Come: Gestire i criteri particolareggiati relativi alle password con PowerShell
I criteri relativi alle password sono fondamentali per garantire la creazione di password solide e proteggere gli utenti dagli attacchi basati sulle credenziali. Gli script PowerShell più in basso possono essere utilizzati per gestire i criteri particolareggiati relativi alle password e i criteri predefiniti di dominio per i domini Active Directory. ADSelfService Plus, la soluzione con funzionalità di sicurezza delle identità con autenticazione a più fattori, Single Sign-On e gestione self-service delle password, fornisce impostazioni avanzate dei criteri relativi alle password che possono essere applicati alle applicazioni locale e in cloud. Questo è un confronto tra gli script PowerShell utilizzati per gestire le impostazioni dei criteri particolareggiati relativi alle password e ADSelfService Plus.
Con PowerShell
Esegui gli script più in basso in PowerShell:
- Crea un nuovo criterio particolareggiato relativo alle password di Active Directory
New-ADFineGrainedPasswordPolicy
[-WhatIf]
[-Confirm]
[-AuthType <ADAuthType>]
[-ComplexityEnabled <Boolean>]
[-Credential <PSCredential>]
[-Description <String>]
[-DisplayName <String>]
[-Instance <ADFineGrainedPasswordPolicy>]
[-LockoutDuration <TimeSpan>]
[-LockoutObservationWindow <TimeSpan>]
[-LockoutThreshold <Int32>]
[-MaxPasswordAge <TimeSpan>]
[-MinPasswordAge <TimeSpan>]
[-MinPasswordLength <Int32>]
[-Name] <String>
[-OtherAttributes <Hashtable>]
[-PassThru]
[-PasswordHistoryCount <Int32>]
[-Precedence] <Int32>
[-ProtectedFromAccidentalDeletion <Boolean>]
[-ReversibleEncryptionEnabled <Boolean>]
[-Server <String>]
[<CommonParameters>]
Copied
Fai clic per copiare l’intero script
- Effettua una ricerca per recuperare uno o più criteri particolareggiati relativi alle password
Get-ADFineGrainedPasswordPolicy
[-AuthType <ADAuthType>]
[-Credential <PSCredential>]
[-Identity] <ADFineGrainedPasswordPolicy>
[-Properties <String[]>]
[-Server <String>]
[<CommonParameters>]
- Effettua una ricerca per recuperare uno o più criteri predefiniti relativi alle password di dominio
Get-ADDefaultDomainPasswordPolicy
[-AuthType <ADAuthType>]
[-Credential <PSCredential>]
[-Current <ADCurrentDomainType>]
[-Server <String>]
[<CommonParameters>]
Con ADSelfService Plus:
- Configura un criterio personalizzato relativo alle password mediante lo strumento di applicazione dei criteri delle password
- Accedi al portale di amministrazione di ADSelfService Plus.
- Vai a Configurazione > Self-service > Strumento di applicazione delle password.
- Abilita Applica i criteri personalizzati delle password.
- Dalla scheda Imponi restrizioni di caratteri:
- Imposta il numero di caratteri numerici e speciali che deve essere utilizzato.
- Consenti l'inclusione di caratteri Unicode.
- Imponi un numero minimo di lettere maiuscole e minuscole.
- Non consentire che l’ultimo carattere sia numerico.
- Nella scheda Impedisci le ripetizioni, impedisci l'uso di stringhe dal nome utente o da vecchie password e la ripetizione consecutiva dello stesso carattere.
- Nella scheda Impedisci gli schemi, impedisci l'utilizzo di parole di dizionario, password vulnerabili, schemi di tastiera e palindromi.
- Nella scheda Imponi restrizioni di lunghezza, indica il minimo e il massimo per lunghezza della password.
- Usa le impostazioni La password deve soddisfare almeno _ dei requisiti di complessità in alto per permettere agli utenti di scegliere le regole che vogliono applicare senza compromettere la sicurezza delle password.
- Utilizza l'impostazione Sovrascrivi tutte le regole di complessità se la lunghezza delle password è almeno _ per applicare le passphrase al posto delle regole di complessità delle password se la lunghezza della password è superiore a un determinato numero.
- Fai clic su Salva.
Vantaggi di ADSelfService Plus rispetto a PowerShell:
- Le impostazioni avanzate dei criteri relativi alle password di ADSelfService Plus impediscono l'utilizzo di parole di dizionario, password vulnerabili, palindromi, schemi di tastiera e altro.
- ADSelfService Plus integra con il servizio Have I Been Pwned? per garantire che gli utenti non utilizzino password violate durante la modifica e la reimpostazione delle password.
- Visualizza i requisiti relativi alle password per gli utenti finali durante le operazioni di modifica o reimpostazione delle password nella schermata Ctrl+Alt+Canc.
- Applica le impostazioni dei criteri personalizzati relativi alle password per le modifiche delle password mediante la schermata di accesso a Windows (Ctrl+Alt+Canc) e durante la reimpostazione delle password mediante ADUC.
Funzionalità chiave di ADSelfService Plus
- Difesa dagli attacchi informatici:
Garantisce che gli utenti non utilizzino password facilmente individuabili come pass@123.
- Miglioramento della sicurezza IT:
Offre tecniche avanzate di autenticazione a più fattori tra cui elementi biometrici e YubiKey.
- Applicazione universale:
Gli amministratori possono applicare i criteri personalizzati relativi alle password per le applicazioni di Active Directory e in cloud.
- Applicazione basata su gruppi e unità organizzative:
Gli amministratori possono applicare diversi criteri relativi alle password agli utenti in base all'appartenenza a gruppi o unità organizzative.
Difesa contro il terrorismo informatico con i controlli dei criteri personalizzati relativi alle password.
