Che cos'è la FGPP, ovvero come applicare una politica di password raffinata?

La FGPP, o strategia di password raffinata, si integra con i criteri di password applicati in Active Directory.

Che cos'ha di speciale? Autorizza protocolli diversi all'interno dello stesso dominio.

Questo è un grande vantaggio in un ambiente aziendale in cui le organizzazioni diventano sempre più complesse e in cui i diversi reparti accedono a un numero sempre maggiore di dati e applicazioni... con livelli diversi di sensibilità e criticità. Inoltre, la sicurezza informatica sta diventando un problema sempre più importante per le aziende.

Che cos'è esattamente l'FGPP e quali sono i suoi vantaggi? Ci sono differenze con una strategia di password distribuita tramite le GPO? Come si fa a impostare una Fine Grained Password Policy all'interno del proprio sistema informativo e quali sono gli strumenti che possono aiutarci in questo compito?

Diamo un'occhiata.

Vedere tutti i software IT Management

Che cos'è la FGPP?

FGPP è l'acronimo di Fine Grained Password Policy . Viene eseguito come parte di un criterio di password distribuito tramite Active Directory.

Come promemoria, Active Directory, o AD, è definita come una directory di servizi LDAP (Lightweight Directory Access Protocol) creata da Microsoft. Il suo scopo? Centralizzare gli elementi di identificazione e autenticazione all'interno di un unico sistema informativo in ambiente Windows.

Per raggiungere questo obiettivo, Active Directory è strutturata in vari oggetti di diverso tipo (risorse, utenti e servizi).

Per molto tempo, AD non ha permesso di applicare più strategie di password allo stesso dominio. Per questo motivo Microsoft ha sviluppato FGPP, con l'arrivo di Windows Server 2008. Di conseguenza, le aziende possono ora impostare criteri diversi senza dover creare nuovi domini.

☝️ Nota: un Fine Grained Password Policy può riguardare un utente o un gruppo, ma non un' unità organizzativa (contenitore amministrativo creato in un dominio).

Qual è la differenza con le GPO?

Le GPO (Group Policy Objects) sono un insieme di impostazioni dei Criteri di gruppo che definiscono un sistema e il suo comportamento per gli utenti associati.

La determinazione di un criterio di password attraverso le GPO rimane il metodo più diffuso, essendo stato consentito dall'introduzione di Active Directory nel 1999.

Cosa la rende speciale?

È configurato per impostazione predefinita nei criteri di dominio. Di conseguenza, le impostazioni dei criteri di password applicate agli utenti di un dominio sono quelle caratterizzate dalle sue GPO.

In altre parole, un unico criterio di password è in vigore per tutti gli utenti dello stesso dominio.

Quali sono i vantaggi e gli svantaggi?

FGPP e GPO hanno lo stesso elenco di vincoli (lunghezza minima richiesta, ad esempio). Tuttavia, come abbiamo appena visto, la loro applicazione è diversa.

Le GPO e le password complesse possono quindi andare di pari passo... ma è autorizzata una sola strategia per dominio. Questo vincolo costringe le aziende a moltiplicare i domini se vogliono applicare un criterio diverso a diversi utenti o gruppi di utenti.

Al contrario, con un criterio di password a grana fine, le organizzazioni godono di una maggiore flessibilità. Possono, ad esempio, richiedere password di lunghezza diversa a seconda dei servizi o della sensibilità dei dati a cui un particolare gruppo di dipendenti ha accesso.

Vediamo più da vicino come implementare una FGPP.

Come si implementano strategie di password raffinate?

Prerequisiti del FGPP

Esistono diversi prerequisiti per l'implementazione di un FGPP.

In primo luogo, è necessario avere almeno un livello operativo di Windows Server 2008, perché Fine Grained Password Policy è stato introdotto con questa versione.

In secondo luogo, la persona che esegue la configurazione deve essere un amministratore del dominio interessato. Per assicurarsi che ciò avvenga, nel Centro amministrativo di Active Directory (ADAC), sotto il nome del dominio, è stata inserita la seguente nota: "system\Password Settings Container".

Ordini di applicazione

Active Directory prevede una gerarchia nella directory, rappresentata sotto forma di struttura ad albero, per organizzare computer e utenti in gruppi e sottogruppi.

Di conseguenza, è necessario capire come agiscono gli ordini di applicazione di un FGPP.

1. Come promemoria, la strategia di password definita si applica a un utente o a un gruppo. Tuttavia, si consiglia la prima opzione. In questo modo, la politica scelta sarà automaticamente efficace per qualsiasi gruppo che includa l'utente in questione.
   
   
2. Se più criteri si applicano allo stesso utente o gruppo, il sistema darà la priorità a quello che contiene il valore più basso nell'attributo "Precedenza".
   Se i valori inseriti sono identici, la strategia con il GUID (Globally Unique IDentifier ) più piccolo avrà la precedenza.
   
   
3. Infine, quando un gruppo contiene altri gruppi (gruppi annidati), il protocollo si applica a tutti gli utenti di questi gruppi.

Parametri da inserire

Lunghezza della password, complessità, data di scadenza, ecc. Active Directory consente di gestire diversi parametri. Ecco come fare.

Avviare la console di Active Directory (negli strumenti di amministrazione di Windows), quindi fare clic su Contenitore impostazioni password > Nuovo > Impostazioni.

Una volta avviata l'interfaccia di configurazione, è necessario specificare le varie caratteristiche del proprio criterio di password. A tal fine, è necessario inserire i valori nei campi o selezionare/deselezionare le caselle in base alle proprie preferenze.

Ecco i vari parametri in questione:

• "Nome": è il nome della strategia di password. Idealmente, dovrebbe riflettere il gruppo o l'individuo interessato.
  
  
• " Precedenza: la Precedenza FGPP indica il valore utilizzato per stabilire le priorità, in particolare nei casi in cui a un utente o a un gruppo si applicano più criteri di password a grana fine. In questo caso, i numeri più piccoli hanno la precedenza.
  
  
• " Applicare la lunghezza minima della password", in numero di caratteri.
  
  
• "Applicare la cronologia delle password", per evitare che le password vengano riciclate.
  
  
• "La password deve soddisfare i requisiti di complessità ": questo attributo consente di scegliere se soddisfare o meno il livello di complessità richiesto. I requisiti di sicurezza applicati per impostazione predefinita operano su due livelli:
  • la password non deve contenere il nome dell' utente (valore amAccountName) o l'intero valore Full Name (displayName) ;
  • deve contenere caratteri appartenenti ad almeno 3 delle 5 categorie seguenti:
    • lettere maiuscole
    • lettere minuscole
    • numeri
    • caratteri speciali e caratteri Unicode classificati come caratteri alfabetici (ad esempio, caratteri delle lingue asiatiche).
      
      
• "Memorizza la password con crittografia reversibile": per motivi di sicurezza, questa opzione non è consigliata.
  
  
• "Proteggi dalla cancellazione accidentale".
  
  
• "Applicare l'età minima della password": Questo parametro controlla la durata minima della validità della password, per evitare che venga modificata troppo frequentemente. È possibile definire un valore compreso tra 1 e 998 giorni, oppure autorizzare immediatamente le modifiche indicando 0.
  
  
• "Applica l' età massima della password": Questa funzione determina quando la password deve essere rinnovata, poiché un rinnovo sufficientemente frequente è una delle condizioni per una sicurezza ottimale in un criterio di password. Definite un valore compreso tra 1 e 999 giorni, oppure inserite 0 se non volete che le password scadano.
  
  
• "Applicare la politica di blocco dell'account": questa impostazione include :
  • "Numero di tentativi di accesso falliticonsentiti",
  • "Azzeramento del conteggiodei tentativi di accesso falliti dopo",
  • "L'account sarà bloccato": l'account sarà bloccato per un periodo di un certo numero di minuti, o finché un amministratore non lo sbloccherà manualmente.
    
    
• " Descrizione": se necessario, è possibile aggiungere una descrizione. Specificare, ad esempio, la persona a cui sono indirizzati i vincoli, i suoi compiti e le sue responsabilità all'interno dell'azienda, ecc.
  
  
• "Direttamente applicabile a ": specificare a chi si applica questo criterio (gruppo o utente).

Una volta convalidati tutti questi parametri, il criterio appare nell'interfaccia del Contenitore impostazioni password (in una cartella contenente il nome inserito in "Nome").

Vedere tutti i software IT Management

Quali strumenti potete utilizzare per gestire la vostra FGPP?

Abbiamo appena visto come sviluppare un criterio di password (o anche più criteri di password) utilizzando una strategia raffinata.

Tuttavia, il livello di granularità consentito potrebbe non essere sufficiente. Ricordate che per l'attributo "La password deve essere conforme ai requisiti di sicurezza", potete selezionare o deselezionare la casella.

Per andare oltre le regole predefinite incluse in Active Directory, e anche per facilitare l'implementazione della vostra politica sulle password, vi consigliamo di utilizzare un software dedicato, come Specops Password Policy.

Con questo strumento è possibile :

• proteggere le vostre politiche sulle password rispettando determinati standard (NCSC, NIST, ANSSI): tipo di caratteri, lunghezza delle password, blocco di determinate espressioni tramite un dizionario personalizzato, ecc;
• usufruire di funzioni aggiuntive, come il calcolo della durata di validità di una password;
• filtrare le password compromesse o presenti negli elenchi di password trapelate, utilizzando un database.
  
  

Se la vostra azienda opera in un ambiente Active Directory, le FGPP sono essenziali per garantire un certo grado di granularità in base ai gruppi o agli utenti.

Tuttavia, l'uso di una soluzione specifica aggiuntiva è ancora altamente raccomandato per offrire più opzioni per la definizione della politica delle password, semplificare la gestione e, soprattutto, allinearsi agli standard più recenti... una garanzia di un livello ottimale di sicurezza di fronte a un numero sempre crescente di attacchi informatici!