2.0 KiB
Hardening AD
Password Policy
A livello di dominio, è possibile modificare la Password Policy da Default Domain Policy > Computer Settings > Policies > Windows Settings > Security Settings > Account Policies.
La password policy definisce come devono essere gestite le password a livello di dominio. Di seguito sono riportate le impostazioni consigliate per garantire un adeguato livello di sicurezza:
- Lunghezza minima di 12 caratteri
- Requisiti di complessità: attivare l’opzione che impone l’utilizzo di lettere maiuscole e minuscole, numeri e caratteri speciali
Account Lockout Policy
La policy di blocco degli account è disabilitata di default e serve a impedire attacchi di tipo brute-force. Questa policy prevede che, dopo un numero definito di tentativi errati, l'account venga bloccato per un periodo stabilito e possa essere sbloccato solo da un amministratore.
Si possono configurare i seguenti parametri:
- Numero di tentativi consentiti prima del blocco
- Durata del blocco
Logon Events
La registrazione degli eventi di logon consente di tracciare tutti i tentativi di accesso, sia riusciti che falliti, effettuati dagli utenti sui dispositivi del dominio. Tale funzionalità non è attiva per impostazione predefinita.
Per abilitare la registrazione degli eventi di logon a livello di dominio, aprire Group Policy Management e creare una nuova policy applicabile all’intero dominio, allo stesso livello della Default Domain Policy. Da Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Audit Policy abilitare:
- Audit Logon Events
- Audit Account Logon Events
Per entrambe le voci, selezionare sia Success che Failure.
Gli eventi generati saranno visibili in Event Viewer, nella sezione Security. Per filtrare gli eventi relativi ai logon, fare riferimento agli Event ID specifici riportati nell’immagine.
