Criteri password

Si applica a: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Questo argomento di riferimento dei criteri di sicurezza per i professionisti IT viene fornita una panoramica dei criteri password per Windows e collegamenti a informazioni per ogni impostazione.

In molti sistemi operativi, il metodo più comune per autenticare l'identità dell'utente consiste nell'utilizzare una passphrase segreta o una password. Un ambiente di rete protetta richiede tutti gli utenti di utilizzare password complesse, che hanno almeno otto caratteri e includere una combinazione di lettere, numeri e simboli. Le password per evitare la compromissione di account utente e account amministrativi da utenti non autorizzati che utilizzano metodi manuali o strumenti automatizzati di indovinare le password deboli. Le password complesse che sono state modificate regolarmente riducono il rischio di attacco della password.

Introdotto inWindows Server 2008 R2eWindows Server 2008Windows supporta i criteri granulari per le password. Questa funzionalità consente alle organizzazioni un modo per definire i criteri di blocco degli account per diversi set di utenti e password diverse in un dominio. Nei domini Windows 2000 Server e Windows Server 2003 Active Directory, è possibile applicare un solo criterio password e criterio di blocco account a tutti gli utenti nel dominio. Criteri granulari per le password si applicano solo agli oggetti utente (o gli oggetti inetOrgPerson se vengono utilizzati in sostituzione degli oggetti utente) e i gruppi di protezione globale.

Per applicare un criterio granulare per le password agli utenti di un'unità Organizzativa, è possibile utilizzare un gruppo di ombreggiatura. Un gruppo di ombreggiatura è un gruppo di protezione globale logicamente mappata a un'unità Organizzativa per applicare i criteri granulari per le password. Aggiungere gli utenti dell'unità Organizzativa come membri del gruppo shadow appena creato e quindi applicare i criteri granulari per le password per questo gruppo di ombreggiatura. È possibile creare gruppi aggiuntivi shadow per altre unità organizzative in base alle esigenze. Se un utente si sposta da un'unità Organizzativa a un'altra, è necessario aggiornare l'appartenenza dei gruppi di ombreggiatura corrispondente.

Criteri granulari per le password sono inclusi attributi per tutte le impostazioni che possono essere definite nel criterio dominio predefinito (ad eccezione delle impostazioni Kerberos) oltre alle impostazioni di blocco degli account. Quando si specifica un criterio granulare per le password, è necessario specificare tutte queste impostazioni. Per impostazione predefinita, solo i membri del gruppo Domain Admins possono impostare criteri granulari per le password. È tuttavia possibile delegare l'impostazione di questi criteri ad altri utenti. Il dominio deve essere in esecuzione almenoWindows Server 2008 R2oWindows Server 2008utilizzare i criteri granulari per le password. Criteri granulari per le password non sono applicati direttamente a un'unità organizzativa (OU).

Criteri granulari per le password non interferiscono con i filtri password personalizzato che è possibile utilizzare nello stesso dominio. Le organizzazioni che hanno distribuito filtri password personalizzata ai controller di dominio che eseguono Windows 2000 Server o Windows Server 2003 possono continuare a utilizzare tali filtri password per applicare restrizioni aggiuntive per le password. Per ulteriori informazioni sui criteri granulari per le password, vederedi dominio Active Directory: Criteri granulari per le Password.

È possibile applicare l'utilizzo di password complesse tramite criteri di password appropriata. Esistono impostazioni dei criteri password che consentono di controllare la complessità e la durata delle password, ad esempio ille password devono soddisfare i requisiti di complessitàimpostazione dei criteri.

Utilizzando la Console Gestione criteri di gruppo sul controller di dominio, è possibile configurare le impostazioni dei criteri password nel percorso seguente:

Configurazione computer\Impostazioni di Windows\Impostazioni protezione\Criteri Account\criterio

Se i singoli gruppi richiedono criteri password distinti, questi gruppi devono essere separati in un altro dominio o foresta, in base ai requisiti aggiuntivi.

Per informazioni sull'impostazione di criteri di sicurezza, vedereCome configurare le impostazioni di criteri di sicurezza.

Gli argomenti seguenti forniscono una descrizione dell'implementazione dei criteri password e considerazioni di procedure consigliate, percorso criteri, i valori predefiniti per il tipo di server o un oggetto Criteri di gruppo, con differenze rilevanti nelle versioni del sistema operativo, considerazioni sulla sicurezza (incluse le possibili vulnerabilità di ciascuna impostazione), le contromisure che è possibile eseguire e l'impatto potenziale per ogni impostazione.

• Imponi cronologia delle password

• Validità massima password

• Validità minima password 

• Lunghezza minima password

• La password deve soddisfare i requisiti di complessità

• Archivia password mediante crittografia reversibile