Centro de orientações de segurança

Reforçando o uso de senha forte na sua organização

Publicado em: 10 de Maio de 2004 | Atualizado em: 10 de Maio de 2004
Nesta página
IntroduçãoIntrodução
Antes de começarAntes de começar
Implementando configurações de diretivas de senha passo a passoImplementando configurações de diretivas de senha passo a passo
Informações relacionadasInformações relacionadas

Introdução

A maioria dos usuários faz logon nos seus computadores locais e em computadores remotos usando uma combinação de nome de usuário e senha digitados via teclado. Embora tecnologias alternativas para autenticação, como biométrica, cartões inteligentes e senhas únicas, estejam disponíveis para todos os sistemas operacionais populares, a maioria das organizações ainda utiliza senhas tradicionais e continuará a fazê-lo no futuro. Portanto, é muito importante que as organizações definam e reforcem diretivas de senha para os computadores que incluam o uso obrigatório de senhas fortes. As senhas fortes atendem a uma série de requisitos de complexidade – incluindo as categorias de tamanho e caracteres – que dificultam a determinação das senhas por invasores. O estabelecimento de diretivas de senha forte para a sua organização pode ajudar a prevenir ataques de invasores que representam os usuários e, assim, pode ajudar a evitar a perda, a exposição ou a corrupção de informações confidenciais. Este documento explica como implementar diretivas de senha forte em computadores que executam os sistemas operacionais Microsoft® Windows® 2000, Windows XP e Windows Server™ 2003.

Dependendo de os computadores da sua organização serem membros de um domínio do Active Directory, computadores autônomos ou ambos, para implementar diretivas de senha forte, você precisará realizar uma das seguintes tarefas ou ambas:

Configurar as definições de diretivas de senha em um domínio do Active Directory.

Configurar definições de diretivas de senha em computadores autônomos.

Assim que você tiver configurado as definições de diretiva de senha adequadas, os usuários da sua organização poderão criar novas senhas apenas se as senhas atenderem aos requisitos de tamanho e complexidade de senhas fortes, e os usuários não poderão de alterar imediatamente suas novas senhas.

IMPORTANTE: todas as instruções passo a passo incluídas neste documento foram desenvolvidas com o uso do menu Iniciar que aparece por padrão quando seu sistema operacional é instalado. Caso você tenha modificado seu menu Iniciar, as etapas poderão ser um pouco diferentes.

Início da páginaInício da página

Antes de começar

Antes de configurar as diretivas de senha nos computadores da sua rede, você precisará identificar que configurações são relevantes, determinar que valores serão usados para as configurações e entender como o Windows armazena informações de configuração de diretivas de senha.

Observação: os sistemas operacionais Windows 95, Windows 98 e Windows Millennium Edition não oferecem suporte a recursos de segurança avançados, tais como diretivas de senha. Se a sua rede incluir computadores autônomos (computadores que não pertencem a um domínio) que executam nesses sistemas operacionais, você não poderá aplicar diretivas de senha neles. Se a sua rede incluir computadores que executam esses sistemas operacionais e que são membros de um domínio de serviço de diretório do Active Directory®, você poderá reforçar as diretivas de senha apenas no nível de domínio.

Identificando configurações relacionadas a diretivas de senha

Para o Windows 2000, Windows XP e Windows Server 2003, existem cinco configurações que podem ser definidas e que são relacionadas às características da senha: Aplicar histórico de senhas, Duração máxima da senha, Duração mínima da senha, Comprimento mínimo da senha e A senha deve satisfazer a requisitos de complexidade. Para obter ajuda na determinação dos valores dessas configurações que correspondam aos requisitos comerciais da sua organização, consulte "Selecting Secure Passwords" no Security Guidance Kit.

Aplicar histórico de senhas determina o número de novas senhas exclusivas que um usuário deve utilizar antes que uma senha antiga possa ser reutilizada. O valor desta configuração pode estar entre 0 e 24; se este valor for definido para 0, a opção para aplicar histórico de senhas será desativada. Na maioria das organizações, este valor deve ser definido para 24 senhas.

Duração máxima da senha determina quantos dias uma senha pode ser usada antes que o usuário precise alterá-la. O valor desta opção está entre 0 e 999; se for definido para 0, as senhas nunca expiram. Definir esta opção para um valor muito baixo pode causar frustração aos usuários; defini-la para um valor muito alto ou desativá-la confere aos potenciais invasores mais tempo para determinar as senhas. Na maioria das organizações, este valor deve ser definido para 42 dias.

Duração mínima da senha determina quantos dias um usuário deve manter as novas senhas antes de poder alterá-las. Esta definição foi criada para ser usada com a opção Aplicar histórico de senhas de modo que os usuários não possam redefinir rapidamente suas senhas o número de vezes necessárias e depois voltar para suas senhas antigas. O valor desta configuração pode estar entre 0 e 999; se este valor for definido para 0, os usuários poderão imediatamente alterar novas senhas. É recomendável que você defina este valor para 2 dias.

Minimum password length determina o tamanho mínimo da senha. Embora o Windows 2000, o Windows XP e o Windows Server 2003 ofereçam suporte a senhas de até 28 caracteres, o valor desta configuração só pode estar entre 0 e 4 caracteres. Se o valor for definido para 0, os usuários poderão ter senhas em branco, por isso não é recomendável usar o valor 0. Este valor deve ser definido para 8 caracteres.

A senha deve satisfazer a requisitos de complexidade determina se os requisitos de complexidade de senha estão sendo seguidos. Se esta configuração estiver ativada, as senhas de usuário atenderão aos seguintes requisitos:

A senha tem pelo menos seis caracteres de comprimento.

A senha contém caracteres de pelo menos três das cinco seguintes categorias:

Caracteres maiúsculos (A - Z)

Caracteres minúsculos (a - z)

Dígitos de base 10 (0 - 9)

Não-alfanuméricos (Por exemplo: !, $, #, ou %)

Caracteres Unicode

A senha não contém três ou mais caracteres do nome da conta do usuário.

Se o nome de conta for menor do que três caracteres, esta verificação não será realizada porque a taxa de rejeição das senhas seria muito alta. Durante a verificação do nome completo do usuário, vários caracteres são tratados como delimitadores que separam o nome em identificadores individuais: vírgulas, pontos, traços/hifens, sublinhados, espaços, libras esterlinas e tabulações. Nos identificadores com três ou mais caracteres de comprimento, este identificador é procurado na senha; se estiver presente, a alteração de senha será rejeitada. Por exemplo, o nome "Erin M. Hagens" seria dividido em três identificadores: "Erin", "M" e "Hagens". Como o segundo identificador tem apenas um caractere, ele seria ignorado. Portanto, este usuário não poderia ter uma senha que incluísse "erin" ou "hagens" como uma subseqüência de caracteres em qualquer parte da senha. Todas essas verificações não fazem distinção ente maiúsculas e minúsculas.

Esses requisitos de complexidade são aplicados na alteração de senha ou na criação de senhas novas. É recomendável que você ative esta configuração.

Entendendo como o sistema operacional Windows armazena informações de configuração de diretivas de senha

Antes de implementar as diretivas de senha na sua organização, você precisa entender como as informações de configuração de diretivas de senha são armazenadas no Windows 2000, Windows XP e Windows Server 2003. Isso ocorre porque os mecanismos para armazenar diretivas de senha limitam o número de diretivas de senha diferentes que podem ser implementados e afetam a forma de aplicação das configurações de diretivas de senha.

Só pode haver uma diretiva de senha para cada banco de dados de contas. Um domínio do Active Directory é considerado um banco de dados de contas único, assim como o banco de dados de contas local em computadores autônomos. Os computadores que são membros de um domínio também têm um banco de dados de contas local, mas a maior parte das organizações que implantou domínios do Active Directory requer que seus usuários façam logon em seus computadores e na rede utilizando contas baseadas em domínio. Conseqüentemente, se você especificar um tamanho de senha mínimo de 14 caracteres para um domínio, todos os usuários no domínio deverão utilizar senhas de 14 ou mais caracteres ao criarem novas senhas. Para estabelecer requisitos diferentes para um conjunto específico de usuários, você precisa criar um novo domínio para suas contas.

Os domínios do Active Directory utilizam objetos de diretiva de grupo (GPOs) para armazenar uma ampla variedade de informações de configuração, incluindo configurações de diretivas de senha. Embora o Active Directory seja um serviço de diretório hierárquico que oferece suporte a múltiplos níveis de unidades organizacionais (OUs) e vários GPOs, as configurações de diretivas de senha para o domínio devem ser definidas no recipiente raiz do domínio. Quando o primeiro controlador de domínio é criado para um novo domínio do Active Directory, dois GPOs são automaticamente criados: o GPO de Diretiva de Domínio Padrão e o GPO de Diretiva de Controladores de Domínio Padrão. A Diretiva de Domínio Padrão está vinculada ao recipiente raiz. Ela contém algumas configurações críticas no domínio incluindo as configurações de diretivas de senha padrão. A Diretiva de Controladores de Domínio Padrão está vinculada à OU de Controladores de Domínio e contém as configurações de segurança iniciais para os controladores de domínio.

A melhor prática é evitar modificar esses GPOs internos; caso precise aplicar configurações de diretivas de senha distintas das configurações padrão, é recomendável criar um novo GPO e vinculá-lo ao recipiente raiz do domínio ou a OU dos Controladores de Domínio e atribuir a ele uma prioridade mais alta do que a do GPO interno: se dois GPOs com configurações conflitantes estiverem vinculados ao mesmo recipiente, aquele com a prioridade mais alta assume precedência.

Início da páginaInício da página

Implementando configurações de diretivas de senha passo a passo

Esta seção fornece as seguintes instruções passo a passo para melhorar a segurança com a implementação de configurações de diretivas de senha nos computadores da sua organização.

Configurando definições de diretivas de senha em um domínio baseado no Active Directory.

Configurando definições de diretivas de senha em computadores autônomos.

Configurando definições de diretivas de senha em um domínio baseado no Active Directory.

Requisitos

Credenciais: você deve fazer logon como membro do grupo de administradores de domínio.

Ferramentas: Active Directory Users and Computers.

Implementar diretivas de senha nos sistemas de computadores que pertencem a um domínio do Active Directory

1.

Clique em Iniciar, clique em Painel de Controle, clique duas vezes em Ferramentas Administrativas e, em seguida, clique duas vezes em Active Directory Users and Computers.

2.

Clique com o botão direito do mouse no recipiente raiz do domínio:
Usuários e Computadores do Active Directory

Observação: as capturas de tela neste documento refletem um ambiente de teste e as informações talvez sejam diferentes daquelas exibidas na sua tela.

3.

Selecione Properties no menu que é exibido:
Usuários e Computadores do Active Directory

4.

Na caixa de diálogo de propriedades do seu domínio, clique na guia Group Policy e clique em New para criar um novo objeto de diretiva de grupo no recipiente raiz. Digite "Diretiva de Domínio" como o nome da nova diretiva e clique em Close.

Observação: a Microsoft recomenda que você crie um novo objeto de diretiva de grupo em vez de editar o objeto interno denominado Diretiva de Domínio Padrão, porque isso facilita a recuperação em caso de problemas sérios com as configurações de segurança. Se as novas configurações de segurança criarem problemas, você poderá desativar temporariamente o novo objeto de diretiva de grupo até isolar as configurações que causaram os problemas.

5.

Clique com o botão direito do mouse no recipiente raiz do domínio e clique em Properties.

6.

Na caixa de diálogo de propriedades, clique na guia Group Policy e selecione Domain Policy.

7.

Clique em Up para mover o novo GPO para o topo da lista e clique em Edit para abrir o Group Policy Object Editor para o GPO que você acabou de criar.

8.

Em Computer Configuration, navegue até a pasta Windows Settings\Security Settings\Account Policies\Password Policy.
Editor de Objeto de Diretiva de Grupo

9.

No painel de detalhes, clique duas vezes em Enforce password history, marque a caixa de seleção Define this policy setting, defina o valor de Keep password history para 24, e clique em OK.
Propriedades de Aplicar histórico de senhas

10.

No painel de detalhes, clique duas vezes em Maximum password age, marque a caixa de seleção Define this policy setting, defina o valor de Password will expire in para 42, clique em OK e, em seguida, clique em OK para fechar a janela Suggested Value Changes que é exibida.
Propriedades de Duração máxima da senha

11.

No painel de detalhes, clique duas vezes em Minimum Password Age, marque a caixa de seleção Define this policy setting, defina o valor de Password can be changed after para 2, e clique em OK.
Propriedades de Duração máxima da senha

12.

No painel de detalhes, clique duas vezes em Minimum Password Length, marque a caixa de seleção Define this policy setting, defina o valor de Password must be at least para 8, e clique em OK.
Propriedades de Comprimento Mínimo da Senha

13.

No painel de detalhes, clique duas vezes em Password must meet complexity requirements, marque a caixa de seleção Define this policy setting in the template, selecione Enabled, e clique em OK.
Propriedades de A senha deve satisfazer a requisitos de complexidade

14.

Feche o Group Policy Object Editor, clique em OK para fechar a caixa de diálogo de propriedades do domínio e saia do Active Directory Users and Computers.

Verificando novas configurações

Use o seguinte procedimento para verificar se as configurações de diretiva de senha apropriadas estão aplicadas e em vigor no GPO de Diretiva de Domínio. Verificar as configurações e sua operação garante que as diretivas de senha corretas serão aplicadas a todos os usuários no domínio.

Requisitos

Credenciais: você deve fazer logon como membro do grupo de administradores de domínio.

Ferramentas: Active Directory Users and Computers.

Verificar as configurações de diretiva de senha para um domínio do Active Directory

1.

Abra o Active Directory Users and Computer, clique com o botão direito do mouse no domínio e clique em Properties.

2.

Na caixa de diálogo de propriedades do seu domínio, clique na guia Group Policy, selecione o GPO de Diretiva de Domínio e clique em Edit para abrir o Group Policy Object Editor.

3.

Em Computer Configuration, vá para a pasta Windows Settings\Security Settings\Account Policies\Password Policy e verifique se as configurações coincidem com aquelas apresentadas aqui:
Editor de Objeto de Diretiva de Grupo

4.

Feche o Group Policy Object Editor, clique em OK para fechar a caixa de diálogo de propriedades do domínio e saia do Active Directory Users and Computers.

5.

Os usuários não podem especificar senhas com menos de 8 caracteres, não podem criar senhas não-complexas e não podem alterar imediatamente suas novas senhas.

Configurando definições de diretivas de senha em computadores autônomos

Credenciais: você deve fazer logon como membro do grupo Administradores.

Ferramentas: Local Security Policy.

Implementar a diretiva de senha em sistemas de computadores que não pertencem a um domínio do Active Directory

1.

Clique em Iniciar, clique em Painel de Controle, clique duas vezes em Ferramentas Administrativas e clique duas vezes em Local Security Policy.

2.

Navegue até a pasta Diretivas de Conta\Diretiva de Senha.

3.

No painel de detalhes, clique duas vezes em Enforce password history, defina o valor de Keep password history para 24 e clique em OK.

4.

No painel de detalhes, clique duas vezes em Maximum password age, defina o valor de Password will expire in para 42 e clique em OK.

5.

No painel de detalhes, clique duas vezes em Minimum Password Age, defina o valor de Password can be changed after para 2 e clique em OK.

6.

No painel de detalhes, clique duas vezes em Minimum Password Length, defina o valor de Password must be at least para 8 e clique em OK.

7.

No painel de detalhes, clique duas vezes em Password must meet complexity requirements, selecione Enabled e clique em OK.

8.

Feche a Diretiva de Segurança Local.

Verificando novas configurações

Use o seguinte procedimento para verificar se as configurações de diretivas de senha apropriadas estão configuradas e em vigor para os computadores autônomos na sua organização. Verificar as configurações e sua operação garante que as diretivas de senha corretas serão aplicadas a esses computadores.

Requisitos

Credenciais: você deve fazer logon como membro do grupo Administradores.

Ferramentas: Local Security Policy.

Verificar as configurações de diretiva de senha em sistemas de computadores que não pertencem a um domínio do Active Directory

1.

Abra a Local Security Policy, navegue até a pasta Diretivas de Conta\Diretiva de Senha e verifique se suas configurações coincidem com as apresentadas aqui:
Configurações de Segurança Local

2.

Feche a Local Security Policy.

3.

Os usuários não podem especificar senhas com menos de 8 caracteres, não podem criar senhas não-complexas e não podem alterar imediatamente suas novas senhas.

Início da páginaInício da página

Informações relacionadas

Para obter mais informações sobre as diretivas de senha e recursos relacionados com senhas no Windows, consulte o seguinte:

"Selecting Secure Passwords" no Security Guidance Kit

Account Passwords and Policies no site da Microsoft TechNet em http://go.microsoft.com/fwlink/?LinkId=22208 Este artigo contém links para páginas em inglês.


Início da páginaInício da página