Il “Codice in materia di protezione dei dati personali“, con l’allegato B al D. Lgs. n.196, obbliga le aziende e gli studi professionali – e tutti quei soggetti che trattano dati personali attraverso sistemi informatici – a redigere il tanto discusso Documento Programmatico sulla Sicurezza.
In tale documento, da aggiornare ogni anno, come ben noto vengono elencate tutte le misure minime adottate in azienda per proteggere i dati sensibili custoditi da eventuali accessi non autorizzati, possibili furti, perdite di dati, ecc. In particolare tra le misure minime da adottare parliamo oggi della “gestione password“.
Può sembrare banale, ma la gestione delle chiavi di accesso è statisticamente uno dei problemi meno risolti in ambito D.P.S., forse perché spesso sottovalutato.
Secondo le direttive imposte, le password devono variare ogni 6 mesi se proteggono dati sensibili e ogni 3 se proteggono dati giuridici. Inoltre, la lunghezza non deve essere inferiore agli 8 caratteri.
Vediamo dunque come configurare un server di dominio su Windows Server 2003 in maniera tale da rispettare le norme vigenti in materia di password.
Nelle Active Directory è possibile impostare delle policy personalizzate per l’attribuzione delle password impostando durata massima, complessità , lunghezza: vediamo dunque cosa fare.
Innanzitutto apriamo la console “Active Directory Users and Computers” e portiamoci alla radice del dominio. Qui, clicchiamo con il pulsante destro del mouse e selezioniamo “proprietà “.
Nel menu che si aprirà , troveremo e apriremo il tab, “Group Policy”.
Lì troveremo la funzione di policy “Default Domain Policy“, che è quella preimpostata da Windows Server e che andrà modificata.
Scegliendo “edit” si aprirà un menu ad albero. Dovremo trovare “Security Settings” e in successione “Password Policy” che è il menu che ci interessa.
Da qui potremo cambiare le policy delle password che ci interessano e dunque:
- Enforce password history: Windows memorizzerà le vecchie password per permetterci di non riutilizzarle in futuro
- Maximum/Minimum password age: durata minima e massima delle password
- Minimum password length: lunghezza minima delle password
- Password must meet complexity requirements: per impostare la complessità delle password e dunque se utilizzare solo caratteri alfa-numerici o anche simboli, maiuscole, minuscole….
Salvate, e da questo momento tutti gli utenti presenti e futuri del dominio dovranno sottostare a queste regole.
Alla scadenza delle password, circa 15 giorni prima, l’utente verrà avvisato tramite popup che dovrà modificare la propria password.