Uma boa política de senha é o primeiro passo para proteger o ambiente e os dados da empresa. Sem uma política de senha em vigor, você pode ter certeza de que muitos usuários usarão uma senha que pode ser facilmente adivinhada/forçada com força bruta em menos de 5 minutos. A tabela abaixo mostra as 5 senhas mais usadas de 2019. Como você pode ver, elas não são seguras.
| 1 | 12345 |
| 2 | 123456 |
| 3 | 123456789 |
| 4 | teste 1 |
| 5 | senha |
Dê uma olhada nas Orientações sobre senhas da Microsoft para obter mais informações sobre senhas.
Somente Azure AD
Política de senha padrão
Ao usar o Azure Active Directory por conta própria (sem AD local com o Azure AD Connect), você usa automaticamente a política de senha do Azure AD. Veja os requisitos abaixo oudê uma olhada na documentação da Microsoft.
| Propriedade | Requisitos |
| Caracteres permitidos | A-Z uma-z 0 – 9 @ # $ % ^ & * – _ ! + = [ ] { } | \ : ‘ , . ? /`~”(); espaço em branco |
| Caracteres não permitidos | Caracteres Unicode. |
| Restrições de comprimento | Um mínimo de 8 caracteres e um máximo de 256 caracteres. |
| Restrições de senha | Requer três dos quatro dos seguintes Caracteres minúsculos. Caracteres maiúsculos. Números (0-9). Símbolos (veja as restrições de senha anteriores). |
| Expiração da senha | O valor padrão é 90 dias. |
| Notificação de expiração de senha | O valor padrão é 14 dias. |
| Histórico de alteração de senha | A última senhanão podeser usado novamente quando o usuário alterar uma senha. |
| Histórico de redefinição de senha | A última senhapodeser usado novamente quando o usuário redefinir uma senha esquecida. |
| Bloqueio de conta | Após 10 tentativas malsucedidas de login com a senha errada, o usuário será bloqueado por um minuto. Outras tentativas de login incorretas bloqueiam o usuário por períodos cada vez maiores.Bloqueio inteligenterastreia os últimos três hashes de senha inválidos para evitar o incremento do contador de bloqueio para a mesma senha. Se alguém inserir a mesma senha incorreta várias vezes, esse comportamento não causará o bloqueio da conta. |
Além dos requisitos acima, todos os locatários do Azure AD usamProteção de senha do Azure AD.Este recurso eliminará todas as senhas fracas, bloqueando senhas fracas conhecidas.
Lista global de senhas banidas
A Microsoft tem uma lista de senhas banidas globais que é mantida atualizada através da análise de dados de telemetria de segurança do Azure AD. Eles procuram senhas comumente usadas que sejam fracas e/ou comprometidas.É importante observar que a Microsoft não usa listas de senhas públicas/de terceiros–todos os dados vêm do próprio Azure AD.
Lista personalizada de senhas banidas
É possível adicionar uma lista personalizada de senhas banidas no topo da lista global. Dessa forma, você pode bloquear senhas focadas principalmente em termos específicos da organização, como nomes de marcas e nomes de produtos.
Avaliação de senha
A Microsoft usa as listas acima para determinar se uma senha é considerada segura. Para avaliar a força de uma nova senha, a Microsoft seguirá algumas etapas e aceitará ou rejeitará com base no resultado.Você pode encontrar alguma documentação interessante sobre issomas adicionarei uma breve visão geral para completar.
- A normalização é usada para mapear um pequeno conjunto de senhas para um conjunto muito maior. Eles substituirão todas as letras maiúsculas por minúsculas e serão realizadas substituições de caracteres comuns (um ‘O’ torna-se um ‘0’, um ‘I’ torna-se um ‘1’, …)
- A correspondência difusa é aplicada às senhas normalizadas, com base na distância de edição de uma comparação. Se ‘AzureScene’ estiver na lista de senhas e um usuário alterar sua senha para ‘BzureScene’, a senha será negada porque está dentro de uma distância de edição de 1 do AzureScene.
- A correspondência de substring é aplicada às senhas normalizadas. A correspondência de substring procurará o nome, o sobrenome e o nome do locatário na senha.
Depois de aplicar todas as etapas acima, uma pontuação de senha será calculada.É necessária uma pontuação de pelo menos 5 para que a senha seja aceita.
- Cada palavra banida recebe 1 ponto.
- Todos os personagens restantes recebem 1 ponto cada.
Como melhorar?
Desativar expiração de senha
A Microsoft recomenda desabilitar a expiração da senha.Observe que você definitivamente deve configurar a autenticação multifator antes de fazer isso!
- Navegue até oCentro de Administração do Microsoft 365e faça logon com um administrador global.
- Clique emConfiguraçõesseguido pelasegurança e privacidade.
- SelecionePolítica de expiração de senhaedesmarcarDefina as senhas dos usuários para expirarem após alguns dias.
Definir configurações personalizadas de bloqueio inteligente
O bloqueio inteligente pode bloquear invasores que estão tentando adivinhar as senhas dos seus usuários. O bloqueio inteligente pode reconhecer entradas provenientes de usuários válidos e, portanto, bloquear o invasor e permitir que os usuários continuem acessando suas contas. O bloqueio inteligente está incluído em todos os locatários do Azure AD, mas as configurações personalizadas exigirão o Azure AD P1 ou P2.
- Navegue até o portal do Azure e faça logon com uma conta que tenha as permissões apropriadas.
- Abra a folha do Azure Active Directory e clique emSegurança. Você encontrará isso na área ‘Gerenciar’.
- SelecioneMétodos de autenticação.
- SelecioneProteção de senha.
- Configurar olimite de bloqueioeduração do bloqueio em segundoscomo desejado. As configurações padrão são muito boas para começar (você não precisa fazer nada para habilitar isso).
Configurar senhas banidas personalizadas
As senhas banidas do cliente são configuradas na mesma folha do bloqueio inteligente personalizado (veja acima).
- Navegue até o portal do Azure e faça logon com uma conta que tenha as permissões apropriadas.
- Abra a folha do Azure Active Directory e clique emSegurança. Você encontrará isso na área ‘Gerenciar’.
- SelecioneMétodos de autenticação.
- SelecioneProteção de senha.
- HabilitarAplicar lista personalizada.
- Adicione palavras à sua lista personalizada.
- Opcionalmente: Habilite a proteção por senha no Active Directory.É necessário um agente no seu controlador de domínio para que isso funcione(olhe abaixo).
- Defina o modo paraAplicado.
Monitore usuários em risco
Configure a Proteção de Identidade do Azure AD, incluindo notificações por email para monitorar credenciais vazadas, entradas arriscadas e muito mais.Veja minha postagem no blog sobre Proteção de Identidade do Azure AD para obter mais informações.
Habilitar redefinição de senha de autoatendimento
A redefinição de senha de autoatendimento oferece aos usuários a capacidade de redefinir a senha ou desbloquear a conta sem ligar para o suporte.
Fique sem senha
A Microsoft recomenda não usar senha.Este recurso está além do escopo das postagens deste blog, mas será adicionado em um futuro próximo.
Diretório Ativo e Azure AD Connect
Ao usar um Active Directory local, a política de senha padrão do Azure AD não é usada.Sem uma política de senha local, os usuários podem alterar suas senhas para o que quiserem e elas serão sincronizadas com o Azure AD.É por isso que você deve configurar uma política de senha local.
Configurar política de senha local
Por padrão, todo Active Directory possui uma política de senha em vigor. É umcomputador(não usuário!) configuração noPolítica de domínio padrão. Esta política configurará o diretório ativo em todos os controladores de domínio para impor as configurações definidas.Por padrão, apenas uma política de senha é possível por domínio e todos os usuários terão a mesma política de senha. No entanto, é possível estender isso usando uma política de senha refinada.
Para editar a política de senha padrão, você precisa editar a Política de Domínio Padrão. Você pode encontrar todas as configurações de senha emConfiguração do computador > Políticas > Configurações do Windows > Configurações de segurança > Políticas de conta>Política de senha.
Aplicar histórico de senha
Esta política definirá quantas vezes uma senha pode ser reutilizada. Não há práticas recomendadas, mas um mínimo de 5 parece decente. Quando você define senhas para não expirarem (como deveria), 5 é perfeito.
Idade máxima e mínima da senha
A idade mínima da senha definirá a quantidade mínima de dias que um usuário precisa para manter sua nova senha antes que ela possa ser alterada novamente. A idade máxima da senha definirá os dias após os quais a senha expirará.
Desabilitar a expiração da senha é o novo padrão. É por isso que a idade máxima da senha deve ser definida como ‘0’. A idade mínima da senha deve ser definida como 1 ou mais para que a configuração do histórico de senha funcione.
Comprimento mínimo da senha
O comprimento mínimo da senha. Um mínimo de 8 caracteres alinhará isso com a política de senha do Azure AD. Um comprimento de senha inferior a 7 é considerado inseguro.
As senhas devem atender aos requisitos de complexidade
Esta configuração deve serhabilitado. As senhas devem atender à complexidade descrita abaixo.
- Não conter o nome da conta do usuário ou partes do nome completo do usuário que excedam dois caracteres consecutivos
- Contém personagens de três das seguintes categorias.
- Caracteres maiúsculos (A – Z
- Caracteres minúsculos (a – z)
- Dígitos básicos (0 – 9)
- Caracteres não alfabéticos (!$#%…)
Armazene senhas usando criptografia reversível
Isso deve serdesabilitado. Quando ativado, é possível descriptografar todas as senhas criptografadas no AD.
Habilitar a proteção de senha do Azure AD
É possível habilitar a proteção por senha do Azure AD para controladores de domínio locais. Se configurado, alterar ou redefinir uma senha local usará a mesma lista banida global e personalizada que uma alteração de senha no Azure AD.
A proteção de senha do Azure AD requer umagente a ser instalado em cada controlador de domínio. Solicitações de alteração/redefinição de senha enviadas a um controlador de domínio sem o agente não usarão proteção por senha.
A instalação do agente de proteção de senha do Azure AD está atualmente fora do escopo desta postagem.
E quanto ao bloqueio de conta?
Ativar a política de bloqueio de conta parece uma boa ideia a princípio, mas não deve ser considerada levianamente. Um invasor que tenha acesso a um computador em seu domínio pode facilmente bloquear todos em minutos.
Um invasor pode verificar a política de senha ativa com um comando simples (contas de rede/domínio). Nenhuma permissão de administrador é necessária. Se um limite de bloqueio estiver em vigor, o invasor poderá continuar obtendo todos os usuários no diretório com outro comando que não precisa de permissões de administrador (wmic UserAccount Get Name).
Depois de obter todos os usuários, você pode facilmente executar um loop que tentará fazer logon com todos os usuários da lista e uma senha aleatória. Assim que você atingir o limite de bloqueio, você passará para o próximo. Todo o domínio pode ser bloqueado em questão de minutos.
Em ambientes grandes aconselho a não configurar uma política de bloqueio de conta.
É isso, está tudo pronto e um pouco mais seguro!