Validità massima password

Si applica a

  • Windows 10

Descrive le procedure consigliate, la posizione, i valori, la gestione dei criteri e le considerazioni sulla sicurezza per l'impostazione di criteri di sicurezza per l' età massima password .

Informazioni di riferimento

L'impostazione del criterio età massima password determina il periodo di tempo (in giorni) in cui può essere usata una password prima che il sistema richieda all'utente di modificarlo. Per impostare le password in scadenza dopo un numero di giorni compreso tra 1 e 999, è possibile specificare che le password non scadono mai impostando il numero di giorni su 0. Se l' età massima per la password è compresa tra 1 e 999 giorni, l'età minima per la password deve essere inferiore all'età massima della password. Se l' età massima per la password è impostata su 0, l' età minima per la password può essere qualsiasi valore compreso tra 0 e 998 giorni.

Nota: l'impostazione dell' età massima per la password per-1 equivale a 0, quindi non scade mai. Impostarla su qualsiasi altro numero negativo equivale a impostarla su non definita.

Valori possibili

  • Numero di giorni specificato dall'utente compreso tra 0 e 999
  • Non definito

Procedure consigliate

Impostare l' età massima delle password su un valore compreso tra 30 e 90 giorni, a seconda dell'ambiente. In questo modo, un utente malintenzionato ha un periodo di tempo limitato per compromettere la password e avere accesso alle risorse di rete.

Posizione

Criteri di Configuration\Windows Settings\Security Settings\Account Policies\Password

Valori predefiniti

Nella tabella seguente sono elencati i valori dei criteri predefiniti effettivi ed effettivi. I valori predefiniti sono elencati anche nella pagina delle proprietà del criterio.

Oggetto Criteri di gruppo o tipo di server (GPO) Valore predefinito
Criteri dominio predefiniti 42 giorni
Criteri di Domain controller predefiniti Non definito
Impostazioni predefinite del server autonomo 42 giorni
Impostazioni predefinite valide per domain controller 42 giorni
Impostazioni predefinite effettive del server membri 42 giorni
Impostazioni di GPO valide per i computer client 42 giorni

Gestione dei criteri

Questa sezione descrive le caratteristiche, gli strumenti e le indicazioni utili per gestire questo criterio.

Richiesta di riavvio

Nessuna. Le modifiche apportate a questo criterio diventano effettive senza riavviare il computer quando vengono salvate localmente o distribuite tramite criteri di gruppo.

Considerazioni sulla sicurezza

Questa sezione descrive in che modo un utente malintenzionato potrebbe sfruttare una caratteristica o la sua configurazione, come implementare la contromisura e le possibili conseguenze negative dell'implementazione.

Vulnerabilità

Più a lungo esiste una password, maggiore è la probabilità che venga compromessa da un attacco di forza bruta, da un aggressore che acquisisce informazioni generali sull'utente o dall'utente che condivide la password. Configurare l'impostazione di criteri di età massima password su 0 in modo che gli utenti non siano mai tenuti a modificare le proprie password consentano l'uso di una password compromessa dall'utente malintenzionato per tutto il tempo in cui l'utente valido è autorizzato ad accedere.

Considerazioni

Le modifiche apportate alle password sono una pratica di sicurezza di lunga data, ma la ricerca corrente indica fortemente che la scadenza della password ha un effetto negativo. Per altre informazioni, vedere indicazioni sulla password Microsoft .

Configurare l'impostazione di criteri di età massima password su un valore adatto per i requisiti aziendali dell'organizzazione. Ad esempio, molte organizzazioni hanno mandati di conformità o assicurazione che richiedono una breve durata sulle password. Quando esiste un requisito di questo tipo, è possibile usare l'impostazione di criteri per l' età massima password per soddisfare i requisiti aziendali.

Impatto potenziale

Se l'impostazione del criterio durata massima password è troppo bassa, è necessario che gli utenti modifichino le proprie password molto spesso. Una configurazione di questo tipo può ridurre la sicurezza dell'organizzazione perché gli utenti potrebbero conservare le password in una posizione non protetta o perderle. Se il valore per l'impostazione di questo criterio è troppo elevato, il livello di sicurezza all'interno di un'organizzazione viene ridotto perché consente agli aggressori potenziali più tempo per individuare le password degli utenti o usare gli account compromessi.

Argomenti correlati