TechNet Home > Sicurezza > Security Guidance Center

Applicazione dell'utilizzo di password complesse nell'organizzazione

In questa pagina
IntroduzioneIntroduzione
Prima di iniziarePrima di iniziare
Procedure dettagliate di implementazione delle impostazioni del criterio passwordProcedure dettagliate di implementazione delle impostazioni del criterio password
Informazioni correlateInformazioni correlate

Introduzione

La maggior parte degli utenti accede al computer locale e ai computer remoti digitando sulla tastiera una combinazione di nome utente e password. Sebbene siano disponibili tecnologie alternative di autenticazione per tutti i sistemi operativi comuni, quali biometrica, smart card e password da utilizzare una sola volta, la maggior parte delle organizzazioni si affida ancora alle password tradizionali e continuerà a utilizzarle in futuro. Pertanto è estremamente importante che le organizzazioni definiscano e applichino criteri password per i computer che prevedano l'utilizzo obbligatorio di password complesse. Le password complesse sono conformi a vari requisiti di complessità, incluse le categorie relative alla lunghezza e al numero di caratteri, che ne rendono più difficile la determinazione ai pirati informatici. La definizione di criteri per password complesse nell'organizzazione può impedire ai pirati informatici di rappresentare gli utenti e consente pertanto di prevenire la perdita, l'esposizione o il danneggiamento delle informazioni riservate. In questo documento viene illustrata l'implementazione dei criteri per password complesse nei computer basati su sistemi operativi Microsoft® Windows® 2000, Windows XP e Windows Server™ 2003.

A seconda che i computer dell'organizzazione siano membri di un dominio di Active Directory, computer autonomi o di entrambi i tipi, per implementare i criteri relativi a password complesse è necessario eseguire una o entrambe le seguenti operazioni:

Configurazione delle impostazioni del criterio password in un dominio di Active Directory

Configurazione delle impostazioni del criterio password nei computer autonomi

Dopo aver configurato le impostazioni del criterio password appropriate, gli utenti all'interno dell'organizzazione potranno creare nuove password solo se queste sono conformi ai requisiti di lunghezza e complessità delle password complesse e non potranno modificare immediatamente le nuove password.

IMPORTANTE: tutte le procedure dettagliate incluse in questo documento sono state formulate in base al menu di avvio che viene visualizzato per impostazione predefinita quando si installa il sistema operativo. Se il menu di avvio è stato modificato, la procedura potrebbe essere leggermente diversa.

Inizio paginaInizio pagina

Prima di iniziare

Prima di configurare i criteri password nei computer della rete, è necessario identificare le impostazioni rilevanti, determinare i valori da utilizzare per tali impostazioni e comprendere la modalità con cui Windows archivia le informazioni di configurazione del criterio password.

Nota: i sistemi operativi Windows 95, Windows 98 e Windows Millennium Edition non supportano funzionalità di protezione avanzate quali i criteri password. Se la rete include computer autonomi (computer che non appartengono a un dominio) basati su questi sistemi operativi, non sarà possibile applicare ad essi i criteri password. Nel caso in cui la rete includa computer membri di un dominio del servizio Active Directory® basati su questi sistemi operativi, sarà possibile applicare i criteri password solo a livello di dominio.

Identificazione delle impostazioni correlate ai criteri password

Per Windows 2000, Windows XP e Windows Server 2003 è possibile configurare cinque impostazioni correlate alle caratteristiche delle password: Imponi cronologia delle password, Validità massima password, Validità minima password, Lunghezza minima password e Le password devono essere conformi ai requisiti di complessità. Per informazioni sulla determinazione di valori conformi ai requisiti aziendali dell'organizzazione per queste impostazioni, vedere "Scelta di password sicure" nel Kit di guida per la protezione.

L'opzione Imponi cronologia delle password determina il numero di nuove password univoche che un utente deve utilizzare prima di poter ripristinare una vecchia password. Il valore di questa impostazione può essere compreso tra 0 e 24; se il valore viene impostato su 0, l'opzione Imponi cronologia delle password viene disattivata. Per la maggior parte delle organizzazioni, è consigliabile impostare questo valore su 24 password.

L'opzione Validità massima password determina il numero di giorni in cui è possibile utilizzare una password prima che venga richiesto all'utente di modificarla. Il valore di questa impostazione deve essere compreso tra 0 e 999; se viene impostato su 0, le password non scadono mai. L'impostazione di un valore troppo basso può risultare scomodo per gli utenti, mentre l'impostazione di un valore troppo alto o la disattivazione dell'opzione concede ai potenziali pirati informatici una maggiore quantità di tempo per la determinazione delle password. Per la maggior parte delle organizzazioni, è consigliabile impostare questo valore su 42 giorni.

L'opzione Validità minima password determina il numero di giorni in cui un utente deve mantenere le nuove password prima di poterle modificare. Questa impostazione è stata creata per l'utilizzo combinato con l'opzione Imponi cronologia delle password in modo da evitare che gli utenti possano reimpostare rapidamente le password per il numero di volte necessario fino a ripristinare le vecchie password. Il valore di questa impostazione può essere compreso tra 0 e 999; se viene impostato su 0, gli utenti possono modificare immediatamente le nuove password. Si consiglia di impostare questo valore su 2 giorni.

L'opzione Lunghezza minima password determina il numero minimo di caratteri consentito per le password. Sebbene Windows 2000, Windows XP e Windows Server 2003 supportino password costituite da un massimo di 28 caratteri, il valore di questa impostazione può essere compreso solo tra 0 e 4 caratteri. Se questo valore viene impostato su 0, gli utenti possono utilizzare password vuote; pertanto è preferibile non utilizzare il valore 0. Si consiglia invece di impostare questo valore su 8 caratteri.

L'opzione Le password devono essere conformi ai requisiti di complessità determina se imporre o meno la complessità delle password. Se questa impostazione è disattivata, le password degli utenti devono essere conformi ai seguenti requisiti:

La password è costituita da almeno sei caratteri.

La password contiene caratteri appartenenti ad almeno tre delle seguenti cinque categorie:

Caratteri maiuscoli dell'alfabeto inglese (A - Z).

Caratteri minuscoli dell'alfabeto inglese (A - Z).

10 cifre di base (0 - 9).

Non alfanumerici (ad esempio, !, $, # o %).

Caratteri Unicode.

La password non contiene tre o più caratteri del nome di account dell'utente.

Se il nome di account è costituito da meno di tre caratteri, questo controllo non viene eseguito poiché la percentuale di password rifiutate sarebbe troppo elevata. Durante il controllo a fronte del nome completo dell'utente, diversi caratteri vengono considerati come delimitatori che suddividono il nome in singoli token: virgole, punti, trattini, caratteri di sottolineatura, spazi, segni cancelletto e tabulazioni. Per ogni token costituito da tre o più caratteri, viene eseguita la relativa ricerca nella password; se il token è presente, la modifica della password viene rifiutata. Ad esempio, il nome "Francesca M. Leonetti" verrebbe suddiviso in tre token: "Francesca", "M" e "Leonetti". Poiché il secondo token è costituito da un solo carattere, verrebbe ignorato. Pertanto l'utente non potrebbe disporre di una password che includa in un punto qualsiasi "Francesca" o "Leonetti" come sottostringa. In tutti questi controlli non viene effettuata distinzione tra maiuscole e minuscole.

Tali requisiti di complessità vengono applicati alla modifica delle password o alla creazione di nuove password. Si consiglia di attivare questa impostazione.

Modalità di archiviazione delle informazioni di configurazione del criterio password nel sistema operativo Windows

Prima di implementare i criteri password nell'organizzazione, è necessario esaminare la modalità con cui le informazioni di configurazione vengono archiviate in Windows 2000, Windows XP e Windows Server 2003, in quanto tale meccanismo di archiviazione limita il numero dei diversi criteri password che è possibile implementare e influisce sull'applicazione delle impostazioni relative a tali criteri.

Per ogni database di account deve esistere un singolo criterio password. Un dominio di Active Directory viene considerato un singolo database di account, esattamente come il database di account locale nei computer autonomi. I computer membri di un dominio dispongono anche di un database di account locale, ma la maggior parte delle organizzazioni che hanno distribuito domini di Active Directory richiede agli utenti di accedere ai computer e alla rete mediante account di dominio. Di conseguenza, se si specifica una lunghezza minima di 14 caratteri per la password di un dominio, tutti gli utenti del dominio devono utilizzare 14 o più caratteri durante la creazione di nuove password. Per stabilire requisiti diversi per un insieme specifico di utenti, è necessario creare un nuovo dominio per i relativi account.

I domini di Active Directory utilizzano gli oggetti Criteri di gruppo (GPO) per archiviare una vasta gamma di informazioni di configurazione, incluse le impostazioni del criterio password. Sebbene Active Directory sia un servizio directory gerarchico che supporta più livelli di unità organizzative (OU) e più oggetti Criteri di gruppo, le impostazioni del criterio password per il dominio devono essere definite nel contenitore principale del dominio. Quando viene creato il primo controller di dominio per un nuovo dominio di Active Directory, vengono creati automaticamente due oggetti Criteri di gruppo: Criterio dominio predefinito e Criterio controller di dominio predefinito. L'oggetto Criterio dominio predefinito è collegato al contenitore principale e include un'impostazione critica a livello di dominio che comprende le impostazioni predefinite del criterio password. L'oggetto Criterio controller di dominio predefinito è collegato all'unità organizzativa Controller di dominio e contiene le impostazioni iniziali di protezione per i controller di dominio.

È consigliabile evitare di modificare questi oggetti Criteri di gruppo incorporati. Se è necessario applicare impostazioni del criterio password diverse da quelle predefinite, è preferibile creare invece un nuovo oggetto Criteri di gruppo e collegarlo al contenitore principale del dominio o all'unità organizzativa Controller di dominio e assegnare ad esso un livello di priorità più elevato rispetto all'oggetto Criteri di gruppo incorporato: Se i due oggetti Criteri di gruppo con impostazioni in conflitto sono collegati allo stesso contenitore principale, quello con la priorità più alta avrà la precedenza.

Inizio paginaInizio pagina

Procedure dettagliate di implementazione delle impostazioni del criterio password

In questa sezione vengono riportate le seguenti procedure dettagliate per il miglioramento della protezione tramite l'implementazione delle impostazioni del criterio password nei computer dell'organizzazione.

Configurazione delle impostazioni del criterio password in un dominio di Active Directory

Configurazione delle impostazioni del criterio password nei computer autonomi.

Configurazione delle impostazioni del criterio password in un dominio di Active Directory.

Requisiti

Credenziali: è necessario accedere come membro del gruppo Domain Admins.

Strumenti: Utenti e computer di Active Directory.

Per implementare il criterio password nei sistemi che appartengono a un dominio di Active Directory

1.

Fare clic su Start, scegliere Pannello di controllo, Strumenti di amministrazione, quindi Utenti e computer di Active Directory.

2.

Fare clic con il pulsante destro del mouse sul contenitore principale del dominio:
Utenti e computer di Active Directory

Nota: le schermate contenute in questo documento riflettono un ambiente di prova e le informazioni riportate potrebbero essere diverse da quelle visualizzate sullo schermo.

3.

Scegliere Proprietà nel menu visualizzato:
Utenti e computer di Active Directory

4.

Nella finestra di dialogo delle proprietà relative al dominio, selezionare la scheda Criteri di gruppo, quindi fare clic su Nuovo per creare un nuovo oggetto Criteri di gruppo nel contenitore principale. Digitare "Criterio dominio" per il nome del nuovo criterio, quindi fare clic su Chiudi.

Nota: Microsoft consiglia di creare un nuovo oggetto Criteri di gruppo anziché modificare quello incorporato denominato Criterio dominio predefinito, poiché in questo modo risulta molto più semplice effettuare il ripristino in seguito a problemi gravi relativi alle impostazioni di protezione. Se le nuove impostazioni di protezione causano problemi, è possibile disattivare temporaneamente il nuovo oggetto Criteri di gruppo fino a quando non sono state identificate le impostazioni responsabili.

5.

Fare clic con il pulsante del mouse sul contenitore principale del dominio, quindi scegliere Proprietà.

6.

Nella finestra di dialogo delle proprietà, fare clic sulla scheda Criteri di gruppo, quindi selezionare Criterio dominio.

7.

Fare clic su Su per spostare il nuovo oggetto Criteri di gruppo all'inizio dell'elenco, quindi fare clic su Modifica per aprire l'Editor oggetti Criteri di gruppo per il GPO appena creato.

8.

In Configurazione computer, selezionare la cartella Impostazioni di Windows\Impostazioni protezione\Criteri account\Criterio password.
Editor oggetti Criteri di gruppo

9.

Nel riquadro dei dettagli, fare doppio clic su Imponi cronologia delle password, selezionare la casella di controllo Definisci le impostazioni relative al criterio, impostare il valore dell'opzione Conserva cronologia password per su 24, quindi fare clic su OK.
Proprietà - Imponi cronologia delle password

10.

Nel riquadro dei dettagli, fare doppio clic su Validità massima password, selezionare la casella di controllo Definisci le impostazioni relative al criterio, impostare il valore dell'opzione La password scadrà tra su 42, fare clic su OK, quindi di nuovo su OK per chiudere la finestra Cambiamenti ai valori suggeriti che viene visualizzata.
Proprietà - Validità massima password

11.

Nel riquadro dei dettagli, fare doppio clic su Validità minima password, selezionare la casella di controllo Definisci le impostazioni relative al criterio, impostare il valore dell'opzione La password può essere cambiata dopo su 2, quindi fare clic su OK.
Proprietà - Validità minima password

12.

Nel riquadro dei dettagli, fare doppio clic su Lunghezza minima password, selezionare la casella di controllo Definisci le impostazioni relative al criterio, impostare il valore dell'opzione La password deve contenere almeno su 8, quindi fare clic su OK.
Proprietà - Lunghezza minima password

13.

Nel riquadro dei dettagli, fare doppio clic su Le password devono essere conformi ai requisiti di complessità, selezionare la casella di controllo Definisci questa impostazione nel modello, selezionare Abilitati, quindi fare clic su OK.
Proprietà - Le password devono essere conformi ai requisiti di complessità

14.

Chiudere l'Editor oggetti Criteri di gruppo, fare clic su OK per chiudere la finestra di dialogo delle proprietà del dominio, quindi uscire da Utenti e computer di Active Directory.

Verifica di nuove impostazioni

La procedura seguente consente di verificare se le impostazioni del criterio password applicate nell'oggetto Criteri di gruppo Criterio dominio sono appropriate ed efficienti. La verifica delle impostazioni e del relativo funzionamento assicura che verranno applicati i criteri password corretti a tutti gli utenti del dominio.

Requisiti

Credenziali: è necessario accedere come membro del gruppo Domain Admins.

Strumenti: Utenti e computer di Active Directory.

Per verificare le impostazioni del criterio password per un dominio di Active Directory

1.

Aprire Utenti e computer di Active Directory, fare clic con il pulsante destro del mouse sul dominio, quindi scegliere Proprietà.

2.

Nella finestra delle proprietà relative al dominio, fare clic sulla scheda Criteri di gruppo, selezionare l'oggetto Criteri di gruppo Criterio dominio, quindi fare clic su Modifica per aprire l'Editor oggetti Criteri di gruppo.

3.

In Configurazione computer, selezionare la cartella Impostazioni di Windows\Impostazioni protezione\Criteri account\Criterio password, quindi verificare che le impostazioni corrispondano a quelle illustrate di seguito:
Editor oggetti Criteri di gruppo

4.

Chiudere l'Editor oggetti Criteri di gruppo, fare clic su OK per chiudere la finestra di dialogo delle proprietà relative al dominio, quindi uscire da Utenti e computer di Active Directory.

5.

Verificare che gli utenti non possano specificare password più brevi di 8 caratteri, creare password non complesse e modificare immediatamente le nuove password.

Configurazione delle impostazioni del criterio password nei computer autonomi

Credenziali: è necessario accedere come membro del gruppo Administrators.

Strumenti: Criteri di protezione locali.

Per implementare il criterio password nei sistemi che non appartengono a un dominio di Active Directory

1.

Fare clic su Start, scegliere Pannello di controllo, fare doppio clic su Strumenti di amministrazione, quindi fare doppio clic su Criteri di protezione locali.

2.

Selezionare la cartella Criteri account\Criterio password.

3.

Nel riquadro dei dettagli, fare doppio clic su Imponi cronologia delle password, impostare il valore dell'opzione Conserva cronologia password per su 24, quindi fare clic su OK.

4.

Nel riquadro dei dettagli, fare doppio clic su Validità massima password, impostare il valore dell'opzione La password scadrà tra su 42, quindi fare clic su OK.

5.

Nel riquadro dei dettagli, fare doppio clic su Validità minima password, impostare il valore dell'opzione La password può essere cambiata dopo su 2, quindi fare clic su OK.

6.

Nel riquadro dei dettagli, fare doppio clic su Lunghezza minima password, impostare il valore dell'opzione La password deve contenere almeno su 8, quindi fare clic su OK.

7.

Nel riquadro dei dettagli, fare doppio clic su Le password devono essere conformi ai requisiti di complessità, selezionare Abilitati, quindi fare clic su OK.

8.

Chiudere Criteri di protezione locali.

Verifica di nuove impostazioni

La procedura seguente consente di verificare se le impostazioni del criterio password sono state configurate e sono efficienti per i computer autonomi dell'organizzazione. La verifica delle impostazioni e del relativo funzionamento assicura che verranno applicati i criteri password corretti a tutti questi computer.

Requisiti

Credenziali: è necessario accedere come membro del gruppo Administrators.

Strumenti: Criteri di protezione locali.

Per verificare le impostazioni del criterio password nei sistemi che non appartengono a un dominio di Active Directory

1.

Aprire Criteri di protezione locali, selezionare la cartella Criteri account\Criterio password e verificare che le impostazioni corrispondano a quelle illustrate di seguito:
Impostazioni protezione locale

2.

Chiudere Criteri di protezione locali.

3.

Verificare che gli utenti non possano specificare password più brevi di 8 caratteri, creare password non complesse e modificare immediatamente le nuove password.

Inizio paginaInizio pagina

Informazioni correlate

Per ulteriori informazioni sui criteri password e sulle funzionalità correlate alle password in Windows, vedere quanto segue:

"Scelta di password sicure" nel Kit di guida per la protezione

Account Passwords and Policies nel sito Web Microsoft TechNet disponibile all'indirizzo http://go.microsoft.com/fwlink/?LinkId=22208 (in inglese).


Inizio paginaInizio pagina