Compartilhar via


Diretiva de senha

 

Aplica-se a: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Este tópico de referência de política de segurança para profissionais de TI fornece uma visão geral de diretivas de senha para o Windows e links para informações sobre cada configuração de diretiva.

Em muitos sistemas operacionais, o método mais comum para autenticar a identidade do usuário é usar uma senha secreta. Um ambiente de rede seguro requer que todos os usuários usem senhas fortes, que têm pelo menos oito caracteres e incluem uma combinação de letras, números e símbolos. Essas senhas ajudam a impedir o comprometimento de contas de usuário e contas administrativas por usuários não autorizados que usam métodos manuais ou ferramentas automatizadas para adivinhar senhas fracas. Senhas que são alteradas regularmente reduzem a probabilidade de um ataque de senha com êxito.

Introduzido no Windows Server 2008 R2 e Windows Server 2008, o Windows oferece suporte a políticas de senha refinada. Esse recurso fornece às organizações uma maneira de definir diretivas de bloqueio de conta para diferentes conjuntos de usuários e senha diferente em um domínio. Em domínios do Windows 2000 Server e Windows Server 2003 Active Directory, diretiva de apenas uma senha e diretiva de bloqueio de conta puderam ser aplicadas a todos os usuários no domínio. Diretivas de senha refinadas se aplicam somente a objetos de usuário (ou objetos de inetOrgPerson se eles são usados em vez de objetos de usuário) e grupos de segurança global.

Para aplicar uma política de senha refinadas a usuários de uma unidade Organizacional, você pode usar um grupo de sombras. Um grupo de sombra é um grupo de segurança global logicamente é mapeado para uma unidade Organizacional para impor uma diretiva de senha refinada. Adicionar usuários da UO como membros do grupo de sombra criada recentemente e, em seguida, aplicar a diretiva de senha refinada para esse grupo de sombras. Você pode criar grupos de sombra adicionais para outras OUs conforme necessário. Se você mover um usuário de uma UO para outra, você deve atualizar a associação dos grupos de sombra correspondente.

Diretivas de senha refinadas incluem atributos para todas as configurações que podem ser definidas na diretiva de domínio padrão (exceto as configurações de Kerberos), além das configurações de bloqueio de conta. Quando você especificar uma política de senha refinada, você deve especificar todas essas configurações. Por padrão, somente membros do grupo Administradores de Domínio podem definir políticas de senha refinada. Entretanto, também é possível delegar a capacidade de definir essas políticas a outros usuários. O domínio deve estar executando pelo menos Windows Server 2008 R2 ou Windows Server 2008 para usar políticas de senha refinada. Diretivas de senha refinadas não podem ser aplicadas diretamente a uma unidade organizacional (UO).

Diretivas de senha refinadas não interfiram com filtros de senha personalizados que podem ser usados no mesmo domínio. As organizações que implantaram o filtro de senha personalizados para controladores de domínio executando Windows 2000 Server ou Windows Server 2003 podem continuar a usar esses filtros de senha para impor restrições adicionais para senhas. Para obter mais informações sobre políticas de senha refinada, consulte AD DS: políticas de senha refinada.

Você pode impor o uso de senhas de alta segurança por meio de uma diretiva de senha apropriadas. Há configurações de política de senha que controlam a complexidade e a vida útil das senhas, como o senha deve satisfazer a requisitos de complexidade configuração de política.

Você pode configurar as configurações de diretiva de senha no seguinte local usando o Console de gerenciamento de diretiva de grupo no seu controlador de domínio:

Política de Conta\Diretiva de senha do computador Configuration\Windows Settings\Security diretivas

Se grupos individuais exigem diretivas de senha diferentes, esses grupos devem ser separados em outro domínio ou floresta, com base em requisitos adicionais.

Para obter informações sobre como definir diretivas de segurança, consulte Como definir configurações de política de segurança.

Os tópicos a seguir fornecem uma discussão sobre a implementação de diretivas de senha e considerações de práticas recomendadas, local da diretiva, valores padrão para o tipo de servidor ou o GPO, diferenças relevantes em versões do sistema operacional, as considerações de segurança (incluindo as possíveis vulnerabilidades de cada configuração), as contramedidas que você pode pegar e o potencial de impacto para cada configuração.