Fine Grain Password: un servizio Microsoft per gestire granularmente le password di dominio!

Set 18, 2023 Francesco Guiducci Approfondimenti, In evidenza, Security bITs, Tecnologia 0

---

La sicurezza delle password è un aspetto cruciale per proteggere le risorse aziendali e mitigare i rischi di accessi non autorizzati.

Active Directory (AD), il servizio di directory di Microsoft per la gestione degli account utente e delle risorse di rete, offre una funzionalità chiamata Fine Grain Password Policy (FGPP) che consente di applicare politiche di password specifiche per gruppi di utenti (fortemente consigliato) o singoli utenti.

Questa funzionalità offre un maggior controllo sulla complessità e la durata delle password, contribuendo a rafforzare la sicurezza dell’ambiente AD Active Directory .

E’ possibile raggiungere tale obiettivo, attraverso la gestione classica delle Policy di dominio (GPO) ma sarebbe molto più laborioso e complesso oltre che di difficile gestione e manutenzione. Per questo motivo, attraverso ADAC (Active Directory Administrative Center), possiamo abilitare tale funzione e procedere con le configurazioni necessarie.

SUGGERIMENTO: prima di procedere, fate uno schema dettagliato di quali utenti devono essere gestiti con questo servizio.

Non assegnate policy password ai singoli utenti ma organizzateli in gruppi e assegnate poi le password policy agli stessi.
Passiamo quindi alla configurazione delle Fine Grain Password.

Requisiti preliminari

Prima di iniziare la configurazione delle Fine Grain Password Policy, assicuratevi di soddisfare i seguenti requisiti: essere un amministratore di dominio con i privilegi necessari per apportare modifiche alle impostazioni di Active Directory ed avere accesso a un server Active Directory con almeno Windows Server 2008 o versioni successive (consigliamo di avere una versione superiore al 2008: es.2016).

Creazione di una Fine Grain Password Policy

Per creare una Fine Grain Password Policy, è necessario seguire i seguenti passaggi:

1. Accedere a un controller di dominio come amministratore di dominio
2. Aprire la console ADAC “Active Directory Administrative Center“
3. Navigare nella sezione “Domain” e selezionare la cartella “Password Settings Container“
4. Fare clic con il pulsante destro del mouse sulla cartella e selezionare “New” seguito da “Password Settings“
5. Assegnare un nome alla nuova password policy
6. Configurare le opzioni desiderate per la policy, come la complessità, la durata e le restrizioni specifiche
7. Fare clic su “OK” per salvare la nuova policy password

Dopo aver creato una Fine Grain Password Policy, è possibile applicarla a un gruppo o a un singolo utente, ecco come:

1. Aprire la console “Active Directory Users and Computers“
2. Navigare fino al gruppo o all’utente a cui si desidera applicare la nuova politica di password
3. Fare clic con il pulsante destro del mouse sul gruppo o sull’utente e selezionare “Properties“
4. Nella scheda “Account“, fare clic sul pulsante “Attribute Editor“
5. Cerca l’attributo “msDS-PSOApplied” e fai doppio clic su di esso
6. Nella finestra di modifica, aggiungere il nome della Fine Grain Password Policy che si desidera applicare e fare clic su “OK”.

NOTA: in alternativa è possibile, in maniera più semplice, applicare la password policy ad un gruppo o ad un utente, direttamente nel pannello “Directly Applies To” presente nelle proprietà della Password policy come riportato nell’immagine sotto.

Chiudete quindi tutte le finestre di dialogo.

 

La configurazione delle Fine Grain Password Policy in Active Directory offre un metodo efficace per implementare politiche di password personalizzate per gruppi di utenti o singoli utenti.

Questa funzionalità consente di aumentare la sicurezza dell’ambiente AD, adottando password complesse e regolari cambiamenti delle stesse.

È importante assicurarsi di avere i privilegi di amministratore di dominio e seguire attentamente i passaggi descritti nel tutorial per sfruttare al meglio le potenzialità delle Fine Grain Password Policy in Active Directory.

Potete trovare il video tutorial di questo articolo nel canale YouTube di Francesco Guiducci @cyberpillole

---

---

---