• 22/1/2021
• 5 minuti per leggere
• • D
  • g
  • R
  • j
  • d
  • +6

Si applica a

• Windows 10

Descrive le best practice, l’ubicazione, i valori e le considerazioni sulla sicurezza per la password deve soddisfare l’impostazione dei criteri di sicurezza dei requisiti di complessità.

Riferimento

Le password devono soddisfare i requisiti di complessità l’impostazione dei criteri determina se le password devono soddisfare una serie di linee guida per le password complesse. Quando è abilitata, questa impostazione richiede che le password soddisfino i seguenti requisiti:

1. Le password potrebbero non contenere il valore samAccountName (Account Name) dell’utente o l’intero displayName (valore Full Name). Entrambi i controlli non fanno distinzione tra maiuscole e minuscole.

   SamAccountName viene controllato nella sua interezza solo per determinare se fa parte della password. Se samAccountName è lungo meno di tre caratteri, questo controllo viene saltato. analizzato per delimitatori: virgole, punti, trattini o trattini, trattini bassi, spazi, cancelletto e tabulazioni. Se viene trovato uno di questi delimitatori, displayName viene diviso e tutte le sezioni analizzate (token) vengono confermate per non essere incluse nella password I token di lunghezza inferiore a tre caratteri vengono ignorati e le sottostringhe dei token non vengono verificate Ad esempio, il nome “Erin M. Hagens” è suddiviso in tre token: “Erin”, “M” e “Havens”. Poiché il secondo token è lungo un solo carattere, viene ignorato, pertanto l’utente potrebbe n Non avere una password che includesse “erin” o “havens” come sottostringa in qualsiasi punto della password.

2. La password contiene caratteri di tre delle seguenti categorie:

   • Lettere maiuscole delle lingue europee (dalla A alla Z, con segni diacritici, caratteri greci e cirillici)
   • Lettere minuscole delle lingue europee (dalla a alla z, diesis, con segni diacritici , Greco e cirillico)
   • Base 10 cifre (da 0 a 9)
   • Caratteri non alfanumerici (caratteri speciali) 🙁 ~! @ # $% ^ & * _- + =` | \ () {} :; “” < >,.? /) I simboli di valuta come l’euro o la sterlina britannica non vengono conteggiati come caratteri speciali per questa impostazione dei criteri.
   • Qualsiasi carattere Unicode che “è classificato come carattere alfabetico ma non è” maiuscolo o minuscolo “. Questo gruppo include caratteri Unicode delle lingue asiatiche.

I requisiti di complessità vengono applicati quando le password vengono modificate o create.

Le regole che vengono inclusi nei requisiti di complessità della password di Windows Server fanno parte di Passfilt.dll e non possono essere modificati direttamente.

Quando è abilitato, il Passfilt.dll predefinito può causare alcune chiamate aggiuntive all’Help Desk per account bloccati perché gli utenti non sono abituati a password che contengono caratteri che non sono in alfabeto. Ma questa impostazione di criterio è abbastanza liberale da consentire a tutti gli utenti di abituarsi.

Impostazioni aggiuntive che possono essere incluse in un Passfilt.dll personalizzato sono l’uso di caratteri non della riga superiore. Per digitare i caratteri della riga superiore, tieni premuto il tasto MAIUSC e premi uno dei tasti sulla riga dei numeri della tastiera (da 1 a 9 e 0).

Valori possibili

• Abilitato
• Disabilitato
• Non definito

Best practice

Imposta le password deve soddisfare i requisiti di complessità su Abilitato. Questa impostazione dei criteri, combinata con una lunghezza minima della password di 8, garantisce che vi siano almeno 218.340.105.584.896 diverse possibilità per una singola password. Questa impostazione rende difficile un attacco di forza bruta, ma ancora non impossibile.

L’uso di combinazioni di caratteri del tasto ALT può aumentare notevolmente la complessità di una password. Tuttavia, richiedere a tutti gli utenti di un’organizzazione di aderire a tali rigorosi requisiti di password può provocare utenti insoddisfatti e un Help Desk sovraccarico. Prendi in considerazione l’implementazione di un requisito nella tua organizzazione per utilizzare i caratteri ALT nell’intervallo da 0128 a 0159 come parte di tutte le password di amministratore. (I caratteri ALT al di fuori di tale intervallo possono rappresentare caratteri alfanumerici standard che non aggiungono ulteriore complessità alla password.)

Le password che contengono solo caratteri alfanumerici sono facili da compromettere utilizzando strumenti disponibili pubblicamente. Per evitare ciò, le password devono contenere caratteri aggiuntivi e soddisfare i requisiti di complessità.

Posizione

Configurazione computer \ Impostazioni Windows \ Impostazioni protezione \ Criteri account \ Criterio password

Valori predefiniti

La tabella seguente elenca i valori di politica predefiniti effettivi ed effettivi. I valori predefiniti sono elencati anche nella pagina delle proprietà del criterio.

Tipo di server o Criteri di gruppo Oggetto (GPO)	Valore predefinito
Criterio dominio predefinito	Abilitato
Criterio controller di dominio predefinito	Abilitato
Impostazioni predefinite del server autonomo	Disabilitato
Impostazioni predefinite effettive del controller di dominio	Abilitato
Impostazioni predefinite effettive del server membro	Abilitato
Impostazioni predefinite effettive degli oggetti Criteri di gruppo sui computer client	Disabilitato

Considerazioni sulla sicurezza

Questa sezione descrive come potrebbe un utente malintenzionato sfruttare una funzionalità o la sua configurazione, come implementare la contromisura e le possibili conseguenze negative dell’implementazione della contromisura.

Vulnerabilità

Le password che contengono solo caratteri alfanumerici sono estremamente facili da scoprire con diversi strumenti disponibili pubblicamente.

Contromisura

Configura le password che devono soddisfare l’impostazione dei criteri dei requisiti di complessità su Abilitato e consiglia agli utenti di utilizzare una varietà di caratteri nelle loro password.

Se combinata con una lunghezza minima della password di 8, questa impostazione garantisce che il numero di diverse possibilità per una singola password è così grande che è difficile (ma non impossibile) che un attacco di forza bruta abbia successo. (Se si aumenta l’impostazione del criterio Lunghezza minima password, aumenta anche il tempo medio necessario per un attacco riuscito.)

Impatto potenziale

Se viene mantenuta la configurazione predefinita della complessità della password, Potrebbero verificarsi ulteriori chiamate all’Help Desk per account bloccati perché gli utenti potrebbero non essere abituati a password che contengono caratteri non alfabetici o potrebbero avere problemi a inserire password che contengono caratteri accentati o simboli su tastiere con layout diversi. Tuttavia, tutti gli utenti dovrebbero essere in grado di soddisfare i requisiti di complessità con difficoltà minime.

Se la tua organizzazione ha requisiti di sicurezza più rigorosi, puoi creare una versione personalizzata del file Passfilt.dll che consenta l’uso di regole di robustezza della password arbitrariamente complesse. Ad esempio, un filtro password personalizzato potrebbe richiedere l’uso di simboli non nella riga superiore. (I simboli della riga superiore sono quelli che richiedono di tenere premuto il tasto MAIUSC e quindi premere uno qualsiasi dei tasti sulla riga dei numeri della tastiera, da 1 a 9 e 0.) Un filtro password personalizzato potrebbe anche eseguire un controllo del dizionario per verificare che la password proposta non contenga parole o frammenti comuni del dizionario.

L’uso di combinazioni di caratteri del tasto ALT può aumentare notevolmente la complessità di una password. Tuttavia, tali requisiti di password rigorosi possono comportare ulteriori richieste di Help Desk. In alternativa, l’organizzazione potrebbe considerare un requisito per tutte le password di amministratore per utilizzare i caratteri ALT nell’intervallo 0128–0159. (I caratteri ALT al di fuori di questo intervallo possono rappresentare caratteri alfanumerici standard che non aggiungerebbero ulteriore complessità alla password.)

• Criterio password