Come aggiornare i criteri delle password di Windows utilizzando PowerShell

Punti chiave

  • I criteri delle password sono essenziali per rafforzare la sicurezza informatica nelle organizzazioni.
  • Lo script per aggiornare i criteri delle password automatizza il processo di modifica della complessità della password in Windows.
  • Lo script per aggiornare i criteri delle password supporta sia i computer di dominio che quelli non di dominio.
  • L’esecuzione dello script per aggiornare i criteri delle password senza privilegi amministrativi comporterà l’interruzione dell’operazione.
  • I metodi tradizionali per modificare i criteri delle password possono richiedere più tempo di questo script.
  • Testa sempre lo script per aggiornare i criteri delle password in un ambiente controllato prima di distribuirlo.
  • Informare gli utenti delle modifiche ai criteri delle password può evitare confusione e potenziali blocchi.
  • La revisione e l’adeguamento periodico dei criteri per le password è una delle best practice da seguire.
  • NinjaOne può integrarsi perfettamente con gli strumenti di automazione per rafforzare le misure di sicurezza.

Nel panorama informatico odierno, la sicurezza rimane fondamentale. Con le violazioni dei dati in aumento di cui tanto si parla, la definizione di criteri forti delle password diventa non solo un’opzione, ma una necessità. Per le organizzazioni che cercano di rafforzare le proprie difese, avere un modo efficiente per aggiornare i criteri delle password di Windows diventa un fattore cruciale.

Background

I criteri per le password, soprattutto in ambienti Windows, aiutano a definire i requisiti per la creazione e il mantenimento delle password. Garantire che questi siano rigorosi riduce il rischio di accessi non autorizzati. Lo script qui fornito è stato creato su misura per i professionisti IT e i Managed Service Provider (MSP) per modificare in modo rapido la complessità della password per un computer di dominio o non di dominio.

Perché questo strumento è così prezioso? Modificare manualmente i criteri delle password, soprattutto nelle grandi organizzazioni, può essere complicato. Uno script come questo automatizza il processo, rendendolo più rapido e meno soggetto a errori umani.

Lo script per aggiornare i criteri delle password

#Requires -Version 5.1

<#
.SYNOPSIS
    Modifies the password complexity settings for a domain or a non-domain computer.
.DESCRIPTION
    This script can be used to enable or disable the password complexity requirement on a domain or a non-domain computer.
    When using -Domain, this script must be run on a Domain Controller with the RSAT feature installed.
.PARAMETER ComplexityEnabled
    Enables the Password Complexity requirement.
.PARAMETER Domain
    Specifies the name of the domain. If specified, it will enable or disable the password complexity requirement on the Active Directory Default Domain Password Policy.
    The computer this script is executed on MUST have the PowerShell RSAT features installed when using the -Domain flag.
.EXAMPLE
     -ComplexityEnabled
    Enables the password complexity requirement on the computer this script runs on.
.EXAMPLE
     No param needed
    Disables the password complexity requirement on the computer this script runs on.
.EXAMPLE
     -ComplexityEnabled -Domain "test.consto.com"
    Enables the password complexity requirement in Active Directory for the Default Domain Password Policy.
    When using -Domain, this script must be run on a Domain Controller with the RSAT feature installed.
.EXAMPLE
     -Domain "test.consto.com"
    Disables the password complexity requirement in Active Directory for the Default Domain Password Policy.
    When using -Domain, this script must be run on a Domain Controller with the RSAT feature installed.
.NOTES
    Minimum OS Architecture Supported: Windows 10, Windows Server 2016
    Release Notes: Renamed script and added Script Variable support
    By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
    Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms. 
    Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party. 
    Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider. 
    Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations. 
    Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks. 
    Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script. 
    EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
.COMPONENT
    ManageUsers
#>

[CmdletBinding()]
param (
    [Parameter(Mandatory = $false)]
    [Switch]
    $ComplexityEnabled,
    [Parameter(Mandatory = $false)]
    [String]
    $Domain
)
begin {
    function Test-IsElevated {
        $id = [System.Security.Principal.WindowsIdentity]::GetCurrent()
        $p = New-Object System.Security.Principal.WindowsPrincipal($id)
        if ($p.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator))
        { Write-Output $true }
        else
        { Write-Output $false }
    }
    function Test-DomainJoined {
        # Check if the computer is domain joined
        if ((Get-Command -Name Get-WmiObject -ErrorAction SilentlyContinue)) {
            return $(Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain
        }
        elseif ((Get-Command -Name Get-CIMInstance -ErrorAction SilentlyContinue)) {
            return $(Get-CimInstance -ClassName Win32_ComputerSystem).PartOfDomain
        }
        else {
            Write-Host "[Error] Get-WmiObject and Get-CIMInstance are not available. This script requires at least one of these cmdlets to run."
            exit 1
        }
    }
}
process {
    if (-not (Test-IsElevated)) {
        Write-Host "[Error] Access Denied. Please run with Administrator privileges."
        exit 1
    }
    
    if (-not ([string]::IsNullOrWhiteSpace($Domain))) {
        # Active Directory
    
        # Check if we are running on a Domain Controller, exit if we aren't
        $osInfo = Get-CimInstance -ClassName Win32_OperatingSystem
        if ($osInfo.ProductType -ne 2) {
            Write-Host "[Error] This needs to run on a Domain Controller."
            exit 1
        }
        # Set ComplexityEnabled to what was passed into $ComplexityEnabled
        Set-ADDefaultDomainPasswordPolicy -Identity $Domain -ComplexityEnabled $(if ($ComplexityEnabled) { $true }else { $false }) -Confirm:$false
        # Sleep for a while, just in case Get-ADDefaultDomainPasswordPolicy connects to a different AD server and replication is slow
        Start-Sleep -Seconds 60
        # Check if the ComplexityEnabled policy was applied correctly
        $Results = Get-ADDefaultDomainPasswordPolicy -Identity $Domain
        # Check that the policy matches what was requested
        if ($Results -and $Results.ComplexityEnabled -eq $ComplexityEnabled) {
            Write-Host "[Info] Set Complexity in Default Domain Password Policy to $ComplexityEnabled"
            return
        }
        else {
            # The policy was not set for some reason
            Write-Host "[Error] Failed to set Complexity in Default Domain Password Policy to $ComplexityEnabled"
            exit 1
        }
    }
    else {
        # Localhost
        # Check if the computer is domain joined

        if ($(Test-DomainJoined)) {
            Write-Host "[Error] This Computer is domain joined. Modifying the local policy is not supported for domain joined computers."
            exit 1
        }

        # Set the path for our temp local policy config file
        $Path = "$PSScriptRoot\Set-Password-Complexity-secpol.cfg"
        # Get our local policy
        SecEdit.exe /export /cfg $Path
        if ($LASTEXITCODE -gt 0) {
            Write-Host "[Error] Failed to read local machine Policy"
            exit 1
        }

        # Next make sure that we are not changing something that does not need to be changed
        # if $ComplexityEnabled is True and the temp local policy config file has PasswordComplexity set to 0, then proceed
        if ($ComplexityEnabled -and $(Get-Content -Path $Path) -Match "^PasswordComplexity = 0$") {
            # Change PasswordComplexity from 0 to 1
            $(Get-Content -Path $Path) -Replace "PasswordComplexity = 0", "PasswordComplexity = 1" | Out-File $Path
            # Update the local policy with our changes
            SecEdit.exe /configure /db c:\windows\security\local.sdb /cfg $Path /areas SECURITYPOLICY
            if ($LASTEXITCODE -gt 0) {
                Write-Host "[Error] Failed to set Complexity in local machine Policy to $ComplexityEnabled"
                exit 1
            }
        }# if $ComplexityEnabled is False and the temp local policy config file has PasswordComplexity set to 1, then proceed
        elseif (-not $ComplexityEnabled -and $(Get-Content -Path $Path) -Match "^PasswordComplexity = 1$") {
            # Change PasswordComplexity from 1 to 0
            $(Get-Content -Path $Path) -Replace "PasswordComplexity = 1", "PasswordComplexity = 0" | Out-File $Path
            # Update the local policy with our changes
            SecEdit.exe /configure /db c:\windows\security\local.sdb /cfg $Path /areas SECURITYPOLICY
            if ($LASTEXITCODE -gt 0) {
                Write-Host "[Error] Failed to set Complexity in local machine Policy to $ComplexityEnabled"
                exit 1
            }
        }
        # Remove our temp local policy config file
        Remove-Item $Path -Force
        # Get our local policy
        SecEdit.exe /export /cfg $Path
        # Check if the temp local policy config file has PasswordComplexity set to match our $ComplexityEnabled
        if (
            ($ComplexityEnabled -and $(Get-Content $Path) -Match "^PasswordComplexity = 1$") -or
            (-not $ComplexityEnabled -and $(Get-Content $Path) -Match "^PasswordComplexity = 0$")
        ) {
            # Remove our temp local policy config file again
            Remove-Item $Path -Force
            Write-Host "[Info] Set Complexity in local machine Policy to $ComplexityEnabled"
            return
        }
        else {
            # Remove our temp local policy config file again
            Remove-Item $Path -Force
            Write-Host "[Error] Failed to set Complexity in local machine Policy to $ComplexityEnabled"
            exit 1
        }
    }
}

 

Accedi a oltre 700 script nel Dojo di NinjaOne

Ottieni l’accesso

Analisi dettagliata

  • Requisiti iniziali: Lo script per aggiornare i criteri delle password è progettato per Windows 10 o Windows Server 2016. Inoltre, se si utilizza la funzione Active Directory, è necessario installare RSAT per Active Directory.
  • Parametri: Lo script per aggiornare i criteri delle password accetta due parametri opzionali:
  • $ComplexityEnabled: Uno switch che abilita o disabilita i requisiti di complessità della password.
  • $Domain: Specifica il nome del dominio per il quale verrà modificato il criterio della password.
  • Controllo dell’elevazione dei permessi: Prima di qualsiasi azione, lo script per aggiornare i criteri delle password verifica se chi lo ha lanciato dispone dei privilegi di amministratore. Se i privilegi non ci sono, lo script termina, assicurando che le azioni vengano eseguite solo con le giuste autorizzazioni.
  • Active Directory: Se viene specificato un dominio, lo script per aggiornare i criteri delle password:
  • Controlla se viene eseguito su un controller di dominio.
  • Convalida la presenza del modulo ActiveDirectory.
  • Modifica il criterio della password predefinita di dominio in base al parametro $ComplexityEnabled.
  • Criterio locale: Se non viene specificato alcun dominio, lo script:
  • Crea un file temporaneo di configurazione dei criteri.
  • Controlla l’impostazione attuale della complessità della password.
  • Modifica questa impostazione in base al parametro $ComplexityEnabled.

Casi d’uso potenziali

Caso di studio: Immagina una professionista IT, Jane, che lavora in un’organizzazione che ha recentemente subito attacchi di phishing. Il suo team decide di applicare criteri di password più severi. Invece di esaminare manualmente ogni sistema o controller di dominio, Jane utilizza questo script per aggiornare i criteri delle password. Semplicemente eseguendolo con i parametri desiderati, Jane è in grado di aggiornare  i criteri delle password rapidamente, migliorando così la sicurezza dell’organizzazione.

Confronti

Tradizionalmente, la modifica dei criteri delle password in Windows richiedeva spesso la navigazione attraverso diverse interfacce basate su GUI, come la gestione dei Criteri di gruppo o i Criteri locali di sicurezza. Pur essendo efficaci, questi metodi possono richiedere molto tempo. Questo script PowerShell semplifica il processo per aggiornare i criteri delle password, fornendo un approccio più rapido ed efficiente.

Domande frequenti

  • Quali versioni di Windows supporta questo script per aggiornare i criteri delle password? 
    Windows 10 e Windows Server 2016.
  • È sempre necessario specificare un dominio? 
    No. Se non si specifica un dominio, lo script per aggiornare i criteri delle password andrà a lavorare sul computer locale.
  • Cosa succede se lo script per aggiornare i criteri delle password non viene eseguito con privilegi amministrativi?
    Lo script termina e visualizza un messaggio di errore.

Implicazioni

Sebbene l’automazione delle modifiche ai criteri delle password può accelerare i processi, è fondamentale informare gli utenti di queste modifiche. Cambiamenti improvvisi dei criteri delle password possono generare confusione e potenziali blocchi nell’accesso, e quindi avere un impatto sulla produttività. D’altra parte, dal punto di vista della sicurezza informatica, l’aggiornamento e l’applicazione regolare dei criteri delle password possono ridurre drasticamente il rischio di accessi non autorizzati.

Raccomandazioni

  • Esegui sempre lo script in un ambiente di prova prima di applicarlo in ambiente di produzione.
  • Ricontrolla e modifica regolarmente i criteri delle password per mantenerli in linea con le più recenti raccomandazioni in materia di sicurezza.
  • Rendi consapevoli gli utenti dell’importanza di password forti e del motivo alla base delle modifiche ai criteri.

Considerazioni finali

Nel contesto della necessità di una maggiore sicurezza informatica, strumenti come NinjaOne possono svolgere un ruolo fondamentale. Non solo forniscono soluzioni di monitoraggio, ma si integrano perfettamente con script come quello descritto. Utilizzando NinjaOne insieme a questi strumenti di automazione, i professionisti IT possono gestire e rafforzare in modo efficiente le misure di sicurezza della propria organizzazione.

Passi successivi

La creazione di un team IT efficiente ed efficace richiede una soluzione centralizzata che funga da principale strumento per la fornitura di servizi. NinjaOne consente ai team IT di monitorare, gestire, proteggere e supportare tutti i dispositivi, ovunque essi si trovino, senza la necessità di una complessa infrastruttura locale.

Per saperne di più sulla distribuzione remota di script con NinjaOne, fai un tour dal vivo, o inizia la tua prova gratuita della piattaforma NinjaOne.

Categorie:

Ti potrebbe interessare anche

×

Guarda NinjaOne in azione!

Inviando questo modulo, accetto La politica sulla privacy di NinjaOne.

Termini e condizioni NinjaOne

Cliccando sul pulsante “Accetto” qui sotto, dichiari di accettare i seguenti termini legali e le nostre condizioni d’uso:

  • Diritti di proprietà: NinjaOne possiede e continuerà a possedere tutti i diritti, i titoli e gli interessi relativi allo script (compreso il copyright). NinjaOne ti concede una licenza limitata per l’utilizzo dello script in conformità con i presenti termini legali.
  • Limitazione d’uso: Puoi utilizzare lo script solo per legittimi scopi personali o aziendali interni e non puoi condividere lo script con altri soggetti.
  • Divieto di ripubblicazione: In nessun caso ti è consentito ripubblicare lo script in una libreria di script appartenente o sotto il controllo di un altro fornitore di software.
  • Esclusione di garanzia: Lo script viene fornito “così com’è” e “come disponibile”, senza garanzie di alcun tipo. NinjaOne non promette né garantisce che lo script sia privo di difetti o che soddisfi le tue esigenze o aspettative specifiche.
  • Assunzione del rischio: L’uso che farai dello script è da intendersi a tuo rischio. Riconosci che l’utilizzo dello script comporta alcuni rischi intrinseci, che comprendi e sei pronto ad assumerti.
  • Rinuncia e liberatoria: Non riterrai NinjaOne responsabile di eventuali conseguenze negative o indesiderate derivanti dall’uso dello script e rinuncerai a qualsiasi diritto legale o di equità e a qualsiasi rivalsa nei confronti di NinjaOne in relazione all’uso dello script.
  • EULA: Se sei un cliente NinjaOne, l’uso dello script è soggetto al Contratto di licenza con l’utente finale (EULA) applicabile.