Reciéntemente me he topado con las políticas de contraseñas para usuarios. Son una manera bastante efectiva de tener un entorno más seguro y controlado a la vez que cumplimos con las exigencias de políticas definidas por la empresa.

Ante todo, en cualquier política prevalece la que la empresa defina frente a cualquier otra. Tomando esa como base, podemos ser más restrictivos pero nunca menos. Esta es una de las primeras premisas a la hora de securizar un entorno empresarial.

Para definir una política de contraseñas en un entorno Active directory debemos abrir la consola de políticas de grupo y editar la política por defecto del dominio. Podemos accede a ella y editarla mediante 2 maneras:

En el árbol de la izquierda, desplegando el nombre del dominio, ya que esta directiva se aplica por defecto al dominio o, en la carpeta de objetos de directiva de grupo, donde se encuentran todas y cada una de las directivas de grupo que se crean.

05fig24

Para establecer la política de contraseñas, hacemos botón derecho sobre la política de dominio, y seleccionamos editar. Automáticamente se nos abrirá una nueva ventana donde podemos definir todos los valores para esa política.

Donde nos tenemos que dirigir es a Configuración del equipo\directivas\Configuraciones de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de contraseñas

politicas

Aquí podremos definir los valores para las siguientes opciones:

Almacenar contraseñas con cifrado reversible: NO habilitéis esto a no ser que queráis tener un entorno menos seguro.

Exigir historial de contraseñas: Esta determina el número de nuevas contraseñas únicas que deben asociarse con una cuenta de usuario antes de que se puede reutilizar una contraseña antigua. Los valores que podemos definer están entre 0 y 24.

La contraseña debe cumplir con los requisites mínimos de complejidad: Si está habilitada esta directiva, las contraseñas deben cumplir los requisitos mínimos siguientes:

  • No deben contener partes significativas del nombre de cuenta del usuario o nombre completo.
  • Tener seis caracteres de longitud, como mínimo.
  • Estar compuesta por caracteres de tres de las siguientes categorías:
    • Letras mayúsculas, de la A a la Z
    • Letras minúsculas, de la a a la z
    • Dígitos en base 10, de 0 a 9
    • Caracteres no alfabéticos (por ejemplo, !, $, #, %)

Longitud mínima de la contrsena: no necesesita explicación. El valor máximo son 14 caracteres que es lo que soporta el tipo de contraseñas LM (LAN Manager).

Vigencia máxima de la contraseña: Es el número de días máximo que podemos usar esa contraseña antes de que expire. Los valores que podemos definir son:

  • 0 para que nunca expire
  • 1 el mínimo
  • 999 el máximo

Vigencia minima: Es el número de días que deben pasar antes que se permita al usuario cambiar su contraseña. Los valores son los mismos que en el punto anterior.

Dicho esto para un nivel de seguirdad óptimo no se recomiendan las siguientes configuraciones:

  1. Tener activado “Almacenar contraseñas con cifrado reversible”, no queremos que nadie sea capaz de obtener la contrasena de ninguno de nuestros usuarios del dominio por pocos permisos que este tenga.
  2. No establecer un número mínimo de vigencia de contraseña, de lo contrario, los usuarios pueden cambiarse un mismo día las veces que sean necesarias la contraseña para poder repetir y tener la que ellos les gusta. Un nivel mínimo acpetable sería de 30 días.
  3. Tener un historial de contraseñas menor de 6, cero no sería una opción ni óptima ni segura.
  4. No tener activado la opción de cumplimiento mínimo de requisites de complejidad. Debemos poner lo más dificil posible a nuestros atacantes el obtener cuentas de usuario con contraseñas.

 

 

Leave a Reply

error: ooops!