Le password devono essere conformi ai requisiti di complessità
Contiene informazioni su procedure consigliate, posizione, valori e considerazioni sulla sicurezza per l'impostazione del criterio di sicurezza Le password devono essere conformi ai requisiti di complessità.
Informazioni di riferimento
L'impostazione dei criteri Le password devono essere conformi ai requisiti di complessità determina se le password devono soddisfare una serie di linee guida considerate importanti per le password complesse. Per abilitare questa impostazione dei criteri, le password devono soddisfare i requisiti seguenti:
Le password non possono contenere il valore samAccountName (nome account) o l'intero displayName (valore del nome completo) dell'utente. Per entrambi i controlli non viene applicata la distinzione tra maiuscole e minuscole.
Il samAccountName viene controllato interamente solo per determinare se fa parte della password. Se il samAccountName ha una lunghezza minore di tre caratteri, questo controllo viene saltato.
Il displayName viene analizzato rispetto ai delimitatori: virgole, punti, trattini, caratteri di sottolineatura, spazi, cancelletti e tabulazioni. Se viene individuato uno di questi delimitatori, il displayName viene suddiviso e viene verificato che tutte le sezioni analizzate (token) non siano incluse nella password. I token di meno di tre caratteri vengono ignorati e le sottostringhe dei token non vengono controllate. Ad esempio, il nome "Diego M. Sagese" viene suddiviso in tre token: "Diego", "M" e "Sagese". Poiché il secondo token ha una lunghezza di un solo carattere, viene ignorato. Questo utente non può pertanto avere una password che includa "diego" o "sagese" come sottostringa in qualsiasi posizione all'interno della password.
La password contiene caratteri di tre delle categorie seguenti:
Lettere maiuscole delle lingue europee (dalla A alla Z, con segni diacritici, caratteri greci e cirillici)
Lettere minuscole delle lingue europee (dalla a alla z, eszett, con segni diacritici, caratteri greci e cirillici)
Cifre in base 10 (da 0 a 9)
Caratteri non alfanumerici (caratteri speciali), ad esempio,!, $, #, %
Qualsiasi carattere Unicode classificato come un carattere alfabetico ma che non è maiuscolo o minuscolo. Sono inclusi i caratteri Unicode delle lingue asiatiche.
I requisiti di complessità sono applicati quando le password vengono modificate o create.
Le regole che sono incluse nei requisiti di complessità delle password di Windows Server fanno parte di Passfilt.dll e non possono essere modificate direttamente.
L'abilitazione del file Passfilt.dll predefinito potrebbe causare alcune chiamate aggiuntive all'help desk per via di account bloccati, perché gli utenti potrebbero non essere abituati ad avere password contenenti caratteri diversi da quelli dell'alfabeto. Tuttavia, questa impostazione dei criteri è sufficientemente flessibile da consentire a tutti gli utenti di rispettare i requisiti con una curva di apprendimento minima.
Ulteriori impostazioni che possono essere incluse in un file Passfilt.dll personalizzato sono l'uso di caratteri diversi da quelli della riga superiore. I caratteri della riga superiore sono quelli che vengono digitati tenendo premuto il tasto MAIUSC e premendo una delle cifre da 1 a 10.
Valori possibili
Abilitato
Disabilitato
Non definito
Procedure consigliate
Imposta Le password devono essere conformi ai requisiti di complessità su Abilitato. Questa impostazione dei criteri, in combinazione con una lunghezza minima di 8, assicura almeno 218.340.105.584.896 possibilità diverse per una singola password. Questo rende un attacco di forza bruta difficile, anche se non impossibile.
L'uso di combinazioni di caratteri che possono essere immessi tramite il tasto ALT può migliorare notevolmente la complessità di una password. Tuttavia, richiedere a tutti gli utenti di un'organizzazione di rispettare requisiti tanto rigorosi per le password può aumentare l'insoddisfazione degli utenti e il carico di lavoro per l'help desk. Valuta se implementare un requisito nell'organizzazione per l'uso dei caratteri ALT compresi nell'intervallo da 0128 a 0159 nell'ambito di tutte le password di amministratore. I caratteri ALT all'esterno di tale intervallo possono rappresentare caratteri alfanumerici standard che non aggiungono complessità alla password.
Le password che contengono solo caratteri alfanumerici sono facili da violare usando strumenti disponibili pubblicamente. Per evitare questa situazione, le password devono contenere caratteri aggiuntivi e soddisfare i requisiti di complessità.
Percorso
Configurazione computer\Impostazioni di Windows\Impostazioni sicurezza\Criteri account\Criteri password
Valori predefiniti
La tabella seguente elenca i valori dei criteri predefiniti effettivi e validi. I valori predefiniti sono elencati anche nella pagina delle proprietà dei criteri.
| Tipo di server o oggetto Criteri di gruppo | Valore predefinito |
|---|---|
Criterio dominio predefinito |
Abilitato |
Criterio controller di dominio predefinito |
Abilitato |
Impostazioni predefinite server autonomi |
Disabilitato |
Impostazioni predefinite effettive controller di dominio |
Abilitato |
Impostazioni predefinite effettive server membri |
Abilitato |
Impostazioni predefinite effettive oggetti Criteri di gruppo nei computer client |
Disabilitato |
Considerazioni sulla sicurezza
Questa sezione descrive i modi in cui l'autore di un attacco potrebbe sfruttare una funzionalità o la sua configurazione, come implementare la contromisura appropriata e le possibili conseguenze negative dell'implementazione di questa contromisura.
Vulnerabilità
Le password che contengono solo caratteri alfanumerici sono estremamente facili da individuare con diversi strumenti disponibili pubblicamente.
Contromisura
Configura l'impostazione dei criteri Le password devono essere conformi ai requisiti di complessità su Abilitato e consiglia agli utenti di usare un'ampia gamma di caratteri nelle password.
In combinazione con un'impostazione Lunghezza minima password di 8, questa impostazione dei criteri assicura che il numero di possibilità diverse per una singola password sia così grande da rendere difficile (ma non impossibile) la riuscita di un attacco di forza bruta. Se l'impostazione dei criteri Lunghezza minima password viene incrementata, aumenta anche il tempo medio necessario per la riuscita di un attacco.
Potenziale impatto
Se viene mantenuta la configurazione predefinita della complessità della password, potrebbero verificarsi ulteriori chiamate all'help desk a causa di account bloccati, perché gli utenti potrebbero non essere abituati a password contenenti caratteri non alfabetici oppure potrebbero avere problemi di immissione di password che includono caratteri accentati o simboli da tastiere con layout diversi. Tutti gli utenti dovrebbero comunque essere in grado di soddisfare il requisito di complessità con difficoltà minime.
Se l'organizzazione ha requisiti di sicurezza più rigorosi, puoi creare una versione personalizzata del file Passfilt.dll che consente l'uso di regole per le password con una complessità arbitraria. Ad esempio, un filtro password personalizzato potrebbe richiedere l'uso di simboli diversi da quelli della riga superiore. I simboli della riga superiore sono quelli che richiedono di tenere premuto il tasto MAIUSC e quindi di premere qualsiasi cifra compresa tra 1 e 0. Un filtro password personalizzato potrebbe anche eseguire un controllo del dizionario per verificare che la password proposta non contenga parole o frammenti comuni del dizionario.
L'uso di combinazioni di caratteri che possono essere immessi tramite il tasto ALT può migliorare notevolmente la complessità di una password. Tuttavia, tali requisiti rigorosi per le password possono determinare ulteriori richieste all'help desk. In alternativa, l'organizzazione può considerare un requisito per tutte le password di amministratore l'uso di caratteri ALT nell'intervallo 0128-0159. I caratteri ALT all'esterno di tale intervallo possono rappresentare caratteri alfanumerici standard che non aggiungono complessità alla password.