteri e costituite da una combinazione di lettere, numeri e simboli. Queste password evitano che individui non autorizzati, servendosi di metodi manuali o di strumenti automatici, compromettano gli account utente e quelli amministrativi, identificando le password più semplici. Password complesse modificate con regolarità riducono il rischio di attacchi. (Per ulteriori informazioni sulle password complesse, consultare la sezione "Le password devono essere conformi ai requisiti di complessità" in questo capitolo.)
L'uso di password complesse può essere imposto attraverso l'applicazione di un criterio password appropriato. Le impostazioni del criterio password controllano la complessità e la durata delle password. Questa sezione esamina ogni impostazione specifica relativa all'account dei criteri password. Questa guida contiene anche la cartella di lavoro di Microsoft Excel, "Configurazione dei servizi e della protezione predefinita di Windows", che riporta le impostazioni predefinite.
Per configurare le impostazioni del criterio password selezionare quanto segue nell'Editor criteri di gruppo:
Configurazione computer\Impostazioni di Windows\Impostazioni di protezione\Criteri di account\Criterio password
Se esistono gruppi che richiedono criteri password distinti, è consigliabile segmentarli in un altro dominio o in un insieme di strutture basato su requisiti aggiuntivi.
Imponi cronologia delle password
L'impostazione di questo criterio determina il numero di nuove password da associare a un account utente prima di riutilizzare una password esistente.
I valori possibili per Imponi cronologia delle password sono:
Un valore specificato dall'utente compreso tra 0 e 24
Non definito
Vulnerabilità
Il riutilizzo delle password è un aspetto importante per qualsiasi organizzazione. Molti utenti preferiscono utilizzare o riutilizzare la stessa password del relativo account per lunghi periodi di tempo. Maggiore la durata di utilizzo della stessa password per un determinato account e maggiori sono le probabilità che un pirata informatico riesca a determinare la password mediante attacchi di tipo "brute-force". Inoltre, tutti gli account compromessi continueranno ad essere sfruttati finché la password nno verrà modificata. Se è necessario modificare la password, ma non ne viene impedito il riutilizzo, o se gli utenti possono riutilizzare continuamente un numero limitato di password, l'efficacia del criterio password viene ridotta.
Se il numero utilizzato per questa impostazione del criterio è basso, gli utenti saranno in grado di riutilizzare lo stesso numero limitato di password. Se, inoltre, non si configura anche l'impostazione Validità minima password, gli utenti saranno in grado di cambiare continuamente la password finché non potranno riutilizzare quella originaria.
Contromisura
Configurare l'impostazione Imponi cronologia delle password su 24, l'impostazione massima, per ridurre al minimo i casi di vulnerabilità provocati dal riutilizzo delle password.
Perché questa impostazione abbia effetto è necessario non consentire che le password vengano cambiate immediatamente, quando si configura l’impostazione Validità minima password. Si consiglia di impostare il valore di Imponi cronologia delle password a un livello che abbini una durata minima della password e un intervallo di modifica della password accettabili per tutti gli utenti dell'organizzazione.
Impatto potenziale
Il maggiore impatto di una configurazione di questo tipo è che gli utenti devono creare una nuova password ogni volta che viene richiesto di modificare la precedente. Se si obbligano gli utenti a cambiare le proprie password con valori nuovi univoci, aumenta il rischio che annotino la password per non dimenticarla. Un altro rischio è che possano creare password ad incremento (ad esempio, password01, password02 e così via) per facilitarne la memorizzazione. È, altrettanto probabile che un valore eccessivamente basso di Validità minima password produca un aumento del carico amministrativo, dovuto a utenti che dimenticano la propria password e richiedono assistenza all'help desk per ripristinarla.
Validità massima password
L'impostazione di questo criterio determina il numero di giorni in cui è possibile utilizzare la password prima di modificarla.
I valori possibili per Validità massima password sono:
Un numero di giorni specificato dall'utente compreso tra 0 e 999
Non definito
Vulnerabilità
Tutte le password, anche le più complesse, possono essere indovinate o "violate" da un pirata informatico che dispone di tempo e di un computer con adeguata potenza di elaborazione. Alcune delle impostazioni del criterio riportate di seguito possono rendere più difficile la violazione delle password in tempi brevi. Il rischio di violazione di una password valida può essere ridotto se si obbligano gli utenti a cambiare le proprie password con regolarità, il che può contribuire a mitigare anche il rischio di accesso non autorizzato da parte di chi ha acquisito la password in modo illegittimo. L'impostazione Validità massima password può essere configurata in modo che gli utenti non debbano mai modificare la password, anche se rappresenta un importante rischio per la sicurezza.
Contromisura
Configurare Validità massima password su un valore adatto ai requisiti di business dell'organizzazione. Microsoft consiglia per la maggior parte delle organizzazione un valore pari a 90 giorni. Sebbene questa configurazione non sia consigliata, è possibile impostare Validità massima password su 0 in modo che la password non scada mai.
Impatto potenziale
Se il valore Validità massima password è troppo basso, gli utenti dovranno modificare la propria password molto spesso. Una configurazione di questo tipo può ridurre il grado di protezione dell'organizzazione, in quanto gli utenti per non dimenticare la password, la annoteranno, magari conservandola in un posto poco protetto o addirittura perdendola. Se il valore di questa impostazione del criterio è troppo elevato, il grado di protezione dell'organizzazione sarà ridotto, in quanto possibili pirati informatici avrebbero più tempo a disposizione per violare password utenti oppure utilizzare gli account compromessi.
Validità minima password
L'impostazione di questo criterio determina il numero di giorni concessi per l'utilizzo della password prima che l'utente possa modificarla. Il valore di Validità minima password deve essere inferiore a quello di Validità massima password.
Configurare questo criterio con un numero superiore a 0 se si desidera che l'impostazione Imponi cronologia delle password abbia effetto. Se si imposta Imponi cronologia delle password su 0, l'utente non sarà obbligato a scegliere una nuova password univoca quando la richiesta appare su schermo. In caso di utilizzo della cronologia delle password, gli utenti dovranno immettere una nuova password univoca al momento della modifica della password precedente.
I valori possibili per Validità minima password sono:
Un numero di giorni specificato dall'utente compreso tra 0 e 998
Non definito
Vulnerabilità
La richiesta di modificare la password con regolarità è inefficace, se gli utenti possono utilizzare ripetutamente le password in ciclo fino a ritrovare una vecchia password da loro preferita. Utilizzare questa impostazione del criterio abbinata a Imponi cronologia delle password per evitare il riutilizzo di vecchie password. Ad esempio, configurando Imponi cronologia delle password per garantire che non sia possibile riutilizzare le ultime 12 password, l'utente potrebbe cambiare la password 13 volte in pochi minuti e riutilizzare quella di partenza, a meno che il valore di Validità minima password sia superiore a 0. Configurare questa impostazione del criterio con un numero superiore a 0 se si desidera che il valore di Imponi cronologia delle password abbia effetto.
Contromisura
Configurare il valore di Validità minima password su minimo 2 giorni. Impostando il numero di giorni su **0, ** si consente la modifica immediata della password, che corrisponde a una impostazione non consigliata.
Impatto potenziale
Una problematica secondaria associata con l'impostazione di Validità minima password su un numero maggiore di 0. Se un amministratore imposta la password di un utente e intende obbligarlo a modificarla al primo accesso, deve selezionare la casella di controllo Cambiamento obbligatorio password all'accesso successivo. In caso contrario, l'utente non potrà modificare la password fino al giorno successivo.
Lunghezza minima password
Questa impostazione del criterio determina il numero minimo di caratteri consentito per la password di un account utente. Sono numerose le teorie su come determinare la lunghezza della password più adatta all'organizzazione e forse "frase di accesso" è un termine più appropriato di "password". Da Microsoft Windows 2000 in poi, è possibile utilizzare frasi di accesso piuttosto lunghe, che possono contenere spazi, segni di punteggiatura e caratteri Unicode. Quindi, una frase del tipo "Desidero bere una bevanda da 5 dollari!" è una frase di accesso valida. Tale frase è molto più complessa di una stringa composta da 8 o 10 caratteri alfanumerici scelti a caso ed è più facile ricordare.
I valori possibili per Lunghezza minima password sono:
Un numero specificato dall'utente compreso tra 0 e 14
Non definito
Vulnerabilità
Per ottenere la password di un determinato account utente esistono diversi tipi di attacchi della password, tra cui gli attacchi del dizionario, in cui si tenta di utilizzare parole e frasi comuni, e gli attacchi di tipo "brute force", in cui viene provata ogni combinazione di caratteri possibile. Inoltre, i pirati informatici tentano di ottenere il database degli account per violare account e password.
Contromisura
Impostare Lunghezza minima password su minimo il valore 8. Se si imposta il numero di caratteri su 0, non verrà richiesta alcuna password.
Nella maggior parte degli ambienti è consigliabile impostare una password di 8 caratteri, poiché è abbastanza lunga per garantire una protezione adeguata ma al tempo stesso facile da ricordare per gli utenti. Una configurazione di questo tipo garantirà una difesa adeguata da un attacco di tipo "brute force". L'aggiunta di requisiti di complessità, ridurrà il rischio di attacco del dizionario. I requisiti relativi alla complessità verranno illustrati nella sezione successiva di questo capitolo. Si sottolinea che alcuni paesi richiedono il rispetto di requisiti legali per quanto concerne la lunghezza della password.
Impatto potenziale
L'esigenza di password molto lunghe può ridurre la sicurezza di un'organizzazione, in quanto gli utenti per non dimenticare la password, la annoteranno, magari conservandola in un posto poco protetto o addirittura perdendola. Tuttavia, se si insegna agli utenti che è possibile utilizzare frasi di accesso, come descritto dianzi, dovrebbero essere in grado di ricordarle più facilmente.
L'uso di password troppo brevi riduce la protezione, in quanto possono essere facilmente violate con tool che eseguono attacchi del dizionario o attacchi di tipo "brute force". L'obbligo di utilizzare password troppo lunghe può invece aumentare gli errori di digitazione errata delle password con conseguente blocco degli account ed aumento nel volume di richieste di assistenza.
Le versioni precedenti di Windows, quali Windows 98 e Windows NT 4.0, non supportano password che superano i 14 caratteri. I computer che utilizzano questi sistemi operativi non saranno in grado di essere autenticati da altri computer o domini che utilizzano account che richiedono password lunghe.
Le password devono essere conformi ai requisiti di complessità
Questa impostazione del criterio determina se le password devono essere conformi alle indicazioni considerate importanti per una password complessa.
Quando l'impostazione è attiva, le password degli utenti devono essere conformi ai seguenti requisiti:
La password è costituita da almeno sei caratteri.
La password contiene caratteri appartenenti a 3 delle 5 categorie seguenti:
Caratteri maiuscoli (UN, B, C,...)
Caratteri minuscoli (a, b, c, ...)
Cifre (0, 1, 2, 3, 4, 5, 6, 7, 8, 9)
Caratteri non alfanumerici e Unicode ( () il ç~! @ # $ % ^ & * - + = | \ {} [] :; " ' < > ,. ? / € G ƒ? e spazio)
La password non contiene più di tre caratteri consecutivi che derivano dal nome dell'account utente o dal nome visualizzato. Se il nome dell'account contiene meno di tre caratteri, il controllo non verrà eseguito perché la frequenza con cui le password verrebbero rifiutate sarebbe troppo alta. Quando si confronta la password con il nome completo dell'utente, molti caratteri vengono considerati delimitatori, ovvero che suddividono il nome in singoli token: virgole, periodi, lineette/trattini, sottolineature, spazi, cancelletti e giustificazioni. Per ogni token della lunghezza di tre o più caratteri viene eseguita una ricerca all'interno della password e, se individuato, il cambio della password viene rifiutato.
Ad esempio, il nome Francesca M. Leonetti viene diviso in tre token: Francesca, M e Leonetti. Poiché il secondo token è costituito da un solo carattere, verrebbe ignorato. Pertanto l'utente non può disporre di una password che includa "Francesca" o "Leonetti" come sottostringa in un punto qualsiasi della password. In tutti questi controlli non viene effettuata distinzione tra maiuscole e minuscole.
Tali requisiti di complessità vengono applicati alla modifica delle password o alla creazione di nuove password.
Le regole incluse nel criterio di Windows Server 2003 non possono essere modificate direttamente. Tuttavia è possibile creare una nuova versione del file Passfilt.dll per applicare un insieme di regole diverso. Per ulteriori informazioni su come creare un filtro password personalizzato, consultare la documentazione Filtri password nel software development kit (SDK) per piattaforme Windows (SDK) su MSDN all'indirizzo http://msdn.microsoft.com/library/en-us/secmgmt/security/password\_filters.asp.
I valori possibili per Le password devono essere conformi ai requisiti di complessità sono:
Attivato
Disabilitato
Non definito
Vulnerabilità
Le password che contengono solo caratteri alfanumerici possono essere violate molto facilmente con le varie utilità disponibili al pubblico. Per evitare che le password vengano violate, si consiglia di inserire un'ampia gamma di caratteri.
Contromisura
Impostare Le password devono essere conformi ai requisiti di complessità su Abilitato.
Quando a ciò si abbina una Lunghezza minima password di 8, questa impostazione del criterio garantisce che il numero di combinazioni diverse possibili per una singola password è così elevato, che sarebbe difficile, anche se non impossibile, che un attacco di tipo "brute force" possa riuscire. Un pirata informatico con sufficiente potenza di elaborazione per provare 1 milione di password al secondo sarebbe in grado di determinare una password in, più o meno, sette giorni e mezzo. (All'aumentare del valore impostato per Lunghezza minima password, aumenta proporzionalmente anche il tempo medio necessario per la riuscita di un attacco informatico).
Impatto potenziale
Se si accetta la configurazione predefinita della complessità della password, è possibile vengano emesse richieste di assistenza aggiuntive, in quanto gli utenti potrebbero non essere abituati a password che non contengono caratteri non alfabetici. Tuttavia, tutti gli utenti dovrebbero essere in grado di attenersi ai requisiti di complessità con poche difficoltà.
Se i requisiti di protezione dell'organizzazione sono più rigidi, è possibile creare una versione personalizzata del file* Passfilt.dll *che consenta l'uso arbitrario di regole di complessità della password più rigorose. Ad esempio, un filtro password personalizzato potrebbe richiedere l'uso dei caratteri della fila superiore della tastiera, che corrispondono ai caratteri ottenuti tenendo premuto il tasto MAIUSC e i tasti compresi tra 1 e 0. Un filtro password personalizzato potrebbe anche effettuare una verifica del dizionario, per controllare che la password proposta non contenga termini comuni o porzioni di essi.
Anche l'utilizzo di combinazioni del tasto ALT può aumentare notevolmente la complessità di una password. Tuttavia, detti requisiti di password sono così rigidi da recare disagio agli utente e comportare un carico di lavoro eccessivo per l'assistenza help desk. In alternativa, è il caso di prendere in considerazione l'adozione di un requisito che richieda l'uso dei caratteri ALT compresi tra 0128 e 0159 per le password degli amministratori. (I caratteri ALT non compresi in tale intervallo possono rappresentare caratteri alfanumerici standard che non aggiungono ulteriore complessità alla password).
Consenti archiviazione password con crittografia reversibile per tutti gli utenti del dominio
Questa impostazione del criterio determina se Microsoft Windows Server 2003, Windows 2000 Server, Windows 2000 Professional e Windows XP Professional stanno utilizzando la crittografia reversibile quando archiviano le password.
L'impostazione Consenti archiviazione password con crittografia reversibile per tutti gli utenti del dominio supporta protocolli applicativi che richiedono la conoscenza della password dell'utente per l'autenticazione. Tuttavia, anche le password archiviate utilizzando la crittografia reversibile, possono essere decrittografate. Un pirata informatico esperto che è riuscito violare tale crittografia potrebbe accedere successivamente alle risorse di rete utilizzando l'account compromesso.
Avviso: non abilitare mai questa impostazione a meno che i requisiti aziendali abbiano la priorità sulla protezione delle informazioni della password.
Per poter utilizzare il protocollo di autenticazione CHAP (Challenge Handshake Authentication Protocol) mediante servizi di accesso remoto e IAS (servizio di autenticazione Internet), è necessario che detta impostazione del criterio sia abilitata. CHAP è un protocollo di autenticazione che può essere utilizzato dalle connessioni di rete e dal servizio di accesso remoto Microsoft.
I valori possibili per Consenti archiviazione password con crittografia reversibile per tutti gli utenti del dominio sono:
Attivato
Disabilitato
Non definito
Vulnerabilità
Questa impostazione determina se Windows Server 2003 archivierà le password in un formato meno sicuro, più suscettibile ad attacchi di tipo "brute force".
Contromisura
Impostare il valore di Consenti archiviazione password con crittografia reversibile per tutti gli utenti del dominio su Disabilitato.
Impatto potenziale
Se l'organizzazione utilizza sia il protocollo di autenticazione CHAP mediante i servizi di accesso remoto o IAS che l'Autenticazione del digest in IIS, è necessario configurare questa impostazione del criterio su Abilitato. È estremamente pericoloso applicare questa impostazione utilizzando i criteri di gruppo in base ai singoli utenti, poiché richiede l'apertura di un oggetto account utente appropriato nel modulo snap-in MMC (Microsoft Management Console) Utenti e computer dell'Active Directory.
Criterio di blocco account
Tentativi ripetuti non riusciti di immissione della password per accedere al sistema potrebbero indicare la presenza di un pirata informatico che sta cercando di determinare la password dell'account utilizzando un metodo basato su tentativi ed errori. Windows Server 2003 con SP1 registra i tentativi di accesso ed è possibile impostarlo per disattivare un account per un periodo predeterminato e dopo un numero specificato di tentativi non riusciti. Le impostazioni del criterio blocco account controllano il limite di risposta e l'azione da intraprendere dopo averla raggiunta. Questa guida contiene la cartella di lavoro di Microsoft Excel, "Configurazione dei servizi e della protezione predefinita di Windows", che riporta le impostazioni predefinite.
Per configurare le impostazioni del criterio blocco account selezionare quanto segue nell'Editor oggetti Criteri di gruppo:
Configurazione computer\Impostazioni di Windows\Impostazioni di protezione\Criteri di account\Criterio di blocco account
Blocca account per
Questa impostazione del criterio determina quanti minuti l'account bloccato resta in questo stato prima di sbloccarsi automaticamente. L'intervallo disponibile include da 1 a 99.999 minuti. Per impostare il blocco dell'account fino allo sblocco manuale da parte dell'amministratore, configurare il valore su 0. Se viene definito un limite per il blocco dell'account, il valore di Blocca account per deve essere superiore o uguale al tempo di ripristino.
I valori possibili per Blocca account per sono:
Un valore definito dall'utente compreso tra 0 e 99.999 minuti
Non definito
Vulnerabilità
Se un pirata informatico supera il valore specificato in Limite di blocchi dell'account e tenta ripetutamente di accedere con uno specifico account, può creare un attacco di tipo Denial of Service (DoS). Se si configura l'impostazione Limite di blocchi dell'account, l'account verrà bloccato dopo il numero specificato di tentativi non riusciti. Se l'opzione Blocca account per è impostata su 0, l'account rimarrà bloccato fino a quando un amministratore lo sblocca manualmente
Contromisura
Configurare Blocca account per con un valore adeguato all'ambiente dell'organizzazione. Per impostare il blocco dell'account fino allo sblocco manuale da parte dell'amministratore, configurare il valore su 0. Quando l'impostazione Blocca account per è configurata su un valore diverso da zero, i tentativi automatici di indovinare la password dell'account dovranno attendere l'esaurirsi dell'intervallo di tempo specificato, prima di poter riprendere i tentativi di attacco all'account. Se si utilizza questa impostazione in abbinamento con Limite di blocchi dell'account, i tentativi automatici di indovinare la password diventeranno più difficili o inutili.
Impatto potenziale
L'impostazione del criterio che non autorizza lo sblocco automatico dell'account potrebbe sembrare utile, ma è il caso di considerare che una configurazione di questo tipo può aumentare il numero di richieste di assistenza ricevute dall'help desk dell'organizzazione per sbloccare gli account erroneamente bloccati.
Limite di blocchi dell'account
Questa impostazione del criterio determina il numero di tentativi di accesso non riusciti che provocano il blocco dell'account. Non è possibile utilizzare un account bloccato fino a quando viene ripristinato da un amministrazione o scade la durata del blocco account. È possibile specificare fino a 999 tentativi di accesso non riusciti oppure impostare il valore su 0 per specificare che l'account non subisca mai il blocco. Se si definisce un Limite di blocchi dell'account, il valore di Blocca account per deve essere superiore o uguale al tempo di ripristino
I tentativi di inserimento password non riusciti su workstation o server membri bloccati utilizzando CTRL+ALT+CANC oppure gli screensaver protetti da password non vengono considerati nel conteggio dei tentativi di accesso non riusciti, tranne se è stata attivata l'impostazione del criterio Accesso interattivo: richiesta autenticazione controller di dominio per effettuare lo sblocco della workstation. In questo caso, i tentativi di immissione password non riusciti per sbloccare la workstation verranno considerati nel conteggio del limite del blocco dell'account.
I valori possibili per Limite di blocchi dell'account sono:
Un valore definito dall'utente compreso tra 0 e 999
Non definito
Vulnerabilità
Gli attacchi alle password possono utilizzare metodi automatici per tentare migliaia o persino milioni di combinazioni password per uno o tutti gli account utente. Tali attacchi possono essere resi quasi del tutto inefficaci se si limita il numero di accessi non riusciti che è possibile effettuare.
Tuttavia è importante tenere presente che è possibile eseguire comunque un attacco DoS in un dominio per cui è stato configurato il limite di blocchi dell'account. Un pirata informatico potrebbe tentare una serie di attacchi della password a livello di programmazione contro tutti gli utenti dell'organizzazione. Se il numero di tentativi supera il limite di blocchi dell'account, il pirata informatico potrebbe essere in grado di bloccare tutti gli account.
Contromisura
Poiché possono esistere vulnerabilità sia se questo valore sia stato configurato o meno, vengono definite due contromisure distinte. È consigliabile valutare la scelta tra i due tipi di contromisura in base ai pericoli identificati e ai rischi da ridurre nella propria organizzazione. I due tipi di contromisura sono:
Configurare il valore di Limite di blocchi dell'account su 0. Questa configurazione garantisce che gli account non verranno bloccati ed evita attacchi DoS che tentano intenzionalmente di bloccare tutti gli account o alcuni account specifici. Inoltre, riduce le richieste di assistenza all'help desk da parte di utenti che hanno bloccato il proprio account per errore.
Poiché questa configurazione non impedirà un attacco di tipo "brute force", è consigliabile sceglierla solo se vengono soddisfatti esplicitamente entrambi i criteri seguenti:
Il criterio password richiede che tutti gli utenti dispongano di password complesse costituite da 8 o più caratteri.
È disponibile un meccanismo di controllo affidabile per avvisare gli amministratori quando nell'ambiente si verificano una serie di tentativi di accesso non riusciti.
Se l'organizzazione non è in grado di soddisfare i criteri suddetti, configurare l'impostazione Limite di blocchi dell'account su un valore sufficientemente elevato, per accordare all'utente numerosi tentativi di reinserire la password nel caso di errore di digitazione prima che l'account si blocchi, pur assicurando che un attacco di tipo "brute force" venga riconosciuto e blocchi l'account. Un configurazione consigliata è 50 tentativi di accesso non valido, che eviterà i blocchi account accidentali e ridurre il numero di chiamate di assistenza all'help desk, anche se non eviterà un attacco DoS (come illustrato in precedenza).
Impatto potenziale
Se si abilita questa impostazione del criterio, un account bloccato non sarà utilizzabile finché viene ripristinato dall'amministratore o la durata del blocco account scade. È probabile che l'impostazione determini un aumento del numero di chiamate al supporto helpdesk. Infatti, in molte organizzazioni, la maggior parte delle chiamate all'assistenza help desk è dovuta agli account bloccati.
Se lei configura il valore di Limite di blocchi dell'account su 0, in assenza di un meccanismo di controllo affidabile, esiste la possibilità che un tentativo di violazione delle password da parte di un pirata informatico non venga rivelato.
Reimposta blocco account dopo
Questa impostazione del criterio determina la quantità di minuti che devono trascorrere prima che il contatore dei tentativi di accesso non riusciti e degli eventi di blocco dell'account venga azzerato. Se si definisce un valore per l'impostazione Limite di blocchi dell'account, il tempo di ripristino deve essere inferiore o uguale al valore dell'impostazione Blocca account per.
I valori possibili per Reimposta blocco account dopo sono:
Un numero definito dall'utente compreso tra 1 e 99.999 minuti
Non definito
Vulnerabilità
È possibile che si verifichi un blocco accidentale dell'account, quando si digita più volte la password errata. Per ridurre la possibilità di una tale evenienza, l'impostazione Reimposta blocco account dopo determina il numero di minuti che devono trascorrere prima che il contatore dei tentativi di accesso non riusciti e degli eventi di blocco dell'account si azzeri.
Contromisura
Impostare il valore di Reimposta blocco account dopo su 30 minuti.
Impatto potenziale
La mancata configurazione di questa impostazione del criterio o un intervallo troppo lungo e si potrebbe verificare un attacco DoS. Un pirata informatico potrebbe tentare di accedere a ciascun account utente ripetutamente e bloccarlo, come descritto nei paragrafi precedenti. Se non si configura l'impostazione Reimposta blocco account dopo, tutti gli account dovranno essere sbloccati manualmente dagli amministratori. Se si configura questa impostazione del criterio su un valore adeguato, l'accesso verrà bloccato per un certo periodo, trascorso il quale, gli account verranno sbloccati automaticamente. Notificare gli utenti dei valori utilizzati per questa impostazione del criterio in modo che attendano lo scadere del timer di blocco prima di chiamare l'help desk per comunicare la propria incapacità ad accedere.
Criterio Kerberos
In Windows Server 2003, il protocollo di autenticazione Kerberos fornisce il meccanismo predefinito per i servizi di autenticazione del dominio, nonché i dati di autorizzazione necessari all'utente per accedere a una risorsa ed eseguire un'operazione su di essa. Se si riduce la durata dei ticket Kerberos, diminuisce il rischio di appropriazione e utilizzo delle credenziali dell'utente legittimo da parte di un pirata informatico. Tuttavia aumenta il sovraccarico dovuto all'autorizzazione.
Nella maggior parte degli ambienti non è necessario modificare le impostazioni del criterio Kerberos, che vengono applicate a livello di dominio, configurandone i valori del GPO Criteri dominio predefiniti in un'installazione predefinita di un dominio di Active Directory in Windows 2000 o Windows Server 2003. Questa guida contiene la cartella di lavoro di Microsoft Excel, "Configurazione dei servizi e della protezione predefinita di Windows", che riporta le impostazioni predefinite.
Per configurare le impostazioni del criterio Kerberos selezionare quanto segue nell'Editor criteri di gruppo:
Configurazione computer\Impostazioni di Windows\Impostazioni protezione\Criteri account\Criterio Kerberos
Imporre le restrizioni di accesso degli utenti
Questa impostazione del criterio determina se il Centro distribuzione chiave convalida o meno ogni richiesta relativa a un ticket di sessione a fronte dei criteri per i diritti utente dell'account utente. La convalida di ogni richiesta relativa a un ticket di sessione è facoltativa, in quanto questa operazione aggiuntiva richiede tempo e può rallentare l'accesso di rete ai servizi.
I valori possibili per Imporre le restrizioni di accesso degli utenti sono:
Attivato
Disabilitato
Non definito
Vulnerabilità
Se questa impostazione del criterio viene disattivata, gli utenti possono ricevere ticket di sessione per servizi che non sono più autorizzati ad utilizzare perché privati dei diritti all'accesso.
Contromisura
Configurare Imporre le restrizioni di accesso degli utenti su Abilitato.
Impatto potenziale
Nessuno. Si tratta della configurazione predefinita.
Durata massima ticket di servizio
Questa impostazione del criterio determina l'intervallo di tempo massimo, indicato in minuti, in cui è possibile utilizzare un ticket di sessione assegnato per accedere a un determinato servizio. Il valore dell'impostazione deve essere superiore o uguale a 10 minuti e inferiore o uguale al valore dell'impostazione Durata massima ticket utente.
Se un client presenta un ticket di sessione scaduto quando richiede la connessione a un server, quest'ultimo restituisce un messaggio di errore e il client deve richiedere un nuovo ticket di sessione dal KDC. Dopo l'autenticazione di una connessione, tuttavia, il periodo di validità del ticket di sessione non ha importanza. I ticket di sessione vengono utilizzati soltanto per autenticare nuovi connessioni nei server. Se il ticket di sessione che ha autenticato la connessione scade durante la connessione stessa, le operazioni non verranno interrotte.
I valori possibili per Durata massima ticket di servizio sono:
Un valore definito dall'utente compreso tra 0 e 99.999 minuti. Se si configura questa impostazione del criterio su 0, i ticket di servizio non scadono.
Non definito.
Vulnerabilità
Se si configura Durata massima ticket di servizio su un valore troppo elevato, gli utenti possono accedere alle risorse di rete fuori dall'orario di accesso prestabilito. Inoltre, gli utenti il cui account era stato disattivato, avrebbero continuato ad accedere ai servizi di rete con ticket di servizio validi, emessi prima che l'account fosse stato disattivato.
Contromisura
Impostare l'opzione Durata massima ticket di servizio su 600 minuti.
Impatto potenziale
Nessuno. Si tratta della configurazione predefinita.
Durata massima ticket utente
Questa impostazione del criterio determina l'intervallo di tempo massimo, indicato in ore, consentito per il ticket di concessione ticket (TGT) di un utente. Alla scadenza del TGT di un utente, è necessario richiederne uno nuovo o rinnovare quello esistente.
I valori possibili per Durata massima ticket utente sono:
Un valore definito dall'utente compreso tra 0 e 99.999 ore. Il valore predefinito è 10 ore.
Non definito.
Vulnerabilità
Se si configura Durata massima ticket utente su un valore troppo elevato, gli utenti possono accedere alle risorse di rete fuori dall'orario di accesso prestabilito. Inoltre, gli utenti il cui account era stato disattivato, avrebbero continuare ad accedere ai servizi di rete con ticket di servizio validi, emessi prima che l'account fosse stato disattivato.
Contromisura
Configurare Durata massima ticket utente su 10 ore.
Impatto potenziale
Nessuno. Si tratta della configurazione predefinita.
Durata massima rinnovo ticket utente
Questa impostazione del criterio determina il periodo di tempo, indicato in giorni, durante il quale è possibile rinnovare il ticket di concessione ticket (TGT) di un utente.
I valori possibili per Durata massima rinnovo ticket utente sono:
Un valore definito dall'utente compreso tra 0 e 99.999 minuti
Non definito
Vulnerabilità
Se il valore di Durata massima rinnovo ticket utente è troppo elevato, gli utenti possono rinnovare ticket utente molto vecchi.
Contromisura
Configurare Durata massima rinnovo ticket utente su 10080 minuti (7 giorni).
Impatto potenziale
Nessuno. Si tratta della configurazione predefinita.
Tolleranza massima per la sincronizzazione dell'orologio del computer
Questa impostazione del criterio determina la differenza di tempo massima tollerata da Kerberos, indicata in minuti, tra l'ora dell'orologio del client e quella del controller di dominio che esegue Windows Server 2003 e fornisce l'autenticazione Kerberos.
I valori possibili per Tolleranza massima per la sincronizzazione dell'orologio del computer sono:
Un valore definito dall'utente compreso tra 0 e 99.999 minuti
Non definito
Vulnerabilità
Per impedire gli attacchi di riproduzione, il protocollo d autenticazione Kerberos utilizza indicatori orari nella definizione del protocollo. Per il corretto funzionamento di tali indicatori, è necessario sincronizzare con la massima precisione possibile gli orologi del client e del controller di dominio. Poiché gli orologi dei due computer spesso non sono sincronizzati, gli amministratori possono utilizzare questo criterio per determinare il tempo massimo entro cui una negoziazione Kerberos deve essere completata; il tempo trascorso viene calcolato in base ai timestamp. Il valore di questa impostazione limita la differenza di tempo massima tollerata tra il controller del dominio e il client.
Contromisura
Configurare Tolleranza massima per la sincronizzazione dell'orologio del computer su 5 minuti.
Impatto potenziale
Nessuno. Si tratta della configurazione predefinita.
Ulteriori informazioni
I seguenti collegamenti forniscono ulteriori informazioni sugli argomenti relativi alla protezione dei controller del dominio che operano in ambiente Windows Server 2003 con SP1:
Per una spiegazione dettagliata sul funzionamento della complessità della password in Windows, così come per ottenere suggerimenti specifici per creare password più complesse che non siano troppo difficili da ricordare, consultare l'articolo "Scelta di password sicure", disponibile in linea all'indirizzo www.microsoft.com/smallbusiness/support/articles/select\_sec\_passwords.mspx.
Per ulteriori informazioni sulle indicazioni autorevoli per la protezione di Microsoft, consultare Elenco di controllo delle procedure consigliate all'indirizzo www.microsoft.com/technet/security/secnews/articles/enterprisesecbp.msp.
Per ulteriori informazioni sui Criteri di gruppo, ivi compreso un elenco dei percorsi e dei valori di tutte le impostazioni memorizzate nel Registro di sistema disponibili per tutte le versioni di Windows, consultare “Group Policy Settings Reference for Windows Server 2003 with Service Pack 1” (in inglese) all'indirizzo www.microsoft.com/downloads/details.aspx?FamilyId=7821C32F-DA15-438D-8E48-45915CD2BC14.
Download
Scaricare la Guida a pericoli e contromisure
Notifiche di aggiornamento
Iscriversi per ottenere aggiornamenti e nuove versioni
Commenti e suggerimenti