Windows Server 2012 R2 Active Directory: Implementación y gestión

Configuración de contraseña y bloqueos en Active Directory

Prueba ahora LinkedIn Learning sin cargo y sin compromiso.

Prueba gratis Mostrar modalidades de suscripción
Vamos a ver todas las posibilidades que las directivas de grupo y la nueva consola de WS2012R2 nos ofrecen en lo relativo a las contraseñas de usuarios, configuraremos políticas eficientes, seguras y asumibles en un entorno corporativo.

Transcripción

Voy a enseñaros todo lo relativo a la configuración de contraseñas y bloqueo de las cuentas que viene, por defecto, configurado en Active Directory. También veremos cómo variarlo, mejorarlo, etc. En la consola del servidor, en Herramientas, vemos Administrador de directivas de grupo. Abro aquí y veo Default Domain Policy. Si me voy a Configuración, veré que es la directiva que, por defecto, me trae configuradas las opciones relativas a estos menesteres. Veamos las que hay, pero, bueno, vamos a verlas más en detalle. Voy a ir a la directiva. Hago clic en Editar con el botón derecho, y puedo seguir la ruta que veo aquí. Directivas Configuración de Windows Configuración de seguridad. Configuración de equipo Directivas Configuración de Windows Configuración de seguridad. Y aquí las tengo. Luego, tengo Directiva de contraseñas, tras Directiva de cuenta. Aquí está. Para defecto, ¿qué tenemos aquí? Vamos a ver. 24 contraseñas recordadas, significa que ningún usuario podrá repetir ninguna de las 24 contraseñas que ha puesto anteriormente a la que está intentando poner ahora. La contraseña debe cumplir requisitos de complejidad. Significa esto que debe tener mayúsculas y minúsculas pero también, al menos, un signo o un número. Debe tener una contraseña mínima de 7 caracteres, lo cual, realmente, las opciones que hemos visto hasta ahora son bastante llevables y, a la vez, comunes en las organizaciones. Vigencia máxima de la contraseña, 42 días. A mi juicio, igual es algo corto. Dependiendo del departamento que sea la compañía, esto se varía, pero si tampoco es una gran compañía tenéis que decidirlo vosotros. Yo, al menos, me inclino por 90 días. Bien, vigencia mínima de la contraseña. Significa esto que la contraseña no puede ser cambiada hasta que pase 1 día de haberla cambiado. Es algo que está bien para evitar que en un mismo día se pueda cambiar varias veces. Para mí, lo realmente importante a nivel de seguridad es lo siguiente: bloqueo de la cuenta. Cuando alguien intenta adivinar la contraseña de un usuario tenemos que hacer que se bloquee esa cuenta si se ha errado después de X veces. Si no, alguien infinitamente puede estar probando contraseñas hasta conseguir la contraseña del usuario. Es verdad que queda un registro de cada intento, pero nosotros no estamos monitorizando esos intentos. Con lo cual es mejor que el usuario detecte y sea quien alerte de que su cuenta está bloqueada. Esto no viene configurado por defecto. Vamos a ver. Duración del bloqueo de la cuenta. Una vez bloqueada la cuenta, cuánto tiempo va a tardar en que se desactive. Eso está bien, porque si no configuramos esto quien vuelva a habilitar la cuenta seremos nosotros los administradores y tendremos que ir haciéndolo manualmente y, mientras tanto, el usuario no puede trabajar. Realmente, 30 minutos puede estar bien. Es un tiempo suficiente para que quien esté intentando adivinar una contraseña tenga una pausa de 30 minutos y le haga muy complicado conseguir intentar bastantes veces, que son las veces que hay que conseguir. Realmente para adivinar una contraseña con complejidad puesta realmente hay que lanzar millones y millones de pruebas hasta conseguir adivinar por fuerza bruta la contraseña de un usuario. Si cada x intentos pausamos 30 minutos, prácticamente se va a infinito el tiempo que tiene que estar probando esos millones de combinaciones que debe realizar. Los 30 minutos es correcto. Nos dice, además, que el umbral de bloqueo no está configurado. Lo he configurado automáticamente, pero es el siguiente campo que vamos a ver. Le digo que sí y ahora venimos aquí. Restablecer umbral de bloqueo también a los 30 minutos. ¿Correcto? Ahí está. Y el umbral de bloqueo de la cuenta es este de aquí. 5 intentos. Para mí, 5 intentos es más que suficiente, ya que el usuario debe errar 5 veces una contraseña y no es común. Si erra más, pues, bueno, ya es que se le ha olvidado la contraseña y tiene que restablecerla, y le tenemos que ayudar. Podéis elegir entre 5 o 10. Un atacante, realmente tras probar 5 combinaciones no ha hecho más que empezar, porque, como hemos dicho, normalmente, para conseguir una contraseña por fuerza bruta, hay que probar millones de intentos. Con lo cual entre 5 y 10, dependiendo de vuestra organización y la sensibilidad de la organización, pues creo que os vais aguantar bastante cómodos. Recordad que esto no es algo que viene configurado por defecto. Si la revisamos, es duración del bloqueo de la cuenta, restablecer el bloqueo de la cuenta después de 30 minutos también, y umbral del bloqueo de la cuenta son los intentos que tiene que hacer un atacante para poder adivinar una contraseña. O, realmente, hemos configurado que tras probar 10 veces el propio usuario encontrará la cuenta de usuario bloqueada. Por supuesto, esto es un nivel de directiva de grupo. Significa esto que podemos crear excepciones. Podríamos crear una nueva directiva que aplicase no al dominio, sino a una OU. A ciertos usuarios, como por ejemplo, Madrid, y en Madrid establecer una directiva diferente como sería una directiva de grupo aplicada a una OU que está más abajo del dominio, prevalecería respecto a lo que hemos configurado en la parte superior. Vamos a ver también cómo Windows Server 2012 R2 aporta algo nuevo o algo que decir en cuanto a políticas de contraseña aplicadas a usuarios. Vamos a la consola de Administración del servidor. Vamos a Herramientas y abrimos Centro de administración de Active Directory. Aquí si vamos a nuestro dominio y navegamos por las carpetas y Unidades Organizativas, encontramos System. Si hacemos doble clic en System, bajamos un poco más y vamos a encontrar Password Setting Container. Una vez aquí dentro, podemos crear una nueva configuración de contraseña. Aquí creamos una nueva política de contraseñas. Vamos a llamarle "Vips". En Precedencia le vamos a poner "1" para que prevalezca sobre cualquier otra cosa. Exigir longitud mínima de caracteres en la contraseña, vamos a ponerle "4". Exigir historial de contraseñas, vamos a ponerle "2". Las contraseñas deben cumplir requisitos de complejidad, eso lo mantenemos. Proteger contra eliminación accidental. Exigir vigencia mínima de la contraseña, "1". Y, máximo de la contraseña, vamos a poner "180". Exigir directiva de bloqueo de cuenta es muy recomendable. Vamos a poner 30 minutos también. Pero aquí lo tenemos, la cuenta se bloqueará durante 30 minutos. Correcto. Exigir directiva de bloqueo de cuenta es muy recomendable. Vamos a poner que haya un número de intentos de 10. Tras 10 intentos, se bloqueará la cuenta durante 30 minutos. Correcto. Vamos a hacer ya que aplique sobre un usuario. Aquí está. A partir de ahora, y a pesar de lo que diga la directiva de grupo, la OU y la jerarquía de la directiva, a este usuario que está en Contoso\Usuarios\Madrid se le aplicará la política de contraseñas que hemos definido y hemos asociado a él directamente. Si nos vamos a las propiedades del usuario, veremos cómo la tiene aplicada. Y esta configuración prevalecerá, porque su valor es 1. Con lo cual, el usuario siempre tendrá la configuración que esta directiva diga y no la que viene dicha en las directivas de grupo.

Windows Server 2012 R2 Active Directory: Implementación y gestión

Aprende cómo se instala, crea y crece el Directorio Activo en Windows Server 2012, y cómo podemos integrar un nuevo dominio en un escenario con dominio o dominios ya existentes.

3:33 horas (44 Videos)
Actualmente no hay comentarios.
 
Fecha de publicación:25/07/2017

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.