Configurando o Fine Grained Password

 

Aplica-se

  • Windows Server 2008 Standard Edition
  • Windows Server 2008 Enterprise Edition
  • Windows Server 2008 Datacenter Edition

Visão Geral

Criando configurações de senhas diferenciadas para usuários e grupos específicos

Conceito

É normal em um ambiente de Active Directory o administrador precisar configurar senhas específicas para certos grupos de usuários. O grande problema é que até o Windows 2003 só era possível colocar uma única política de senha e de Kerberos para todo o domínio, feita pela política padrão Default Domain Policy. Algumas organizações chegavam a criar um domínio filho para satisfazer os requisitos de segurança de senha de certos departamentos.

Agora no Windows Server 2008, com o nível operacional do domínio em Windows Server 2008, é possível colocar configurações de senhas para usuários ou grupos específicos, de acordo com as necessidades de segurança do administrador do sistema.

Procedimento

Este é o procedimento para criar e configurar as políticas de senha, lembrando que este procedimento só é valido se o nível operacional do domínio estiver em Windows Server 2008:

1 – No Controlador de domínio, clique em Start>Run, digite adsiedit.msc e clique em ok.

clip_image002

Figura 1 – Abrindo a ferramenta Adsiedit.msc

2 –Precisaremos abrir a container onde ficam localizadas as políticas de senhas criadas. O Container se chamam PSC – Password Settings Container e as políticas de senhas são chamadas de PSO – Password Settings Object.

No Adsiedit, expanda Default naming context>DC=Seudomínio,dc=com,cn=system,cn=password settings container, clique com o botão direito do mouse em cn=password settings container, navegue em new e clique em object.

clip_image004

Figura 2 – Criando um novo PSO

Durante a criação das políticas teremos quatro tipos de sintax. Este quadro irá auxiliá-lo a configurar os valores.

Tipo de Sintax

Características

Exemplo

Unicode String

Caracteres Alfanuméricos

Politica de Senha

Integer

Valores Decimais (0~9)

4

Boolean

Ativado ou Desativado (FALSE / TRUE)

FALSE

Duration

Pedíodo em formato I8

-864000000000 (1 dia)

Para os períodos é usado um formato chamado I8. Ele calcula os intervalos de tempo em -100 nano segundos. Sua fórmula é bem complexa, mas para facilitar usaremos esta tabela a seguir para nos basearmos nos cálculos

Período

Valor base

1 Minuto

-600000000

1 Hora

-36000000000

1 Dia

-864000000000

Agora é só multiplicar o período desejado com base nos valores acima. Por exemplo: Se você quiser um valor de 30 dias, é só multiplicar 30 * -864000000000 = -25920000000000. Se desejar 30 minutos multiplique 20 * -600000000 = -12000000000.

Com este processo começaremos a criar um PSO de configuração de senha.

3 – Na tela para selecionar a classe que será criada, clique em Next

clip_image006

Figura 3 – Selecionando a classe padrão

4 – Coloque um nome para sua política e clique em Next.

clip_image008

Figura 4 – Nome do PSO.

5 – Na opção Password Settings Precedence é preciso escolher o peso que este PSO terá. Se um usuário ou grupo tiver mais que um PSO aplicado, o de menor peso será atribuído a ele. Coloque o valor desejado e clique em Next.

clip_image010

Figura 5 – Peso do PSO

6 – A Police Password reversible encryption status for user accounts faz com que as senhas sejam enviadas pela rede no modo de texto simples, deixando toda sua estrutura de segurança vulnerável. Por esse motivo é recomendável que ela esteja desabilitada, conforme valor da figura 6.

clip_image012

Figura 6 – Desabilitando a criptografia reversível de senhas

7 – Na alteração de senha do usuário é possível escolher um número específico das ultimas senhas usadas por ele com a opção Password History Length for user accounts. No exemplo usado o usuário não poderá usar as últimas 10 senhas. Coloque o valor de histórico e clique em Next.

clip_image014

Figura 7 – Histórico de senhas memorizadas

8 – Na próxima tela é perguntado se você deseja ativar a complexibilidade de senhas. Isto força o usuário a colocar três das quatro regras: Maiusculas, minúsculas, números e caracteres especiais. Dessa maneira você diminui a probabilidade de um invasor acertar a senha. Coloque o valor TRUE para ativar ou FALSE para desativar e clique em Next.

clip_image016

Figura 8 – Complexibilidade de senhas

9 – Na opção Minimum password length for user accounts é cobrado um número mínimo de caracteres para a senha.

No caso do exemplo abaixo, o usuário não poderá usar uma senha com menos de sete caracteres. Coloque o valor desejado e clique em Next.

clip_image018

Figura 9 – Tamanho mínimo da senha

10 – Na próxima tela você escolherá o tempo de vida mínimo para uma senha usando o formato I8. Como referência, use a tabela de cálculos base deste artigo.

No valor usado de dois dias (2 * -864000000000 = -1728000000000) o usuário só poderá trocar a senha depois do segundo dia. Este valor deve ser menor ou igual ao tempo máximo de vida da senha. Coloque o valor no formato I8 e clique em Next.

clip_image020

Figura 10 – Duração mínima da senha no formato I8.

11 – Já na próxima opção é colocado o número de dias que a senha irá durar. 15 dias antes deste valor o usuário será lembrado para trocar a senha. No exemplo foi usado 30 dias. Este valor não pode ser zero. Coloque o valor em formato I8 e clique em Next.

clip_image022

Figura 11 – Duração máxima da senha

12 – Em Lockout threshold for lockout of user accounts é preciso informar quantas tentativas de erro serão contabilizadas para a conta do usuário ser bloqueada. Depois de informar o valor clique em Next.

clip_image024

Figura 12 – Tentativas de senha antes do bloqueio

13 – Em Observation Windows for lockout of user accounts é informado o valor de duração que serão zeradas as tentativas de senha. Por exemplo: Se o valor de tentativas de senha é três e o valor de observação estiver configurado para 30 minutos, este valor será zerado de 30 em 30 minutos. Este valor não pode ser menor que o tempo da conta bloqueada. Coloque o valor em formato I8 e clique em Next.

clip_image026

Figura 13 – Exemplo de tempo de observação de tentativas de erro de senha: 30 minutos

14 – Em Lockout duration for locked out user accounts deve-se colocar a duração que as contas ficarão bloqueadas. No exemplo foi usado o valor de 30 minutos. Coloque o valor I8 e clique em Next:

clip_image028

Figura 14 – Exemplo de tempo de duração de bloqueio de senha

15 – Na próxima tela clique em finish para finalizarmos a criação do PSO.

16 – Agora abra o Active Directory Users and Computers em Start>Administrative Tools>Active Directory Users and Computers, clique na opção view e clique em Advanced Features.

17 – Navegue até o container System>Password Settings Container e dê dois cliques no PSO criado. Vá até a guia Attribute Editor e ache o atributo msDS-PSOAppliesto e dê dois cliques novamente. Depois clique em Add Windows Accounts, conforme figura 15:

clip_image030

Figura 15 – Atributo msDS-PSOAppliesto

18 – Coloque os usuários ou grupos que você deseja aplicar a Police e clique em Ok. Esta Police só pode ser aplicada a usuários ou grupos globais de segurança.

19 – Agora todos os usuários ou grupos que estão com esta Police terão as políticas definidas neste exemplo.

Conclusão

Com esses procedimentos foi possível aplicarmos várias configurações de senha no mesmo domínio, satisfazendo assim as necessidades de segurança de senha da empresa.

Leandro Carvalho

About leandroesc
Leandro Carvalho works as product specialist with Microsoft solutions such as Windows Server, Hyper-V, App-V, VDI, Security, System Center, Exchange, Lync Server, Sharepoint, Project Server and client systems, in addition to helping the community constantly with articles, forums, videos and lectures about his passion: Microsoft Virtualization. He obtained the certifications Certified Ethical Hacker/MCP/MCSA+M+S/MCSE+S/MCTS/MCITP/MCT and MVP. In 2009 he won the MCT Awards Latin America Trainer of the year and since 2009 the Microsoft MVP as a Virtualization Specialist.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: