Conceitos avançados das políticas de senha

Neste tópico, explicamos os conceitos e as práticas recomendadas de políticas de senha detalhadas (FGPP, na sigla em inglês).

Visão geral

É possível usar as políticas de senha reduzida (FGPP, na sigla em inglês) para definir e aplicar configurações de senha forte em um usuário ou grupo específico do Active Directory. Observe que as políticas de senha são diferentes da política de senha de domínio padrão, que é configurada por uma política de grupo e vinculada à raiz do domínio.

Os FGPPs são definidos em objetos de configuração de senha (PSO, na sigla em inglês). Cada PSO tem um valor de precedência que indica sua prioridade. Quanto menor esse valor, maior será a prioridade desse PSO. O Microsoft AD gerenciado cria dez PSOs com configurações padrão. Não é possível alterar os nomes ou as precedências desses PSSOs, mas é possível alterar as configurações. Saiba mais sobre os PSS pré-criados.

Configurações da política

Cada PSO pode conter as seguintes configurações de política.

Práticas recomendadas

Recomendamos as seguintes práticas para o uso do FGPP.

Número de políticas

Use três a cinco políticas de senha diferentes em uma organização para minimizar a sobrecarga de gerenciamento. Normalmente, as políticas de senha são definidas uma vez e não são alteradas com frequência.

Espaçamento de políticas

Em vez de usar precedências consecutivas, deixe espaço entre as políticas. Isso permite espaço para futuras alterações, como precedência, afeta a política resultante aplicada a um usuário, que está incluído em um grupo com várias políticas ou aninhamento.

Cenário

Em nossa organização de exemplo, temos os três grupos a seguir com necessidades distintas de políticas de senha.

  • Gerentes: os mais restritivos, altamente seguros
  • Departamento de TI: médio
  • Geral: menos segurança, mas mais fácil de usar

Administradores

As seguintes configurações de política de senha devem ser aplicadas aos administradores. É a política mais segura e, portanto, precisa ter a menor precedência, PSO-10. A prioridade mais baixa ajuda a garantir que, se houver um administrador em vários grupos, a política mais restritiva seja aplicada a ele.

Configurações da política do PSO-10
Complexidade ativada Verdadeiro
Duração do bloqueio 30 minutos
Janela de observação da fechadura 30 minutos
Limite de bloqueio 5
Idade máxima da senha 30 dias
Tamanho mínimo da senha 16
Contagem de histórico de senhas 24

Saiba como modificar uma política para corresponder a essas configurações e, em seguida, adicionar este grupo a esta política.

Departamento de TI

As configurações de política de senha a seguir devem ser aplicadas ao departamento de TI. Observe que o PSO-20 e o PSO-30 são ignorados para permitir a adição de políticas intermediárias no futuro.

Configurações da política PSO-40
Complexidade ativada Verdadeiro
Duração do bloqueio 30 minutos
Janela de observação da fechadura 30 minutos
Limite de bloqueio 10
Idade máxima da senha 60 dias
Tamanho mínimo da senha 10
Contagem de histórico de senhas 10

Saiba como modificar uma política para corresponder a essas configurações e, em seguida, adicionar este grupo a esta política.

Geral

As configurações de política de senha a seguir devem ser aplicadas ao grupo "Geral".

Configurações da política do PSO-80
Complexidade ativada Verdadeiro
Duração do bloqueio 30 minutos
Janela de observação da fechadura 30 minutos
Limite de bloqueio 15
Idade máxima da senha 90 dias
Tamanho mínimo da senha 8
Contagem de histórico de senhas 10

Saiba como modificar uma política para corresponder a essas configurações e, em seguida, adicionar este grupo a esta política.