Criteri password

Panoramica dei criteri password per Windows e link a informazioni per ogni impostazione dei criteri.

In molti sistemi operativi, il metodo più comune per autenticare l'identità di un utente è usare una passphrase o una password segreta. Un ambiente di rete sicuro richiede che tutti gli utenti usino password complesse, composte da almeno otto caratteri e da una combinazione di lettere, numeri e simboli. Queste password consentono di impedire la violazione degli account utente e amministratore da parte di utenti non autorizzati che usano metodi manuali o strumenti automatici per scoprire le password vulnerabili. Le password complesse che vengono cambiate regolarmente diminuiscono la probabilità di riuscita degli attacchi alle password.

Windows supporta i criteri specifici per le password che sono stati introdotti con Windows Server 2008 R2 e Windows Server 2008. Questa funzionalità fornisce alle organizzazioni un modo per definire criteri diversi per le password e il blocco degli account per diversi gruppi di utenti in un dominio. I criteri specifici per le password si applicano solo agli oggetti utente (o agli oggetti inetOrgPerson se vengono usati al posto degli oggetti utente) e ai gruppi di sicurezza globale.

Per applicare un criterio specifico per le password agli utenti di un'unità organizzativa, puoi usare un gruppo shadow. Un gruppo shadow è un gruppo di sicurezza globale che viene mappato in modo logico in un'unità organizzativa per imporre un criterio specifico per le password. Puoi aggiungere gli utenti dell'unità organizzativa come membri di un nuovo gruppo shadow e poi applicare il criterio specifico per le password al gruppo shadow. Se necessario, puoi creare altri gruppi shadow per le altre unità organizzative. Se sposti un utente da un'unità organizzativa a un'altra, devi aggiornare l'appartenenza dei gruppi shadow corrispondenti.

I criteri specifici per le password includono attributi per tutte le impostazioni che possono essere definite nel criterio di dominio predefinito (ad eccezione delle impostazioni Kerberos) oltre alle impostazioni di blocco account. Quando inserisci un criterio specifico per le password, devi specificare tutte queste impostazioni. Per impostazione predefinita, solo i membri del gruppo Domain Admins possono impostare i criteri specifici per le password. Tuttavia, puoi anche delegare ad altri utenti la possibilità di impostare questi criteri. Per usare i criteri specifici per le password, il dominio deve eseguire almeno Windows Server 2008 R2 o Windows Server 2008. I criteri specifici per le password non possono essere applicati direttamente a un'unità organizzativa.

Puoi imporre l'uso delle password complesse tramite un criterio password specifico. Esistono impostazioni dei criteri password che controllano la complessità e la durate delle password, come l'impostazione criterio Le password devono essere conformi ai requisiti di complessità.

Puoi configurare le impostazioni dei criteri password nel percorso seguente usando la Console Gestione Criteri di gruppo:

Configurazione computer\Impostazioni di Windows\Impostazioni sicurezza\Criteri account\Criteri password

Se singoli gruppi richiedono criteri password diversi, questi gruppi devono essere separati in un altro dominio o in un'altra foresta in base ai requisiti aggiuntivi.

Gli argomenti seguenti forniscono una panoramica relativa a considerazioni su implementazione dei criteri password e procedure consigliate, valori predefiniti per il tipo di server o un oggetto Criteri di gruppo, principali differenze a livello di versioni del sistema operativo, considerazioni sulla sicurezza (incluse le possibili vulnerabilità), contromisure che puoi adottare e potenziale impatto per ogni impostazione.

Contenuto della sezione

Argomenti correlati

Configurare le impostazioni dei criteri di sicurezza