Content on this page requires a newer version of Adobe Flash Player.

Get Adobe Flash player
Política de Senhas Imprimir E-mail

Neste artigo conheçeremos as políticas de senhas disponíveis no Windows Vista.

Diretivas de Segurança Local

 

Temos um componente muito importante no Windows Vista quando falamos em segurança. São as diretivas de segurança, as quais utilizamos para proteger os computadores em um ambiente corporativo ou doméstico. Com as diretivas de segurança podemos definir o que um usuário poderá fazer em seu computador e na rede.

 

Podemos implementar as diretivas de segurança usando modelos de segurança, que são arquivos contendo todas as configurações de segurança utilizadas para configurar um computador.

 

Assim como as contas de usuários e grupos de usuários, as diretivas de segurança também podem ser criadas e aplicadas localmente ou no domínio. Em pequenas empresas que não utilizam o AD, poderemos implementar as diretivas de segurança locais em cada computador da rede. Se a empresa for grande e utilizar o AD, poderemos implementar as diretivas de segurança de domínio, o que fará com que a administração da segurança da rede seja centralizada.

 

Para implementarmos as diretivas de segurança locais, deveremos abrir o console Diretiva de segurança local, localizado em Ferramentas Administrativas, no Painel de Controle.

 

Para implementarmos as diretivas de segurança de domínio, ou GPO, deveremos abrir o console Usuários e computadores do AD (Active Directory Users and Computers). As diretivas de domínio são mais conhecidas como Objetos de Diretiva de Grupo (GPO).

 

Um detalhe que não deveremos esquecer é sobre a ordem em que as GPO’s são aplicadas. Primeiramente são aplicadas as diretivas de segurança locais, seguidas pelas configurações do site, domínio e unidade organizacional.

 

No console Diretivas de segurança local do Windows Vista temos muitas opções de segurança. Nesse momento vamos focar apenas nas configurações voltadas para políticas de senha, que são as diretivas de conta.

 

As diretivas de conta afetam diretamente os parâmetros de segurança relacionadas com as contas de usuários. Dentro das diretivas de conta temos duas subdivisões: diretivas de senha e diretivas de bloqueio de conta.

 

 

Diretivas de senha

 

As diretivas de senha podem ser utilizadas tanto para contas locais quanto para contas de domínio. Temos as seguintes opções:

  • A senha deve satisfazer a requisitos de complexidade: este parâmetro é desabilitado por padrão no Windows Vista. Caso seja habilitado, as senhas das contas de usuário deverão atender os seguintes requisitos:
    • Não pode ser formada pelo nome da conta de usuário ou parte do nome da conta.
    • Deve possui caracteres de três dos quatro grupos abaixo:
      • Letras maiúsculas (A-Z).
      • Letras minúsculas (a-z).
      • Números (0-9).
      • Caracteres especiais (!, #, %, $, etc).
  • Aplicar histórico de senhas: define se os usuários poderão reutilizar suas senhas. Vamos supor que esse parâmetro seja configurado com o valor 2. Isso significa que as próximas duas vezes que o usuário alterar sua senha, não poderá reutilizar sua senha atual. Podemos configurar esse parâmetro com valores de 0 a 24.
  • Armazenar senhas usando criptografia reversível: Esse parâmetro vem desabilitado por padrão e é a configuração recomendada da Microsoft. Essa opção faz com que as senhas sejam armazenadas em texto claro, sem criptografia. É utilizado apenas por questão de compatibilidade com algumas aplicações e protocolos.
  • Comprimento mínimo da senha: esse parâmetro define o tamanho mínimo da senha. O valor 0 define que a senha não será obrigatória. Os valores permitidos variam de 0 a 14. O valor padrão para o Windows Vista é 0.
  • Tempo de vida máximo da senha: esse parâmetro define de quanto em quanto tempo as senhas deverão ser trocadas. Recomendo que esse parâmetro seja utilizado juntamente com o histórico de senhas, pois de nada adianta você definir que a senha deverá ser trocada mensalmente, se o usuário puder utilizar sempre as mesmas senhas. O valor padrão é 42 dias, e os valores podem variar de 0 a 999.
  • Tempo de vida mínimo da senha: esse parâmetro define o tempo mínimo no qual você poderá alterar sua senha novamente. Vamos supor que eu configurei esse parâmetro com o valor 5 (dia) e troquei minha senha hoje. Agora eu só poderei trocar minha senha novamente daqui a 5 dias.

Vejam que com todos esses parâmetros já conseguimos criar uma política de senha bem interessante. E temos ainda mais alguns parâmetros referentes ao bloqueio das contas, os quais veremos agora.

 

 

Diretivas de bloqueio de conta

 

As diretivas de bloqueio de conta definem qual será o comportamento do Windows caso o usuário digite sua senha incorretamente varias vezes. Lembrando que esse erro de digitação de senhas pode ser causado por algum tipo de ataque em seu computador. Por isso é extremamente importante o uso das diretivas de bloqueio de conta.

 

Os seguintes parâmetros estão disponíveis:

  • Duração do bloqueio de conta: define o tempo no qual a conta do usuário ficará bloqueada. Os valores disponíveis variam e 0 até 99999. O valor zero define que a conta nunca será desbloqueada automaticamente. Nesse caso, o administrador de redes deverá fazer o desbloqueio da conta de usuário. Caso uma conta esteja bloqueada, a propriedade “Conta bloqueada” da conta de usuário será habilitada. Lembrando que essa propriedade é habilitada apenas automaticamente, não podemos habilitá-la manualmente. Esse parâmetro só pode ser habilitado quando o parâmetro limite de bloqueio de conta for habilitado.

WinVista-056

  • Limite do bloqueio de conta: esse parâmetro define a quantidade de vezes que o usuário poderá errar sua senha até que a conta seja bloqueada. Caso a conta seja bloqueada não poderá ser utilizada até que o administrador faça o desbloqueio ou até que o tempo de bloqueio da conta seja expirado. Esse parâmetro aceita valores de 0 a 999, onde o valor 0 significa que esse parâmetro estará desativado. Por padrão, o limite do bloqueio de conta é desativado.
  • Zerar contador de bloqueio de conta após: define o intervalo em minutos no qual as tentativas de logon incorretas serão computadas. Ou seja, se eu definir esse parâmetro com o valor 15 minutos, e o parâmetro limite de bloqueio de conta com o valor 3, isso significa que se dentro desses 15 minutos eu digitar minha senha incorretamente 3 vezes, já era, senha bloqueada. Agora, se eu errar a minha senha apenas duas vezes dentro desse período, e aguardar os 15 minutos, o contador de logons incorretos será zerado e eu poderei tentar logar novamente.

Vamos para alguns exemplos práticos onde aprenderemos a criar uma política de senha forte. Vamos criar a seguinte política de senhas:

 

  • A senha deve satisfazer a requisitos de complexidade: ativado
  • Aplicar histórico de senhas: 10.
  • Armazenar senhas usando criptografia reversível: desativado.
  • Comprimento mínimo da senha: 10.
  • Tempo de vida máximo da senha: 30.
  • Tempo de vida mínimo da senha: 5.
  • Duração do bloqueio de conta: 0.
  • Limite do bloqueio de conta: 3.
  • Zerar contador de bloqueio de conta após: 120.

Exemplo prático – Configurar a diretiva de conta.

 

a)    Abra o console Diretiva de segurança local. A tela abaixo será exibida.

 

WinVista-057

 

b)   Clique em Diretivas de conta, Diretivas de senha.

 

c)   Agora vamos fazer as configurações que definimos no inicio do exercício. Clique duas vezes sobre “A senha deve satisfazer a requisitos de complexidade” e selecione a opção Ativado. Clique em OK.

 

d)   Clique duas vezes sobre a opção “Aplicar histórico de senhas” e digite 10. Clique em OK.

 

e)   Clique duas vezes sobre a opção “Armazenar senhas usando criptografia reversível” e selecione a opção Desativado. Clique em OK.

 

f)    Clique duas vezes sobre a opção “Comprimento mínimo da senha” e digite 10. Clique em OK.

 

g)   Clique duas vezes sobre a opção “Tempo de vida máximo da senha” e digite 30. Clique em OK.

 

h)   Clique duas vezes sobre a opção “Tempo de vida mínimo da senha” e digite 5. Clique em OK.

 

i)    Agora vamos navegar até a opção Diretiva de bloqueio de senha, que está no caminho Configuraçoes de segurança, Diretivas de conta. Clique duas vezes sobre a opção “Limite do bloqueio de conta” e digite 3. Clique em OK. Na tela que será exibida, vejam que os outros 2 parâmetros serão habilitados com o valor 30 minutos. Clique em OK novamente.

 

j)    Clique duas vezes sobre a opção “Duração do bloqueio de conta” e digite 0. Clique em OK.

 

k)   Clique duas vezes sobre a opção “Zerar contador de bloqueio de conta após” e digite 120. Clique em OK.

 

l)    Pronto, política de senha criada com sucesso. Agora teste as configurações para ver o resultado.

 

Vamos agora ver como proceder para desbloquear uma conta de usuário.

 

Exemplo prático – Desbloquear uma conta de usuário.

 

a)   Abra o Painel de Controle, Ferramentas Administrativas, Gerenciamento do Computador. Na tela que será exibida expanda as opções Ferramentas do Sistema, Usuários e grupos locais, Usuários.

 

b)   Clique com o botão direito sobre a conta de usuário bloqueada e selecione Propriedades.

 

c)   Na tela que será exibida, desmarque a caixa Conta bloqueada. A partir desse momento a conta estará desbloqueada, pronta para ser utilizada.

 

 

Conclusão

 

É isso pessoal, espero que este artigo seja útil para todos. Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicado neste site, entre com contato através de e-mail Este endereço de e-mail está protegido contra SpamBots. Você precisa ter o JavaScript habilitado para vê-lo.

 

 

Autor: Fabiano Santana – MVP, MCP, MCDST, MCSA Security, MCSE Security