Sviluppare una policy di sicurezza aziendale – sia che si tratta di software antivirus, di password sicure o di firewall – significa trovare un equilibrio tra la protezione delle risorse di rete e la minimizzazione del disagio arrecato agli utenti.
Una parte importante della progettazione di una policy di sicurezza in Windows è la configurazione dei parametri associati alla sicurezza dell’account.
Anche se gli amministratori dei sistemi conoscono tutti i dettagli tecnici, è di grande rilevanza per gli IT manager sapere come funzionano le cose in modo da poter prendere la giusta decisione per determinare come impostare la configurazione. Alcune decisioni in materia di policy di sicurezza possono compromettere la sicurezza globale, perché gli amministratori tendono a favorire la soluzione che risolve il problema, piuttosto di quella che garantisce la sicurezza del sistema.
Queste impostazioni sono definite nella sezione Group Policy e sono chiamate “account policy”. Una caratteristica importante di tali policy è che possono essere definite solo a livello di dominio, affinché abbiano una certa efficacia sugli account del dominio. Ciò significa che non è possibile definire una policy di password per ogni singola divisione dell’azienda. Tutti nel dominio utilizzano la stessa policy.
In Windows Server 2008, c’è però un modo che consente di applicare le policy in modo più granulare. Esaminiamo le impostazioni di ciascuna di queste policy, il loro effetto sulla strategia globale di sicurezza e i valori consigliati.
Le policy di password definiscono le caratteristiche di una password
-
Storia della password – È il numero di password usate, che possono essere memorizzate prima di poter essere riutilizzate nuovamente. Per esempio, se questo valore è fissato a 10, una password deve essere impostata 10 volte prima di poter riutilizzare quella iniziale. Questo rappresenta un grande disagio per gli utenti che sono periodicamente forzati a creare una nuova password, la quale sarà probabilmente dimenticata. Tuttavia una certa rotazione della password è necessaria per rendere più difficile l’identificazione e prevenirne il riutilizzo se la password è stata indovinata.
Impostazione predefinita: 24
Impostazione raccomandata: 10 -
Età della password
-
Età massima della password – Questo è il numero massimo di giorni in cui una password può essere utilizzata prima di essere cambiata. Di nuovo, è una situazione irritante per gli utenti, dato che devono pensare a nuove password regolarmente. Questo valore può variare. L’obiettivo è di fissare un valore abbastanza basso da impedire che un “cracker” abbia il tempo necessario a identificare la password, ma ancora abbastanza alto per ridurre al minimo i disturbi per l’utente. L’impostazione tipica è tra 60 e 90 giorni, anche se capita di vedere persone che lo impostano a 40 giorni. Se combinata con la storia della password, un’impostazione di 90 giorni con una storia di 10 password comporta che potrebbero passare circa tre anni prima che un utente riutilizzi la stessa password. Questo presupponendo che l’utente aspetti tutti i 90 giorni prima di cambiare la password.
Impostazione predefinita: 42
Impostazione raccomandata: da 60 a 90 giorni
Questa è probabilmente la più comune impostazione per cui viene consigliato un valore differente da quello raccomandato. Più lunga è, meno si avrà impatto sugli utenti. Un intervallo da 60 a 90 giorni è ragionevole per una password di sette oppure otto caratteri. -
Età minima della password – L’impostazione dell’età definisce la durata minima, in termini di giorni, che una password deve essere attiva prima di poter essere cambiata. Questo impedisce agli utenti più “creativi” di cambiare la propria password 10 volte in pochi minuti e quindi mantengano e la loro vecchia password ed evitino di rendere inefficace la storia della password. Nella peggiore delle ipotesi, se l’età minima della password è fissata a 10 giorni e la storia della password è impostata a 10 password, sarebbero necessari almeno 100 giorni prima di poter riutilizzare una password.
Impostazione predefinita: 1 giorno
Impostazione raccomandata: 1 giorno -
Lunghezza minima della password – Questo è il numero di caratteri necessari affinché una password sia accettata e il tempo necessario a un cracker per individuare la password è direttamente proporzionale a tale lunghezza. Questa impostazione è direttamente collegata alla complessità della password in modo che se la password cambia, il cracker deve iniziare dal principio il processo di identificazione.
Impostazione predefinita: 8 caratteri
Impostazione raccomandata: 8 caratteri
-
Età massima della password – Questo è il numero massimo di giorni in cui una password può essere utilizzata prima di essere cambiata. Di nuovo, è una situazione irritante per gli utenti, dato che devono pensare a nuove password regolarmente. Questo valore può variare. L’obiettivo è di fissare un valore abbastanza basso da impedire che un “cracker” abbia il tempo necessario a identificare la password, ma ancora abbastanza alto per ridurre al minimo i disturbi per l’utente. L’impostazione tipica è tra 60 e 90 giorni, anche se capita di vedere persone che lo impostano a 40 giorni. Se combinata con la storia della password, un’impostazione di 90 giorni con una storia di 10 password comporta che potrebbero passare circa tre anni prima che un utente riutilizzi la stessa password. Questo presupponendo che l’utente aspetti tutti i 90 giorni prima di cambiare la password.
-
Complessità della password – Questa impostazione forza l’utente a utilizzare una combinazione di caratteri. Esistono quattro tipi di caratteri catalogati in funzione della loro complessità: le lettere maiuscole, le lettere minuscole, i numeri e i caratteri speciali come &,% e $. Per soddisfare i requisiti di complessità imposti, una password deve contenere almeno tre di queste categorie. In caso contrario l’utente riceverà un messaggio di errore in cui si precisa che la password definita non soddisfa i requisiti di complessità.
Impostazione predefinita: Attivata
Impostazione raccomandata: Attivata -
Memorizzare la password con una crittografia reversibile – Questo è un aspetto importante per le applicazioni che richiedono una password in chiaro, ma oggi ne sono rimaste davvero poche di tali applicazioni.
Impostazione predefinita: No
Impostazione raccomandata: No
Tenere lontani gli hacker tramite il blocco degli account
Quando viene digitata un certo numero di volte una password errata, l’account è bloccato e deve intervneire l’amministratore. Questo disorienta gli hacker perché, anche se indovinano la password, l’account non funzionerà fino a quando non verrà reimpostato e avrà una nuova password. È un espediente usato come linea di difesa secondaria, in modo che gli hacker possano indovinare solo poche combinazioni alla volta.
Ma il blocco delle policy degli account può risultare frustrante anche per gli utenti e per gli amministratori. Ci sono alcune condizioni normali, che incrementano artificiosamente il valore badPasswordCount e portano un account a bloccare un utente valido. Un white paper di Microsoft sulle best practice relative all’account lockout propone una panoramica di tali condizioni.
Se qualcuno fosse interessato a usarle, qui ci sono le linee guida:
-
Soglia di blocco degli account – È il numero di tentativi di immissione della password che è consentito fallire prima che l’account venga bloccato.
Impostazione predefinita: 0
Questo significa che il blocco degli account è disattivato. Lasciatelo così per mantenere inattivo il blocco dell’account.
Impostazioni raccomandate: (se si desidera abilitarle)
Alta sicurezza: da 10 a 20. Con questo valore, anche le applicazioni che tendono a bloccare gli account possono eliminare i blocchi fasulli.
Bassa sicurezza: 50. Con questa impostazione, è improbabile che un qualsiasi utente legittimo venga bloccato.
Nota: L’impostazione di questo valore a “non definito” porta il valore di soglia a 5. - Durata del blocco – È il periodo di tempo che l’account deve rimanere bloccato.
-
Reset del blocco – Questo è il periodo di tempo necessario affinché l’account venga automaticamente sbloccato.
Impostazione predefinita per la durata e reset: non definito
Impostazione raccomandata: lasciate impostato il calcolo automatico. Quando impostate il valore soglia, vi verrà chiesto di accettare i valori raccomandati per queste due impostazioni. Accettare le raccomandazioni.