Neste segundo post dedicado aos Administradores de Sistema que têm que lidar com uma Avaliação de Risco, Avaliação de Segurança, Due Diligence ou Questionário de Conformidade: se você perdeu o primeiro, você pode lê-lo aqui. Desta vez vamos falar sobre como aplicar uma política de senha alterando as configurações padrão – em termos de complexidade de senha e comprimento mínimo de senha – no Windows Server 2012.
Esta é uma tarefa que muitas vezes precisa ser feita para cumprir com os requisitos de segurança exigidos pela maioria dos regulamentos e normas modernas – como a ISO/IEC 27001:2013, ISO/IEC 27002:2013, ISO/IEC 20000:2011, NIST CyberSecurity Framework, SSAE/SOC2, ITIL, PCI-DSS e assim por diante – mas também pode ser útil para aqueles que apenas querem proteger seu sistema de uma maneira melhor – ou fazer exatamente o contrário, relaxando esses controles (o que não é algo que você normalmente deve fazer – leia aqui para entender o porquê).
Aqui está como podemos dar uma olhada nas configurações atuais do sistema em termos de força de senha e alterá-las como desejamos:
Rede sem Active Directory
No caso de precisar configurar clientes e/ou servidores não conectados a um Domínio Active Directory, use o seguinte:
- Abra o Painel de Controle.
- Navigate to Administrative Tools > Local Security Policy.
- Na janela modal que será aberta, expanda as Configurações de Segurança > Account Policies > Password Policy node.
A partir daí, você pode visualizar e/ou editar as várias opções disponíveis no Windows Server 2012. Por exemplo, você pode optar por ativar ou desativar os requisitos de complexidade da senha, o que significa o seguinte:
Se esta política estiver ativada, as senhas devem atender aos seguintes requisitos mínimos:
- Não conter o nome da conta do usuário ou partes do nome completo do usuário que excedam dois caracteres consecutivos
- Tenham pelo menos seis caracteres de comprimento
- Contenham caracteres de três das quatro categorias seguintes:
- Caracteres em maiúsculas (A a Z)
- Caracteres em minúsculas (a a z)
- Base 10 dígitos (0 a 9)
- Caracteres não alfabéticos (por exemplo, !$, #, %)
- Requisitos de complexidade são aplicados quando senhas são alteradas ou criadas.
Este perfil de complexidade padrão pode ser alternado alterando a Senha deve atender à política de requisitos de complexidade.
Estas são configurações bastante boas, exceto pelo comprimento mínimo da senha: seis caracteres teriam sido possivelmente viáveis para 2012, mas definitivamente não são suficientes em 2017. Felizmente, você pode substituir essa opção única alterando a política de comprimento mínimo de senha, que deve ser colocada em (pelo menos) 8 para evitar a maioria dos ataques de força bruta.
Rede com Active Directory
Se seu cliente ou servidor fizer parte de um domínio Active Directory, você não poderá usar o console da Política de Segurança Local: se esse for o caso, use o console de Gerenciamento de Políticas de Grupo do Painel de Controle > Configurações Administrativas do seu controlador de domínio AD e edite as configurações de GPO lá.
Conclusão
É isso: esperamos que essas dicas ajudem outro Administrador de Sistema a tornar seu sistema compatível com os mais recentes padrões de segurança.
Se você estiver procurando uma maneira de definir um timeout ocioso para sessões de Desktop Remoto, leia este outro post.