Cómo configurar y administrar la Política de contraseñas de Active Directory

Con los ciberataques que explotan en todo el mundo, es más importante que nunca que las organizaciones tengan una política de contraseñas sólida. Los hackers a menudo obtienen acceso a redes corporativas a través de credenciales de usuario o administrador legítimas, lo que conduce a incidentes de seguridad y fallas de cumplimiento. En este artículo, exploraremos cómo crear y mantener una política de contraseñas de Active Directory sólida y eficaz.

Cómo los atacantes comprometen las contraseñas corporativas

Los hackers utilizan una variedad de técnicas para comprometer las contraseñas corporativas, incluidas las siguientes:

  • Ataque de fuerza bruta: los hackers ejecutan programas que ingresan varias combinaciones de contraseñas potenciales hasta que golpean la correcta.
  • Ataque de diccionario: Esta es una forma específica de ataque de fuerza bruta que implica probar las palabras que se encuentran en el diccionario como posibles contraseñas.
  • Ataque de pulverización de contraseñas: Los hackers ingresan un nombre de usuario u otro identificador de cuenta conocido y prueban varias contraseñas comunes para ver si funcionan.Ataque de relleno de credenciales :los hackers utilizan herramientas automatizadas para ingresar listas de credenciales en varios portales de inicio de sesión de la empresa.
  • Spidering: los usuarios maliciosos recopilan la mayor cantidad de información posible sobre un objetivo de piratería, y luego prueban combinaciones de contraseñas creadas con esos datos.

Cómo ver y editar la Directiva de contraseñas de Active Directory

Para defenderse de estos ataques, las organizaciones necesitan una directiva de contraseñas de Active Directory sólida. Las directivas de contraseñas definen diferentes reglas para la creación de contraseñas, como la longitud mínima, detalles sobre la complejidad (como si se requiere un carácter especial) y el tiempo que dura la contraseña antes de que se deba cambiar.

La directiva de dominio predeterminada es un objeto de directiva de grupo (GPO) que contiene configuraciones que afectan a todos los objetos del dominio. Para ver y configurar una directiva de contraseñas de dominio, los administradores pueden usar la Consola de Administración de directivas de grupo (GPMC). Expanda la carpeta Dominios y elija el dominio al que desea acceder la directiva y, a continuación, elija Objetos de directiva de grupo. Haga clic con el botón secundario en la carpeta de directiva de dominio predeterminada y seleccione Editar. Vaya a Configuración del equipo – > Directivas – > Configuración de Windows – > Configuración de seguridad – > Directivas de cuenta – > Directiva de contraseñas.

También puede acceder a la directiva de contraseñas de dominio ejecutando el siguiente comando de PowerShell:

Get-ADDefaultDomainPasswordPolicy

Recuerde que cualquier cambio que realice en la directiva de contraseñas de dominio predeterminada se aplicará a todas las cuentas de ese dominio. Puede crear y administrar directivas de contraseñas detalladas con Active Directory Management Center (ADAC) en Windows Server.

Descripción de la configuración de la directiva de contraseñas de AD

Aquí están las seis configuraciones de la directiva de contraseñas y sus valores predeterminados:

  • Hacer cumplir el historial de contraseñas: el valor predeterminado es 24. Esta configuración especifica el número de contraseñas únicas que los usuarios deben crear antes de reutilizar una contraseña antigua. Se recomienda mantener el valor predeterminado para reducir el riesgo de que los usuarios tengan contraseñas comprometidas.
  • Edad máxima de la contraseña: el valor predeterminado es 42 años. Esta configuración establece cuánto tiempo puede existir una contraseña antes de que el sistema obligue al usuario a cambiarla. Los usuarios suelen recibir una advertencia emergente cuando llegan al final del período de caducidad de su contraseña. Puede comprobar esta configuración a través de PowerShell ejecutando el comando net user user / domain. Tenga en cuenta que forzar cambios frecuentes de contraseña puede llevar a los usuarios a escribir sus contraseñas o adoptar prácticas como agregar el mes a una palabra stem que reutilizan, lo que en realidad aumenta los riesgos de seguridad. Establecer la» Edad máxima de contraseña » en 0 significa que las contraseñas nunca caducan (lo que generalmente no se recomienda).
  • Edad mínima de la contraseña: el valor predeterminado es de 1 día. Esta configuración especifica durante cuánto tiempo debe existir una contraseña para que el usuario pueda cambiarla. Establecer una edad mínima evita que los usuarios restablezcan su contraseña repetidamente para eludir la configuración de «Hacer cumplir el historial de contraseñas» y reutilizar una contraseña favorita de inmediato.
  • Longitud mínima de la contraseña: el valor predeterminado es 7. Esta configuración establece el menor número de caracteres que puede tener una contraseña. Si bien las contraseñas más cortas son más fáciles de descifrar para los piratas informáticos, requerir contraseñas realmente largas puede provocar bloqueos por errores de escritura y riesgos de seguridad por parte de los usuarios que escriben sus contraseñas.
  • Requisitos de complejidad: el valor predeterminado está habilitado. Esta configuración detalla los tipos de caracteres que un usuario debe incluir en una cadena de contraseña. Las prácticas recomendadas recomiendan habilitar esta configuración con una longitud mínima de contraseña de al menos 8; esto dificulta que los ataques de fuerza bruta tengan éxito. Los requisitos de complejidad suelen requerir que la contraseña incluya una combinación de:

    • Letras mayúsculas o minúsculas (de la A a la Z y de la a a la z)
    • Caracteres numéricos (0-9)
    • Caracteres no alfanuméricos como$, # o %
    • No más de dos símbolos del nombre de cuenta o nombre para mostrar del usuario
  • Almacenar contraseñas mediante cifrado reversible: el valor predeterminado está desactivado. Esta configuración ofrece compatibilidad con aplicaciones que requieren que los usuarios introduzcan una contraseña para la autenticación. Los administradores deben mantener esta configuración desactivada porque habilitarla permitiría a los atacantes familiarizados con la forma de romper este cifrado iniciar sesión en la red una vez que comprometan la cuenta. Como excepción, puede habilitar esta configuración al usar Servicios de Autenticación de Internet (IAS) o el Protocolo de Autenticación de Desafío de Mano (CHAP).

Política detallada y Cómo está configurada

Las versiones anteriores de AD permitían la creación de una sola política de contraseñas para cada dominio. La introducción de directivas de contraseñas detalladas (FGPP) en versiones posteriores de AD ha permitido a los administradores crear varias directivas de contraseñas para satisfacer mejor las necesidades empresariales. Por ejemplo, es posible que desee solicitar a las cuentas de administrador que utilicen contraseñas más complejas que las cuentas de usuario normales. Es importante que defina cuidadosamente la estructura de su organización para que se corresponda con las políticas de contraseñas deseadas.

Mientras define la directiva de contraseñas de dominio predeterminada dentro de un GPO, los FGPPs se establecen en los objetos de configuración de contraseñas (PSO). Para configurarlos, abra el ADAC, haga clic en su dominio, vaya a la carpeta del sistema y, a continuación, haga clic en el contenedor Configuración de contraseña.

NIST SP 800-63 Pautas de contraseña

El Instituto Nacional de Normas (NIST) es una agencia federal encargada de emitir controles y requisitos sobre la gestión de identidades digitales. La publicación especial 800-63B cubre los estándares para contraseñas. La revisión 3 de SP 800-63B, emitida en 2017 y actualizada en 2019, es el estándar actual.

Estas directrices proporcionan a las organizaciones una base para crear una infraestructura de seguridad de contraseñas sólida. Las recomendaciones del NIST incluyen las siguientes:

  • Requiere que las contraseñas generadas por el usuario tengan al menos 8 caracteres de longitud (6 para las generadas por máquina).
  • Permite a los usuarios crear contraseñas de hasta 64 caracteres de longitud.
  • Permite a los usuarios utilizar cualquier carácter ASCII / Unicode en sus contraseñas.
  • No permitir contraseñas con caracteres secuenciales o repetidos.
  • No requiere cambios frecuentes de contraseña. Aunque durante años, muchas organizaciones han exigido a los usuarios que cambien sus contraseñas con frecuencia, esta política a menudo lleva a los usuarios a realizar cambios incrementales en una contraseña base, escribir sus contraseñas o experimentar bloqueos porque olvidan sus nuevas contraseñas. En consecuencia, los últimos estándares NIST 800-63B requieren el uso cuidadoso de las políticas de caducidad de contraseñas. Investigaciones más recientes sugieren que las mejores alternativas incluyen el uso de listas de contraseñas prohibidas, el uso de frases de contraseña más largas y la aplicación de la autenticación multifactor para mayor seguridad.

Prácticas recomendadas de la Política de contraseñas de anuncios

En términos más generales, los administradores deben asegurarse de::

  • Establezca una longitud mínima de contraseña de 8 caracteres.
  • Establecer requisitos de complejidad de contraseña.
  • Aplique una directiva de historial de contraseñas que revise las últimas 10 contraseñas de un usuario.
  • Establezca la edad mínima de contraseña de 3 días.
  • Restablezca las contraseñas de administrador local cada 180 días (considere usar la herramienta gratuita de restablecimiento de contraseñas masivas Netwrix para eso).
  • Restablezca las contraseñas de la cuenta del dispositivo durante el mantenimiento una vez al año.
  • Requiere que las contraseñas de las cuentas de administrador de dominios tengan al menos 15 caracteres de longitud.
  • Configure notificaciones por correo electrónico para que los usuarios sepan que las contraseñas están configuradas para caducar (la herramienta gratuita de Notificación de caducidad de contraseñas de Netwrix puede ayudar).
  • Considere la posibilidad de crear directivas de contraseñas granulares para vincularlas con unidades organizativas específicas en lugar de editar la configuración predeterminada de la Directiva de dominio.
  • Utilice listas de contraseñas prohibidas.
  • Utilice herramientas de administración de contraseñas para almacenar varias contraseñas.

Para obtener más información, lea nuestras prácticas recomendadas de política de contraseñas para una seguridad sólida en AD.

La educación del usuario es tan crucial como cualquier política de contraseñas. Eduque a sus usuarios sobre las siguientes reglas de comportamiento:

  • No escribas contraseñas. En su lugar, elija contraseñas o frases de contraseña seguras que pueda recordar fácilmente y use herramientas de administración de contraseñas.
  • No escriba su contraseña cuando alguien esté mirando.
  • Comprenda que las direcciones HTTPS: / / son más seguras que las URL HTTP://.
  • No utilice la misma contraseña para varios sitios web que proporcionan acceso a información confidencial.

Preguntas frecuentes

¿Cómo encuentro y edito mi directiva de contraseñas de Active Directory?

Puede encontrar la directiva de contraseñas de AD actual para un dominio específico navegando a Configuración del equipo – > Directivas – > Configuración de Windows – > Configuración de seguridad – > Directivas de cuenta – > Directiva de contraseñas a través de la consola de administración o mediante el comando de PowerShell Get-ADDefaultDomainPasswordPolicy.

¿Las contraseñas están cifradas en Active Directory?

Sí. Las contraseñas creadas por un usuario pasan por un algoritmo de hash que las cifra.

¿Qué es la complejidad de las contraseñas de Active Directory?

Los requisitos de complejidad controlan los caracteres que no pueden o no pueden incluirse en una contraseña. Por ejemplo, es posible que se impida a los usuarios usar su nombre de usuario como contraseña, o que se les exija incluir al menos un número y una letra minúscula en la contraseña.

¿Qué es la directiva de contraseñas de Windows Server?

La directiva de contraseñas de Windows Server controla las contraseñas para acceder a los servidores de Windows.

¿Cómo puedo encontrar, editar o deshabilitar una directiva de contraseñas en Windows Server?

Busque el GPO a través de la Consola de administración de directivas de grupo y haga clic en Editar.

¿Qué es una buena política de contraseñas?

Las mejores prácticas incluyen las siguientes:

  • Haga que los usuarios creen al menos 10 contraseñas nuevas antes de reutilizar una antigua.
  • Aplicar una edad máxima de contraseña de 42 días.
  • Aplicar una edad mínima de contraseña de 3 días.
  • Hacer que los usuarios creen contraseñas que tengan al menos 8 caracteres de longitud.
  • Habilite la opción «Requisitos de complejidad».
  • Desactivar el cifrado reversible.
Jeff es ex Director de Ingeniería de Soluciones Globales en Netwrix. Es bloguero, orador y presentador de Netwrix desde hace mucho tiempo. En el blog Netwrix, Jeff comparte trucos, consejos y trucos que pueden mejorar drásticamente la experiencia de administración de su sistema.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.