Configurar uma política de expiração de senha de domínio depende do seu sistema operacional e ambiente. Veja como fazê -lo no Windows Server Active Directory, que é o cenário mais comum e uma visão geral para o Linux.
Windows Server Active Directory Você gerencia políticas de expiração de senha no Active Directory usando a política de grupo. Aqui está um guia passo a passo:
1.
Gerenciamento de políticas de grupo aberto: * Vá para
comece , digite `gpmc.msc` e pressione
enter . Isso abre o Console de Gerenciamento de Políticas de Grupo (GPMC).
* Como alternativa, você pode encontrá -lo em
ferramentas administrativas .
2.
Navegue até o domínio ou ou: * No GPMC, expanda sua
floresta , então expanda seus domínios
.
* Clique com o botão direito do mouse em qualquer:
*
Seu domínio: Isso aplica a política a * todos * usuários no domínio. Isso geralmente é * não * recomendado para controle granular.
*
Unidade Organizacional (OU): Isso permite que você aplique políticas diferentes a diferentes grupos de usuários. Esta é uma prática recomendada para gerenciar diferentes políticas de senha.
* Selecione
"Crie um GPO neste domínio e vincule -o aqui ..." (ou
"vincule um GPO existente ..." Se você já possui um GPO adequado). Dê ao novo GPO um nome descritivo (por exemplo, "Política de expiração de senha - usuários padrão").
3.
Editar o objeto de política do grupo (GPO): * Clique com o botão direito do mouse no GPO recém-criado (ou vinculado) no GPMC e selecione
"editar" . Isso abre o editor de gerenciamento de políticas de grupo.
4.
Navegue até as configurações de senha: * No editor de gerenciamento de políticas de grupo, navegue para:
*
Configuração do computador (É aqui que as políticas de senha são configuradas)
*
políticas *
Configurações do Windows *
Configurações de segurança *
Políticas de conta *
Política de senha 5.
definir as configurações da política de senha: * Você verá várias configurações que poderá configurar:
*
"Aplicar o histórico de senha": Isso impede que os usuários reutilizem senhas antigas. Defina um valor como "24 senhas lembradas" para impedir que os usuários simplesmente andem de bicicleta por pequenas variações da mesma senha.
*
"Age da senha máxima": Esta é a configuração que você está procurando. Isso define quanto tempo uma senha é válida antes que o usuário seja forçado a alterá -la. Defina isso como um valor razoável, como "90 dias" ou "120 dias". *Importante:Pesquise as melhores práticas e requisitos regulatórios antes de definir isso. A vida útil da senha curta às vezes pode levar a senhas mais fracas, pois os usuários escolhem opções facilmente adivinhadas.*
*
"idade de senha mínima": Isso impede que os usuários alterem sua senha com muita frequência (por exemplo, imediatamente após serem forçados a alterá -la devido ao vencimento). Um valor comum é "1 dia". Isso impede que os usuários reduzam o histórico de senha, alterando imediatamente sua senha várias vezes.
*
"Comprimento mínimo de senha": Isso é *crítico *. Aplicar um forte comprimento mínimo de senha. *No mínimo*, use 12 caracteres. 14-16 é preferível. As senhas mais longas são exponencialmente mais difíceis de quebrar.
*
"A senha deve atender aos requisitos de complexidade": Habilite isso. Essa configuração requer senhas para conter uma mistura de letras maiúsculas, letras minúsculas, números e símbolos. Isso é muito importante para a segurança.
*
"Armazene as senhas usando criptografia reversível para todos os usuários no domínio": não habilite isso. Essa configuração é para cenários de compatibilidade com versões anteriores muito específicas (geralmente aplicativos muito antigos). Isso enfraquece significativamente a segurança armazenando senhas de uma maneira relativamente fácil de descriptografar.
6.
Aplique a política (se ainda não estiver vinculada a uma OU): * Verifique se o GPO está vinculado ao domínio ou ao você deseja aplicá -lo (Etapa 2).
* A política de grupo atualiza periodicamente (geralmente a cada 90 minutos com um deslocamento de 30 minutos), mas você pode forçar uma atualização em uma máquina cliente ou no servidor com o comando:`gpupdate /force`
7.
Teste: * Depois de aplicar a política, teste -a para garantir que esteja funcionando conforme o esperado. Faça login com um usuário de teste na OU e tente alterar a senha. Verifique os logs do evento para obter erros. Aguarde o período de vencimento para decompor e veja se o usuário é solicitado a alterar sua senha.
Considerações importantes para políticas de senha do Active Directory: *
Políticas de senha de grão fino (FGPP): Se você precisar de políticas de senha diferentes para diferentes usuários ou grupos *dentro da mesma OU *, você precisará usar políticas de senha de granulação fina (FGPP). O FGPP oferece controle muito mais granular. Os FGPPs são configurados usando o Active Directory Administrative Center ou PowerShell. Eles são mais complexos para configurar do que um GPO padrão. Os FGPPs podem ter precedência sobre as políticas de domínio padrão, portanto, você precisa entender a ordem de precedência.
*
Complexidade da senha: A forte complexidade de senha é vital. Não subestime a importância de exigir uma mistura de tipos de caracteres.
*
Educação do usuário: Eduque seus usuários sobre a importância de senhas fortes e a política de senha. Explique por que eles precisam alterar suas senhas e fornecer dicas para criar senhas fortes e memoráveis.
*
Revisão regular: Revise sua política de senha regularmente e ajuste -a conforme necessário com base nas melhores práticas de segurança e nas necessidades de sua organização.
*
Política de bloqueio de conta: Configure uma política de bloqueio de conta (também encontrada nas políticas de conta) para bloquear as contas de usuário após um certo número de tentativas de login com falha. Isso ajuda a evitar ataques de senha de força bruta. Considere definir uma duração razoável de bloqueio (por exemplo, 30 minutos).
*
Logging de auditoria: Habilite a auditoria para eventos de gerenciamento de contas. Isso ajudará você a rastrear alterações de senha e outras atividades relacionadas à conta.
Linux (visão geral geral) Nos sistemas Linux, as políticas de senha são normalmente gerenciadas usando `pam_pwquality.so` (parte dos módulos de autenticação travável, ou PAM). A configuração é feita através de `/etc/pam.d/` e `/etc/security/pwquality.conf`. Os detalhes dependem da distribuição (por exemplo, Debian/Ubuntu, Red Hat/Centos).
1.
editar `/etc/pam.d/Common-Password` (Debian/Ubuntu): * Abra este arquivo com um editor de texto (como root).
* Encontre a linha que inclui `pam_unix.so`. Vai parecer algo como:
`` `
Senha necessária Pam_unix.so ...
`` `
* Adicione `pam_pwquality.so` * antes *` pam_unix.so`. A ordem é importante. Por exemplo:
`` `
Senha requisito de pam_pwquality.so novamente =3
Senha necessária Pam_unix.so ...
`` `
2.
editar `/etc/segurança/pwquality.conf`: * Abra este arquivo com um editor de texto (como root).
* Este arquivo define as regras da política de senha. As configurações comuns incluem:
* `minlen =12` (comprimento mínimo de senha)
* `MinClass =3` (número mínimo de classes de caracteres - maiúsculas, minúsculas, dígitos, símbolos)
* `dcredit =-1` (crédito máximo para dígitos)
* `ucredit =-1` (crédito máximo para letras maiúsculas)
* `lcredit =-1` (crédito máximo para letras minúsculas)
* `ocredit =-1` (crédito máximo para outros caracteres, ou seja, símbolos)
* `reject_username =true` (não permita que as senhas conterão o nome de usuário)
* `Difok =3` (o número de caracteres na nova senha que deve diferir da senha antiga)
* `maxRepeat =3` (o número máximo de caracteres repetidos permitidos)
* `gecoscheck =1` (impedem que as senhas sejam derivadas do campo Gecos (informações do usuário)
3.
Expiração de senha (comando de chage): * Os sistemas Linux normalmente usam o comando `chage` para gerenciar o envelhecimento de senha.
* `CAGE -L
`:exibe as informações de envelhecimento de senha para um usuário.
* `CAGE -M `:define o número máximo de dias para o qual uma senha é válida.
* `CAGE -M `:define o número mínimo de dias que o usuário deve manter uma senha antes que possa alterá -la.
* `CAGE -W `:define o número de dias antes da expiração da senha de que o usuário recebe um aviso.
* `CAGE -D 0 `:força o usuário a alterar sua senha no próximo login. (Redefina a última data alterada para 1970-01-01).
* Para definir uma política de expiração padrão de senha para * todos * novos usuários, você pode modificar `/etc/login.defs`. Procure as seguintes linhas e ajuste de acordo:
`` `
PASS_MAX_DAYS 90 # Número máximo de dias uma senha pode ser usada.
Pass_min_days 0 # número mínimo de dias permitidos entre alterações de senha.
Pass_warn_age 7 # Número de dias de aviso fornecido antes que uma senha expire.
`` `
4. Teste:
* Crie um usuário de teste e tente definir uma senha que viole a política.
* Faça login com o usuário do teste e verifique os avisos de expiração da senha.
Considerações importantes para políticas de senha do Linux:
* específico de distribuição: A localização exata dos arquivos de configuração e as opções disponíveis podem variar dependendo da distribuição Linux. Consulte a documentação da sua distribuição.
* Privilégios de raiz: Você precisará de privilégios root (usando `sudo` ou efetuar login como root) para modificar esses arquivos de configuração.
* Pam: O entendimento do PAM é essencial para configurar as políticas de autenticação e senha no Linux.
* `chage` comando: Familiarize -se com o comando `chage` para gerenciar o envelhecimento de senha do usuário individual.
práticas recomendadas gerais (aplicável ao Windows e Linux):
* Senhas fortes: O núcleo de qualquer política de senha é aplicar senhas fortes. Isso significa:
* Comprimento suficiente (pelo menos 12 caracteres, de preferência mais)
* Complexidade (mistura de maiúsculas, minúsculas, números e símbolos)
* Singularidade (não permita a reutilização de senhas anteriores)
* Evitar a informação pessoal (sem palavras de dicionário, nomes, aniversários, etc.)
* Autenticação multifatorial (MFA): Implemente a autenticação multifatorial (MFA) sempre que possível. Isso adiciona uma camada extra de segurança além das senhas, tornando muito mais difícil para os invasores obter acesso às contas, mesmo que tenham roubado a senha.
* gerentes de senha: Incentive o uso de gerentes de senha. Os gerentes de senha podem gerar e armazenar senhas fortes e exclusivas para cada site e aplicativo, facilitando o acompanhamento da higiene de boa senha.
* Auditorias regulares: Revise regularmente suas políticas e configurações de senha para garantir que elas sejam eficazes e atualizadas. Verifique os logs para obter atividades suspeitas.
* Princípio do menor privilégio: Apenas conceda aos usuários os privilégios mínimos necessários. Isso limita o impacto de uma conta comprometida.
* Zero Trust: Adote um modelo de segurança de confiança zero. Suponha que todos os usuários e dispositivos estejam potencialmente comprometidos e exijam autenticação e autorização estritas antes de conceder acesso aos recursos.
Seguindo essas etapas e práticas recomendadas, você pode criar e manter uma política de expiração de senha forte que ajuda a proteger seus sistemas e dados do acesso não autorizado. Lembre -se de adaptar a política às suas necessidades específicas de ambiente e segurança. Boa sorte!
