- 22/01/2021
- 5 minutos para ler
-
- D
- g
- R
- j
- d
-
+6
Aplica-se ao
- Windows 10
Descreve as melhores práticas, localização, valores e considerações de segurança para a configuração de política de segurança de requisitos de complexidade.
Referência
A configuração de política de senhas deve atender a requisitos de complexidade determina se as senhas devem atender a uma série de diretrizes de senha forte. Quando habilitada, esta configuração requer senhas para atender aos seguintes requisitos:
-
As senhas não podem conter o valor samAccountName (nome da conta) do usuário ou displayName inteiro (valor Full Name). Ambos as verificações não diferenciam maiúsculas de minúsculas.
O samAccountName é verificado em sua totalidade apenas para determinar se faz parte da senha. Se o samAccountName tiver menos de três caracteres, esta verificação é ignorada. O displayName é analisados para delimitadores: vírgulas, pontos, travessões ou hifens, sublinhados, espaços, sinais de libra e tabulações. Se qualquer um desses delimitadores for encontrado, o displayName é dividido e todas as seções analisadas (tokens) são confirmadas para não serem incluídas na senha . Os tokens com menos de três caracteres são ignorados e os substrings dos tokens não são verificados. Por exemplo, o nome “Erin M. Hagens” é dividido em três tokens: “Erin”, “M” e “Havens”. Como o segundo token tem apenas um caractere, ele é ignorado. Portanto, esse usuário poderia n não tenha uma senha que inclua “erin” ou “havens” como substring em qualquer lugar da senha.
-
A senha contém caracteres de três das seguintes categorias:
- Letras maiúsculas dos idiomas europeus (A a Z, com sinais diacríticos, caracteres gregos e cirílicos)
- Letras minúsculas dos idiomas europeus (a a z, sustenido-s, com sinais diacríticos , Caracteres gregos e cirílicos)
- Dígitos de base 10 (0 a 9)
- Caracteres não alfanuméricos (caracteres especiais) 🙁 ~! @ # $% ^ & * _- + =` | \ () {} :; “” < >,.? /) Os símbolos de moeda, como o Euro ou a Libra Esterlina, não são contados como caracteres especiais para esta configuração de política.
- Qualquer caractere Unicode categorizado como um caractere alfabético, mas não é maiúsculo ou minúsculo. Este grupo inclui caracteres Unicode de idiomas asiáticos.
Os requisitos de complexidade são impostos quando as senhas são alteradas ou criadas.
As regras que são incluídos nos requisitos de complexidade de senha do Windows Server fazem parte do Passfilt.dll e não podem ser modificados diretamente.
Quando habilitado, o Passfilt.dll padrão pode causar algumas chamadas adicionais ao Help Desk para contas bloqueadas porque os usuários não estão acostumados com senhas que contêm caracteres que não estão no alfabeto. Mas essa configuração de política é liberal o suficiente para que todos os usuários se acostumem.
As configurações adicionais que podem ser incluídas em um Passfilt.dll personalizado são o uso de caracteres que não são da linha superior. Para digitar os caracteres da linha superior, você segura a tecla SHIFT e pressiona uma das teclas na linha numérica do teclado (de 1 a 9 e 0).
Valores possíveis
- Ativado
- Desativado
- Não definido
Práticas recomendadas
Dica
Para conhecer as práticas recomendadas mais recentes, consulte Orientação para senhas.
Definir senhas deve atender aos requisitos de complexidade como Ativado. Essa configuração de política, combinada com um comprimento mínimo de senha de 8, garante que haja pelo menos 218.340.105.584.896 possibilidades diferentes para uma única senha. Esta configuração torna um ataque de força bruta difícil, mas ainda não impossível.
O uso de combinações de caracteres da tecla ALT pode aumentar muito a complexidade de uma senha. No entanto, exigir que todos os usuários de uma organização cumpram esses requisitos rigorosos de senha pode resultar em usuários insatisfeitos e um Help Desk sobrecarregado. Considere a implementação de um requisito em sua organização para usar caracteres ALT no intervalo de 0128 a 0159 como parte de todas as senhas de administrador. (Os caracteres ALT fora desse intervalo podem representar os caracteres alfanuméricos padrão que não adicionam complexidade adicional à senha.)
As senhas que contêm apenas caracteres alfanuméricos são fáceis de comprometer usando ferramentas disponíveis publicamente. Para evitar isso, as senhas devem conter caracteres adicionais e atender aos requisitos de complexidade.
Local
Configuração do computador \ Configurações do Windows \ Configurações de segurança \ Políticas de conta \ Política de senha
Valores padrão
A tabela a seguir lista o valores de política padrão reais e efetivos. Os valores padrão também estão listados na página de propriedades da política.
Tipo de servidor ou política de grupo Objeto (GPO) | Valor padrão |
---|---|
Política de domínio padrão | Habilitado |
Política de controlador de domínio padrão | Habilitado |
Configurações padrão do servidor autônomo | Desativado |
Configurações padrão efetivas do controlador de domínio | Ativado |
Configurações padrão efetivas do servidor membro | Ativado |
Configurações padrão efetivas do GPO em computadores clientes | Desativado |
Considerações de segurança
Esta seção descreve como um invasor pode explorar um recurso ou sua configuração, como implementar a contramedida e as possíveis consequências negativas da implementação da contramedida.
Vulnerabilidade
As senhas que contêm apenas caracteres alfanuméricos são extremamente fáceis de descobrir com várias ferramentas disponíveis publicamente.
Contramedida
Configure as senhas devem atender configuração de política de requisitos de complexidade como Habilitado e aconselha os usuários a usar uma variedade de caracteres em suas senhas.
Quando combinada com um comprimento mínimo de senha de 8, esta configuração de política garante que o número de possibilidades diferentes para uma única senha é tão grande que é difícil (mas não impossível) para um ataque de força bruta ter sucesso. (Se a configuração da política de comprimento mínimo de senha for aumentada, o tempo médio necessário para um ataque bem-sucedido também aumenta.)
Impacto potencial
Se a configuração de complexidade de senha padrão for mantida, chamadas adicionais de suporte técnico para contas bloqueadas podem ocorrer porque os usuários podem não estar acostumados a senhas que contenham caracteres não alfabéticos ou podem ter problemas ao inserir senhas que contenham caracteres acentuados ou símbolos em teclados com layouts diferentes. No entanto, todos os usuários devem ser capazes de cumprir o requisito de complexidade com o mínimo de dificuldade.
Se sua organização tiver requisitos de segurança mais rigorosos, você pode criar uma versão personalizada do arquivo Passfilt.dll que permite o uso de regras de força de senha arbitrariamente complexas. Por exemplo, um filtro de senha personalizado pode exigir o uso de símbolos que não sejam da linha superior. (Os símbolos da linha superior são aqueles que exigem que você pressione e segure a tecla SHIFT e, em seguida, pressione qualquer uma das teclas na linha numérica do teclado, de 1 a 9 e 0.) Um filtro de senha personalizado também pode realizar uma verificação de dicionário para verificar se a senha proposta não contém palavras ou fragmentos comuns do dicionário.
O uso de combinações de caracteres da tecla ALT pode aumentar muito a complexidade de uma senha. No entanto, esses requisitos de senha rígidos podem resultar em solicitações adicionais de Help Desk. Como alternativa, sua organização pode considerar a exigência de que todas as senhas de administrador usem caracteres ALT no intervalo 0128–0159. (Os caracteres ALT fora desse intervalo podem representar caracteres alfanuméricos padrão que não acrescentariam complexidade adicional à senha.)
- Política de senha