Imporre cronologia delle password

Si applica a

  • Windows 10

Descrive le procedure consigliate, la posizione, i valori, la gestione dei criteri e le considerazioni sulla sicurezza per l'impostazione applica criteri di sicurezza della cronologia delle password .

Informazioni di riferimento

L'impostazione Applica criteri cronologia password determina il numero di nuove password univoche che devono essere associate a un account utente prima di poter riutilizzare una vecchia password. Il riutilizzo delle password rappresenta un problema importante in qualsiasi organizzazione. Molti utenti desiderano riutilizzare la stessa password per il proprio account per un lungo periodo di tempo. Più a lungo viene usata la stessa password per un determinato account, maggiore è la possibilità che un utente malintenzionato possa determinare la password tramite attacchi di forza bruta. Se gli utenti devono modificare la propria password, ma possono riutilizzare una vecchia password, l'efficacia di un criterio di buona password viene notevolmente ridotta.

La specifica di un numero basso per l' applicazione della cronologia delle password consente agli utenti di usare ripetutamente lo stesso numero limitato di password. Se non si imposta anche l' età minimaper la password, gli utenti possono modificare la password tutte le volte che si vuole per riutilizzare la password originale.

Valori possibili

  • Numero specificato dall'utente compreso tra 0 e 24
  • Non definito

Procedure consigliate

  • Impostare applica cronologia password a 24. Ciò consentirà di mitigare le vulnerabilità causate dal riutilizzo delle password.
  • Impostare la password massima per la scadenza delle password tra 60 e 90 giorni. Provare a scadono le password tra i cicli aziendali principali per evitare perdite di lavoro.
  • Configurare l' età minima per la password in modo da non consentire la modifica immediata delle password.

Posizione

Criteri di Configuration\Windows Settings\Security Settings\Account Policies\Password

Valori predefiniti

Nella tabella seguente sono elencati i valori dei criteri predefiniti effettivi ed effettivi. I valori predefiniti sono elencati anche nella pagina delle proprietà del criterio.

Tipo di server o GPO Valore predefinito
Criteri dominio predefiniti 24 password ricordate
Criteri di Domain controller predefiniti Non definito
Impostazioni predefinite del server autonomo 0 password ricordate
Impostazioni predefinite valide per domain controller 24 password ricordate
Impostazioni predefinite effettive del server membri 24 password ricordate
Impostazioni di GPO valide per i computer client 24 password ricordate

Gestione dei criteri

Questa sezione descrive le caratteristiche, gli strumenti e le indicazioni utili per gestire questo criterio.

Richiesta di riavvio

Nessuna. Le modifiche apportate a questo criterio diventano effettive senza riavviare un dispositivo quando vengono salvate localmente o distribuite tramite criteri di gruppo.

Considerazioni sulla sicurezza

Questa sezione descrive come un autore di un attacco può approfittare di una funzionalità o di una configurazione, come implementare contromisure e le possibili conseguenze negative dell'implementazione di contromisure.

Vulnerabilità

Più a lungo l'utente usa la stessa password, maggiore è la probabilità che un aggressore possa determinare la password tramite attacchi di forza bruta. Inoltre, gli eventuali account compromessi rimarranno sfruttabili per tutto il tempo in cui la password rimane invariata. Se sono necessarie modifiche alle password ma il riutilizzo delle password non viene impedito oppure se gli utenti riusano continuamente un numero limitato di password, l'efficacia di un criterio di buona password viene notevolmente ridotta.

Se specifichi un numero basso per questa impostazione, gli utenti possono usare ripetutamente lo stesso numero limitato di password. Se non si configura anche l'impostazione di criteri per l' età minima password , gli utenti potrebbero modificare ripetutamente le password finché non possono riutilizzare la password originale.

Nota: dopo la compromissione di un account, un semplice reimpostazione della password potrebbe non essere sufficiente per limitare un utente malintenzionato perché l'utente malintenzionato potrebbe aver modificato l'ambiente dell'utente in modo che la password venga restituita a un valore noto automaticamente in un determinato momento. Se un account è stato compromesso, è consigliabile eliminare l'account e assegnare all'utente un nuovo account dopo che tutti i sistemi interessati sono stati ripristinati in normali operazioni e verificato che non siano più compromessi.

Contromisura

Configurare l'impostazione Applica criteri cronologia password su 24 (impostazione massima) per ridurre al minimo il numero di vulnerabilità causate dal riutilizzo delle password.

Affinché l'impostazione di questo criterio sia efficace, è necessario configurare anche i valori effettivi per le impostazioni minime per l' età delle password e per i criteri di età massima password .

Impatto potenziale

L'impatto principale della configurazione dell'impostazione applica cronologia password a 24 è che gli utenti devono creare una nuova password ogni volta che è necessario modificarne uno precedente. Se gli utenti sono tenuti a modificare le proprie password in nuovi valori univoci, esiste un rischio maggiore per gli utenti che scrivono le proprie password in un punto qualsiasi, in modo da non dimenticarle. Un altro rischio consiste nel fatto che gli utenti possono creare password che cambiano in modo incrementale, ad esempio password01, password02 e così via, per facilitare la memorizzazione, ma ciò rende più facile indovinare un aggressore. Inoltre, un valore troppo basso per l'impostazione del criterio età massima password rischia di aumentare il sovraccarico amministrativo perché gli utenti che dimenticano le password potrebbero chiedere all'help desk di reimpostarli di frequente.

Argomenti correlati