As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Compreendendo as políticas de senha AWS gerenciadas do Microsoft AD
AWS O Microsoft AD gerenciado permite que você defina e atribua diferentes políticas de bloqueio de senha e conta (também conhecidas como políticas de [senha refinadas](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-#fine_grained_pswd_policy_mgmt)) para grupos de usuários que você gerencia em seu domínio gerenciado do AWS Microsoft AD. Quando você cria um diretório AWS gerenciado do Microsoft AD, uma política de domínio padrão é criada e aplicada ao Active Directory. Essa política inclui as seguintes configurações:
****
| Política | Configuração |
| --- | --- |
| Aplicar histórico de senha | 24 senhas memorizadas |
| Tempo de vida máximo da senha | 42 dias \$1 |
| Tempo de vida mínimo da senha | 1 dia |
| Tamanho mínimo da senha | 7 caracteres |
| A senha deve atender aos requisitos de complexidade | Habilitado |
| Armazenar senhas com criptografia reversível | Desabilitado |
**nota**
\$1 O tempo máximo de 42 dias da senha inclui a senha de administrador.
Por exemplo, você pode atribuir uma configuração de política menos rigorosa a funcionários que têm acesso apenas a informações de baixa de suscetibilidade. Para os gerentes sênior que acessam regularmente informações confidenciais, você poderá aplicar configurações mais restritas.
Os seguintes recursos fornecem mais informações sobre políticas de senha e políticas de segurança refinadas do Microsoft Active Directory:
+ [Configure security policy settings](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/how-to-configure-security-policy-settings)
+ [Password complexity requirements](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
+ [Password complexity security considerations](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements#security-considerations)
AWS fornece um conjunto de políticas de senha refinadas no AWS Microsoft AD gerenciado que você pode configurar e atribuir aos seus grupos. Para configurar as políticas, é possível usar as ferramentas de política padrão da Microsoft como a [Central Administrativa do Active Directory](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/active-directory-administrative-center). Para aprender os conceitos básicos das ferramentas de política da Microsoft, consulte [Instalando as ferramentas de administração do Active Directory para o Microsoft AD AWS gerenciado](ms_ad_install_ad_tools.md).
## Como as políticas de senha são aplicadas
Há diferenças na forma como as políticas de senha refinadas são aplicadas, dependendo se a senha foi redefinida ou alterada. Os usuários do domínio podem alterar a própria senha. Um administrador ou usuário do Active Directory com as permissões necessárias pode [redefinir as senhas dos usuários](ms_ad_manage_users_groups_reset_password.md). Consulte o gráfico a seguir para obter mais informações.
****
| Política | Redefinição de senhas | Alteração de senhas |
| --- | --- | --- |
| Impor o histórico de senhas | ![\[No\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/icon-no.png) No (Não) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/icon-yes.png) Sim |
| Tempo de vida máximo da senha | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/icon-yes.png) Yes (Sim) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/icon-yes.png) Yes (Sim) |
| Tempo de vida mínimo da senha | ![\[No\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/icon-no.png) No (Não) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/icon-yes.png) Sim |
| Tamanho mínimo da senha | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/icon-yes.png) Yes (Sim) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/icon-yes.png) Yes (Sim) |
| A senha deve atender aos requisitos de complexidade | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/icon-yes.png) Yes (Sim) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/icon-yes.png) Yes (Sim) |
Essas diferenças têm implicações de segurança. Por exemplo, sempre que a senha de um usuário é redefinida, as políticas de imposição do histórico de senhas e da idade mínima da senha não são aplicadas. Para obter mais informações, consulte a documentação da Microsoft sobre as considerações de segurança relacionadas às políticas de [imposição do histórico de senhas](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/enforce-password-history#security-considerations) e da [idade mínima da senha](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/minimum-password-age#security-considerations).
## Configurações de políticas compatíveis
AWS O Microsoft AD gerenciado inclui cinco políticas refinadas com um valor de precedência não editável. As políticas têm algumas propriedades que você pode configurar para reforçar as ações de bloqueio de senhas e conta no caso de falhas de login. Você pode atribuir as políticas a zero ou mais grupos do Active Directory. Se um usuário final é membro de vários grupos e recebe mais de uma política de senha, o Active Directory aplica a política com o menor valor de precedência.
### AWS políticas de senha predefinidas
A tabela a seguir lista as cinco políticas incluídas em seu diretório AWS gerenciado do Microsoft AD e seu valor de precedência atribuído. Para obter mais informações, consulte [Precedência](#precedence).
****
| Nome da política | Precedência |
| --- | --- |
| CustomerPSO-01 | 10 |
| CustomerPSO-02 | 20 |
| CustomerPSO-03 | 30 |
| CustomerPSO-04 | 40 |
| CustomerPSO-05 | 50 |
#### Propriedades de políticas de senha
Você pode editar as propriedades a seguir em suas políticas de senha a fim de que se adaptem aos padrões de conformidade que atendam às suas necessidades comerciais.
+ Nome da política
+ [Impor o histórico de senhas](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/enforce-password-history)
+ [Tamanho mínimo da senha](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-length)
+ [Tempo de vida mínimo da senha](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-age)
+ [Tempo de vida máximo da senha](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-password-age)
+ [Armazenar senhas com criptografia reversível](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/store-passwords-using-reversible-encryption)
+ [A senha deve atender aos requisitos de complexidade](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
Você não pode modificar os valores de precedência dessas políticas. *Para obter mais detalhes sobre como essas configurações afetam a imposição de senhas, consulte [AD DS: políticas de senha refinadas](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) no site da Microsoft. TechNet* Para obter informações gerais sobre essas políticas, consulte [Política de senha](https://technet.microsoft.com/en-us/library/hh994572(v=ws.11).aspx) no TechNet site *da Microsoft*.
### Políticas de bloqueio de contas
Você também pode modificar as propriedades a seguir das suas políticas de senha para especificar se e como Active Directory deve bloquear uma conta após falhas de login:
+ Número de tentativas de login com falha permitidas
+ Duração de bloqueio de conta
+ Redefinir tentativas de login com falha após algum período
Para obter informações gerais sobre essas políticas, consulte [Política de bloqueio de conta](https://technet.microsoft.com/en-us/library/hh994563(v=ws.11).aspx) no TechNet site da *Microsoft*.
### Precedência
As políticas com um valor de precedência menor têm prioridade mais alta. Você atribui políticas de senha a grupos de segurança do Active Directory. Embora você deva aplicar uma única política a um grupo de segurança, um único usuário pode receber mais de uma política de senha. Por exemplo, suponha que `jsmith` seja membro dos grupos HR e MANAGERS. Se você atribuir a política **CustomerPSO-05** (que tem uma precedência de 50) ao grupo HR e a política **CustomerPSO-04** (que tem uma precedência de 40) ao grupo MANAGERS, **CustomerPSO-04** terá prioridade e o Active Directory aplicará essa política ao usuário `jsmith`.
Se você atribuir várias políticas a um usuário ou grupo, o Active Directory determinará a política resultante de acordo com o seguinte:
1. Uma política que você atribui diretamente ao objeto de usuário é aplicável.
1. Se nenhuma política é atribuída diretamente ao objeto de usuário, será aplicada a política com o menor valor de precedência entre todas as políticas recebidas pelo usuário como resultado de uma associação de grupos.
*Para obter detalhes adicionais, consulte [AD DS: políticas de senha refinadas](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) no site da Microsoft. TechNet*
**Topics**
+ [Como as políticas de senha são aplicadas](#how_password_policies_applied)
+ [Configurações de políticas compatíveis](#supportedpolicysettings)
+ [Atribuindo políticas de senha aos seus usuários AWS gerenciados do Microsoft AD](assignpasswordpolicies.md)
+ [Delegar quem pode gerenciar suas políticas de senha AWS gerenciada do Microsoft AD](delegatepasswordpolicies.md)
**Artigo do blog AWS de segurança relacionado**
+ [Como configurar políticas de senha ainda mais fortes para ajudar a atender aos seus padrões de segurança usando Directory Service o Microsoft AD AWS gerenciado](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)
# Atribuindo políticas de senha aos seus usuários AWS gerenciados do Microsoft AD
As contas de usuário que são membros do grupo de segurança **Administradores delegados de políticas de senhas minuciosas da AWS ** podem usar o procedimento a seguir para atribuir políticas a usuários e grupos de segurança.
**Para atribuir políticas de senha aos usuários**
1. Inicie o [centro administrativo do Active Directory (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx) a partir de qualquer instância EC2 gerenciada que você associou ao seu domínio gerenciado AWS do Microsoft AD.
1. Alterne para a **Exibição em árvore** e navegue até **System\$1Password Settings Container**.
1. Clique duas vezes na política minuciosa que deseja editar. Clique em **Add (Adicionar)** para editar as propriedades de políticas e adicionar usuários ou grupos de segurança à política. Para mais informações sobre as políticas minuciosas padrão fornecidas com o AWS Managed Microsoft AD consulte [AWS políticas de senha predefinidas](ms_ad_password_policies.md#supportedpwdpolicies).
1. Para verificar se a política de senha foi aplicada, execute o seguinte PowerShell comando:
```
[Get-ADUserResultantPasswordPolicy](https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-aduserresultantpasswordpolicy?view=windowsserver2022-ps) -Identity 'username'
```
**nota**
Evite usar o comando `net user`, pois seus resultados podem ser imprecisos.
Se você não configurar nenhuma das cinco políticas de senha em seu diretório AWS gerenciado do Microsoft AD, o Active Directory usará a política de grupo de domínio padrão. Para obter mais detalhes sobre como usar o **Contêiner de configurações de senha**, consulte [este post no blog da Microsoft](https://blogs.technet.microsoft.com/canitpro/2013/05/29/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad/).
# Delegar quem pode gerenciar suas políticas de senha AWS gerenciada do Microsoft AD
Você pode delegar permissões para gerenciar políticas de senha a contas de usuário específicas criadas no Microsoft AD AWS gerenciado adicionando as contas ao grupo de segurança **Administradores de Política de Senha AWS Delegada de Precisão Granular**. Quando uma conta passa a ser membro desse grupo, ela tem permissões para editar e configurar qualquer uma das políticas de senha listadas [anteriormente](ms_ad_password_policies.md#supportedpwdpolicies).
**Para delegar quem pode gerenciar as políticas de senha**
1. Inicie o [centro administrativo do Active Directory (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx) a partir de qualquer instância EC2 gerenciada que você associou ao seu domínio gerenciado AWS do Microsoft AD.
1. Alterne para a **Visualização em árvore** e navegue até a UO **Grupos delegados da AWS **. Para obter mais informações sobre essa UO, consulte [O que é criado com seu Microsoft AD AWS gerenciado](ms_ad_getting_started_what_gets_created.md).
1. Encontre o grupo de usuários **Administradores delegados de políticas de senhas minuciosas da AWS **. Adicione quaisquer usuários ou grupos do domínio a esse grupo.