Usare PasswordIQ

Condividi

Questo articolo è utile?

Ultimo aggiornamento:

Risolvere le vulnerabilità delle password

PasswordIQ effettua la scansione delle password degli utenti di Active Directory per individuare 11 tipi di vulnerabilità delle password. Dopo aver ricevuto i risultati della scansione, puoi lavorare con i tuoi utenti per risolvere le vulnerabilità delle password rilevate da PasswordIQ. Per sapere come visualizzare i risultati della scansione, leggi l’articolo Come usare la dashboard di PasswordIQ.

Le sezioni in basso contengono ulteriori informazioni su come risolvere le vulnerabilità delle password dei tuoi utenti. Per informazioni generali su PasswordIQ, consulta il Manuale del prodotto PasswordIQ.

Importante:poiché la tua organizzazione potrebbe avere esigenze di sicurezza particolari, non possiamo consigliarti quali modifiche apportare alle impostazioni dei Criteri di gruppo e Active Directory. Tuttavia, le sezioni seguenti forniscono istruzioni che possono aiutarti a trovare le impostazioni migliori per gestire le vulnerabilità delle password dei tuoi utenti.

Password debole

Se PasswordIQ rileva una password debole, leggi i suggerimenti riportati in basso per risolvere questa vulnerabilità:

  1. Avvisa l’utente che la sua password attuale è una password debole.
  2. Chiedi all’utente di cambiare la password.
  3. Fornisci un corso di formazione che insegni all’utente come creare password complesse. Nel ModStore di KnowBe4 sono presenti moduli di formazione che puoi assegnare ai tuoi utenti, tra cui Corso sulla consapevolezza della sicurezza - Creazione di password complesse, Come creare password complesse con quiz e Sicurezza delle password. Per ulteriori informazioni sui contenuti della formazione su ModStore, leggi la Guida a ModStore e alla libreria.

Password condivisa

Se PasswordIQ rileva una password condivisa, leggi i suggerimenti riportati in basso per risolvere questa vulnerabilità:

  1. Informa l’utente che la sua password attuale è una password condivisa.
  2. Chiedi all’utente di cambiare password per tutti gli account per cui usa la password condivisa.

Fornisci un corso di formazione che insegni all’utente come creare password univoche. Nel ModStore di KnowBe4 sono presenti moduli di formazione che puoi assegnare ai tuoi utenti, tra cui Corso sulla consapevolezza della sicurezza - Creazione di password complesse, Come creare password complesse con quiz e Sicurezza delle password. Per ulteriori informazioni sui contenuti della formazione su ModStore, leggi la Guida a ModStore e alla libreria.

Password non crittografata

Se PasswordIQ rileva una password non crittografata utilizzata da un utente o un gruppo di utenti, nei rispettivi account potrebbe essere stata abilitata l’impostazione di crittografia reversibile. Quando PasswordIQ rileva la vulnerabilità, verranno valutate anche i criteri granulari per le password (FGPP). Puoi inoltre verificare se per alcuni utenti viene applicato un criterio di password granulare relativo alla crittografia reversibile.

La tabella seguente illustra in che modo la vulnerabilità in chiaro viene determinata in base a una combinazione delle singole impostazioni dell’utente, FGPP e Group Policy Object (GPO). La policy in vigore viene valutata nell’ordine seguente:

  • Se l’opzione Archivia password mediante crittografia reversibile è abilitata a livello di utente, le altre policy verranno sovrascritte. PasswordIQ rileverà la vulnerabilità in chiaro.
  • Se è applicata la FGPP e l’opzione Archivia password mediante crittografia reversibile è abilitata, questa impostazione avrà la precedenza sui GPO del dominio. PasswordIQ rileverà la vulnerabilità in chiaro indipendentemente dalle impostazioni del dominio della policy di gruppo.
  • Se non sono presenti FGPP, verranno applicate solo le impostazioni dei GPO del dominio. Se la policy Archivia password mediante crittografia reversibile è archiviata, PasswordIQ rileverà la vulnerabilità in chiaro.
  Impostazioni utente Fine-Grained Password Policy (FGPP) Policy dominio predefinita (GPO) Policy in vigore Rilevamento vulnerabilità in chiaro
L’utente ha selezionato l’opzione Archivia password mediante crittografia reversibile. Abilitata Qualsiasi set di FGPP Qualsiasi set di GPO L’impostazione applicata dall’utente Rilevata
L’utente non ha selezionato l’opzione Archivia password mediante crittografia reversibile, ma viene applicata una FGPP Disabilitata L’impostazione Archivia password mediante crittografia reversibile è abilitata Qualsiasi set di GPO Si applica FGPP Rilevata
L’utente non ha selezionato l’opzione Archivia password mediante crittografia reversibile ed esiste solo la GPO del dominio Disabilitata Nessuna FGPP L’impostazione Archivia password mediante crittografia reversibile è abilitata Si applica la GPO del dominio Rilevata

Per trovare questa impostazione, effettua le seguenti operazioni:

  1. Apri Active Directory.
  2. Vai alle proprietà dell’account dell’utente.
  3. Seleziona la scheda Account.
  4. Nella sezione Opzioni account, trova l’impostazione Archivia password mediante crittografia reversibile. Assicurati che questa opzione non sia selezionata.
  5. Chiedi agli utenti di cambiare la password.

Se PasswordIQ rileva una password non crittografata per tutti i tuoi utenti, nei Criteri di gruppo potrebbe essere stata abilitata l’impostazione di crittografia reversibile.

Per trovare questa impostazione, effettua le seguenti operazioni:

  1. Apri l’Editor Gestione Criteri di gruppo.
  2. Apri questo percorso: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni sicurezza\Criteri account\Criteri password
  3. Apri il criterio Archivia password mediante crittografia reversibile. Assicurati che questo criterio sia disattivato.
  4. Forza l’aggiornamento dei criteri di gruppo applicati dalla tua azienda.
  5. Chiedi agli utenti di cambiare la password.
Importante:quando le impostazioni dei criteri di gruppo sono disattivate, per impostazione predefinita le nuove password saranno memorizzate con una crittografia unidirezionale. Le password esistenti verranno memorizzate con una crittografia reversibile fino a quando non verranno modificate dagli utenti.

Se PasswordIQ rileva una password non crittografata, l’allarme STORE_CLEARTEXT potrebbe essere abilitato per l’intera organizzazione.

Per determinare se questo allarme è abilitato, segui questa procedura:

  1. Dal controller di dominio, apri Utenti e computer di Active Directory (ADUC).
  2. Fai clic con il tasto destro del mouse sul nome di dominio e seleziona Proprietà.
  3. Seleziona la scheda Editor attributi e trova l’attributo pwdProperties. Se questo attributo contiene l’allarme STORE_CLEARTEXT, il dominio è configurato per consentire le password non crittografate. Puoi disabilitare questa impostazione tramite la Policy di dominio predefinita o un’altra policy di dominio enforced.

Password vuota

Se PasswordIQ rileva una password vuota, nei Criteri di gruppo l’impostazione Lunghezza minima password potrebbe essere stata impostata su 0. Questa impostazione consente alle password di avere zero caratteri.

Per trovare questa impostazione, effettua le seguenti operazioni:

  1. Apri l’Editor Gestione Criteri di gruppo.
  2. Apri questo percorso: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni sicurezza\Criteri account\Criteri password
  3. Apri il criterio Lunghezza minima password.

Crittografia solo DES

Se PasswordIQ rileva la crittografia solo DES, è possibile che per l’account sia stata abilitata l’impostazione della crittografia DES.

Per trovare questa impostazione, effettua le seguenti operazioni:

  1. Apri Active Directory.
  2. Vai alle proprietà dell’account dell’utente.
  3. Seleziona la scheda Account.
  4. Nella sezione Opzioni account, trova l’impostazione Utilizza i tipi di crittografia DES Kerberos per questo account.
Suggerimento:come alternativa sicura alla crittografia DES, puoi abilitare la crittografia Advanced Encryption Standard (AES). Per ulteriori informazioni, consulta la sezione La crittografia AES non è impostata in basso.

Password violata

Se PasswordIQ rileva una password violata, leggi i suggerimenti riportati in basso per risolvere questa vulnerabilità:

  1. Informa l’utente che la sua password attuale è accessibile a causa di una violazione dei dati.
  2. Chiedi all’utente di cambiare la password su tutti gli account per cui la utilizza.
  3. Assegna all’utente l’ultima versione del Corso sulla consapevolezza della sicurezza di KnowBe4 per prepararlo a potenziali attacchi basati sull’ingegneria sociale. La probabilità che i criminali informatici prendano di mira utenti coinvolti in violazioni dei dati è più elevata.

Password non richiesta

Se PasswordIQ rileva che non è richiesta una password, può darsi che sia stato impostato il flag PASSWD_NOTREQD nell’attributo userAccountControl. Per trovare questa impostazione, effettua le seguenti operazioni:

  1. Apri Active Directory.
  2. Abilita Funzionalità Avanzate (Visualizza > Funzionalità Avanzate).
  3. Vai alle proprietà dell’account dell’utente.
  4. Seleziona la scheda Editor attributi e trova l’attributo userAccountControl.
Importante:l’attributo userAccountControl ha un valore decimale per tutti i campanelli d’allarme abilitati per gli utenti. Per rimuovere l’allarme PASSWD_NOTREQD, sottrai il suo valore decimale di 32 dal valore decimale dell’attributo userAccountControl.

Password senza scadenza

Se PasswordIQ rileva una password senza scadenza per un utente o un gruppo di utenti, per i relativi account potrebbe essere stata abilitata l’impostazione La password non scade mai.

La tabella seguente illustra in che modo la vulnerabilità Password senza scadenza viene determinata in base a una combinazione delle singole impostazioni dell’utente, Fine-Grained Password Policies (FGPP) e Group Policy Object (GPO). La policy in vigore viene valutata nell’ordine seguente:

  • Se l’opzione Password senza scadenza è abilitata a livello di utente, sovrascrive altre policy e la password non scade mai. PasswordIQ rileverà la vulnerabilità della password senza scadenza.
  • Se è applicata la FGPP e l’opzione Applica età massima della password è disabilitata, questa impostazione avrà la precedenza sui GPO del dominio. PasswordIQ rileverà la vulnerabilità della password senza scadenza indipendentemente dalle impostazioni del dominio della policy di gruppo.
  • Se non sono presenti FGPP, verranno applicate le impostazioni dei GPO del dominio. Se la policy Età password massima è impostata su 0, PasswordIQ rileverà una vulnerabilità se la password non scade mai.
  Impostazione utente Fine-Grained Password Policy (PSO) Policy dominio predefinita (GPO) Policy in vigore Rilevamento della vulnerabilità della password senza scadenza
L’utente ha l’impostazione Password senza scadenza deselezionata Abilitata Qualsiasi set di FGPP Qualsiasi set di GPO L’impostazione applicata dall’utente Rilevata
L’utente ha l’impostazione Password senza scadenza deselezionata, ma viene applicata la FGPP Disabilitata L’impostazione Applica età massima è disabilitata Qualsiasi set di GPO Si applica FGPP Rilevata
L’utente ha l’impostazione Password senza scadenza deselezionata, esiste solo la GPO del dominio Disabilitata Nessuna FGPP L’impostazione Applica età massima è impostata su 0 Si applica la GPO del dominio Rilevata

Per trovare questa impostazione, effettua le seguenti operazioni:

  1. Apri Active Directory.
  2. Vai alle proprietà dell’account dell’utente.
  3. Seleziona la scheda Account.
  4. Nella sezione Opzioni account, trova l’impostazione La password non scade mai.

Se PasswordIQ rileva una password senza scadenza per tutti i tuoi utenti, nei criteri di gruppo l’impostazione Validità massima password potrebbe essere stata impostata su 0.

Per trovare questa impostazione, effettua le seguenti operazioni:

  1. Apri l’Editor Gestione Criteri di gruppo.
  2. Apri Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni sicurezza\Criteri account\Opzioni di sicurezza.
  3. Apri il criterio Validità massima password.
  4. Forza l’aggiornamento dei criteri di gruppo applicati dalla tua azienda.

Puoi inoltre verificare se per un gruppo di utenti viene applicato un criterio di password granulare relativo all’età massima della password.

Per trovare questa impostazione, effettua le seguenti operazioni:

  1. Apri il Centro amministrativo di Active Directory.
  2. Passa al contenitore delle impostazioni “Dominio” \Sistema\Password.
  3. Verifica se per i criteri delle password elencate l’opzione Età massima password forzata è disabilitata.
Importante: PIQ controlla solo i criteri delle password di Windows. Se i criteri sono definiti e gestiti da applicazioni di terzi, è possibile disattivare questo controllo di vulnerabilità nella sezione Vulnerabilità opzionali delle impostazioni Avanzate.

Password LM-Hash

Se PasswordIQ rileva una password con hash di LAN Manager (LM), l’impostazione LM hash può essere abilitata nel criterio di gruppo.

Per trovare questa impostazione, effettua le seguenti operazioni:

  1. Apri l’Editor Gestione Criteri di gruppo.
  2. Apri Configurazione computer\Impostazioni di Windows\Impostazioni sicurezza\Criteri locali\Opzioni di sicurezza.
  3. Apri il criterio Sicurezza di rete: non memorizzare il valore hash di LAN Manager al prossimo cambio di password.
  4. Forza l’aggiornamento dei criteri di gruppo applicati dalla tua azienda.
  5. Chiedi agli utenti di cambiare la password.

Crittografia AES non impostata

Se PasswordIQ rileva che la crittografia Advanced Encryption Standard (AES) non è stata impostata per un utente o un gruppo di utenti, potrebbe essere necessario abilitare l’impostazione della crittografia AES per i loro account.

Nota: il rilevamento accurato di questa vulnerabilità è correlato all’account di servizio Windows impostato per le scansioni di PasswordIQ. Se l’utente non è un amministratore del dominio, la verifica delle policy di gruppo è limitata. Se le policy di gruppo non possono essere verificate, la vulnerabilità non verrà rilevata.

Per trovare questa impostazione, effettua le seguenti operazioni:

  1. Apri Active Directory.
  2. Vai alle proprietà dell’account dell’utente.
  3. Seleziona la scheda Account.
  4. Nella sezione Opzioni account, trova l’impostazione Questo account supporta la crittografia Kerberos AES a 128 bit o l’impostazione Questo account supporta la crittografia kerberos AES a 256 bit. Seleziona l’opzione disponibile.

Se PasswordIQ rileva che la crittografia AES non è stata impostata per tutti i tuoi utenti, nei Criteri di gruppo potrebbe essere necessario selezionare i tipi di crittografia AES.

Per trovare questa impostazione, effettua le seguenti operazioni:

  1. Apri l’Editor Gestione Criteri di gruppo.
  2. Apri Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni sicurezza\Criteri locali\Opzioni di sicurezza.
  3. Apri il criterio Sicurezza di rete: configura tipi di crittografia consentiti per Kerberos. Le chiavi AES sono AES128_HMAC_SHA1 e AES256_HMAC_SHA1.
Importante: se la crittografia AES non è supportata nel tuo ambiente, puoi disattivare questo controllo di vulnerabilità nella sezione Vulnerabilità opzionali delle impostazioni Avanzate.

Autenticazione preliminare mancante

Se PasswordIQ rileva la mancanza dell’autenticazione preliminare, è possibile che per l’account sia stata abilitata l’impostazione Non richiedere l’autenticazione preliminare Kerberos.

Per trovare questa impostazione, effettua le seguenti operazioni:

  1. Apri Active Directory.
  2. Vai alle proprietà dell’account dell’utente.
  3. Seleziona la scheda Account.
  4. Nella sezione Opzioni account, trova l’impostazione Non richiedere l’autenticazione preliminare Kerberos.

Questo articolo è stato utile?

Utenti che ritengono sia utile: 8 su 10

Non trovi quello che stai cercando?

Contatta l’assistenza