Como usar o PasswordIQ

Compartilhar

Este artigo é útil?

Última atualização:

Como solucionar vulnerabilidades de senha

O PasswordIQ verifica os usuários no Active Directory quanto a 11 tipos de vulnerabilidades de senha. Depois de receber os resultados da verificação, você pode trabalhar com os usuários para solucionar as vulnerabilidades de senha detectadas pelo PasswordIQ. Consulte o artigo Como usar o painel do PasswordIQ para aprender a exibir os resultados da sua verificação.

Para aprender a solucionar as vulnerabilidades de senha dos seus usuários, consulte as seções a seguir. Para obter informações gerais sobre o PasswordIQ, consulte nosso Manual do produto PasswordIQ.

Importante: como sua organização pode ter necessidades específicas de segurança, não podemos recomendar nenhuma alteração nas suas configurações da Política de Grupo e no Active Directory. No entanto, as seções abaixo fornecem instruções que podem ajudar você a encontrar as configurações que estão relacionadas às vulnerabilidades de senha dos seus usuários.

Senha fraca

Quando o PasswordIQ detecta uma senha fraca, nossas recomendações para solucionar essa vulnerabilidade são as seguintes:

  1. Notifique o usuário de que a senha atual dele é fraca.
  2. Peça ao usuário para alterar a senha.
  3. Ofereça treinamento que ensine o usuário sobre como criar senhas fortes. A KnowBe4 oferece módulos de treinamento na ModStore que você pode atribuir aos seus usuários, incluindo os seguintes: Como criar senhas fortes - Treinamento de conscientização em segurança, Como criar senhas fortes com quiz e Segurança de senha. Para obter mais informações sobre o conteúdo de treinamento na ModStore, consulte nosso Guia da ModStore e da biblioteca.

Senha compartilhada

Quando o PasswordIQ detecta uma senha compartilhada, nossas recomendações para solucionar essa vulnerabilidade são as seguintes:

  1. Notifique o usuário de que sua senha atual é uma senha compartilhada.
  2. Peça para que o usuário altere a senha em todas as contas que utilizam a senha compartilhada.

Ofereça treinamento que ensine o usuário sobre como criar senhas únicas. A KnowBe4 oferece módulos de treinamento na ModStore que você pode atribuir aos seus usuários, incluindo os seguintes: Como criar senhas fortes - Treinamento de conscientização em segurança, Como criar senhas fortes com quiz e Segurança de senha. Para obter mais informações sobre o conteúdo de treinamento na ModStore, consulte nosso Guia da ModStore e da biblioteca.

Senha com texto não criptografado

Se o PasswordIQ detectar uma senha com texto não criptografado para um usuário ou grupo de usuários, a configuração de criptografia reversível poderá ser habilitada em suas contas. Quando o PasswordIQ detectar essa vulnerabilidade, as políticas de senha refinadas (Fine-Grained Password Policies, FGPP) também serão avaliadas. Talvez você queira verificar se uma política de senha refinada relacionada à criptografia reversível está sendo aplicada a determinados usuários.

A tabela abaixo descreve como a vulnerabilidade de texto não criptografado é determinada com base na combinação das configurações individuais do usuário, das FGPP e dos objetos de política de grupo (Group Policy Objects, GPO). A política efetiva é avaliada na seguinte ordem:

  • Se o sinalizador Armazenar a senha com criptografia reversível estiver habilitado no nível de usuário, as demais políticas serão substituídas. O PasswordIQ detectará a vulnerabilidade de texto não criptografado.
  • Se a FGPP estiver aplicada e a opção Armazenar a senha com criptografia reversível estiver habilitada, essa configuração terá precedência sobre os GPOs de domínio. O PasswordIQ detectará a vulnerabilidade de texto não criptografado independentemente das configurações de Política de grupo do domínio.
  • Se nenhuma FGPP estiver presente, apenas as configurações de GPO do domínio serão aplicadas. Se a política Armazenar a senha com criptografia reversível estiver habilitada, o PasswordIQ detectará a vulnerabilidade do texto não criptografado.
  Configurações do usuário Política de senha refinada (Fine-Grained Password Policy, FGPP) Política de domínio padrão (GPO) Política efetiva Detecção de vulnerabilidade de texto não criptografado
O sinalizador Armazenar a senha com criptografia reversível do usuário está habilitado Habilitado Qualquer FGPP definida Qualquer GPO definido A configuração do usuário é aplicada Detectado
A configuração Armazenar a senha com criptografia reversível do usuário não está selecionada, mas a FGPP é aplicada Desabilitado A configuração Armazenar a senha com criptografia reversível está habilitada Qualquer GPO definido A FGPP é aplicada Detectado
A configuração Armazenar a senha com criptografia reversível do usuário não está selecionada, e existe apenas o GPO de domínio Desabilitado Sem FGPP A configuração Armazenar a senha com criptografia reversível está habilitada O GPO de domínio é aplicado Detectado

Para encontrar essa configuração, siga as etapas abaixo:

  1. Abra o Active Directory.
  2. Navegue até as propriedades da conta do usuário.
  3. Selecione a guia Conta.
  4. Na seção Opções de conta, localize a configuração Armazenar a senha com criptografia reversível. Certifique-se de que essa opção não esteja selecionada.
  5. Avise seus usuários para que alterem as senhas.

Se o PasswordIQ detectar uma senha com texto não criptografado para todos os usuários, a configuração de criptografia reversível poderá ser definida na Política de Grupo.

Para encontrar essa configuração, siga as etapas abaixo:

  1. Abra o Editor de Gerenciamento de Política de Grupo.
  2. Navegue até este caminho: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas da Conta\Política de Senha.
  3. Abra a política Armazenar a senha com criptografia reversível. Certifique-se de que essa política esteja desabilitada.
  4. Force uma atualização das políticas de grupo aplicadas por sua empresa.
  5. Avise seus usuários para que alterem as senhas.
Importante: quando as configurações de Política de Grupo estiverem desabilitadas, novas senhas serão armazenadas usando criptografia unidirecional por padrão. As senhas existentes serão armazenadas usando criptografia reversível até que sejam alteradas pelos usuários.

Se o PasswordIQ detectar uma senha com texto não criptografado, o comando STORE_CLEARTEXT poderá ser habilitado em toda a sua organização.

Para saber se ele foi habilitado, siga as etapas abaixo:

  1. No seu controlador de domínio, abra o recurso Usuários e computadores do Active Directory (ADUC).
  2. Clique com o botão direito no nome do domínio e selecione Propriedades.
  3. Selecione a guia Editor de atributos e localize o atributo pwdProperties. Se esse atributo contiver STORE_CLEARTEXT, o domínio estará configurado para permitir senhas com texto não criptografado. Desabilite essa configuração por meio da Política de domínio padrão ou de outra política de domínio em vigor.

Senha em branco

Se o PasswordIQ detectar uma senha em branco, a configuração Comprimento mínimo da senha poderá ser definida como 0 na sua Política de Grupo. Essa configuração permite que as senhas tenham zero caracteres.

Para encontrar essa configuração, siga as etapas abaixo:

  1. Abra o Editor de Gerenciamento de Política de Grupo.
  2. Navegue até este caminho: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas da Conta\Política de Senha.
  3. Abra a política Comprimento mínimo da senha.

Criptografia somente DES

Se o PasswordIQ detectar a criptografia somente DES, a configuração da criptografia DES poderá ser habilitada para a conta.

Para encontrar essa configuração, siga as etapas abaixo:

  1. Abra o Active Directory.
  2. Navegue até as propriedades da conta do usuário.
  3. Selecione a guia Conta.
  4. Na seção Opções de conta, localize a configuração Use tipos de criptografia Kerberos DES p/ esta conta.
Dica: é possível habilitar as chaves de criptografia do Padrão de Criptografia Avançado (Advanced Encryption Standard, AES) como uma alternativa segura à criptografia DES. Para obter mais informações, consulte a seção Criptografia AES não definida abaixo.

Senha violada

Quando o PasswordIQ detecta uma senha violada, nossas recomendações para solucionar essa vulnerabilidade são as seguintes:

  1. Notifique o usuário de que sua senha atual está acessível devido a uma violação de dados.
  2. Peça para que o usuário altere a senha de todas as contas nas quais ele usa essa senha.
  3. Atribua ao usuário a versão mais recente do nosso Treinamento de conscientização em segurança de KnowBe4 para que ele se conscientize de possíveis ataques de engenharia social. Os alvos mais prováveis dos criminosos cibernéticos são os usuários com violações de dados.

Senha não necessária

Se o PasswordIQ detectar uma senha que não seja necessária, o sinalizador PASSWD_NOTREQD poderá ser definido no atributo userAccountControl do usuário. Para encontrar essa configuração, siga as etapas abaixo:

  1. Abra o Active Directory.
  2. Habilite Recursos avançados (Exibir > Recursos avançados).
  3. Navegue até as propriedades da conta do usuário.
  4. Selecione a guia Editor de atributos e localize o atributo userAccountControl.
Importante: o atributo userAccountControl tem um valor decimal para todos os sinais de alerta habilitados para os usuários. Para remover o sinal de PASSWD_NOTREQD, subtraia seu valor decimal 32 do valor decimal do atributo userAccountControl.

A senha nunca expira

Se o PasswordIQ detectar uma senha que nunca expira para um usuário ou grupo de usuários, a configuração A senha nunca expira poderá ser habilitada em suas contas.

A tabela abaixo descreve como a vulnerabilidade A senha nunca expira é determinada com base na combinação das configurações individuais do usuário, das FGPPs e dos GPOs. A política efetiva é avaliada na seguinte ordem:

  • Se o sinalizador A senha nunca expira estiver habilitado no nível do usuário, ele substituirá outras políticas, e não ocorrerá a expiração da senha. O PasswordIQ detectará a vulnerabilidade de senha que nunca expira.
  • Se a FGPP estiver aplicada e a opção Impor limite máximo de validade da senha estiver habilitada, essa configuração terá precedência sobre os GPOs de domínio. O PasswordIQ detectará a vulnerabilidade de senha que nunca expira independentemente das configurações de Política de grupo do domínio.
  • Se nenhuma FGPP estiver presente, as configurações de GPO do domínio serão aplicadas. Se a politica Limite máximo de validade da senha estiver definida como 0, o PasswordIQ detectará uma vulnerabilidade caso a senha nunca expire.
  Configuração do usuário Política de senha refinada (PSO) Política de domínio padrão (GPO) Política efetiva Detecção da vulnerabilidade de senha que nunca expira
A configuração A senha nunca expira do usuário não está selecionada Habilitado Qualquer FGPP definida Qualquer GPO definido A configuração do usuário é aplicada Detectado
A configuração A senha nunca expira do usuário não está selecionada, mas a FGPP é aplicada Desabilitado A configuração Impor limite máximo de validade está desabilitada Qualquer GPO definido A FGPP é aplicada Detectado
A configuração A senha nunca expira do usuário não está selecionada; existe apenas o GPO de domínio Desabilitado Sem FGPP A configuração Impor limite máximo de validade está definida como 0 O GPO de domínio é aplicado Detectado

Para encontrar essa configuração, siga as etapas abaixo:

  1. Abra o Active Directory.
  2. Navegue até as propriedades da conta do usuário.
  3. Selecione a guia Conta.
  4. Na seção Opções de conta, localize a configuração A senha nunca expira.

Se o PasswordIQ detectar uma senha que nunca expira para todos os usuários, a configuração Tempo de vida mínimo da senha poderá ser definida como 0 na sua Política de Grupo.

Para encontrar essa configuração, siga as etapas abaixo:

  1. Abra o Editor de Gerenciamento de Política de Grupo.
  2. Navegue até Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Opções de Segurança.
  3. Abra a política Tempo de vida máximo da senha.
  4. Force uma atualização das políticas de grupo aplicadas por sua empresa.

Talvez você queira verificar se uma política de senha refinada relacionada ao tempo de vida máximo da senha está aplicada a um grupo de usuários.

Para encontrar essa configuração, siga as etapas abaixo:

  1. Abra o Centro Administrativo do Active Directory.
  2. Navegue até “Domínio” \Sistema\Contêiner de Configuração de Senha.
  3. Verifique se as políticas de senha listadas têm a opção Tempo de vida máximo imposto da senha desabilitada.
Importante: o PIQ verifica apenas as políticas de senha do Windows. Se as suas políticas forem definidas e gerenciadas por aplicativos de terceiros, você poderá desabilitar essa verificação de vulnerabilidade na seção Vulnerabilidades opcionais das configurações avançadas.

Senha hash LM

Se o PasswordIQ detectar uma senha hash do Gerenciador de LAN (LM), a configuração de hash do LM poderá ser habilitada em sua Política de Grupo.

Para encontrar essa configuração, siga as etapas abaixo:

  1. Abra o Editor de Gerenciamento de Política de Grupo.
  2. Navegue para Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança.
  3. Abra a política Segurança de rede: não armazenar o valor de hash do LAN Manager na próxima alteração de senha.
  4. Force uma atualização das políticas de grupo aplicadas por sua empresa.
  5. Avise seus usuários para que alterem as senhas.

Criptografia AES não definida

Se o PasswordIQ detectar que a criptografia Padrão de Criptografia Avançada (Advanced Encryption Standard, AES) não foi configurada para um usuário ou um grupo de usuários, talvez seja necessário habilitar a configuração de criptografia AES nas contas.

Observação: a detecção precisa dessa vulnerabilidade está relacionada à conta de serviço do Windows configurada para as verificações do PasswordIQ. Se o usuário não for um administrador de domínio, a verificação das políticas de grupo será limitada. Se as políticas de grupo não puderem ser verificadas, a vulnerabilidade não será detectada.

Para encontrar essa configuração, siga as etapas abaixo:

  1. Abra o Active Directory.
  2. Navegue até as propriedades da conta do usuário.
  3. Selecione a guia Conta.
  4. Na seção Opções de conta, localize a configuração Esta conta oferece suporte para criptografia AES para Kerberos de 128 bits ou a configuração para criptografia AES para Kerberos de 256 bits. Selecione a opção disponível para você.

Se o PasswordIQ detectar que a criptografia AES não foi definida para todos os seus usuários, talvez seja necessário selecionar os tipos de criptografia AES na Política de Grupo.

Para encontrar essa configuração, siga as etapas abaixo:

  1. Abra o Editor de Gerenciamento de Política de Grupo.
  2. Navegue para Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança.
  3. Abra a política Segurança de rede: configurar tipos permitidos para Kerberos. As chaves AES são AES128_HMAC_SHA1 e AES256_HMAC_SHA1.
Importante: se não houver suporte para a criptografia AES em seu ambiente, você poderá desabilitar essa verificação de vulnerabilidade na seção Vulnerabilidades opcionais das configurações avançadas.

Pré-autenticação ausente

Se o PasswordIQ detectar uma pré-autenticação ausente, a configuração Não exigir pré-autenticação Kerberos poderá ser habilitada na conta.

Para encontrar essa configuração, siga as etapas abaixo:

  1. Abra o Active Directory.
  2. Navegue até as propriedades da conta do usuário.
  3. Selecione a guia Conta.
  4. Na seção Opções de conta, localize a configuração Não exigir pré-autenticação Kerberos.

Este artigo foi útil?

Usuários que acharam isso útil: 8 de 10

Não encontrou o que estava procurando?

Fale com o suporte