Como usar o PasswordIQ

Última atualização:

Como solucionar vulnerabilidades de senha

O PasswordIQ verifica os usuários no Active Directory quanto a 11 tipos de vulnerabilidades de senha. Depois de receber os resultados da verificação, você pode trabalhar com os usuários para solucionar as vulnerabilidades de senha detectadas pelo PasswordIQ. Consulte o artigo Como usar o painel do PasswordIQ para aprender a exibir os resultados da sua verificação.

Para aprender a solucionar as vulnerabilidades de senha dos seus usuários, consulte as seções a seguir. Para obter informações gerais sobre o PasswordIQ, consulte nosso Manual do produto PasswordIQ.

Importante: como sua organização pode ter necessidades específicas de segurança, não podemos recomendar nenhuma alteração nas suas configurações da Política de Grupo e no Active Directory. No entanto, as seções abaixo fornecem instruções que podem ajudar você a encontrar as configurações que estão relacionadas às vulnerabilidades de senha dos seus usuários.

Senha fraca

Quando o PasswordIQ detecta uma senha fraca, nossas recomendações para solucionar essa vulnerabilidade são as seguintes:

  1. Notifique o usuário de que a senha atual dele é fraca.
  2. Peça ao usuário para alterar a senha.
  3. Ofereça treinamento que ensine o usuário sobre como criar senhas fortes. A KnowBe4 oferece módulos de treinamento na ModStore que você pode atribuir aos seus usuários, incluindo os seguintes: Como criar senhas fortes - Treinamento de conscientização em segurança, Como criar senhas fortes com quiz e Segurança de senha. Para obter mais informações sobre o conteúdo de treinamento na ModStore, consulte o artigo Guia da ModStore e da biblioteca.

Senha compartilhada

Quando o PasswordIQ detecta uma senha compartilhada, nossas recomendações para solucionar essa vulnerabilidade são as seguintes:

  1. Notifique o usuário de que sua senha atual é uma senha compartilhada.
  2. Peça para que o usuário altere a senha de todas as contas nas quais ele usa essa senha.
  3. Ofereça treinamento que ensine o usuário sobre como criar senhas únicas. A KnowBe4 oferece módulos de treinamento na ModStore que você pode atribuir aos seus usuários, incluindo os seguintes: Como criar senhas fortes - Treinamento de conscientização em segurança, Como criar senhas fortes com quiz e Segurança de senha. Para obter mais informações sobre o conteúdo de treinamento na ModStore, consulte o artigo Guia da ModStore e da biblioteca.

Senha com texto não criptografado

Se o PasswordIQ detectar uma senha com texto não criptografado para um usuário ou grupo de usuários, a configuração de criptografia reversível poderá ser habilitada em suas contas.

Para encontrar essa configuração, siga as etapas abaixo:

  1. Abra o Active Directory.
  2. Navegue até as propriedades da conta do usuário.
  3. Selecione a guia Conta.
  4. Na seção Opções de conta, localize a configuração Armazenar a senha com criptografia reversível. Certifique-se de que essa opção não esteja selecionada.
  5. Avise seus usuários para que alterem as senhas.

Se o PasswordIQ detectar uma senha com texto não criptografado para todos os usuários, a configuração de criptografia reversível poderá ser definida na Política de Grupo.

Para encontrar essa configuração, siga as etapas abaixo:

  1. Abra o Editor de Gerenciamento de Política de Grupo.
  2. Navegue até este caminho: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas da Conta\Política de Senha.
  3. Abra a política Armazenar a senha com criptografia reversível. Certifique-se de que essa política esteja desabilitada.
  4. Force uma atualização das políticas de grupo aplicadas por sua empresa.
  5. Avise seus usuários para que alterem as senhas.
Importante: quando as configurações de Política de Grupo estiverem desabilitadas, novas senhas serão armazenadas usando criptografia unidirecional por padrão. As senhas existentes serão armazenadas usando criptografia reversível até que sejam alteradas pelos usuários.

Se o PasswordIQ detectar uma senha com texto não criptografado, o comando STORE_CLEARTEXT poderá ser habilitado em toda a sua organização.

Para saber se ele foi habilitado, siga as etapas abaixo:

  1. No seu controlador de domínio, abra o recurso Usuários e computadores do Active Directory (ADUC).
  2. Clique com o botão direito no nome do domínio e selecione Propriedades.
  3. Selecione a guia Editor de atributos e localize o atributo pwdProperties. Se esse atributo contiver STORE_CLEARTEXT, o domínio estará configurado para permitir senhas com texto não criptografado. Desabilite essa configuração por meio da Política de domínio padrão ou de outra política de domínio em vigor.

Senha em branco

Se o PasswordIQ detectar uma senha em branco, a configuração Comprimento mínimo da senha poderá ser definida como 0 na sua Política de Grupo. Essa configuração permite que as senhas tenham zero caracteres.

Para encontrar essa configuração, siga as etapas abaixo:

  1. Abra o Editor de Gerenciamento de Política de Grupo.
  2. Navegue até este caminho: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas da Conta\Política de Senha.
  3. Abra a política Comprimento mínimo da senha.

Criptografia somente DES

Se o PasswordIQ detectar a criptografia somente DES, a configuração da criptografia DES poderá ser habilitada para a conta.

Para encontrar essa configuração, siga as etapas abaixo:

  1. Abra o Active Directory.
  2. Navegue até as propriedades da conta do usuário.
  3. Selecione a guia Conta.
  4. Na seção Opções de conta, localize a configuração Use tipos de criptografia Kerberos DES p/ esta conta.
Dica: é possível habilitar as chaves de criptografia do Padrão de Criptografia Avançado (Advanced Encryption Standard, AES) como uma alternativa segura à criptografia DES. Para obter mais informações, consulte a seção Criptografia AES não definida abaixo.

Senha violada

Quando o PasswordIQ detecta uma senha violada, nossas recomendações para solucionar essa vulnerabilidade são as seguintes:

  1. Notifique o usuário de que sua senha atual está acessível devido a uma violação de dados.
  2. Peça para que o usuário altere a senha de todas as contas nas quais ele usa essa senha.
  3. Atribua ao usuário a versão mais recente do nosso Treinamento de conscientização em segurança de KnowBe4 para que ele se conscientize de possíveis ataques de engenharia social. Os alvos mais prováveis dos criminosos cibernéticos são os usuários com violações de dados.

Senha não necessária

Se o PasswordIQ detectar uma senha que não seja necessária, o sinalizador PASSWD_NOTREQD poderá ser definido no atributo userAccountControl do usuário. Para encontrar essa configuração, siga as etapas abaixo:

  1. Abra o Active Directory.
  2. Habilite Recursos avançados (Exibir > Recursos avançados).
  3. Navegue até as propriedades da conta do usuário.
  4. Selecione a guia Editor de atributos e localize o atributo userAccountControl.
Importante: o atributo userAccountControl tem um valor decimal para todos os sinais de alerta habilitados para os usuários. Para remover o sinal de PASSWD_NOTREQD, subtraia seu valor decimal 32 do valor decimal do atributo userAccountControl.

A senha nunca expira

Se o PasswordIQ detectar uma senha que nunca expira para um usuário ou grupo de usuários, a configuração A senha nunca expira poderá ser habilitada em suas contas.

Para encontrar essa configuração, siga as etapas abaixo:

  1. Abra o Active Directory.
  2. Navegue até as propriedades da conta do usuário.
  3. Selecione a guia Conta.
  4. Na seção Opções de conta, localize a configuração A senha nunca expira.

Se o PasswordIQ detectar uma senha que nunca expira para todos os usuários, a configuração Tempo de vida mínimo da senha poderá ser definida como 0 na sua Política de Grupo.

Para encontrar essa configuração, siga as etapas abaixo:

  1. Abra o Editor de Gerenciamento de Política de Grupo.
  2. Navegue até Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Opções de Segurança.
  3. Abra a política Tempo de vida máximo da senha.
  4. Force uma atualização das políticas de grupo aplicadas por sua empresa.

Talvez você queira verificar se uma política de senha refinada relacionada ao tempo de vida máximo da senha está aplicada a um grupo de usuários.

Para encontrar essa configuração, siga as etapas abaixo:

  1. Abra o Centro Administrativo do Active Directory.
  2. Navegue até “Domínio” \Sistema\Contêiner de Configuração de Senha.
  3. Verifique se as políticas de senha listadas têm a opção Tempo de vida máximo imposto da senha desabilitada.
Importante: o PIQ verifica apenas as políticas de senha do Windows. Se as suas políticas forem definidas e gerenciadas por aplicativos de terceiros, você poderá desabilitar essa verificação de vulnerabilidade na seção Vulnerabilidades opcionais das configurações avançadas.

Senha hash LM

Se o PasswordIQ detectar uma senha hash do Gerenciador de LAN (LM), a configuração de hash do LM poderá ser habilitada em sua Política de Grupo.

Para encontrar essa configuração, siga as etapas abaixo:

  1. Abra o Editor de Gerenciamento de Política de Grupo.
  2. Navegue para Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança.
  3. Abra a política Segurança de rede: não armazenar o valor de hash do LAN Manager na próxima alteração de senha.
  4. Force uma atualização das políticas de grupo aplicadas por sua empresa.
  5. Avise seus usuários para que alterem as senhas.

Criptografia AES não definida

Se o PasswordIQ detectar que a criptografia Padrão de Criptografia Avançada (Advanced Encryption Standard, AES) não foi configurada para um usuário ou um grupo de usuários, talvez seja necessário habilitar a configuração de criptografia AES nas contas.

Para encontrar essa configuração, siga as etapas abaixo:

  1. Abra o Active Directory.
  2. Navegue até as propriedades da conta do usuário.
  3. Selecione a guia Conta.
  4. Na seção Opções de conta, localize a configuração Esta conta oferece suporte para criptografia AES para Kerberos de 128 bits ou a configuração para criptografia AES para Kerberos de 256 bits. Selecione a opção disponível para você.

Se o PasswordIQ detectar que a criptografia AES não foi definida para todos os seus usuários, talvez seja necessário selecionar os tipos de criptografia AES na Política de Grupo.

Para encontrar essa configuração, siga as etapas abaixo:

  1. Abra o Editor de Gerenciamento de Política de Grupo.
  2. Navegue para Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança.
  3. Abra a política Segurança de rede: configurar tipos permitidos para Kerberos. As chaves AES são AES128_HMAC_SHA1 e AES256_HMAC_SHA1.
Importante: se não houver suporte para a criptografia AES em seu ambiente, você poderá desabilitar essa verificação de vulnerabilidade na seção Vulnerabilidades opcionais das configurações avançadas.

Pré-autenticação ausente

Se o PasswordIQ detectar uma pré-autenticação ausente, a configuração Não exigir pré-autenticação Kerberos poderá ser habilitada na conta.

Para encontrar essa configuração, siga as etapas abaixo:

  1. Abra o Active Directory.
  2. Navegue até as propriedades da conta do usuário.
  3. Selecione a guia Conta.
  4. Na seção Opções de conta, localize a configuração Não exigir pré-autenticação Kerberos.

Não encontrou o que estava procurando?

Fale com o suporte