Controllo della protezioneCriteri password del dominio Windows
Derek Melber
Un amministratore di un dominio Windows è senza dubbio consapevole dei limiti relativi ai criteri password per gli account utente di dominio. Con l'introduzione di Windows Server 2008, tuttavia, alcune di queste limitazioni svaniranno. In questo articolo verrà esaminato innanzitutto uno dei problemi che il nuovo sistema operativo è in grado di risolvere: l'impossibilità di implementare più criteri password.
Chi oggi esegue una versione del sistema operativo Windows® (Windows NT®, Windows 2000 Active Directory® o Windows Server® 2003 Active Directory), è costretto a utilizzare un singolo criterio password per ciascun dominio. In realtà, la limitazione effettiva non è rappresentata dai criteri password, quanto dalla più ampia gamma delle impostazioni comprese in Criteri account. Criteri e impostazioni sono illustrati nella Figura 1.
Figure 1 Criteri account
Criteri password |
Imponi cronologia delle password |
Validità massima password |
Validità minima password |
Lunghezza minima password |
Le password devono essere conformi ai requisiti di complessità |
Archivia password mediante crittografia reversibile |
Criterio di blocco account |
Blocca account per minuti |
Limite di blocchi dell'account tentativi di accesso non validi |
Reimposta blocco account dopo ... |
Criterio Kerberos |
Imporre le restrizioni di accesso degli utenti |
Durata massima ticket di servizio minuti |
Durata massima ticket utente ore |
Durata massima rinnovo ticket utente giorni |
Tolleranza massima per la sincronizzazione dell'orologio del computer minuti |
Per impostazione predefinita, queste impostazioni dei criteri si applicano a tutti gli account utente e di dominio associati al dominio. Il motivo è il tipo di ereditarietà di Criteri di gruppo all'interno della struttura di Active Directory. Per comprendere meglio il modo in cui i criteri influiscono sugli account utente locali e di dominio, è importante comprendere dove vengono impostati tali criteri e in che modo l'ereditarietà di Criteri di gruppo influisce su tutti i diversi account utente. Le impostazioni dei criteri Kerberos sono applicabili solo agli account utente di dominio, poiché solo questi ultimi utilizzano il protocollo Kerberos per l'autenticazione. Gli account utente locali invece utilizzano NTLMv2, NTLM o LM per l'autenticazione.
Impostazione dei criteri di account
In Active Directory Criteri di gruppo stabilisce e controlla i criteri di account per l'intero dominio. L'operazione viene eseguita durante l'installazione iniziale del dominio di Active Directory, purché si disponga di un oggetto Criteri di gruppo predefinito collegato al nodo di dominio in Active Directory. Questo oggetto Criteri di gruppo, denominato Criterio dominio predefinito, prevede configurazioni predefinite per tutte le tre sezioni di Criteri account. Nella Figura 2 è riportato un elenco completo delle impostazioni iniziali per gli elementi dei criteri password in un dominio Windows Server 2003.
Figura 2** Criteri password predefiniti per il dominio Windows Server 2003 **(Fare clic sull'immagine per ingrandirla)
Le impostazioni in questo oggetto Criteri di gruppo controllano i criteri di account per tutti gli account utente di dominio e per tutti i computer del dominio. Tutti i computer del dominio (desktop e server) dispongono di un sistema Gestione account di protezione (SAM) locale, che viene controllato dalle impostazioni presenti nell'oggetto Criteri di gruppo predefinito. Ovviamente i SAM locali contengono anche gli account utente locali per il rispettivo computer.
Le impostazioni in Criterio dominio predefinito hanno effetto su tutti i computer del dominio attraverso la normale ereditarietà degli oggetti Criteri di gruppo all'interno della struttura di Active Directory. Poiché è collegato al nodo del dominio, questo oggetto Criteri di gruppo avrà effetto su tutti gli account computer all'interno del dominio.
Operazioni non eseguibili con i criteri password correnti
All'implementazione corrente di Active Directory (in Windows Server 2003) è associata una serie di convinzioni erronee relative ai controlli delle password, malgrado anni di test rigorosi, senza tuttavia ottenere finora alcuna prova della veridicità di tali convinzioni diffuse. È ovvio che i criteri non funzionano per scopi diversi da quelli per cui sono stati progettati.
Ciò premesso, molti amministratori pensano che sia possibile disporre di più criteri password per gli utenti nello stesso dominio. Ritengono inoltre che sia possibile creare un oggetto Criteri di gruppo e collegarlo a un'unità organizzativa. L'idea è spostare gli account utente nell'unità organizzativa in modo che l'oggetto Criteri di gruppo influisca sugli oggetti. All'interno dell'oggetto Criteri di gruppo, i criteri di account vengono modificati per creare un criterio password più sicuro, impostando magari la lunghezza massima della password su 14 caratteri. Tuttavia, per diverse ragioni, con questa configurazione non si otterrà mai il risultato desiderato. Innanzitutto, le impostazioni dei criteri password sono criteri basati sui computer e non sugli utenti e, in quanto tali, queste impostazioni non potranno mai influire su un account utente. Secondo, le impostazioni dei criteri di account per un account utente di dominio possono essere modificate solo all'interno di un oggetto Criteri di gruppo collegato al dominio. Gli oggetti Criteri di gruppo collegati all'unità organizzativa e configurati per la modifica delle impostazioni dei criteri di account modificheranno il sistema SAM locale dei computer che risiedono nell'unità organizzativa o nelle unità organizzative secondarie dell'unità organizzativa collegata.
Una seconda convinzione erronea è che le impostazioni dei criteri di account stabilite nel dominio principale (il dominio iniziale dell'insieme di strutture di Active Directory) vengono ereditate nell'ambito dei domini figlio nell'insieme di strutture. Anche questo è errato e non è possibile configurare le impostazioni per questo tipo di comportamento. Gli oggetti Criteri di gruppo collegati al dominio e le unità organizzative all'interno di un dominio non avranno effetto sugli oggetti di un altro dominio, anche se il dominio a cui l'oggetto Criteri di gruppo è collegato è il dominio principale. L'unico metodo per estendere le impostazioni degli oggetti Criteri di gruppo agli oggetti all'interno di diversi domini, consiste nel collegare gli oggetti Criteri di gruppo ai siti di Active Directory.
Novità relative alle password
Come è stato illustrato, nelle versioni correnti di Windows le password degli account utente vengono gestite in modo piuttosto semplice. Questo processo prevede la gestione di una serie di regole di password per tutti gli account dominio e la gestione dei criteri di account tramite un oggetto Criteri di gruppo collegato al nodo del dominio in Active Directory. Lo scenario cambia completamente nel caso di Windows Server 2008.
Windows Server 2008 e l'infrastruttura di Active Directory inclusa in questo sistema operativo, adotta un approccio diverso. Le versioni precedenti prevedevano la presenza delle impostazioni dei criteri di account in un oggetto Criteri di gruppo. Era quindi possibile impostare un singolo criterio per tutti gli account utente di dominio; tali impostazioni sono state ora spostate in una sezione più profonda di Active Directory. Inoltre, i criteri di account non sono più basati sugli account computer. Ora è possibile specificare singoli utenti e gruppi di utenti in modo da controllare le restrizioni per le relative password. Si tratta di un concetto radicalmente nuovo per gli amministratori di Windows che finora hanno sempre gestito i criteri di account per account computer.
Criteri di account in Windows Server 2008
In Windows Server 2008, i criteri di account non vengono stabiliti con l'oggetto Criterio dominio predefinito. Infatti, non è possibile utilizzare gli oggetti Criteri di gruppo per creare criteri di account per account utente di dominio. In Windows Server 2008, gli utenti che desiderano apportare modifiche al sistema verranno indirizzati al database di Active Directory. Più specificamente, per modificare l'oggetto di Active Directory e gli attributi a esso associati, si utilizzerà lo strumento ADSIEdit.
La ragione alla base di questa modifica è che Criteri di gruppo non è progettato per l'utilizzo di più password all'interno dello stesso dominio. L'implementazione della funzionalità per l'utilizzo di più password per ciascun dominio è elegante ma non altrettanto intuitiva. In futuro, tuttavia, si prevede di semplificare maggiormente l'accesso all'interfaccia per la configurazione delle impostazioni. Per ora, per apportare le modifiche desiderate al sistema è necessario "introdursi" nel database di Active Directory.
Se si preferisce, per modificare le impostazioni dei criteri di account è tuttavia possibile utilizzare uno strumento diverso da ADSIEdit. È possibile utilizzare qualsiasi altro strumento di modifica LDAP in grado di interagire con il database di Active Directory o persino script. Quando si implementano i criteri password in Windows Server 2008, è necessario adottare un approccio molto diverso rispetto al passato. Le nuove funzionalità implicano la necessità di considerare quali utenti e gruppi riceveranno determinate impostazioni delle password.
È necessario considerare non solo la lunghezza delle password ma anche le restrizioni aggiuntive relative alle impostazioni dei criteri password, compresi il periodo di validità minimo e massimo, la cronologia e così via. Altri fattori da considerare includono la modalità di controllo delle impostazioni dei criteri di blocco degli utente e delle impostazioni Kerberos. Esiste una relazione uno-a-uno tra le impostazioni correnti dei criteri di account e quelle configurate nel database di Active Directory in Windows Server 2008. Tuttavia, è importante notare che i nomi di ciascuna impostazione dei criteri sono differenti dal momento che ora rappresentano oggetti e attributi di Active Directory.
Per implementare le nuove impostazioni delle password, è necessario creare un oggetto Impostazioni password (PSO, Password Settings Object) denominato msDS-PasswordSettings nel contenitore Impostazioni password, a cui è associato il percorso LDAP "cn=Password Settings,cn=System,dc=domainname,dc=com". Tenere presente che il livello di funzionalità del dominio utilizzato deve essere impostato su Windows Server 2008. In questo nuovo oggetto sono disponibili le informazioni per diversi attributi, come illustrato nella Figura 3.
Figure 3 Attributi delle password in Active Directory
Nome attributo Active Directory | Descrizione attributo |
msDS-PasswordSettingsPrecedence | Stabilisce quale impostazione ha la precedenza in situazioni in cui un utente è membro di più gruppi con diversi criteri password. |
msDS-PasswordReversibleEncryptionEnabled | Attiva o disattiva la crittografia reversibile. |
msDS-PasswordHistoryLength | Determina quante altre password devono essere univoche prima che sia consentito riutilizzarne una. |
msDS-PasswordComplexityEnabled | Stabilisce il numero e il tipo di caratteri necessari in una password. |
msDS-MinimumPasswordLength | Stabilisce la lunghezza minima di una password. |
msDS-MinimumPasswordAge | Determina per quanto tempo un utente deve utilizzare una password prima di modificarla. |
msDS-MaximumPasswordAge | Determina per quanto tempo un utente può utilizzare una password prima che sia necessario modificarla. |
msDS-LockoutThreshold | Determina quanti tentativi con password errate sono consentiti prima di bloccare l'account utente. |
msDS-LockoutObservationWindow | Determina il periodo di tempo trascorso il quale il contatore delle password errate verrà reimpostato. |
msDS-LockoutDuration | Determina per quanto tempo l'account verrà bloccato dopo troppi tentativi con password errate. |
Come si può vedere, tutte le impostazioni di Criteri di gruppo correlate alle impostazioni dei criteri di account sono duplicate come attributi. Notare che è presente anche un'impostazione della precedenza che risulta essenziale per l'implementazione di più password nello stesso dominio, in quanto si verificheranno sicuramente dei conflitti e sarà necessario disporre di un meccanismo in grado di gestire tali conflitti.
Configurazione delle impostazioni per i criteri di account
Per ogni oggetto creato, è necessario compilare tutti gli attributi per configurare i criteri di account per ciascun utente. È disponibile un nuovo attributo, msDS-PSOAppliesTo, che determina quali oggetti riceveranno l'insieme delle impostazioni dei criteri. Questo attributo consente di applicare specifiche impostazioni a determinati utenti. L'elenco sotto questo attributo può includere utenti o gruppi ma, come in tutte le situazioni in cui si definisce un elenco di controllo di accesso, è consigliabile utilizzare gruppi anziché utenti. I gruppi sono più stabili, più visibili e in genere più semplici da gestire.
Buone notizie
Per anni si è desiderato di avere la possibilità di utilizzare più password all'interno dello stesso dominio di Active Directory e ora questo desiderio è diventato realtà. Ora, nell'ambito delle password, non è più previsto lo stesso livello di protezione per tutti gli utenti dell'intero dominio. È possibile, ad esempio, configurare una password di otto caratteri per gli utenti normali e una password più complessa di 14 caratteri per i professionisti IT (che potrebbero disporre di privilegi di amministratore).
Abituarsi ad accedere al database di Active Directory per stabilire o modificare le impostazioni dei criteri di account potrebbe richiedere un po' di tempo. Fortunatamente, tuttavia, le nuove impostazioni riproducono funzionalità con cui si ha già una certa familiarità. Accertarsi di esplorare queste nuove impostazioni non appena si ha la possibilità di "mettere le mani" su Windows Server 2008, in quanto saranno senza dubbio tra le prime impostazioni che si configureranno.
Derek Melber, MCSE, CISM, MVP, è un consulente e istruttore indipendente. La sua funzione consiste nel promuovere e fornire una formazione adeguata nell'ambito della tecnologia Microsoft, con particolare attenzione ad Active Directory, a Criteri di gruppo, alla protezione e alla gestione dei desktop. Derek è autore di diversi libri IT, tra cui Microsoft Windows Group Policy Guide (Microsoft Press, 2005). È possibile contattarlo all'indirizzo derekm@braincore.net.
© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.