Security WatchDiretivas de senha de domínio do Windows
Derek Melber
Caso seja um administrador de um domínio do Windows, você já conhece bem as restrições relacionadas às diretivas de senha para contas de usuário do domínio. Mas com o advento do Windows Server 2008, algumas dessas limitações desaparecerão. Vejamos como o novo sistema operacional resolve um problema: a impossibilidade de implementação de várias diretivas de senha.
Caso esteja executando qualquer versão do domínio do Windows® atualmente (Windows NT®, Windows 2000 Active Directory® ou Windows Server® 2003 Active Directory), você está limitado a uma única diretiva de senha por domínio. Na realidade, não é apenas a diretiva de senha que o limita, mas também o maior escopo das configurações nas Diretivas de Conta. A Figura 1 mostra essas diretivas e configurações.
Figure 1 Account policies
| Diretiva de senha |
| Impor histórico de senhas |
| Tempo de vida máximo da senha |
| Tempo de vida mínimo da senha |
| Comprimento mínimo da senha |
| A senha deve satisfazer a requisitos de complexidade |
| Armazenar senhas usando criptografia reversível |
| Diretiva de Bloqueio de Conta |
| Duração do bloqueio de conta |
| Limite de bloqueio de conta |
| Zerar contador de bloqueios de conta após... |
| Diretiva do Kerberos |
| Aplicar restrições ao logon do usuário |
| Tempo de vida máximo para o tíquete de serviço |
| Tempo de vida máximo para o tíquete de usuário |
| Tempo de vida máximo para a renovação do tíquete de usuário |
| Tolerância máxima para a sincronização do relógio do computador |
Por padrão, essas configurações da diretiva se aplicam a todas as contas de domínio e de usuário associadas a domínios. Isso acontece por conta da forma de herança da Diretiva de Grupo em toda a estrutura do Active Directory. Para entender melhor como essas diretivas afetam as contas de usuário locais e de domínio, é importante saber onde as diretivas são definidas e como a herança da Diretiva de Grupo afeta todas as diferentes contas de usuário. (Observe que as configurações da diretiva Kerberos só se aplicam a contas de usuário do domínio, já que elas são as únicas a usar Kerberos na autenticação. Já as contas de usuário locais usam NTLMv2, NTLM ou LM na autenticação.)
Configurando diretivas de conta
Dentro do Active Directory, a Diretiva de Grupo estabelece e controla as Diretivas de Conta para todo o domínio. Isso ocorre na instalação inicial do domínio do Active Directory, sendo realizado com um GPO (Objeto de Diretiva de Grupo) padrão vinculado ao nó do domínio no Active Directory. Esse GPO, chamado de Diretiva de Domínio Padrão, tem configurações padrão para todas as três seções das Diretivas de Conta. A Figura 2 mostra uma lista abrangente das configurações iniciais dos itens da Diretiva de Senha em um domínio do Windows Server 2003.
Figure 2** Default password policies for Windows Server 2003 domain **(Clique na imagem para aumentar a exibição)
As configurações nesse GPO controlam as diretivas de todas as contas de usuário do domínio, bem como de todos os computadores do domínio. É importante lembrar que todos os computadores do domínio (desktops e servidores) têm um SAM (Gerente de Contas de Segurança) local. É esse SAM o controlado pelas configurações no GPO padrão. É claro que os SAMs locais também têm contas de usuário locais do respectivo computador.
As configurações na Diretiva de Domínio Padrão afetam todos os computadores do domínio em meio à herança normal dos GPOs na estrutura do Active Directory. Como esse GPO está vinculado ao nó do domínio, todas as contas do computador no domínio serão afetadas por ele.
O que não é possível fazer sem as diretivas de senha atuais
Várias concepções equivocadas relativas aos controles de senha cercam a implementação atual do Active Directory (no Windows Server 2003), apesar dos anos de testes rigorosos e de jamais haver uma evidência que comprovasse a veracidade dessas concepções. Está claro, ou deveria estar, que a diretiva não funcionará de maneira diferente da que foi projetada.
Dito isso, muitos administradores acreditam ser possível ter várias diretivas de rede para os usuários no mesmo domínio. Eles acham que você pode criar um GPO e vinculá-lo a uma OU (unidade organizacional). A idéia é mover as contas de usuário para a OU de forma que o GPO afete os objetos. Dentro do GPO, as Diretivas de Conta são modificadas para criar uma Diretiva de Senha mais segura, talvez configurando o comprimento máximo da senha em 14 caracteres. Mas, por vários motivos, essa configuração jamais proporcionará o resultado desejado. Primeiro, as configurações da Diretiva de Senha baseiam-se no computador, e não no usuário. Com essa base para as configurações, elas jamais afetarão uma conta de usuário. Segundo, a única forma de modificar as configurações da diretiva de uma conta de usuário do domínio é dentro de um GPO vinculado ao domínio. Os GPOs vinculados à OU configurados para alterar as configurações da Diretiva de Conta modificarão o SAM local dos computadores que residem na OU ou que estejam nos sub-OUs da OU vinculada.
Uma segunda concepção equivocada dá conta de que as configurações das Diretivas de Conta estabelecidas no domínio raiz (o domínio inicial da floresta do Active Directory) serão repassadas ou herdadas até os domínios filho da floresta. Novamente, esse não é o caso e você não pode deixar as configurações funcionarem dessa maneira. Os GPOs vinculados ao domínio e as OUs dentro de um domínio não afetarão os objetos em outro domínio, mesmo que o domínio em que o GPO está vinculado não seja o domínio raiz. O único método para que as configurações do GPO incluam objetos em domínios diferentes é vinculando GPOs aos sites do Active Directory.
O que é armazenado para as senhas
Como acabamos de ver, as versões atuais do Windows lidam com as senhas de conta do usuário de maneira bastante simples. Isso inclui um único conjunto de regras de senha para todas as contas de domínio, bem como o gerenciamento das Diretivas de Conta por meio de um GPO vinculado ao nó do domínio no Active Directory. Tudo isso fica para trás quando falamos do Windows Server 2008.
O Windows Server 2008 e a infra-estrutura do Active Directory que o acompanha usam uma abordagem diferente. Em vez de manter as Diretivas de Conta em um GPO, que permitia a configuração de apenas uma diretiva para todas as contas de usuário do domínio, agora as configurações passaram para uma parte mais avançada do Active Directory. Além disso, as Diretivas de Conta não se baseiam mais nas contas do computador. Agora é possível direcionar para usuários individuais e grupos de usuários o controle das restrições de suas senhas. Trata-se de um conceito radicalmente novo para os administradores do Windows, na medida em que lidamos com diretivas de contas do computador há muito tempo.
Diretivas de conta dentro do Windows Server 2008
No Windows Server 2008, você não estabelecerá Diretivas de Conta usando a Diretiva de Domínio Padrão. Na verdade, você não usará nenhuma GPO na criação de Diretivas de Conta para contas de usuário do domínio. No Windows Server 2008, você será direcionado para o banco de dados do Active Directory a fim de fazer suas modificações. Mais especificamente, você usará uma ferramenta como ADSIEdit para modificar o objeto do Active Directory e seus atributos associados.
O motivo dessa alteração é que a Diretiva de Grupo não foi projetada para várias senhas dentro do mesmo domínio. A implementação do recurso de várias senhas por domínio no Windows Server 2008 é elegante, mas nem um pouco amigável como todos gostariam que fosse. Porém, com o tempo, o acesso à interface para definir as configurações ficará mais fácil. Por ora, você precisa colocar a sua cartola feita para o banco de dados do Active Directory para poder inserir as alterações no sistema.
Você não precisa usar ADSIEdit para modificar as configurações da diretiva de conta, caso prefira fazê-lo de uma forma diferente. É possível usar qualquer outra ferramenta de edição LDAP capaz de explorar o banco de dados do Active Directory, ou até mesmo de script. Ao implementar as diretivas de senha no Windows Server 2008, você precisará usar uma abordagem muito diferente da que havia à disposição no passado. Os novos recursos permitem que você considere quais usuários e grupos receberão quais configurações de senha.
Você deve considerar não apenas o comprimento da senha, mas também as restrições adicionais que acompanham as configurações da Diretiva de Senha, inclusive as durações mínima e máxima, o histórico etc. Outras preocupações incluem a forma de controle das configurações de diretiva de bloqueio do usuário e as configurações Kerberos. Há uma relação um-para-um entre as configurações atuais da Diretiva de Conta e as definidas no banco de dados do Active Directory no Windows Server 2008. No entanto, é importante observar que os nomes de cada configuração de diretiva são diferentes agora que se tratam de objetos e atributos do Active Directory.
Para implementar as novas configurações de senha, você deve criar um PSO (objeto Configuração de Senha) chamado msDS-PasswordSettings no contêiner Configuração de Senha, que tem o caminho LDAP de "cn=Password Settings,cn=System,dc=domainname,dc=com". Observe que o nível funcional do domínio no qual você está trabalhando deve ser definido como Windows Server 2008. Nesse objeto, você especificará as informações referentes a vários atributos, como mostra a Figura 3.
Figure 3 Password attributes in Active Directory
| Nome do atributo do Active Directory | Descrição do atributo |
| msDS-PasswordSettingsPrecedence | Estabelece o que tem precedência em situações nas quais um usuário é associado de vários grupos com diretivas de senha diferentes. |
| msDS-PasswordReversibleEncryptionEnabled | Alterna caso a criptografia reversível esteja habilitada. |
| msDS-PasswordHistoryLength | Determina quantas senhas intermediárias devem ser únicas antes que uma delas possa ser reutilizada. |
| msDS-PasswordComplexityEnabled | Estabelece o número e o tipo de caracteres necessários em uma senha. |
| msDS-MinimumPasswordLength | Estabelece o comprimento mínimo de uma senha. |
| msDS-MinimumPasswordAge | Determina por quanto tempo um usuário deve utilizar uma senha antes de alterá-la. |
| msDS-MaximumPasswordAge | Determina por quanto tempo um usuário pode utilizar uma senha antes de ser solicitada sua alteração. |
| msDS-LockoutThreshold | Determina quantas tentativas de senha malsucedidas serão permitidas antes do bloqueio da conta do usuário. |
| msDS-LockoutObservationWindow | Determina o tempo após o qual o contador de senhas incorretas será zerado. |
| msDS-LockoutDuration | Determina por quanto tempo a conta será bloqueada após muitas tentativas de senha malsucedidas. |
Como você pode ver, todas as configurações da Diretiva de Grupo relacionadas às configurações da Diretiva de Conta são duplicadas como atributos. Observe que também existe uma configuração de precedência; isso é essencial à implementação de várias senhas no mesmo domínio, uma vez que certamente surgirão conflitos, e um mecanismo para lidar com eles deve estar em vigor.
Direcionando configurações da diretiva de conta
Para cada objeto criado, você precisará preencher todos os atributos a fim de adaptar a Diretiva de Conta a cada usuário. Existe um novo atributo, msDS-PSOAppliesTo, que determina os objetos que receberão o conjunto de configurações da diretiva. Trata-se do atributo-chave que lhe permite direcionar configurações específicas para determinados usuários. A lista nesse atributo pode ser de usuários ou de grupos, mas assim como acontece com qualquer coisa em meio à definição de uma lista de controle de acesso, é melhor usar grupos em lugar de usuários. Os grupos são mais estáveis, mais visíveis e costumam ser muito fáceis de lidar.
Levanta e aplauda
Durante anos, nós quisemos usar várias senhas dentro do mesmo domínio do Active Directory, e agora podemos. Cada usuário em todo o domínio não precisará mais estar no mesmo nível de segurança quando chegar às senhas. Agora, por exemplo, você poderá ter usuários normais com uma senha de 8 caracteres e profissionais de TI (que podem ter privilégios de Administrador) com uma senha mais complexa, de 14 caracteres.
Levará algum tempo para nos acostumarmos a acessar o banco de dados do Active Directory para estabelecer ou modificar as configurações da Diretiva de Conta. No entanto, felizmente, você já está familiarizado com a nova aparência das configurações. Não se esqueça de explorar essas novas configurações assim que tiver o Windows Server 2008 em mãos, uma vez que elas certamente estarão entre os primeiros conjuntos de configurações que você fará.
Derek Melber, MCSE, CISM, MVP, é consultor e instrutor independente. Ele ensina e divulga a tecnologia Microsoft, concentrando-se no Active Directory, na Diretiva de Grupo, na Segurança e gerenciamento de desktop. Derek é autor de vários livros de TI, inclusive Microsoft Windows Group Policy Guide (Guia da Diretiva de Grupo do Microsoft Windows; Microsoft Press, 2005). Você pode entrar em contato com ele pelo email derekm@braincore.net.
© 2008 Microsoft Corporation e CMP Media, LLC. Todos os direitos reservados. A reprodução parcial ou completa sem autorização é proibida..