{"id":816,"date":"2009-09-11T10:02:18","date_gmt":"2009-09-11T08:02:18","guid":{"rendered":"http:\/\/www.work4net.it\/?p=816"},"modified":"2009-09-11T10:02:18","modified_gmt":"2009-09-11T08:02:18","slug":"gestione-della-sicurezza-password-con-policy-di-dominio","status":"publish","type":"post","link":"https:\/\/www.italiamac.it\/work4net\/2009\/09\/gestione-della-sicurezza-password-con-policy-di-dominio\/","title":{"rendered":"Gestione della sicurezza password con policy di dominio"},"content":{"rendered":"<p>Quando si gestisce un sistema informativo, bisogna fare in modo che questo sia protetto da attacchi pi\u00f9 o meno subdoli. Una delle precauzioni principali da prendere riguarda la gestione delle credenziali d\u2019accesso al sistema, che devono rispondere a specifici criteri di sicurezza che prevengano accessi non autorizzati, in ottemperanza alle elementari regole di sicurezza informatica ed al D. Lgs. 196 del 2003 conosciuto anche come &#8220;<span style=\"text-decoration: underline;\">Testo Unico sulla Privacy<\/span>&#8220;. Pur esistendo dispositivi che permettono di fornire le proprie credenziali in modo sicuro, come ad esempio smart card e dispositivi biometrici, in realt\u00e0 il metodo pi\u00f9 usato consiste ancora nel fornire un\u2019accoppiata Nome Utente &#8211; Password come credenziali d\u2019accesso al sistema informativo.<\/p>\n<p>In particolare, \u00e8 centrale il problema di come gestire le password associate ad ogni account, che rappresentano il punto debole e maggiormente attaccabile da parte di un malintenzionato, per cui \u00e8 necessario prendere alcuni accorgimenti nella scelta e gestione delle password:<\/p>\n<ul>\n<li> segretezza della password: la password deve essere segreta, e nota solamente al legittimo utilizzatore di quelle determinate credenziali d\u2019accesso ed al responsabile delle password, inoltre, l\u2019utente non deve lasciare in giro appunti o post-it con in bella mostra la propria password, come troppo spesso succede;<\/li>\n<li>lunghezza della password: se un ipotetico &#8220;attaccante&#8221; cerca di scoprire la password di un utente tramite &#8220;tentativi&#8221; automatizzati (il cosidetto attacco a forza bruta), l\u2019attacco avr\u00e0 maggior successo se la password attaccata \u00e8 breve, a differenza di una password lunga che, ovviamente, per essere indovinata necessita di un maggior numero di tentativi;<\/li>\n<li>complessit\u00e0 della password: l\u2019utente, scegliendo una password, dovr\u00e0 fare in modo che questa non contenga riferimenti a s\u00e9 stesso o all\u2019ambito familiare, infatti un malintenzionato, utilizzando eventualmente tecniche di ingegneria sociale, potr\u00e0 scoprire riferimenti della vita privata dell\u2019utente che riutilizzer\u00e0 immediatamente come tentativo di accesso non autorizzato, se poi l\u2019attaccante \u00e8 un nostro collega di lavoro (cosa possibile anche se non frequente) non dovr\u00e0 sforzarsi molto per conoscere particolari che ci riguardano; altro accorgimento in questo senso pu\u00f2 essere quello di utilizzare caratteri non standard (come segni di interpunzione o spazi) nella composizione della password, misura utile anche nei casi di attacchi &#8220;brute force&#8221;;<\/li>\n<li>durata della password: una password, per essere considerata sicura, dev\u2019essere cambiata entro un periodo di tempo ragionevole, ci\u00f2 rende la vita pi\u00f9 difficile ad un malintenzionato che intende &#8220;rubare&#8221; la password, inoltre consente di &#8220;richiudere fuori&#8221; un attaccante venuto in possesso delle nostre credenziali, anche se in questo caso probabilmente il danno \u00e8 gi\u00e0 stato fatto<\/li>\n<\/ul>\n<p><!--more--><br \/>\nConsiderata l\u2019importanza di queste politiche di protezione, non si pu\u00f2 delegarne l\u2019osservanza alla buona volont\u00e0 dell\u2019utente finale, dev\u2019essere l\u2019amministratore di sistema ad imporre queste policy a livello centralizzato, in modo tale che l\u2019utente possa solamente trovarsi a scegliere se autenticarsi sul sistema informativo secondo le regole impostate dal sysadmin o se mollare tutto e passare la giornata al bar.<br \/>\nPer quanto concerne una piattaforma Windows Server, in un dominio Active Directory \u00e8 possibile definire e imporre una policy delle password valida a livello dell\u2019intero dominio. Per definire i criteri relativi alle password, aprire la console &#8220;Active Directory Users and Computers&#8221;, portarsi alla radice del dominio e quindi cliccare col tasto destro e scegliere la voce Properties, quindi andare sulla scheda &#8220;Group Policy&#8221;, comparir\u00e0 una finestra simile a quella mostrata nella figura sottostante (i passaggi saranno diversi se si utilizza lo snap-in di Group Policy Management, ma il punto d\u2019arrivo \u00e8 il medesimo):<\/p>\n<p><img data-recalc-dims=\"1\" loading=\"lazy\" decoding=\"async\" class=\"alignnone size-medium wp-image-818\" title=\"grouppolicy\" src=\"https:\/\/i0.wp.com\/www.work4net.it\/immagini\/2009\/09\/grouppolicy-269x300.png?resize=269%2C300\" alt=\"grouppolicy 269x300 Gestione della sicurezza password con policy di dominio\" width=\"269\" height=\"300\" \/><\/p>\n<p>Finestra delle propriet\u00e0 del dominio AD con aperta la scheda Group Policy<br \/>\nSi pu\u00f2 vedere che esiste gi\u00e0 un criterio di gruppo per il dominio (Default Domain Policy), che per\u00f2 non sar\u00e0 quello che andremo a modificare, poich\u00e9 Microsoft consiglia di non utilizzare il criterio predifinito per queste operazioni, ma di creare un nuovo criterio di gruppo e modificare quello, per cui, tramite il pulsante New, creare un nuovo criterio di gruppo a cui assegnare il nome &#8220;Password Policy&#8221;, quindi modificare il criterio appena creato cliccando il tasto Edit, che far\u00e0 comparire l\u2019editor del criterio di gruppo prescelto; i parametri che ci interessano sono quelli definiti in &#8220;Computer Configuration&#8221; &#8211; &#8220;Windows Settings&#8221;, come mostrato nella seguente immagine:<\/p>\n<p><img data-recalc-dims=\"1\" loading=\"lazy\" decoding=\"async\" class=\"alignnone size-medium wp-image-819\" title=\"windowssettings\" src=\"https:\/\/i0.wp.com\/www.work4net.it\/immagini\/2009\/09\/windowssettings-300x187.png?resize=300%2C187\" alt=\"windowssettings 300x187 Gestione della sicurezza password con policy di dominio\" width=\"300\" height=\"187\" \/><br \/>\nEditor dei criteri di gruppo riferito al criterio Password Policy<br \/>\nIn particolare, dovremo far riferimento, inizialmente, alla sezione &#8220;Security Settings&#8221; &#8211; &#8220;Account Policies&#8221;, e l\u00ec scegliere la voce &#8220;Password Policy&#8221;, in cui andranno impostate le seguenti opzioni:<\/p>\n<ul>\n<li> <strong>Enforce password history<\/strong>: serve per definire il numero di password &#8220;ricordate&#8221; dal server, ci\u00f2 significa che prima di poter riutilizzare una password bisogna cambiare password (la quale ovviamente sar\u00e0 sempre diversa) almeno x volte, dove per x si intende il valore impostato per questo parametro, che nella maggior parte dei casi secondo me pu\u00f2 essere uguale a 10<\/li>\n<li><strong>Maximum password age<\/strong>: indica il numero di giorni di validit\u00e0 della password, passato questo periodo, verr\u00e0 imposto il cambio di password, pena l\u2019impedimento all\u2019accesso sul client da parte dell\u2019utente finale; il valore consigliato non deve superare i 90 giorni, che \u00e8 il limite massimo consentito dal Testo unico sulla privacy in caso di trattamento di dati sensibili, mentre Microsoft consiglia di non superare i 42 giorni di validit\u00e0 della password, che \u00e8 anche l\u2019impostazione predefinita in caso di attivazione di questa password policy<\/li>\n<li><strong>Minimum password age<\/strong>: questa policy viene automaticamente attivata quando si attiva l\u2019impostazione &#8220;Maximum password age&#8221; mettendo come impostazione predefinita 30 giorni; in realt\u00e0, questo settaggio consente di specificare la validit\u00e0 minima della password, cio\u00e9 il numero minimo di giorni in cui non \u00e8 consentito un cambio della password a partire dalla data di creazione della stessa, quindi \u00e8 bene specificare un valore pi\u00f9 basso per consentire un pi\u00f9 tempestivo cambio della password che si pu\u00f2 rendere necessario per diversi motivi, infatti Microsoft consiglia di impostare questo valore a 2<\/li>\n<li><strong>Minimum password length<\/strong>: definisce la lunghezza minima della password intesa come numero di caratteri; secondo il Testo Unico sulla Privacy la lunghezza minima della password deve essere di otto caratteri, per cui ci possiamo attenere a questa prescrizione, in modo tale che l\u2019utente non possa utilizzare password pi\u00f9 corte di otto caratteri, ovviamente nessuno vieta di utilizzare password composte da pi\u00f9 di 8 caratteri<\/li>\n<li><strong>Password must meet complexity requirements<\/strong>: impostazione che obbliga l\u2019utente ad immettere password utilizzando criteri di complessit\u00e0 in grado di rendere una password &#8220;sicura&#8221;: in particolare, la password deve essere lunga almeno sei caratteri (precauzione superata dagli 8 caratteri specificati nel parametro &#8220;Minimum password length&#8221;), non deve contenere tre o pi\u00f9 caratteri che fanno parte del nome utente, e deve includere almeno tre di cinque categorie di caratteri:- lettere dalla A alla Z maiuscole<br \/>\n&#8211; lettere dalla a alla z minuscole<br \/>\n&#8211; cifre comprese tra 0 e 9<br \/>\n&#8211; segni di interpunzione e caratteri non alfanumerici (virgola, punto e virgola, $, %, ecc\u2026)<br \/>\n&#8211; caratteri unicode (simboli)<\/li>\n<\/ul>\n<p>L\u2019impostazione di queste opzioni consente di definire dei criteri di protezione validi per tutto il dominio, per cui, ogni utente che si autentica sul dominio, sar\u00e0 &#8220;costretto&#8221; a seguire queste regole, ci\u00f2 fa s\u00ec che, almeno da questo punto di vista, non ci siano utenti che mettono a rischio la sicurezza del sistema informativo semplicemente facendosi da s\u00e9 le regole di accesso al sistema. Di importanza fondamentale rimane per\u00f2 la sensibilizzazione degli utenti riguardo queste tematiche, troppo spesso accade che l\u2019utente finale comunichi le proprie credenziali ai colleghi con motivazioni del tipo &#8220;non ho nulla da nascondere&#8221;, cos\u00ec come altrettanto spesso si vedono post-it appiccicati al monitor con in bella evidenza la propria password; ci\u00f2 accade perch\u00e9 gli utenti non hanno ben chiaro che vanno protette non (solo) le informazioni personali, ma i dati personali o sensibili di terzi che si trattano col lavoro di tutti i giorni.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Quando si gestisce un sistema informativo, bisogna fare in modo che questo sia protetto da attacchi pi\u00f9 o meno subdoli. Una delle precauzioni principali da prendere riguarda la gestione delle credenziali d\u2019accesso al sistema, che devono rispondere a specifici criteri di sicurezza che prevengano accessi non autorizzati, in ottemperanza alle [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":818,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":"","_links_to":"","_links_to_target":""},"categories":[100,7,8],"tags":[1271,4,1272,1273,138,1274,1494],"class_list":["post-816","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sicurezza","category-tutorial","category-windows","tag-d-lgs-196-del-2003","tag-dominio","tag-gestione-password","tag-policy-password","tag-privacy","tag-testo-unico-sulla-privacy","tag-windows"],"jetpack_featured_media_url":"","jetpack_shortlink":"https:\/\/wp.me\/p8fSv5-da","jetpack_sharing_enabled":true,"jetpack-related-posts":[{"id":30,"url":"https:\/\/www.italiamac.it\/work4net\/2008\/04\/progetto-hacker-high-school\/","url_meta":{"origin":816,"position":0},"title":"Progetto Hacker High School","author":"Dev","date":"15 Aprile 2008","format":false,"excerpt":"Il progetto Hacker High School \u00e9 finalizzato a fornire materiali informativi su come difendersi in rete stimolando l\u2019interesse dell\u2019 Hacker che c\u2019\u00e8 in tutti noi. L\u2019obbiettivo \u00e9 quello di sviluppare una conoscenza sull\u2019 Hacking per identificare autonomamente i problemi di sicurezza e di privacy, imparando ad assumere decisioni responsabili in\u2026","rel":"","context":"In &quot;Opensource&quot;","block_context":{"text":"Opensource","link":"https:\/\/www.italiamac.it\/work4net\/category\/opensource\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.italiamac.it\/work4net\/wp-content\/uploads\/2013\/08\/feat_generic.jpg?fit=1022%2C573&ssl=1&resize=350%2C200","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.italiamac.it\/work4net\/wp-content\/uploads\/2013\/08\/feat_generic.jpg?fit=1022%2C573&ssl=1&resize=350%2C200 1x, https:\/\/i0.wp.com\/www.italiamac.it\/work4net\/wp-content\/uploads\/2013\/08\/feat_generic.jpg?fit=1022%2C573&ssl=1&resize=525%2C300 1.5x, https:\/\/i0.wp.com\/www.italiamac.it\/work4net\/wp-content\/uploads\/2013\/08\/feat_generic.jpg?fit=1022%2C573&ssl=1&resize=700%2C400 2x"},"classes":[]},{"id":238,"url":"https:\/\/www.italiamac.it\/work4net\/2008\/10\/come-conoscere-la-password-di-un-router\/","url_meta":{"origin":816,"position":1},"title":"Come conoscere la password di un router","author":"Dev","date":"5 Ottobre 2008","format":false,"excerpt":"Tutti i router in commercio hanno delle password di default. Esiste per\u00f2 un sito web, che raccoglie tutti i dettagli sui router in circolazione. Normalmente le credenziali vengono lasciate inalterate, cosi\u2019 chiuque puo\u2019 accedere e fare quel che vuole. Utile a chi perde la password default del proprio router. http:\/\/www.routerpasswords.com\/","rel":"","context":"In &quot;Opensource&quot;","block_context":{"text":"Opensource","link":"https:\/\/www.italiamac.it\/work4net\/category\/opensource\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.work4net.it\/immagini\/2008\/10\/router2-300x236.jpg?resize=350%2C200","width":350,"height":200},"classes":[]},{"id":1067,"url":"https:\/\/www.italiamac.it\/work4net\/2011\/03\/come-proteggere-e-educare-i-bambini-alluso-sicuro-di-internet\/","url_meta":{"origin":816,"position":2},"title":"Come proteggere e educare i bambini all&#8217;uso sicuro di internet","author":"Dev","date":"17 Marzo 2011","format":false,"excerpt":"kO3dWre5lOk Ecco alcuni suggerimenti generici per contribuire a preservare la sicurezza della tua famiglia online. Colloca i computer in una posizione centrale. In questo modo sar\u00e0 pi\u00f9 facile tenere d\u2019occhio le attivit\u00e0 dei tuoi figli. Informati sui siti online visitati dai tuoi figli. Se hai dei bambini piccoli, potresti navigare\u2026","rel":"","context":"In &quot;Sicurezza&quot;","block_context":{"text":"Sicurezza","link":"https:\/\/www.italiamac.it\/work4net\/category\/sicurezza\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.italiamac.it\/work4net\/wp-content\/uploads\/2013\/08\/feat_generic.jpg?fit=1022%2C573&ssl=1&resize=350%2C200","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.italiamac.it\/work4net\/wp-content\/uploads\/2013\/08\/feat_generic.jpg?fit=1022%2C573&ssl=1&resize=350%2C200 1x, https:\/\/i0.wp.com\/www.italiamac.it\/work4net\/wp-content\/uploads\/2013\/08\/feat_generic.jpg?fit=1022%2C573&ssl=1&resize=525%2C300 1.5x, https:\/\/i0.wp.com\/www.italiamac.it\/work4net\/wp-content\/uploads\/2013\/08\/feat_generic.jpg?fit=1022%2C573&ssl=1&resize=700%2C400 2x"},"classes":[]},{"id":122,"url":"https:\/\/www.italiamac.it\/work4net\/2008\/06\/password-safe-cifra-e-memorizza-le-tue-password-ecco-come-fare-con-il-video-tutorial-in-italiano\/","url_meta":{"origin":816,"position":3},"title":"Password Safe: Cifra e memorizza le tue password, ecco come fare  con il Video Tutorial in italiano","author":"Dev","date":"17 Giugno 2008","format":false,"excerpt":"Password Safe \u00e8 un software gratuito che consente di memorizzare, in un unico database, tutte le proprie password. Sono infatti davvero tante le password che, al giorno d'oggi, debbono essere ricordate. Password Safe permette di risolvere il problema salvandole in sicurezza. Le password possono essere organizzate, all'interno dell'archivio di password\u2026","rel":"","context":"In &quot;Opensource&quot;","block_context":{"text":"Opensource","link":"https:\/\/www.italiamac.it\/work4net\/category\/opensource\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.work4net.it\/immagini\/2008\/06\/passwordsafe-300x213.jpg?resize=350%2C200","width":350,"height":200},"classes":[]},{"id":50,"url":"https:\/\/www.italiamac.it\/work4net\/2008\/04\/linux-recuperare-la-password-di-root\/","url_meta":{"origin":816,"position":4},"title":"Linux: Recuperare la password di root","author":"Dev","date":"25 Aprile 2008","format":false,"excerpt":"Pu\u00f2 capitare, e pi\u00f9 spesso di quanto uno immagini, che la password del super utente root venga dimenticata. Dimenticare questa password pu\u00f2 significare una limitazione piuttosto grande su una macchina Linux, visto e considerato che se il sistema \u00e8 stato impostato correttamente e voi siete delle persone diligenti, utilizzerete il\u2026","rel":"","context":"In &quot;Opensource&quot;","block_context":{"text":"Opensource","link":"https:\/\/www.italiamac.it\/work4net\/category\/opensource\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.italiamac.it\/work4net\/wp-content\/uploads\/2013\/08\/feat_generic.jpg?fit=1022%2C573&ssl=1&resize=350%2C200","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.italiamac.it\/work4net\/wp-content\/uploads\/2013\/08\/feat_generic.jpg?fit=1022%2C573&ssl=1&resize=350%2C200 1x, https:\/\/i0.wp.com\/www.italiamac.it\/work4net\/wp-content\/uploads\/2013\/08\/feat_generic.jpg?fit=1022%2C573&ssl=1&resize=525%2C300 1.5x, https:\/\/i0.wp.com\/www.italiamac.it\/work4net\/wp-content\/uploads\/2013\/08\/feat_generic.jpg?fit=1022%2C573&ssl=1&resize=700%2C400 2x"},"classes":[]},{"id":52,"url":"https:\/\/www.italiamac.it\/work4net\/2008\/04\/proteggere-una-qualunque-immaginefoto-con-visualizzazione-solo-tramite-password\/","url_meta":{"origin":816,"position":5},"title":"Proteggere una qualunque immagine\/foto con visualizzazione solo tramite password","author":"Dev","date":"27 Aprile 2008","format":false,"excerpt":"Si chiama LockImage\u00e8 un tool open source per sistemi Windows che permette di trasformare una qualunque immagine in un file eseguibile da condividere con altre persone. Chi avvier\u00e0 il file, prima di poter visualizzare l\u2019immagine, avr\u00e0 comunque bisogno di una password di visualizzazione assegnatagli da chi ha generato l\u2019eseguibile. Un\u2026","rel":"","context":"In &quot;Opensource&quot;","block_context":{"text":"Opensource","link":"https:\/\/www.italiamac.it\/work4net\/category\/opensource\/"},"img":{"alt_text":"lockimage","src":"https:\/\/i0.wp.com\/www.work4net.it\/immagini\/lockimage.jpg?resize=350%2C200","width":350,"height":200},"classes":[]}],"_links":{"self":[{"href":"https:\/\/www.italiamac.it\/work4net\/wp-json\/wp\/v2\/posts\/816","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.italiamac.it\/work4net\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.italiamac.it\/work4net\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.italiamac.it\/work4net\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.italiamac.it\/work4net\/wp-json\/wp\/v2\/comments?post=816"}],"version-history":[{"count":0,"href":"https:\/\/www.italiamac.it\/work4net\/wp-json\/wp\/v2\/posts\/816\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.italiamac.it\/work4net\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/www.italiamac.it\/work4net\/wp-json\/wp\/v2\/media?parent=816"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.italiamac.it\/work4net\/wp-json\/wp\/v2\/categories?post=816"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.italiamac.it\/work4net\/wp-json\/wp\/v2\/tags?post=816"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}