O que é a FGPP ou como aplicar uma política de senha refinada?
O FGPP, ou estratégia de senha refinada, integra-se às políticas de senha aplicadas no Active Directory.
O que há de especial nisso? Ele autoriza diferentes protocolos dentro do mesmo domínio.
Essa é uma grande vantagem em um ambiente de negócios em que as organizações estão se tornando cada vez mais complexas e em que diferentes departamentos estão acessando cada vez mais dados e aplicativos... com diferentes níveis de sensibilidade e criticidade. Além disso, a segurança de TI está se tornando uma questão cada vez mais importante para as empresas.
Então, o que é exatamente o FGPP e quais são seus benefícios? Há alguma diferença em relação a uma estratégia de senha implementada por meio de GPOs? Como configurar uma política de senha refinada em seu sistema de informações e quais ferramentas existem para ajudá-lo nessa tarefa?
Vamos dar uma olhada.
O que é FGPP?
FGPP é o acrônimo de Fine Grained Password Policy (política de senha de granularidade fina ). Ela é executada como parte de uma política de senha implementada por meio do Active Directory.
Como lembrete, o Active Directory, ou AD, é definido como um diretório de serviços LDAP (Lightweight Directory Access Protocol) criado pela Microsoft. Sua finalidade? Centralizar os elementos de identificação e autenticação em um único sistema de informações em um ambiente Windows.
Para isso, o Active Directory é estruturado em vários objetos de diferentes tipos (recursos, usuários e serviços).
Durante muito tempo, o AD não permitiu que várias estratégias de senha fossem aplicadas ao mesmo domínio. Foi por isso que a Microsoft desenvolveu o FGPP, com a chegada do Windows Server 2008. Como resultado, as empresas agora podem configurar políticas diferentes sem precisar criar novos domínios.
☝️ Observação: uma Fine Grained Password Policy pode estar relacionada a um usuário ou a um grupo, mas não a uma unidade organizacional (contêiner administrativo criado em um domínio).
Qual é a diferença com os GPOs?
Os GPOs ( Objetos de Política de Grupo) são um conjunto de configurações de Política de Grupo que definem um sistema e seu comportamento para os usuários associados.
A determinação de uma política de senha por meio de GPOs continua sendo o método mais difundido, tendo sido permitido desde a introdução do Active Directory em 1999.
O que a torna especial?
Ela é configurada por padrão na política de domínio. Como resultado, as configurações da política de senha aplicadas aos usuários de um domínio são aquelas caracterizadas por seus GPOs.
Em outras palavras, uma única política de senha está em vigor para todos os usuários do mesmo domínio.
Quais são as vantagens e desvantagens?
O FGPP e o GPO têm a mesma lista de restrições (comprimento mínimo exigido, por exemplo). Entretanto, como acabamos de ver, sua aplicação é diferente.
O GPO e a senha complexa podem, portanto, andar de mãos dadas... mas somente uma estratégia por domínio é autorizada. Essa restrição força as empresas a multiplicar seus domínios se quiserem aplicar uma política diferente a diferentes usuários ou grupos de usuários.
Por outro lado, com uma política de senhas de granularidade fina, as organizações têm mais flexibilidade. Elas podem, por exemplo, exigir diferentes tamanhos de senha, dependendo dos serviços ou da sensibilidade dos dados aos quais um determinado grupo de funcionários tem acesso.
Vamos dar uma olhada mais de perto em como implementar uma FGPP.
Como você implementa estratégias de senhas refinadas?
Pré-requisitos do FGPP
Há vários pré-requisitos para a implementação de um FGPP.
Em primeiro lugar, você precisa ter pelo menos um nível de funcionamento do Windows Server 2008, pois a Fine Grained Password Policy foi introduzida com essa versão.
Em segundo lugar, a pessoa que realiza a configuração deve ser um administrador do domínio em questão. Para garantir que esse seja o caso, a seguinte nota é colocada sob o nome do domínio no Active Directory Administrative Center (ADAC): "system\Password Settings Container".
Ordens de aplicativos
O Active Directory envolve uma hierarquia no diretório, representada na forma de uma estrutura em árvore, para organizar computadores e usuários em grupos e subgrupos.
Como resultado, você precisa entender como as ordens de aplicativos de um FGPP atuam.
- Como lembrete, a estratégia de senha definida se aplica a um usuário ou a um grupo. No entanto, recomendamos a primeira opção. Dessa forma, a política escolhida entrará automaticamente em vigor para qualquer grupo que inclua o usuário em questão.
- Se várias políticas se aplicarem ao mesmo usuário ou grupo, o sistema dará prioridade àquela que contiver o menor valor no atributo "Precedência".
Se os valores inseridos forem idênticos, a estratégia com o menor GUID (Globally Unique IDentifier ) terá precedência. - Por fim, quando um grupo contém outros grupos (grupos aninhados), o protocolo se aplica a todos os usuários desses grupos.
Parâmetros a serem inseridos
Comprimento da senha, complexidade, data de expiração etc. O Active Directory permite que você gerencie vários parâmetros. Veja a seguir como fazer isso.
Inicie o console do Active Directory (nas ferramentas de administração do Windows) e clique em Password Setting Container > New > Settings.
Depois de iniciar a interface de configuração, especifique as várias características de sua política de senha. Para isso, é necessário inserir valores nos campos ou marcar/desmarcar caixas de acordo com suas preferências.
Aqui estão os vários parâmetros em questão:
- "Nome: esse é o nome da estratégia de senha. Idealmente, ele deve refletir o grupo ou o indivíduo em questão.
- " Precedência: a precedência FGPP indica o valor usado para priorizar, especialmente nos casos em que várias políticas de senha refinadas se aplicam a um usuário ou grupo. Nesse caso, os números menores têm precedência.
- "Enforce minimum password length" ( Aplicar comprimento mínimo de senha), em número de caracteres.
- "Enforce password history" (Impor histórico de senhas), para evitar que as senhas sejam recicladas.
- "Password must meet complexity requirements "( A senha deve atender aos requisitos de complexidade): esse atributo permite que você escolha se deseja ou não atender ao nível de complexidade exigido. Os requisitos de segurança aplicados por padrão operam em dois níveis:
- a senha não deve conter o nome do usuário (o valor amAccountName) ou o valor completo do nome completo (displayName);
- ela deve conter caracteres de pelo menos 3 das 5 categorias a seguir:
- letras maiúsculas
- letras minúsculas
- números
- caracteres especiais e caracteres Unicode classificados como caracteres alfabéticos (caracteres de idiomas asiáticos, por exemplo).
- "Store password using reversible encryption" ( Armazenar senha usando criptografia reversível): por motivos de segurança, essa opção não é recomendada.
- "Protect from accidental deletion" (Proteger contra exclusão acidental).
- "Enforce minimum password age" ( Aplicar idade mínima da senha): Esse parâmetro controla a duração mínima da validade da senha, para evitar que ela seja alterada com muita frequência. Você pode definir um valor entre 1 e 998 dias ou autorizar alterações imediatamente especificando 0.
- "Aplicar idade máxima da senha": Esse recurso determina quando a senha deve ser renovada, pois a renovação suficientemente frequente é uma das condições para a segurança ideal em uma política de senha. Defina um valor entre 1 e 999 dias ou digite 0 se não quiser que suas senhas expirem.
- "Enforce account lockout policy" ( Aplicar política de bloqueio de conta): essa configuração inclui :
- "Number of failed logon attemptsallowed" ( Número de tentativas de logon com falhapermitidas),
- "Reset failed logonattempts count after" ( Redefinir contagem detentativas de logon com falha após),
- "Account will be locked out"(A conta será bloqueada): a conta será bloqueada por um período de tantos minutos ou até que um administrador a desbloqueie manualmente.
- "Description" ( Descrição): você pode adicionar uma descrição, se necessário. Especifique, por exemplo, a pessoa a quem as restrições são dirigidas, seus deveres e responsabilidades dentro da empresa etc.
- "Directly Applies to "( Aplica-se diretamente a): especifique a quem essa política se aplica (grupo ou usuário).
Depois que todos esses parâmetros tiverem sido validados, a política será exibida na interface do contêiner de configurações de senha (em uma pasta que contém o nome inserido em "Nome").
Que ferramentas você pode usar para gerenciar seu FGPP?
Acabamos de ver como desenvolver uma política de senha (ou até mesmo várias políticas de senha) usando uma estratégia refinada.
No entanto, o nível de granularidade permitido pode não ser suficiente. Lembre-se de que, para o atributo "A senha deve estar em conformidade com os requisitos de segurança", você pode marcar ou desmarcar a caixa.
Para ir além das regras padrão incluídas no Active Directory e também para facilitar a implementação da política de senhas, recomendamos que você use um software dedicado, como o Specops Password Policy.
Com essa ferramenta, você pode :
- proteger suas políticas de senha obedecendo a determinados padrões (NCSC, NIST, ANSSI): tipo de caracteres, comprimento das senhas, bloqueio de determinadas expressões usando um dicionário personalizado, etc. ;
- beneficiar-se de funções adicionais, como o cálculo do tempo de validade de uma senha;
- filtrar senhas que tenham sido comprometidas ou que apareçam em listas de senhas vazadas, usando um banco de dados.
Se a sua empresa opera em um ambiente Active Directory, os FGPPs são essenciais para garantir um grau de granularidade de acordo com grupos ou usuários.
No entanto, o uso de uma solução específica adicional ainda é altamente recomendável para oferecer mais opções de definição da política de senhas, simplificar o gerenciamento e, acima de tudo, alinhá-lo com os padrões mais recentes... uma garantia de um nível ideal de segurança diante de um número cada vez maior de ataques cibernéticos!
Artigo traduzido do francês