O PasswordIQ verifica os usuários no Active Directory quanto a 11 tipos de vulnerabilidades de senha. Depois de receber os resultados da verificação, você pode trabalhar com os usuários para solucionar as vulnerabilidades de senha detectadas pelo PasswordIQ. Consulte o artigo Como usar o painel do PasswordIQ para aprender a exibir os resultados da sua verificação.
Para aprender a solucionar as vulnerabilidades de senha dos seus usuários, consulte as seções a seguir. Para obter informações gerais sobre o PasswordIQ, consulte nosso Manual do produto PasswordIQ.
Senha fraca
Quando o PasswordIQ detecta uma senha fraca, nossas recomendações para solucionar essa vulnerabilidade são as seguintes:
- Notifique o usuário de que a senha atual dele é fraca.
- Peça ao usuário para alterar a senha.
- Ofereça treinamento que ensine o usuário sobre como criar senhas fortes. A KnowBe4 oferece módulos de treinamento na ModStore que você pode atribuir aos seus usuários, incluindo os seguintes: Como criar senhas fortes - Treinamento de conscientização em segurança, Como criar senhas fortes com quiz e Segurança de senha. Para obter mais informações sobre o conteúdo de treinamento na ModStore, consulte o artigo Guia da ModStore e da biblioteca.
Senha compartilhada
Quando o PasswordIQ detecta uma senha compartilhada, nossas recomendações para solucionar essa vulnerabilidade são as seguintes:
- Notifique o usuário de que sua senha atual é uma senha compartilhada.
- Peça para que o usuário altere a senha de todas as contas nas quais ele usa essa senha.
- Ofereça treinamento que ensine o usuário sobre como criar senhas únicas. A KnowBe4 oferece módulos de treinamento na ModStore que você pode atribuir aos seus usuários, incluindo os seguintes: Como criar senhas fortes - Treinamento de conscientização em segurança, Como criar senhas fortes com quiz e Segurança de senha. Para obter mais informações sobre o conteúdo de treinamento na ModStore, consulte o artigo Guia da ModStore e da biblioteca.
Senha com texto não criptografado
Se o PasswordIQ detectar uma senha com texto não criptografado para um usuário ou grupo de usuários, a configuração de criptografia reversível poderá ser habilitada em suas contas.
Para encontrar essa configuração, siga as etapas abaixo:
- Abra o Active Directory.
- Navegue até as propriedades da conta do usuário.
- Selecione a guia Conta.
- Na seção Opções de conta, localize a configuração Armazenar a senha com criptografia reversível. Certifique-se de que essa opção não esteja selecionada.
- Avise seus usuários para que alterem as senhas.
Se o PasswordIQ detectar uma senha com texto não criptografado para todos os usuários, a configuração de criptografia reversível poderá ser definida na Política de Grupo.
Para encontrar essa configuração, siga as etapas abaixo:
- Abra o Editor de Gerenciamento de Política de Grupo.
- Navegue até este caminho: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas da Conta\Política de Senha.
- Abra a política Armazenar a senha com criptografia reversível. Certifique-se de que essa política esteja desabilitada.
- Force uma atualização das políticas de grupo aplicadas por sua empresa.
- Avise seus usuários para que alterem as senhas.
Se o PasswordIQ detectar uma senha com texto não criptografado, o comando STORE_CLEARTEXT poderá ser habilitado em toda a sua organização.
Para saber se ele foi habilitado, siga as etapas abaixo:
- No seu controlador de domínio, abra o recurso Usuários e computadores do Active Directory (ADUC).
- Clique com o botão direito no nome do domínio e selecione Propriedades.
- Selecione a guia Editor de atributos e localize o atributo pwdProperties. Se esse atributo contiver STORE_CLEARTEXT, o domínio estará configurado para permitir senhas com texto não criptografado. Desabilite essa configuração por meio da Política de domínio padrão ou de outra política de domínio em vigor.
Senha em branco
Se o PasswordIQ detectar uma senha em branco, a configuração Comprimento mínimo da senha poderá ser definida como 0 na sua Política de Grupo. Essa configuração permite que as senhas tenham zero caracteres.
Para encontrar essa configuração, siga as etapas abaixo:
- Abra o Editor de Gerenciamento de Política de Grupo.
- Navegue até este caminho: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas da Conta\Política de Senha.
- Abra a política Comprimento mínimo da senha.
Criptografia somente DES
Se o PasswordIQ detectar a criptografia somente DES, a configuração da criptografia DES poderá ser habilitada para a conta.
Para encontrar essa configuração, siga as etapas abaixo:
- Abra o Active Directory.
- Navegue até as propriedades da conta do usuário.
- Selecione a guia Conta.
- Na seção Opções de conta, localize a configuração Use tipos de criptografia Kerberos DES p/ esta conta.
Senha violada
Quando o PasswordIQ detecta uma senha violada, nossas recomendações para solucionar essa vulnerabilidade são as seguintes:
- Notifique o usuário de que sua senha atual está acessível devido a uma violação de dados.
- Peça para que o usuário altere a senha de todas as contas nas quais ele usa essa senha.
- Atribua ao usuário a versão mais recente do nosso Treinamento de conscientização em segurança de KnowBe4 para que ele se conscientize de possíveis ataques de engenharia social. Os alvos mais prováveis dos criminosos cibernéticos são os usuários com violações de dados.
Senha não necessária
Se o PasswordIQ detectar uma senha que não seja necessária, o sinalizador PASSWD_NOTREQD poderá ser definido no atributo userAccountControl do usuário. Para encontrar essa configuração, siga as etapas abaixo:
- Abra o Active Directory.
- Habilite Recursos avançados (Exibir > Recursos avançados).
- Navegue até as propriedades da conta do usuário.
- Selecione a guia Editor de atributos e localize o atributo userAccountControl.
A senha nunca expira
Se o PasswordIQ detectar uma senha que nunca expira para um usuário ou grupo de usuários, a configuração A senha nunca expira poderá ser habilitada em suas contas.
Para encontrar essa configuração, siga as etapas abaixo:
- Abra o Active Directory.
- Navegue até as propriedades da conta do usuário.
- Selecione a guia Conta.
- Na seção Opções de conta, localize a configuração A senha nunca expira.
Se o PasswordIQ detectar uma senha que nunca expira para todos os usuários, a configuração Tempo de vida mínimo da senha poderá ser definida como 0 na sua Política de Grupo.
Para encontrar essa configuração, siga as etapas abaixo:
- Abra o Editor de Gerenciamento de Política de Grupo.
- Navegue até Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Opções de Segurança.
- Abra a política Tempo de vida máximo da senha.
- Force uma atualização das políticas de grupo aplicadas por sua empresa.
Talvez você queira verificar se uma política de senha refinada relacionada ao tempo de vida máximo da senha está aplicada a um grupo de usuários.
Para encontrar essa configuração, siga as etapas abaixo:
- Abra o Centro Administrativo do Active Directory.
- Navegue até “Domínio” \Sistema\Contêiner de Configuração de Senha.
- Verifique se as políticas de senha listadas têm a opção Tempo de vida máximo imposto da senha desabilitada.
Senha hash LM
Se o PasswordIQ detectar uma senha hash do Gerenciador de LAN (LM), a configuração de hash do LM poderá ser habilitada em sua Política de Grupo.
Para encontrar essa configuração, siga as etapas abaixo:
- Abra o Editor de Gerenciamento de Política de Grupo.
- Navegue para Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança.
- Abra a política Segurança de rede: não armazenar o valor de hash do LAN Manager na próxima alteração de senha.
- Force uma atualização das políticas de grupo aplicadas por sua empresa.
- Avise seus usuários para que alterem as senhas.
Criptografia AES não definida
Se o PasswordIQ detectar que a criptografia Padrão de Criptografia Avançada (Advanced Encryption Standard, AES) não foi configurada para um usuário ou um grupo de usuários, talvez seja necessário habilitar a configuração de criptografia AES nas contas.
Para encontrar essa configuração, siga as etapas abaixo:
- Abra o Active Directory.
- Navegue até as propriedades da conta do usuário.
- Selecione a guia Conta.
- Na seção Opções de conta, localize a configuração Esta conta oferece suporte para criptografia AES para Kerberos de 128 bits ou a configuração para criptografia AES para Kerberos de 256 bits. Selecione a opção disponível para você.
Se o PasswordIQ detectar que a criptografia AES não foi definida para todos os seus usuários, talvez seja necessário selecionar os tipos de criptografia AES na Política de Grupo.
Para encontrar essa configuração, siga as etapas abaixo:
- Abra o Editor de Gerenciamento de Política de Grupo.
- Navegue para Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança.
- Abra a política Segurança de rede: configurar tipos permitidos para Kerberos. As chaves AES são AES128_HMAC_SHA1 e AES256_HMAC_SHA1.
Pré-autenticação ausente
Se o PasswordIQ detectar uma pré-autenticação ausente, a configuração Não exigir pré-autenticação Kerberos poderá ser habilitada na conta.
Para encontrar essa configuração, siga as etapas abaixo:
- Abra o Active Directory.
- Navegue até as propriedades da conta do usuário.
- Selecione a guia Conta.
- Na seção Opções de conta, localize a configuração Não exigir pré-autenticação Kerberos.