Post on 01-Jul-2022
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 2
Contenido Control de Cambios .......................................................................................................................... 4
Versión ......................................................................................................................................... 4
Fecha del Cambio ......................................................................................................................... 4
Descripción del Cambio o Modificación ....................................................................................... 4
1.0.0 ............................................................................................................................................. 4
15/10/2014 ................................................................................................................................... 4
Elaboración del documento (Creación y Permisos de Usuarios Active Director) .......................... 4
1.0.2 ............................................................................................................................................. 4
28/02/2019 ................................................................................................................................... 4
Actualización: Gestión de contraseña y rol de usuarios. ............................................................... 4
Introducción ...................................................................................................................................... 4
Objetivo .............................................................................................................................................. 4
Alcance............................................................................................................................................... 5
ACTIVE DIRECTORY COMO UNA HERRAMIENTA ........................................................................... 6
ROL DE USUARIO ............................................................................................................................... 7
ADMINISTRADOR ............................................................................................................................... 7
OPCIONES DE CUENTA ....................................................................................................................... 8
Cada cuenta de usuario de Active Directory tiene varias opciones que determinan cómo se
autentica en la red alguien que inicie sesión con esa cuenta de usuario concreta. Con las opciones
de la tabla siguiente se puede establecer la configuración de las contraseñas y la información
específica de la seguridad de las cuentas de usuario. ...................................................................... 8
HERRAMIENTAS DE ADMINISTRACIÓN DE DIRECTIVAS DE GRUPO ........................................ 11
EDITOR DE DIRECTIVAS DE GRUPO LOCAL ......................................................................................... 11
CONSOLA DE ADMINISTRACIÓN DE DIRECTIVAS DE GRUPO ................................................................ 12
CONJUNTO RESULTANTE DE DIRECTIVAS .......................................................................................... 13
GPRESULT....................................................................................................................................... 13
OBJETO DE DIRECTIVA DE GRUPO ..................................................................................................... 13
PREFERENCIAS DE DIRECTIVA DE GRUPO ......................................................................................... 13
CONTRASEÑA DE USUARIO GPO .................................................................................................. 14
POLÍTICAS DE CONTRASEÑA ............................................................................................................ 14
Cómo configurar una política de contraseñas ................................................................................... 14
Cómo configurar las reglas de calidad de las contraseñas ................................................................. 14
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 3
Almacenar contraseñas con cifrado reversible .............................................................................. 15
Las contraseñas deben cumplir los requisitos de complejidad: mayúsculas, minúsculas, números y
caracteres especiales. ................................................................................................................ 15
Consideraciones de seguridad .................................................................................................. 16
Longitud mínima de la contraseña: 14 caracteres ........................................................................ 17
Consideraciones de seguridad .................................................................................................. 21
Vigencia máxima: 30 días ............................................................................................................ 22
Consideraciones de seguridad .................................................................................................. 23
Vigencia mínima: 29 días ............................................................................................................. 23
Consideraciones de seguridad .................................................................................................. 24
Para que todas las políticas anteriores puedan ser ejecutadas por el usuario la opción de la ficha del
usuario: "El usuario no puede cambiar la contraseña" (*) deberá estar desmarcada. ......................... 26
CUENTAS CON PRIVILEGIOS Y GRUPOS DE ACTIVE DIRECTORY ............................................................ 31
Derechos, privilegios y permisos en Active Directory ............................................................. 31
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 4
Control de Cambios
Versión Fecha del Cambio Descripción del Cambio o Modificación
1.0.0 15/10/2014 Elaboración del documento (Creación y Permisos de Usuarios
Active Director)
1.0.2 28/02/2019 Actualización: Gestión de contraseña y rol de usuarios.
Introducción
Un Active Directory (Directorio Activo) sirve para unir e identificar máquinas y usuarios dentro
de la red, a los que se les proporciona ciertos parámetros de configuración y privilegios de
manera centralizada desde un servidor. Se puede llegar a decir que, en parte, es una base de
datos central con los equipos, usuarios y configuraciones. Por lo que en el presente manual
de procedimiento se describirá los términos y conceptos que conlleva la administración de
este sistema.
Objetivo
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 5
Alcance
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 6
ACTIVE DIRECTORY COMO UNA HERRAMIENTA
Un directorio es una estructura jerárquica que almacena
información sobre los objetos de la red. Un servicio de
directorio, como los servicios de dominio de Active Directory
(AD DS), proporciona los métodos para almacenar datos del
directorio y hacer que estos datos estén disponibles para los
administradores y usuarios de la red. Por ejemplo, AD DS
almacena información acerca de las cuentas de usuario, como
nombres, contraseñas, números de teléfono y así
sucesivamente y permite que otros usuarios autorizados en
la misma red acceder a esta información.
Active Directory almacena información sobre los objetos de
la red y facilita esta información para administradores y
usuarios a encontrar y usar. Active Directory usa un almacén
de datos estructurados como base para una organización
lógica y jerárquica de información del directorio.
Este almacén de datos, también conocida como el directorio
contiene información sobre los objetos de Active Directory.
Estos objetos suelen incluyen recursos compartidos como servidores, volúmenes, impresoras
y las cuentas de usuario y del equipo de red. Para obtener más información sobre el almacén
de datos de Active Directory, consulte almacén de datos del directorio.
Seguridad se integra con Active Directory mediante la autenticación de inicio de sesión y
control de acceso a objetos en el directorio. Con un único inicio de sesión, los administradores
pueden administrar datos de directorio y de la organización a través de su red y los usuarios
autorizados pueden acceder a recursos en cualquier parte de la red. Administración basada en
directivas facilita la administración de incluso las redes más complejas. Para obtener más
información sobre la seguridad de Active Directory, consulta Introducción a la seguridad.
Active Directory también incluye:
Un conjunto de reglas, el esquema, que define las clases de objetos y atributos contenidos
en el directorio, las restricciones y límites de instancias de estos objetos y el formato de
sus nombres. Para obtener más información acerca del esquema, consulta el esquema.
Un catálogo global que contiene información sobre todos los objetos en el directorio. Esto
permite que los usuarios y administradores para encontrar información de directorio
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 7
independientemente de qué dominio en el directorio realmente contiene los datos. Para
obtener más información sobre el catálogo global, consulta el rol del catálogo global.
Un mecanismo de índices y consulta, de modo que pueden publicarse y encontrar los
usuarios de red o aplicaciones objetos y sus propiedades. Para obtener más información
sobre cómo consultar el directorio, consulta buscar información del directorio.
Un servicio de replicación que distribuye los datos de directorio en una red. Todos los
controladores de dominio de un dominio participan en la replicación y contienen una copia
completa de toda la información de directorio de su dominio. Cualquier cambio en los
datos del directorio se replica en todos los controladores de dominio del dominio. Para
obtener más información acerca de la replicación de Active Directory, consulta
Introducción a la replicación.
ROL DE USUARIO
Un rol de usuario es un conjunto de privilegios que se asigna a un usuario o grupo de usuarios
para permitir que el usuario o grupo de usuarios realice determinadas tareas y gestione
determinadas sesiones.
Para poder asignarlo a un rol, cada usuario o grupo de usuarios debe tener un ID de usuario o
ID de grupo válido en el registro de usuarios del servidor de gestión.
Se puede asignar un rol tanto a usuarios individuales como a grupos de usuarios. A todos los
usuarios de un grupo se asigna el rol del grupo. Si se asigna a un usuario un rol como individuo
y un rol distinto como miembro de un grupo, el usuario tiene acceso a los permisos del rol que
tiene mayor acceso.
La restricción del acceso a sesiones impide el acceso administrativo no garantizado. Esto es
particularmente útil en un entorno abierto, donde puede haber muchos administradores de
almacenamiento responsables de sus servidores, aplicaciones, bases de datos, sistemas de
archivos, etc.
ADMINISTRADOR
Los administradores tienen acceso sin restricciones. Pueden gestionar todas las sesiones y
realizar todas las acciones asociadas con Tivoli Storage Productivity Center for Replication, lo
que incluye:
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 8
Otorgar permisos a usuarios y grupos de usuarios.
Agregar o eliminar una sesión. Al ID de usuario que ha creado la sesión se le otorga
automáticamente acceso para gestionar esa sesión.
Realizar acciones en todas las sesiones, por ejemplo, iniciar, flash, terminar y
suspender.
Modificar propiedades de una sesión.
Agregar y eliminar conjuntos de copia de una sesión. El administrador puede agregar
volúmenes a un conjunto de copia sólo cuando el volumen no está protegido y no en
otra sesión.
Proteger volúmenes y eliminar la protección de volúmenes.
Agregar o eliminar conexiones de los sistemas de almacenamiento.
Modificar propiedades de una conexión.
Asignar o modificar ubicaciones de los sistemas de almacenamiento.
Agregar vías de acceso PPRC y eliminar vías de acceso sin relaciones de hardware. Las
vías de acceso PPRC representan un recurso común utilizado en sesiones de Tivoli
Storage Productivity Center for Replication y también en una relación de sistema de
almacenamiento ESS, DS6000, o DS8000 establecida entre dos subsistemas lógicos
(LSS) comunes.
Nota Una vía de acceso también se puede generar automáticamente cuando se inicia una
sesión.
Gestionar los servidores de gestión. El servidor de gestión en espera es un recurso
común disponible para varias sesiones.
Empaquetar archivos de registro de error de programa (PE).
Supervisar el estado, lo que incluye la visualización de la siguiente información:
o Todos los sistemas de almacenamiento y detalles de los sistemas de
almacenamiento
o Todas las conexiones y detalles de las conexiones
o Todas las sesiones y detalles de sesiones
o Toda la información de vía de acceso
o El estado y los detalles del servidor de gestión
.
OPCIONES DE CUENTA
Cada cuenta de usuario de Active Directory tiene varias opciones que determinan cómo se
autentica en la red alguien que inicie sesión con esa cuenta de usuario concreta. Con las
opciones de la tabla siguiente se puede establecer la configuración de las contraseñas y la
información específica de la seguridad de las cuentas de usuario.
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 9
Opción de cuenta Descripción
El usuario debe cambiar la contraseña en el siguiente inicio de sesión
Obliga al usuario a cambiar su contraseña la próxima vez que inicie sesión en la red. Habilite esta opción cuando desee estar seguro de que el usuario es la única persona que conoce la contraseña.
El usuario no puede cambiar la contraseña
Impide que un usuario cambie su contraseña. Habilite esta opción si desea mantener el control de una cuenta de usuario, tal como una cuenta Invitado o una cuenta temporal.
La contraseña nunca expira Impide que una contraseña de usuario expire. Recomendamos que las cuentas de servicio tengan esta opción habilitada y usen contraseñas seguras.
Almacenar contraseñas usando cifrado reversible
Permite al usuario iniciar sesión en una red de Windows desde un equipo Apple. Si el usuario no inicia sesión desde un equipo Apple, no habilite esta opción.
La cuenta está deshabilitada Impide al usuario iniciar sesión con la cuenta seleccionada. Muchos administradores usan cuentas deshabilitadas como plantillas para las cuentas de usuario normales.
La tarjeta inteligente es necesaria para un inicio de sesión interactivo
Requiere que el usuario posea una tarjeta inteligente para iniciar sesión en la red de forma interactiva. El usuario debe tener también un lector de tarjetas inteligentes conectado al equipo y un número de identificación personal (NIP) para la tarjeta inteligente. Cuando se habilita esta opción, la contraseña de la cuenta de usuario se establece automáticamente en un valor aleatorio y complejo, y se habilita la opción de cuenta La contraseña nunca expira.
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 10
Se confía en la cuenta para su delegación
Permite que un servicio que se ejecute con esta cuenta realice operaciones en nombre de otras cuentas de usuario en la red. Un servicio que se ejecuta con una cuenta de usuario (también conocida como cuenta de servicio) en la que se confía para la delegación, puede suplantar a un cliente para obtener acceso a los recursos del equipo donde se ejecuta el servicio o a los recursos de otros equipos. En un bosque que se encuentre establecido en el nivel funcional de Windows Server 2008 R2, esta opción está en la ficha Delegación. Está disponible sólo para las cuentas con nombres principales de servicio (SPN) asignados, lo que se establece mediante el comando setspn de Windows Server 2008 R2. Abra una ventana del símbolo del sistema y escriba setspn. Se trata de una característica crítica para la seguridad, por lo que se debe usar con precaución.
Esta opción sólo está disponible en los controladores de dominio que ejecuten Windows Server 2008 R2 y que tengan funcionalidad de dominio Windows 2000 mixta o Windows 2000 nativa. En los controladores de dominio que ejecutan Windows Server 2008 y Windows Server 2008 R2, si el nivel funcional del dominio está establecido en el nivel funcional de bosque de Windows Server 2008 o Windows Server 2008 R2, use la ficha Delegación del cuadro de diálogo de propiedades del usuario para configurar las opciones de delegación. La ficha Delegación sólo aparece para las cuentas que tengan asignados SPN.
La cuenta es importante y no se puede delegar
Se puede usar esta opción si otra cuenta no puede asignar esta cuenta para su delegación (por ejemplo, una cuenta Invitado o temporal).
Usar tipos de cifrado DES para esta cuenta
Ofrece compatibilidad con el Estándar de cifrado de datos (DES). DES admite varios niveles de cifrado, como el estándar MPPE (Cifrado punto a punto de Microsoft) de 40 bits, el estándar MPPE de 56 bits, el estándar MPPE Strong de 128 bits, DES IPsec (Protocolo de seguridad de Internet) de 40 bits, DES IPsec de 56 bits y Triple DES (3DES) IPsec.
No pedir la autenticación Kerberos previa
Ofrece compatibilidad con implementaciones alternativas del protocolo Kerberos. Se debe tener cuidado cuando se habilite esta opción, porque la autenticación Kerberos previa proporciona una mayor seguridad y requiere la sincronización de hora entre el cliente y el servidor.
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 11
HERRAMIENTAS DE ADMINISTRACIÓN DE DIRECTIVAS DE GRUPO
La directiva de grupo, en función de los Servicios de
dominio de Active Directory de Microsoft (AD DS), te
permite administrar la configuración de los usuarios y de
los equipos de tu organización como parte de los objetos
de directiva de grupo (GPO), que se agregan y se cambian
en la consola de administración de directivas de grupo
(GPMC). Los objetos de directiva de grupo incluyen las
opciones de configuración de directiva de Plantillas
administrativas basadas en el Registro, la configuración de
seguridad, información de implementación de software,
scripts, redireccionamiento de carpetas y preferencias.
Las Directivas de Grupo, GPO, permiten implementar
configuraciones específicas para uno o varios usuarios y/o
equipos.
Para la configuración de GPO que sólo afecten a un usuario
o equipo local se puede utilizar el editor de directivas
locales gpedit.msc. En nuestro caso accederemos en el
entorno de Servicios de Dominio de Active Directory, con
la consola de administración gpmc.msc.
Las GPO se pueden diferenciar dependiendo del objeto al que configuran y se pueden entender
en distintos niveles:
Equipo Local: tan solo se aplican en el equipo que las tiene asignadas
independientemente del dominio al que pertenezca.
Sitio: se aplican a los equipos y/o usuarios de un sitio, independientemente del
dominio.
Dominio: se aplican a todos los equipos y/o usuarios de un dominio.
Unidad Organizativa (OU): se aplican únicamente a los equipos y/o usuarios que
pertenecen a la OU.
EDITOR DE DIRECTIVAS DE GRUPO LOCAL Administra las opciones de configuración relacionadas con el usuario y con el equipo en una
directiva de equipo individual.
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 12
Dentro de la configuración de directiva se puede acceder a lo siguiente:
CONSOLA DE ADMINISTRACIÓN DE DIRECTIVAS DE GRUPO
La consola de administración de directivas de grupo es la interfaz que los administradores
utilizan para gestionar los objetos de directiva de grupo. Incluye una visión general de usuarios
de Active Directory y equipos, sitios y servicios, el editor de la lista de control de acceso y la
gestión.
Configuración del equipo Configuración de usuario
Plantillas administrativas: Plantillas administrativas:
Panel de control Panel de control
Red Escritorio
Impresoras Red
Servidor Carpetas compartidas
Sistema Menú Inicio y barra de tareas
Componentes de Windows Sistema
Todas las opciones Componentes de Windows
Todas las opciones
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 13
CONJUNTO RESULTANTE DE DIRECTIVAS Un conjunto resultante de directivas (RSoP) informa sobre toda la configuración de directiva
de grupo (GPO) dentro de Active Directory, que muestra cómo los ajustes pueden afectar a la
red, o como la GPO afecta a los diversos usuarios de la red.
GPRESULT Relacionado con el RSoP, gpresult es una herramienta de línea de comandos que muestra el
RSoP para un usuario basado en la configuración de directiva de grupo.
OBJETO DE DIRECTIVA DE GRUPO Los objetos de directiva de grupo son un conjunto de ajustes para la configuración del sistema
y cómo los usuarios interactuarán en una infraestructura de Active Directory. En Windows
Server 2012 y Windows 8, el administrador puede establecer GPO metro específicos, como
usar un color determinado para el menú de inicio.
PREFERENCIAS DE DIRECTIVA DE GRUPO En Windows Server 2008 y versiones posteriores, las preferencias de directiva de grupo son
extensiones accesibles desde la consola de administración de directivas de grupo que incluyen
las unidades e impresoras asignadas, así como ajustes avanzados de carpeta.
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 14
CONTRASEÑA DE USUARIO GPO
POLÍTICAS DE CONTRASEÑA
Una política es un conjunto de reglas que definen un comportamiento.
Se puede utilizar Directory para configurar las políticas de contraseñas para
gestionar las cuentas de usuario. Una política de contraseñas se aplica al atributo
userPassword, el cual contiene la contraseña que los usuarios introducen cuando se enlazan
a un agente de sistema de directorio que utiliza la autenticación simple.
La configuración de una política de contraseñas controla las áreas siguientes:
Autenticación
Seguridad de la contraseña
Control de la cuenta y gestión de la contraseña
Cómo configurar una política de contraseñas
Primero se debe aplicar cualquier política de contraseñas nueva o modificada en un directorio
de prueba.
1. Para diseñar la política de contraseñas, el diseñador de directorios realiza los siguientes
pasos:
a) Escribe una política de contraseñas en un lenguaje sencillo.
b) Convierte la política escrita en comandos para cada agente de sistema de directorio.
2. Para probar la política de contraseñas, el administrador de directorios realiza los siguientes
pasos:
a) Configura un directorio de prueba que contiene algunas entradas habituales de la
cuenta de usuario.
b) Crea las reglas de contraseña para implementar la política.
c) Prueba y corrige la política de contraseñas.
3. Cuando el administrador está seguro de que la política de contraseñas funcionará
correctamente, repetirá los pasos anteriores para implementar la política en el directorio
de la empresa:
a) Crea las reglas de contraseña para implementar la política.
b) Prueba y corrige la política de contraseñas.
Cómo configurar las reglas de calidad de las contraseñas
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 15
Se pueden configurar reglas para asegurarse de que los usuarios solo elijan contraseñas
seguras.
Si se han establecido reglas sobre la calidad de las contraseñas, estas reglas se aplican cuando
los usuarios intentan cambiar sus propias contraseñas. Si la nueva contraseña no supera las
comprobaciones, los usuarios tienen que volver a intentarlo con otra nueva contraseña.
Esta sección trata los temas siguientes:
Almacenar contraseñas con cifrado reversible
Exigir historia de contraseñas
La contraseña debe cumplir con los requisitos de complejidad
Longitud mínima de la contraseña
Vigencia máxima de la contraseña
Vigencia mínima de la contraseña
Almacenar contraseñas con cifrado reversible
La configuración de directiva almacenar contraseñas usando cifrado reversible proporciona
compatibilidad para las aplicaciones que utilizan protocolos que requieren la contraseña del
usuario para la autenticación. Almacenar contraseñas cifradas de manera que sea reversible
significa que se puedan descifrar las contraseñas cifradas. Un atacante experto que es capaz
de dividir este cifrado puede, a continuación, inicia sesión en recursos de red mediante el uso
de la cuenta comprometida. Por este motivo, no habilite nunca almacenar contraseñas usando
cifrado reversible para todos los usuarios del dominio a menos que los requisitos de la
aplicación superan la necesidad de proteger la información de contraseña.
Las contraseñas deben cumplir los requisitos de complejidad: mayúsculas, minúsculas, números
y caracteres especiales.
La configuración de directiva que las
contraseñas deben cumplir los
requisitos de complejidad determina si
las contraseñas deben cumplir una serie
de instrucciones que se consideran
importante para una contraseña segura. Al
habilitar a esta configuración de directiva,
requiere contraseñas a cumplir los
siguientes requisitos:
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 16
1. Las contraseñas no pueden contener el usuario valor (nombre de la cuenta) o todo valor de
nombre completo. Ambos controles no distinguen mayúsculas de minúsculas.
SamAccountName está activado en su totalidad solo para determinar si forma parte de la
contraseña. Si samAccountName es inferior a tres caracteres de longitud, se omite esta
comprobación. DisplayName se analiza delimitadores: comas, puntos, guiones o guiones,
guiones bajos, espacios, signos y pestañas. Si cualesquiera de estos delimitadores se
encuentran, se divide displayName y se confirman que todas las secciones analizadas
(tokens) no deben incluirse en la contraseña. Se omiten los tokens que son menos de tres
caracteres y no se comprueban las subcadenas de los tokens. Por ejemplo, el nombre
"Susana f Medrano" se divide en tres tokens: "Sandra", "M" y "Medrano". Dado que el segundo
token es solo un carácter, se omite. Por lo tanto, este usuario podría no tener una
contraseña que incluyera "Sandra" ni "Martínez" como subcadena en cualquier parte de la
contraseña.
2. La contraseña contiene caracteres de tres de las siguientes categorías:
Mayúsculas de los idiomas europeos (A-z, con signos diacríticos, caracteres griego y
cirílico)
Letras minúsculas de idiomas europeos (a-z, sharp-s, con signos diacríticos, caracteres
griego y cirílico)
Dígitos en base 10 (0-9)
Caracteres no alfanuméricos (caracteres especiales): (~! @# $% ^ & * _-+='| \ (){}\ []:; ""
<>, .? /) moneda símbolos, como el Euro o libra British no se cuentan como caracteres
especiales para esta configuración de directiva.
Cualquier carácter Unicode que se clasifica como un carácter alfabético, pero no está en
mayúsculas o minúsculas. Esto incluye los caracteres Unicode de idiomas de Asia.
Requisitos de complejidad se aplican al crear o modificar las contraseñas.
Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su
configuración, cómo implementar la contramedida y las posibles consecuencias negativas de
la implementación.
Vulnerabilidad
Las contraseñas que contienen solo caracteres alfanuméricos son muy fáciles de detectar con
varias herramientas disponibles públicamente.
Contramedida
Configurar la configuración de directiva de contraseñas deben cumplir los requisitos de
complejidad en habilitado y aconseja a los usuarios para usar una variedad de caracteres en
sus contraseñas.
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 17
Cuando se combina con una longitud mínima de la contraseña de 8, esta configuración de
directiva garantiza que el número de diferentes posibilidades para una única contraseña es tan
importante que resulta difícil (pero no imposible) para una fuerza bruta ataque tenga éxito. (Si
se aumenta la configuración de directiva de la longitud de contraseña de mínimo, promedio
aumenta la cantidad de tiempo necesario para un ataque con éxito también.)
Impacto potencial
Si se conserva la configuración predeterminada de la complejidad de contraseñas, llamadas de
soporte técnico adicionales de bloqueo de cuentas podrían deberse a que es posible que el
usuario no se acostumbrado a las contraseñas que contienen caracteres que no sea alfabético
o podrían tener problemas al introducir contraseñas que contienen caracteres acentuados o
símbolos en teclados con diseños diferentes. Sin embargo, todos los usuarios deben poder
cumplir con los requisitos de complejidad con mínimas dificultades.
Si tu organización tiene requisitos de seguridad más estrictos, puedes crear una versión
personalizada del archivo Passfilt.dll que permite el uso de contraseñas complejas
arbitrariamente reglas de resistencia. Por ejemplo, un filtro de contraseñas personalizado
podría requerir el uso de símbolos de la fila que no sean de superior. (Los símbolos de la fila
superior son aquellas que requieren que se mantenga la tecla MAYÚS y, a continuación,
presiona cualquiera de los dígitos entre 1 y 0). Un filtro personalizado de contraseñas también
es posible que realice una comprobación de diccionario para comprobar que la contraseña
propuesta no contienen las palabras de diccionario comunes o fragmentos.
El uso de combinaciones de carácter de tecla ALT puede mejorar considerablemente la
complejidad de una contraseña. Sin embargo, dichos requisitos estrictos de contraseña
pueden provocar las solicitudes de soporte técnico adicionales. Como alternativa, la
organización podría tener en cuenta un requisito para todas las contraseñas de administrador
usar caracteres ALT en el intervalo 0128 – 0159. (Caracteres ALT fuera de este intervalo pueden
representar caracteres alfanuméricos estándar que no agregaría complejidad adicional a la
contraseña).
Longitud mínima de la contraseña: 14 caracteres
La configuración de directiva de longitud mínima de la contraseña determina el menor
número de caracteres que se pueden hacer que una contraseña para una cuenta de usuario.
Puedes establecer un valor comprendido entre 1 y 14 caracteres, o puedes establecer que se
necesita ninguna contraseña, Establece el número de caracteres en 0.
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 18
A continuación, se muestra dicha configuración:
1. Ingrese a la Administración de directivas de grupo.
2. En la pantalla de inicio de la consola de Administración de directivas de grupo, a la
izquierda se encuentran las políticas creadas, haga clic derecho sobre Default Domain
Policy y seleccione la opción Editar.
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 19
3. Haga clic sobre Directivas
4. Ingrese con doble clic sobre Configuración
de Windows.
5. Clic sobre Configuración de seguridad.
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 20
6. Seleccione Directivas de cuenta
7. Ingrese a las Directivas de contraseñas
8. Clic en Longitud mínima de la contraseña
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 21
9. En esta sección se define el número de caracteres que debe tener la contraseña del equipo
Consideraciones de seguridad
Vulnerabilidad
Tipos de ataques de contraseña incluyen los ataques de diccionario (que intentan usar palabras
y frases comunes) y los ataques de fuerza bruta (que intenta todas las combinaciones posibles
de caracteres). Además, los atacantes a veces, intentan obtener la base de datos de la cuenta
para que pueda usar herramientas para detectar las cuentas y contraseñas.
Contramedida
Configurar el *** configuración de directiva en un valor de 8 o más. Si el número de caracteres
se establece en 0, no hay ninguna contraseña será necesaria.
En la mayoría de los entornos, se recomienda una contraseña de ocho caracteres porque es
suficiente para proporcionar la seguridad adecuada, pero no demasiado difícil para los usuarios
a recordar fácilmente. Esta configuración proporciona una defensa adecuada contra un ataque
de fuerza bruta. Con las contraseñas deben cumplir los requisitos de complejidad de
configuración de directiva además de la configuración de longitud mínima de la contraseña
ayuda a reducir la posibilidad de un ataque de diccionario.
Impacto potencial
Requisitos para las contraseñas muy largas realmente pueden reducir la seguridad de una
organización porque los usuarios pueden dejar la información en una ubicación segura o
pierde. Si se necesitan las contraseñas muy largas, contraseñas mal escritas podrían provocar
bloqueos de cuenta y subir el volumen de llamadas al departamento de soporte técnico. Si tu
organización tiene problemas con las contraseñas olvidadas debido a los requisitos de longitud
de contraseña, considera la posibilidad de enseñar a los usuarios sobre contraseñas, que a
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 22
menudo son más fáciles de recordar y, debido al mayor número de combinaciones de
caracteres, mucho más difícil de detectar.
Vigencia máxima: 30 días
La configuración de directiva de Vigencia máxima de la contraseña determina el período de
tiempo (en días) que puede ser una contraseña utilizada antes de que el sistema necesita que
el usuario lo cambie. Puedes establecer las contraseñas expiren después de un número de días
entre 1 y 999, o puedes especificar que las contraseñas no expiren nunca estableciendo el
número de días en 0. Si la Vigencia máxima de la contraseña se encuentra entre 1 y 999 días,
la antigüedad mínima de la contraseña debe ser menor que la duración máxima de la
contraseña. Si la Vigencia máxima de la contraseña se establece en 0, Vigencia mínima de la
contraseña puede ser cualquier valor entre 0 y 998 días.
Vigencia máxima de la contraseña se establece en un valor entre 30, en función del entorno.
De este modo, un atacante tiene una cantidad limitada de tiempo en el que se ponen en peligro
una contraseña de usuario y tener acceso a los recursos de red.
1. En el panel de la Administración de directivas
de grupo, en la sección de directivas de
contraseñas (ver páginas 16 y 17) Seleccione
opción de Vigencia máxima de la contraseña.
2. De esta manera se define el
número máximo de días vigentes de
la contraseña de equipo.
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 23
Consideraciones de seguridad
Vulnerabilidad
Cuanto más tiempo una contraseña existe, cuanto mayor sea la probabilidad de que se verá
comprometido por un ataque por fuerza bruta, un atacante obtener un conocimiento general
sobre el usuario o el usuario la contraseña de uso compartido. Configurar la Vigencia máxima
de la contraseña de la configuración de directiva en 0 para que los usuarios nunca se necesitan
para cambiar sus contraseñas permite a una contraseña en peligro para el usuario
malintencionado para usarse siempre que sea el usuario válido acceso autorizado.
Consideraciones
Obligatorio los cambios de contraseña son una práctica de seguridad tradicionales, pero
actuales de investigación encarecidamente indican que la expiración de contraseña tiene un
efecto negativo.
Configurar la distribución de directiva de Vigencia máxima de contraseña con un valor que
es adecuado para los requisitos de negocio de la organización. Por ejemplo, muchas
organizaciones tienen compatibilidad o mandatos seguro que requieren una corta duración en
las contraseñas. Cuando exista este requisito, la configuración de directiva de Vigencia
máxima de la contraseña puede usarse para satisfacer los requisitos empresariales.
Impacto potencial
Si la configuración de directiva de Vigencia máxima de la contraseña es demasiado baja, los
usuarios deben cambiar sus contraseñas muy a menudo. Esta configuración puede reducir la
seguridad en la organización ya que los usuarios pueden mantener sus contraseñas en una
ubicación segura o perderás. Si el valor de esta configuración de directiva es demasiado alto,
se reduce el nivel de seguridad dentro de una organización porque permite posibles atacantes
más tiempo en que se va a descubrir las contraseñas de usuario o a las cuentas de uso puesto
en peligro.
Vigencia mínima: 29 días
La configuración de directiva de Vigencia mínima de la contraseña determina el período de
tiempo (en días) que debe ser una contraseña utilizada antes de que el usuario puede
cambiarlo. Puedes establecer un valor entre 1 y 998 días, o puede permitir que los cambios de
contraseña inmediatamente estableciendo el número de días en 0. La antigüedad mínima de la
contraseña debe ser menor que la vigencia máxima de contraseña, a menos que la vigencia
máxima de la contraseña se establece en 0, que indica que la contraseña no caduca nunca. Si
la vigencia máxima de la contraseña se establece en 0, la antigüedad mínima de la contraseña
puede establecerse en cualquier valor entre 0 y 998.
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 24
1. En el panel de la Administración de
directivas de grupo, en la sección de
directivas de contraseñas (ver
página 16) Seleccione opción de
Vigencia mínima de la contraseña.
2. De esta manera se define el número mínimo de días vigentes de la contraseña de equipo:
Consideraciones de seguridad
Vulnerabilidad
Los usuarios pueden tener las contraseñas de favoritos que le gusta usar porque son fáciles
de recordar y creen que su elección de contraseña es seguro desde el peligro. Por desgracia,
pueden estar en peligro las contraseñas y si un atacante está destinada a una cuenta de usuario
individuales, con conocimiento de los datos acerca del usuario, la reutilización de contraseñas
anteriores puede provocar una infracción de seguridad.
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 25
Para abordar la reutilización de contraseñas, debes usar una combinación de opciones de
configuración de seguridad. Uso de esta configuración de directiva con la configuración de
directiva Exigir historial de contraseñas, impide que el facilitar su reutilización de contraseñas
anteriores. Por ejemplo, si se configura la directiva de historial de contraseñas de exigir
configuración para garantizar que los usuarios no pueden reutilizar cualquiera de las últimas
12 contraseñas, pero no configurar la configuración de directiva de Vigencia mínima de
contraseña a un número que es mayor que 0, los usuarios podrían cambiar su contraseña 13
veces dentro de unos minutos y volver a usar su contraseña original. Debes configurar esta
configuración de directiva a un número que sea mayor que 0 para la configuración de directiva
Exigir historial de contraseña resultar eficaces.
Contramedida
Configurar la configuración de directiva de Vigencia mínima de contraseña en un valor de 1
día. Los usuarios deben saber acerca de esta limitación y ponte en contacto con el servicio de
asistencia para cambiar una contraseña antes. Si estableces el número de días en 0, cambios
de contraseña inmediato estará permitidas, lo que no se recomienda.
Impacto potencial
Si puedes establecer una contraseña para un usuario, pero quieren que el usuario cambie la
contraseña cuando el usuario inicie por primera vez, el administrador debe activar la casilla de
verificación de usuario debe cambiar la contraseña en el siguiente inicio de sesión o el
usuario no puede cambiar la contraseña hasta el día siguiente.
El resumen de la configuración establecida se muestra de la siguiente manera:
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 26
En la siguiente pantalla se muestran las políticas ya establecidas en el panel de configuración
de equipo de la administración de directivas de grupo:
Para que todas las políticas anteriores puedan ser ejecutadas por el usuario la opción de la
ficha del usuario: "El usuario no puede cambiar la contraseña" (*) deberá estar desmarcada.
1. En las propiedades del nombre del usuarios y equipos de Active Directory (dsa.msc), en la
pestaña Cuenta, apartado Opciones de cuenta, opción:
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 27
2. Desmarcar la casilla en las propiedades sobre un usuario, pestaña Cuenta, luego en
Opciones de cuenta, opción: El usuario no puede cambiar la contraseña.
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 28
3. Al encender el equipo este iniciará con normalidad
4. Después de ingresar la contraseña se le pedirá que Se debe cambiar la contraseña del
usuario antes de iniciar sesión. Clic en Aceptar.
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 29
5. Deberá ingresar la contraseña anterior.
6. Ingrese la nueva contraseña y a su vez confirmarla.
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 30
7. Se mostrará el mensaje Se cambió su contraseña, clic en Aceptar.
8. El mensaje Bienvenido en pantalla le demuestra que ha ingresado al sistema sin problemas.
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 31
CUENTAS CON PRIVILEGIOS Y GRUPOS DE ACTIVE DIRECTORY
"Con privilegios" cuentas y grupos de Active Directory son aquellos para que, privilegios,
derechos eficaces se conceden permisos y que les permiten realizar prácticamente cualquier
acción en Active Directory y en sistemas unidos a un dominio. Este apéndice se inicia con
privilegios, derechos y permisos, seguido de información sobre las cuentas "privilegio más
alto" y los grupos en Active Directory, es decir, los grupos y cuentas más eficaces.
También se proporciona información sobre las cuentas integradas y de forma predeterminada
y los grupos de Active Directory, además de sus derechos. Aunque se proporcionan
recomendaciones de configuración específica para proteger los grupos y cuentas de privilegios
más alto como apéndices independientes, este apéndice proporciona información general que
ayuda a identificar los usuarios y grupos, que debes centrarte en proteger. Debe hacerlo porque
se puedan aprovechar los atacantes comprometer la seguridad y destruir incluso la instalación
de Active Directory.
Derechos, privilegios y permisos en Active Directory
Las diferencias entre los derechos, permisos y privilegios pueden ser confuso y contradictorio,
incluso dentro de la administración del grupo de dominio. Esta sección describe algunas de
las características de cada uno, ya que se usan en este documento. Estas descripciones no
deben considerarse autorizadas para otra documentación de Microsoft, ya que se pueden
utilizar estos términos de manera diferente.
Las excepciones asignadas de acuerdo a las funciones de los usuarios:
Excepción a GPO Panel de Control
Excepción a GPO Regedit
Excepción GPO CD DVD
Excepción GPO Unidades Extraíbles
Grupos por puestos:
Depto. Auditoria TGU
Depto. Creditos TGU
Depto. Gerencial
Depto. TIC’S
Jefaturas TGU
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 32
En la
Gestión de Contraseña y Rol de Usuarios
Corporación Financiera Internacional S.A.
Pág. 33