:: PÁGINA DO FABIANO :: MANUAIS E SIMULADOS :: ARTIGOS E TUTORIAIS

Artigos

Windows Vista
Política de Senhas no Windows Vista

Autor: Fabiano de Santana

Certificações: MVP – MCSA 2000/2003 Security – MCSE 2000/2003 Security – ITIL Foundation
Data de criação: 01/11/2008

Este artigo aplica-se aos seguintes produtos e tecnologias:

Windows Vista.

Resumo

Neste artigo veremos os detalhes sobre a política de senhas no Windows Vista.

Diretivas de Segurança Local

Temos um componente muito importante no Windows Vista quando falamos em segurança. São as diretivas de segurança, as quais utilizamos para proteger os computadores em um ambiente corporativo ou doméstico. Com as diretivas de segurança podemos definir o que um usuário poderá fazer em seu computador e na rede.

Podemos implementar as diretivas de segurança usando modelos de segurança, que são arquivos contendo todas as configurações de segurança utilizadas para configurar um computador.

Assim como as contas de usuários e grupos de usuários, as diretivas de segurança também podem ser criadas e aplicadas localmente ou no domínio. Em pequenas empresas que não utilizam o AD, poderemos implementar as diretivas de segurança locais em cada computador da rede. Se a empresa for grande e utilizar o AD, poderemos implementar as diretivas de segurança de domínio, o que fará com que a administração da segurança da rede seja centralizada.

Para implementarmos as diretivas de segurança locais, deveremos abrir o console Diretiva de segurança local, localizado em Ferramentas Administrativas, no Painel de Controle.

Para implementarmos as diretivas de segurança de domínio, ou GPO, deveremos abrir o console Usuários e computadores do AD (Active Directory Users and Computers). As diretivas de domínio são mais conhecidas como Objetos de Diretiva de Grupo (GPO).

Um detalhe que não deveremos esquecer é sobre a ordem em que as GPO’s são aplicadas. Primeiramente são aplicadas as diretivas de segurança locais, seguidas pelas configurações do site, domínio e unidade organizacional.

No console Diretivas de segurança local do Windows Vista temos muitas opções de segurança. Nesse momento vamos focar apenas nas configurações voltadas para políticas de senha, que são as diretivas de conta.

As diretivas de conta afetam diretamente os parâmetros de segurança relacionadas com as contas de usuários. Dentro das diretivas de conta temos duas subdivisões: diretivas de senha e diretivas de bloqueio de conta.

Diretivas de senha

As diretivas de senha podem ser utilizadas tanto para contas locais quanto para contas de domínio. Temos as seguintes opções:

A senha deve satisfazer a requisitos de complexidade: este parâmetro é desabilitado por padrão no Windows Vista. Caso seja habilitado, as senhas das contas de usuário deverão atender os seguintes requisitos:

Não pode ser formada pelo nome da conta de usuário ou parte do nome da conta.

Deve possui caracteres de três dos quatro grupos abaixo:

Letras maiúsculas (A-Z).

Letras minúsculas (a-z).

Números (0-9).

Caracteres especiais (!, #, %, $, etc).

Aplicar histórico de senhas: define se os usuários poderão reutilizar suas senhas. Vamos supor que esse parâmetro seja configurado com o valor 2. Isso significa que as próximas duas vezes que o usuário alterar sua senha, não poderá reutilizar sua senha atual. Podemos configurar esse parâmetro com valores de 0 a 24.

Armazenar senhas usando criptografia reversível: Esse parâmetro vem desabilitado por padrão e é a configuração recomendada da Microsoft. Essa opção faz com que as senhas sejam armazenadas em texto claro, sem criptografia. É utilizado apenas por questão de compatibilidade com algumas aplicações e protocolos.

Comprimento mínimo da senha: esse parâmetro define o tamanho mínimo da senha. O valor 0 define que a senha não será obrigatória. Os valores permitidos variam de 0 a 14. O valor padrão para o Windows Vista é 0.

Tempo de vida máximo da senha: esse parâmetro define de quanto em quanto tempo as senhas deverão ser trocadas. Recomendo que esse parâmetro seja utilizado juntamente com o histórico de senhas, pois de nada adianta você definir que a senha deverá ser trocada mensalmente, se o usuário puder utilizar sempre as mesmas senhas. O valor padrão é 42 dias, e os valores podem variar de 0 a 999.

Tempo de vida mínimo da senha: esse parâmetro define o tempo mínimo no qual você poderá alterar sua senha novamente. Vamos supor que eu configurei esse parâmetro com o valor 5 (dia) e troquei minha senha hoje. Agora eu só poderei trocar minha senha novamente daqui a 5 dias.

Vejam que com todos esses parâmetros já conseguimos criar uma política de senha bem interessante. E temos ainda mais alguns parâmetros referentes ao bloqueio das contas, os quais veremos agora.

Diretivas de bloqueio de conta

As diretivas de bloqueio de conta definem qual será o comportamento do Windows caso o usuário digite sua senha incorretamente varias vezes. Lembrando que esse erro de digitação de senhas pode ser causado por algum tipo de ataque em seu computador. Por isso é extremamente importante o uso das diretivas de bloqueio de conta.

Os seguintes parâmetros estão disponíveis:

Duração do bloqueio de conta: define o tempo no qual a conta do usuário ficará bloqueada. Os valores disponíveis variam e 0 até 99999. O valor zero define que a conta nunca será desbloqueada automaticamente. Nesse caso, o administrador de redes deverá fazer o desbloqueio da conta de usuário. Caso uma conta esteja bloqueada, a propriedade “Conta bloqueada” da conta de usuário será habilitada. Lembrando que essa propriedade é habilitada apenas automaticamente, não podemos habilitá-la manualmente. Esse parâmetro só pode ser habilitado quando o parâmetro limite de bloqueio de conta for habilitado.

Conta bloqueada

Limite do bloqueio de conta: esse parâmetro define a quantidade de vezes que o usuário poderá errar sua senha até que a conta seja bloqueada. Caso a conta seja bloqueada não poderá ser utilizada até que o administrador faça o desbloqueio ou até que o tempo de bloqueio da conta seja expirado. Esse parâmetro aceita valores de 0 a 999, onde o valor 0 significa que esse parâmetro estará desativado. Por padrão, o limite do bloqueio de conta é desativado.

Zerar contador de bloqueio de conta após: define o intervalo em minutos no qual as tentativas de logon incorretas serão computadas. Ou seja, se eu definir esse parâmetro com o valor 15 minutos, e o parâmetro limite de bloqueio de conta com o valor 3, isso significa que se dentro desses 15 minutos eu digitar minha senha incorretamente 3 vezes, já era, senha bloqueada. Agora, se eu errar a minha senha apenas duas vezes dentro desse período, e aguardar os 15 minutos, o contador de logons incorretos será zerado e eu poderei tentar logar novamente.

Vamos para alguns exemplos práticos onde aprenderemos a criar uma política de senha forte. Vamos criar a seguinte política de senhas:

A senha deve satisfazer a requisitos de complexidade: ativado
Aplicar histórico de senhas: 10.
Armazenar senhas usando criptografia reversível: desativado.
Comprimento mínimo da senha: 10.
Tempo de vida máximo da senha: 30.
Tempo de vida mínimo da senha: 5.
Duração do bloqueio de conta: 0.
Limite do bloqueio de conta: 3.
Zerar contador de bloqueio de conta após: 120.

Exemplo prático – Configurar a diretiva de conta.

Abra o console Diretiva de segurança local. A tela abaixo será exibida.