# Hardening AD

## Password Policy

A livello di dominio, è possibile modificare la `Password Policy` da `Default Domain Policy > Computer Settings > Policies > Windows Settings > Security Settings > Account Policies`.

![password-policy](asset/img/password-policy.png)

La password policy definisce come devono essere gestite le password a livello di dominio. Di seguito sono riportate le impostazioni consigliate per garantire un adeguato livello di sicurezza:

- Lunghezza minima di 12 caratteri
- Requisiti di complessità: attivare l’opzione che impone l’utilizzo di lettere maiuscole e minuscole, numeri e caratteri speciali

## Account Lockout Policy

La policy di blocco degli account è disabilitata di default e serve a impedire attacchi di tipo brute-force. Questa policy prevede che, dopo un numero definito di tentativi errati, l'account venga bloccato per un periodo stabilito e possa essere sbloccato solo da un amministratore.

Si possono configurare i seguenti parametri:

- Numero di tentativi consentiti prima del blocco
- Durata del blocco

![account-lockout](asset/img/account-lockout.png)

## Logon Events

La registrazione degli eventi di logon consente di tracciare tutti i tentativi di accesso, sia riusciti che falliti, effettuati dagli utenti sui dispositivi del dominio. Tale funzionalità non è attiva per impostazione predefinita.

Per abilitare la registrazione degli eventi di logon a livello di dominio, aprire `Group Policy Management` e creare una nuova policy applicabile all’intero dominio, allo stesso livello della *Default Domain Policy*. Da `Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Audit Policy` abilitare:

- Audit Logon Events
- Audit Account Logon Events

Per entrambe le voci, selezionare sia `Success` che `Failure`.

Gli eventi generati saranno visibili in `Event Viewer`, nella sezione `Security`. Per filtrare gli eventi relativi ai logon, fare riferimento agli Event ID specifici riportati nell’immagine.

![logon-events](asset/img/logon-events.png)