Gestión de Contraseña y Rol de Usuarios

Gestión de Contraseña y Rol de Usuarios

Corporación Financiera Internacional S.A.

Pág. 2

Contenido Control de Cambios .......................................................................................................................... 4

Versión ......................................................................................................................................... 4

Fecha del Cambio ......................................................................................................................... 4

Descripción del Cambio o Modificación ....................................................................................... 4

1.0.0 ............................................................................................................................................. 4

15/10/2014 ................................................................................................................................... 4

Elaboración del documento (Creación y Permisos de Usuarios Active Director) .......................... 4

1.0.2 ............................................................................................................................................. 4

28/02/2019 ................................................................................................................................... 4

Actualización: Gestión de contraseña y rol de usuarios. ............................................................... 4

Introducción ...................................................................................................................................... 4

Objetivo .............................................................................................................................................. 4

Alcance............................................................................................................................................... 5

ACTIVE DIRECTORY COMO UNA HERRAMIENTA ........................................................................... 6

ROL DE USUARIO ............................................................................................................................... 7

ADMINISTRADOR ............................................................................................................................... 7

OPCIONES DE CUENTA ....................................................................................................................... 8

Cada cuenta de usuario de Active Directory tiene varias opciones que determinan cómo se

autentica en la red alguien que inicie sesión con esa cuenta de usuario concreta. Con las opciones

de la tabla siguiente se puede establecer la configuración de las contraseñas y la información

específica de la seguridad de las cuentas de usuario. ...................................................................... 8

HERRAMIENTAS DE ADMINISTRACIÓN DE DIRECTIVAS DE GRUPO ........................................ 11

EDITOR DE DIRECTIVAS DE GRUPO LOCAL ......................................................................................... 11

CONSOLA DE ADMINISTRACIÓN DE DIRECTIVAS DE GRUPO ................................................................ 12

CONJUNTO RESULTANTE DE DIRECTIVAS .......................................................................................... 13

GPRESULT....................................................................................................................................... 13

OBJETO DE DIRECTIVA DE GRUPO ..................................................................................................... 13

PREFERENCIAS DE DIRECTIVA DE GRUPO ......................................................................................... 13

CONTRASEÑA DE USUARIO GPO .................................................................................................. 14

POLÍTICAS DE CONTRASEÑA ............................................................................................................ 14

Cómo configurar una política de contraseñas ................................................................................... 14

Cómo configurar las reglas de calidad de las contraseñas ................................................................. 14



Pág. 3

Almacenar contraseñas con cifrado reversible .............................................................................. 15

Las contraseñas deben cumplir los requisitos de complejidad: mayúsculas, minúsculas, números y

caracteres especiales. ................................................................................................................ 15

Consideraciones de seguridad .................................................................................................. 16

Longitud mínima de la contraseña: 14 caracteres ........................................................................ 17


Vigencia máxima: 30 días ............................................................................................................ 22


Vigencia mínima: 29 días ............................................................................................................. 23


Para que todas las políticas anteriores puedan ser ejecutadas por el usuario la opción de la ficha del

usuario: "El usuario no puede cambiar la contraseña" (*) deberá estar desmarcada. ......................... 26

CUENTAS CON PRIVILEGIOS Y GRUPOS DE ACTIVE DIRECTORY ............................................................ 31

Derechos, privilegios y permisos en Active Directory ............................................................. 31



Pág. 4

Control de Cambios

Versión Fecha del Cambio Descripción del Cambio o Modificación

1.0.0 15/10/2014 Elaboración del documento (Creación y Permisos de Usuarios

Active Director)

1.0.2 28/02/2019 Actualización: Gestión de contraseña y rol de usuarios.

Introducción

Un Active Directory (Directorio Activo) sirve para unir e identificar máquinas y usuarios dentro

de la red, a los que se les proporciona ciertos parámetros de configuración y privilegios de

manera centralizada desde un servidor. Se puede llegar a decir que, en parte, es una base de

datos central con los equipos, usuarios y configuraciones. Por lo que en el presente manual

de procedimiento se describirá los términos y conceptos que conlleva la administración de

este sistema.

Objetivo



Pág. 5

Alcance



Pág. 6

ACTIVE DIRECTORY COMO UNA HERRAMIENTA

Un directorio es una estructura jerárquica que almacena

información sobre los objetos de la red. Un servicio de

directorio, como los servicios de dominio de Active Directory

(AD DS), proporciona los métodos para almacenar datos del

directorio y hacer que estos datos estén disponibles para los

administradores y usuarios de la red. Por ejemplo, AD DS

almacena información acerca de las cuentas de usuario, como

nombres, contraseñas, números de teléfono y así

sucesivamente y permite que otros usuarios autorizados en

la misma red acceder a esta información.

Active Directory almacena información sobre los objetos de

la red y facilita esta información para administradores y

usuarios a encontrar y usar. Active Directory usa un almacén

de datos estructurados como base para una organización

lógica y jerárquica de información del directorio.

Este almacén de datos, también conocida como el directorio

contiene información sobre los objetos de Active Directory.

Estos objetos suelen incluyen recursos compartidos como servidores, volúmenes, impresoras

y las cuentas de usuario y del equipo de red. Para obtener más información sobre el almacén

de datos de Active Directory, consulte almacén de datos del directorio.

Seguridad se integra con Active Directory mediante la autenticación de inicio de sesión y

control de acceso a objetos en el directorio. Con un único inicio de sesión, los administradores

pueden administrar datos de directorio y de la organización a través de su red y los usuarios

autorizados pueden acceder a recursos en cualquier parte de la red. Administración basada en

directivas facilita la administración de incluso las redes más complejas. Para obtener más

información sobre la seguridad de Active Directory, consulta Introducción a la seguridad.

Active Directory también incluye:

Un conjunto de reglas, el esquema, que define las clases de objetos y atributos contenidos

en el directorio, las restricciones y límites de instancias de estos objetos y el formato de

sus nombres. Para obtener más información acerca del esquema, consulta el esquema.

Un catálogo global que contiene información sobre todos los objetos en el directorio. Esto

permite que los usuarios y administradores para encontrar información de directorio



Pág. 7

independientemente de qué dominio en el directorio realmente contiene los datos. Para

obtener más información sobre el catálogo global, consulta el rol del catálogo global.

Un mecanismo de índices y consulta, de modo que pueden publicarse y encontrar los

usuarios de red o aplicaciones objetos y sus propiedades. Para obtener más información

sobre cómo consultar el directorio, consulta buscar información del directorio.

Un servicio de replicación que distribuye los datos de directorio en una red. Todos los

controladores de dominio de un dominio participan en la replicación y contienen una copia

completa de toda la información de directorio de su dominio. Cualquier cambio en los

datos del directorio se replica en todos los controladores de dominio del dominio. Para

obtener más información acerca de la replicación de Active Directory, consulta

Introducción a la replicación.

ROL DE USUARIO

Un rol de usuario es un conjunto de privilegios que se asigna a un usuario o grupo de usuarios

para permitir que el usuario o grupo de usuarios realice determinadas tareas y gestione

determinadas sesiones.

Para poder asignarlo a un rol, cada usuario o grupo de usuarios debe tener un ID de usuario o

ID de grupo válido en el registro de usuarios del servidor de gestión.

Se puede asignar un rol tanto a usuarios individuales como a grupos de usuarios. A todos los

usuarios de un grupo se asigna el rol del grupo. Si se asigna a un usuario un rol como individuo

y un rol distinto como miembro de un grupo, el usuario tiene acceso a los permisos del rol que

tiene mayor acceso.

La restricción del acceso a sesiones impide el acceso administrativo no garantizado. Esto es

particularmente útil en un entorno abierto, donde puede haber muchos administradores de

almacenamiento responsables de sus servidores, aplicaciones, bases de datos, sistemas de

archivos, etc.

ADMINISTRADOR

Los administradores tienen acceso sin restricciones. Pueden gestionar todas las sesiones y

realizar todas las acciones asociadas con Tivoli Storage Productivity Center for Replication, lo

que incluye:



Pág. 8

Otorgar permisos a usuarios y grupos de usuarios.

Agregar o eliminar una sesión. Al ID de usuario que ha creado la sesión se le otorga

automáticamente acceso para gestionar esa sesión.

Realizar acciones en todas las sesiones, por ejemplo, iniciar, flash, terminar y

suspender.

Modificar propiedades de una sesión.

Agregar y eliminar conjuntos de copia de una sesión. El administrador puede agregar

volúmenes a un conjunto de copia sólo cuando el volumen no está protegido y no en

otra sesión.

Proteger volúmenes y eliminar la protección de volúmenes.

Agregar o eliminar conexiones de los sistemas de almacenamiento.

Modificar propiedades de una conexión.

Asignar o modificar ubicaciones de los sistemas de almacenamiento.

Agregar vías de acceso PPRC y eliminar vías de acceso sin relaciones de hardware. Las

vías de acceso PPRC representan un recurso común utilizado en sesiones de Tivoli

Storage Productivity Center for Replication y también en una relación de sistema de

almacenamiento ESS, DS6000, o DS8000 establecida entre dos subsistemas lógicos

(LSS) comunes.

Nota Una vía de acceso también se puede generar automáticamente cuando se inicia una

sesión.

Gestionar los servidores de gestión. El servidor de gestión en espera es un recurso

común disponible para varias sesiones.

Empaquetar archivos de registro de error de programa (PE).

Supervisar el estado, lo que incluye la visualización de la siguiente información:

o Todos los sistemas de almacenamiento y detalles de los sistemas de

almacenamiento

o Todas las conexiones y detalles de las conexiones

o Todas las sesiones y detalles de sesiones

o Toda la información de vía de acceso

o El estado y los detalles del servidor de gestión

.

OPCIONES DE CUENTA

Cada cuenta de usuario de Active Directory tiene varias opciones que determinan cómo se

autentica en la red alguien que inicie sesión con esa cuenta de usuario concreta. Con las

opciones de la tabla siguiente se puede establecer la configuración de las contraseñas y la

información específica de la seguridad de las cuentas de usuario.



Pág. 9

Opción de cuenta Descripción

El usuario debe cambiar la contraseña en el siguiente inicio de sesión

Obliga al usuario a cambiar su contraseña la próxima vez que inicie sesión en la red. Habilite esta opción cuando desee estar seguro de que el usuario es la única persona que conoce la contraseña.

El usuario no puede cambiar la contraseña

Impide que un usuario cambie su contraseña. Habilite esta opción si desea mantener el control de una cuenta de usuario, tal como una cuenta Invitado o una cuenta temporal.

La contraseña nunca expira Impide que una contraseña de usuario expire. Recomendamos que las cuentas de servicio tengan esta opción habilitada y usen contraseñas seguras.

Almacenar contraseñas usando cifrado reversible

Permite al usuario iniciar sesión en una red de Windows desde un equipo Apple. Si el usuario no inicia sesión desde un equipo Apple, no habilite esta opción.

La cuenta está deshabilitada Impide al usuario iniciar sesión con la cuenta seleccionada. Muchos administradores usan cuentas deshabilitadas como plantillas para las cuentas de usuario normales.

La tarjeta inteligente es necesaria para un inicio de sesión interactivo

Requiere que el usuario posea una tarjeta inteligente para iniciar sesión en la red de forma interactiva. El usuario debe tener también un lector de tarjetas inteligentes conectado al equipo y un número de identificación personal (NIP) para la tarjeta inteligente. Cuando se habilita esta opción, la contraseña de la cuenta de usuario se establece automáticamente en un valor aleatorio y complejo, y se habilita la opción de cuenta La contraseña nunca expira.



Pág. 10

Se confía en la cuenta para su delegación

Permite que un servicio que se ejecute con esta cuenta realice operaciones en nombre de otras cuentas de usuario en la red. Un servicio que se ejecuta con una cuenta de usuario (también conocida como cuenta de servicio) en la que se confía para la delegación, puede suplantar a un cliente para obtener acceso a los recursos del equipo donde se ejecuta el servicio o a los recursos de otros equipos. En un bosque que se encuentre establecido en el nivel funcional de Windows Server 2008 R2, esta opción está en la ficha Delegación. Está disponible sólo para las cuentas con nombres principales de servicio (SPN) asignados, lo que se establece mediante el comando setspn de Windows Server 2008 R2. Abra una ventana del símbolo del sistema y escriba setspn. Se trata de una característica crítica para la seguridad, por lo que se debe usar con precaución.

Esta opción sólo está disponible en los controladores de dominio que ejecuten Windows Server 2008 R2 y que tengan funcionalidad de dominio Windows 2000 mixta o Windows 2000 nativa. En los controladores de dominio que ejecutan Windows Server 2008 y Windows Server 2008 R2, si el nivel funcional del dominio está establecido en el nivel funcional de bosque de Windows Server 2008 o Windows Server 2008 R2, use la ficha Delegación del cuadro de diálogo de propiedades del usuario para configurar las opciones de delegación. La ficha Delegación sólo aparece para las cuentas que tengan asignados SPN.

La cuenta es importante y no se puede delegar

Se puede usar esta opción si otra cuenta no puede asignar esta cuenta para su delegación (por ejemplo, una cuenta Invitado o temporal).

Usar tipos de cifrado DES para esta cuenta

Ofrece compatibilidad con el Estándar de cifrado de datos (DES). DES admite varios niveles de cifrado, como el estándar MPPE (Cifrado punto a punto de Microsoft) de 40 bits, el estándar MPPE de 56 bits, el estándar MPPE Strong de 128 bits, DES IPsec (Protocolo de seguridad de Internet) de 40 bits, DES IPsec de 56 bits y Triple DES (3DES) IPsec.

No pedir la autenticación Kerberos previa

Ofrece compatibilidad con implementaciones alternativas del protocolo Kerberos. Se debe tener cuidado cuando se habilite esta opción, porque la autenticación Kerberos previa proporciona una mayor seguridad y requiere la sincronización de hora entre el cliente y el servidor.



Pág. 11

HERRAMIENTAS DE ADMINISTRACIÓN DE DIRECTIVAS DE GRUPO

La directiva de grupo, en función de los Servicios de

dominio de Active Directory de Microsoft (AD DS), te

permite administrar la configuración de los usuarios y de

los equipos de tu organización como parte de los objetos

de directiva de grupo (GPO), que se agregan y se cambian

en la consola de administración de directivas de grupo

(GPMC). Los objetos de directiva de grupo incluyen las

opciones de configuración de directiva de Plantillas

administrativas basadas en el Registro, la configuración de

seguridad, información de implementación de software,

scripts, redireccionamiento de carpetas y preferencias.

Las Directivas de Grupo, GPO, permiten implementar

configuraciones específicas para uno o varios usuarios y/o

equipos.

Para la configuración de GPO que sólo afecten a un usuario

o equipo local se puede utilizar el editor de directivas

locales gpedit.msc. En nuestro caso accederemos en el

entorno de Servicios de Dominio de Active Directory, con

la consola de administración gpmc.msc.

Las GPO se pueden diferenciar dependiendo del objeto al que configuran y se pueden entender

en distintos niveles:

Equipo Local: tan solo se aplican en el equipo que las tiene asignadas

independientemente del dominio al que pertenezca.

Sitio: se aplican a los equipos y/o usuarios de un sitio, independientemente del

dominio.

Dominio: se aplican a todos los equipos y/o usuarios de un dominio.

Unidad Organizativa (OU): se aplican únicamente a los equipos y/o usuarios que

pertenecen a la OU.

EDITOR DE DIRECTIVAS DE GRUPO LOCAL Administra las opciones de configuración relacionadas con el usuario y con el equipo en una

directiva de equipo individual.



Pág. 12

Dentro de la configuración de directiva se puede acceder a lo siguiente:

CONSOLA DE ADMINISTRACIÓN DE DIRECTIVAS DE GRUPO

La consola de administración de directivas de grupo es la interfaz que los administradores

utilizan para gestionar los objetos de directiva de grupo. Incluye una visión general de usuarios

de Active Directory y equipos, sitios y servicios, el editor de la lista de control de acceso y la

gestión.

Configuración del equipo Configuración de usuario

Plantillas administrativas: Plantillas administrativas:

Panel de control Panel de control

Red Escritorio

Impresoras Red

Servidor Carpetas compartidas

Sistema Menú Inicio y barra de tareas

Componentes de Windows Sistema

Todas las opciones Componentes de Windows

Todas las opciones



Pág. 13

CONJUNTO RESULTANTE DE DIRECTIVAS Un conjunto resultante de directivas (RSoP) informa sobre toda la configuración de directiva

de grupo (GPO) dentro de Active Directory, que muestra cómo los ajustes pueden afectar a la

red, o como la GPO afecta a los diversos usuarios de la red.

GPRESULT Relacionado con el RSoP, gpresult es una herramienta de línea de comandos que muestra el

RSoP para un usuario basado en la configuración de directiva de grupo.

OBJETO DE DIRECTIVA DE GRUPO Los objetos de directiva de grupo son un conjunto de ajustes para la configuración del sistema

y cómo los usuarios interactuarán en una infraestructura de Active Directory. En Windows

Server 2012 y Windows 8, el administrador puede establecer GPO metro específicos, como

usar un color determinado para el menú de inicio.

PREFERENCIAS DE DIRECTIVA DE GRUPO En Windows Server 2008 y versiones posteriores, las preferencias de directiva de grupo son

extensiones accesibles desde la consola de administración de directivas de grupo que incluyen

las unidades e impresoras asignadas, así como ajustes avanzados de carpeta.

https://searchwindowsserver.techtarget.com/definition/gpresult



Pág. 14

CONTRASEÑA DE USUARIO GPO

POLÍTICAS DE CONTRASEÑA

Una política es un conjunto de reglas que definen un comportamiento.

Se puede utilizar Directory para configurar las políticas de contraseñas para

gestionar las cuentas de usuario. Una política de contraseñas se aplica al atributo

userPassword, el cual contiene la contraseña que los usuarios introducen cuando se enlazan

a un agente de sistema de directorio que utiliza la autenticación simple.

La configuración de una política de contraseñas controla las áreas siguientes:

Autenticación

Seguridad de la contraseña

Control de la cuenta y gestión de la contraseña

Cómo configurar una política de contraseñas

Primero se debe aplicar cualquier política de contraseñas nueva o modificada en un directorio

de prueba.

1. Para diseñar la política de contraseñas, el diseñador de directorios realiza los siguientes

pasos:

a) Escribe una política de contraseñas en un lenguaje sencillo.

b) Convierte la política escrita en comandos para cada agente de sistema de directorio.

2. Para probar la política de contraseñas, el administrador de directorios realiza los siguientes

pasos:

a) Configura un directorio de prueba que contiene algunas entradas habituales de la

cuenta de usuario.

b) Crea las reglas de contraseña para implementar la política.

c) Prueba y corrige la política de contraseñas.

3. Cuando el administrador está seguro de que la política de contraseñas funcionará

correctamente, repetirá los pasos anteriores para implementar la política en el directorio

de la empresa:

a) Crea las reglas de contraseña para implementar la política.

b) Prueba y corrige la política de contraseñas.

Cómo configurar las reglas de calidad de las contraseñas



Pág. 15

Se pueden configurar reglas para asegurarse de que los usuarios solo elijan contraseñas

seguras.

Si se han establecido reglas sobre la calidad de las contraseñas, estas reglas se aplican cuando

los usuarios intentan cambiar sus propias contraseñas. Si la nueva contraseña no supera las

comprobaciones, los usuarios tienen que volver a intentarlo con otra nueva contraseña.

Esta sección trata los temas siguientes:

Almacenar contraseñas con cifrado reversible

Exigir historia de contraseñas

La contraseña debe cumplir con los requisitos de complejidad

Longitud mínima de la contraseña

Vigencia máxima de la contraseña

Vigencia mínima de la contraseña

Almacenar contraseñas con cifrado reversible

La configuración de directiva almacenar contraseñas usando cifrado reversible proporciona

compatibilidad para las aplicaciones que utilizan protocolos que requieren la contraseña del

usuario para la autenticación. Almacenar contraseñas cifradas de manera que sea reversible

significa que se puedan descifrar las contraseñas cifradas. Un atacante experto que es capaz

de dividir este cifrado puede, a continuación, inicia sesión en recursos de red mediante el uso

de la cuenta comprometida. Por este motivo, no habilite nunca almacenar contraseñas usando

cifrado reversible para todos los usuarios del dominio a menos que los requisitos de la

aplicación superan la necesidad de proteger la información de contraseña.

Las contraseñas deben cumplir los requisitos de complejidad: mayúsculas, minúsculas, números

y caracteres especiales.

La configuración de directiva que las

contraseñas deben cumplir los

requisitos de complejidad determina si

las contraseñas deben cumplir una serie

de instrucciones que se consideran

importante para una contraseña segura. Al

habilitar a esta configuración de directiva,

requiere contraseñas a cumplir los

siguientes requisitos:



Pág. 16

1. Las contraseñas no pueden contener el usuario valor (nombre de la cuenta) o todo valor de

nombre completo. Ambos controles no distinguen mayúsculas de minúsculas.

SamAccountName está activado en su totalidad solo para determinar si forma parte de la

contraseña. Si samAccountName es inferior a tres caracteres de longitud, se omite esta

comprobación. DisplayName se analiza delimitadores: comas, puntos, guiones o guiones,

guiones bajos, espacios, signos y pestañas. Si cualesquiera de estos delimitadores se

encuentran, se divide displayName y se confirman que todas las secciones analizadas

(tokens) no deben incluirse en la contraseña. Se omiten los tokens que son menos de tres

caracteres y no se comprueban las subcadenas de los tokens. Por ejemplo, el nombre

"Susana f Medrano" se divide en tres tokens: "Sandra", "M" y "Medrano". Dado que el segundo

token es solo un carácter, se omite. Por lo tanto, este usuario podría no tener una

contraseña que incluyera "Sandra" ni "Martínez" como subcadena en cualquier parte de la

contraseña.

2. La contraseña contiene caracteres de tres de las siguientes categorías:

Mayúsculas de los idiomas europeos (A-z, con signos diacríticos, caracteres griego y

cirílico)

Letras minúsculas de idiomas europeos (a-z, sharp-s, con signos diacríticos, caracteres

griego y cirílico)

Dígitos en base 10 (0-9)

Caracteres no alfanuméricos (caracteres especiales): (~! @# $% ^ & * _-+='| \ (){}\ []:; ""

<>, .? /) moneda símbolos, como el Euro o libra British no se cuentan como caracteres

especiales para esta configuración de directiva.

Cualquier carácter Unicode que se clasifica como un carácter alfabético, pero no está en

mayúsculas o minúsculas. Esto incluye los caracteres Unicode de idiomas de Asia.

Requisitos de complejidad se aplican al crear o modificar las contraseñas.

Consideraciones de seguridad

En esta sección se describe cómo un atacante puede explotar una característica o su

configuración, cómo implementar la contramedida y las posibles consecuencias negativas de

la implementación.

Vulnerabilidad

Las contraseñas que contienen solo caracteres alfanuméricos son muy fáciles de detectar con

varias herramientas disponibles públicamente.

Contramedida

Configurar la configuración de directiva de contraseñas deben cumplir los requisitos de

complejidad en habilitado y aconseja a los usuarios para usar una variedad de caracteres en

sus contraseñas.



Pág. 17

Cuando se combina con una longitud mínima de la contraseña de 8, esta configuración de

directiva garantiza que el número de diferentes posibilidades para una única contraseña es tan

importante que resulta difícil (pero no imposible) para una fuerza bruta ataque tenga éxito. (Si

se aumenta la configuración de directiva de la longitud de contraseña de mínimo, promedio

aumenta la cantidad de tiempo necesario para un ataque con éxito también.)

Impacto potencial

Si se conserva la configuración predeterminada de la complejidad de contraseñas, llamadas de

soporte técnico adicionales de bloqueo de cuentas podrían deberse a que es posible que el

usuario no se acostumbrado a las contraseñas que contienen caracteres que no sea alfabético

o podrían tener problemas al introducir contraseñas que contienen caracteres acentuados o

símbolos en teclados con diseños diferentes. Sin embargo, todos los usuarios deben poder

cumplir con los requisitos de complejidad con mínimas dificultades.

Si tu organización tiene requisitos de seguridad más estrictos, puedes crear una versión

personalizada del archivo Passfilt.dll que permite el uso de contraseñas complejas

arbitrariamente reglas de resistencia. Por ejemplo, un filtro de contraseñas personalizado

podría requerir el uso de símbolos de la fila que no sean de superior. (Los símbolos de la fila

superior son aquellas que requieren que se mantenga la tecla MAYÚS y, a continuación,

presiona cualquiera de los dígitos entre 1 y 0). Un filtro personalizado de contraseñas también

es posible que realice una comprobación de diccionario para comprobar que la contraseña

propuesta no contienen las palabras de diccionario comunes o fragmentos.

El uso de combinaciones de carácter de tecla ALT puede mejorar considerablemente la

complejidad de una contraseña. Sin embargo, dichos requisitos estrictos de contraseña

pueden provocar las solicitudes de soporte técnico adicionales. Como alternativa, la

organización podría tener en cuenta un requisito para todas las contraseñas de administrador

usar caracteres ALT en el intervalo 0128 – 0159. (Caracteres ALT fuera de este intervalo pueden

representar caracteres alfanuméricos estándar que no agregaría complejidad adicional a la

contraseña).

Longitud mínima de la contraseña: 14 caracteres

La configuración de directiva de longitud mínima de la contraseña determina el menor

número de caracteres que se pueden hacer que una contraseña para una cuenta de usuario.

Puedes establecer un valor comprendido entre 1 y 14 caracteres, o puedes establecer que se

necesita ninguna contraseña, Establece el número de caracteres en 0.



Pág. 18

A continuación, se muestra dicha configuración:

1. Ingrese a la Administración de directivas de grupo.

2. En la pantalla de inicio de la consola de Administración de directivas de grupo, a la

izquierda se encuentran las políticas creadas, haga clic derecho sobre Default Domain

Policy y seleccione la opción Editar.



Pág. 19

3. Haga clic sobre Directivas

4. Ingrese con doble clic sobre Configuración

de Windows.

5. Clic sobre Configuración de seguridad.



Pág. 20

6. Seleccione Directivas de cuenta

7. Ingrese a las Directivas de contraseñas

8. Clic en Longitud mínima de la contraseña



Pág. 21

9. En esta sección se define el número de caracteres que debe tener la contraseña del equipo


Vulnerabilidad

Tipos de ataques de contraseña incluyen los ataques de diccionario (que intentan usar palabras

y frases comunes) y los ataques de fuerza bruta (que intenta todas las combinaciones posibles

de caracteres). Además, los atacantes a veces, intentan obtener la base de datos de la cuenta

para que pueda usar herramientas para detectar las cuentas y contraseñas.

Contramedida

Configurar el *** configuración de directiva en un valor de 8 o más. Si el número de caracteres

se establece en 0, no hay ninguna contraseña será necesaria.

En la mayoría de los entornos, se recomienda una contraseña de ocho caracteres porque es

suficiente para proporcionar la seguridad adecuada, pero no demasiado difícil para los usuarios

a recordar fácilmente. Esta configuración proporciona una defensa adecuada contra un ataque

de fuerza bruta. Con las contraseñas deben cumplir los requisitos de complejidad de

configuración de directiva además de la configuración de longitud mínima de la contraseña

ayuda a reducir la posibilidad de un ataque de diccionario.

Impacto potencial

Requisitos para las contraseñas muy largas realmente pueden reducir la seguridad de una

organización porque los usuarios pueden dejar la información en una ubicación segura o

pierde. Si se necesitan las contraseñas muy largas, contraseñas mal escritas podrían provocar

bloqueos de cuenta y subir el volumen de llamadas al departamento de soporte técnico. Si tu

organización tiene problemas con las contraseñas olvidadas debido a los requisitos de longitud

de contraseña, considera la posibilidad de enseñar a los usuarios sobre contraseñas, que a



Pág. 22

menudo son más fáciles de recordar y, debido al mayor número de combinaciones de

caracteres, mucho más difícil de detectar.

Vigencia máxima: 30 días

La configuración de directiva de Vigencia máxima de la contraseña determina el período de

tiempo (en días) que puede ser una contraseña utilizada antes de que el sistema necesita que

el usuario lo cambie. Puedes establecer las contraseñas expiren después de un número de días

entre 1 y 999, o puedes especificar que las contraseñas no expiren nunca estableciendo el

número de días en 0. Si la Vigencia máxima de la contraseña se encuentra entre 1 y 999 días,

la antigüedad mínima de la contraseña debe ser menor que la duración máxima de la

contraseña. Si la Vigencia máxima de la contraseña se establece en 0, Vigencia mínima de la

contraseña puede ser cualquier valor entre 0 y 998 días.

Vigencia máxima de la contraseña se establece en un valor entre 30, en función del entorno.

De este modo, un atacante tiene una cantidad limitada de tiempo en el que se ponen en peligro

una contraseña de usuario y tener acceso a los recursos de red.

1. En el panel de la Administración de directivas

de grupo, en la sección de directivas de

contraseñas (ver páginas 16 y 17) Seleccione

opción de Vigencia máxima de la contraseña.

2. De esta manera se define el

número máximo de días vigentes de

la contraseña de equipo.



Pág. 23


Vulnerabilidad

Cuanto más tiempo una contraseña existe, cuanto mayor sea la probabilidad de que se verá

comprometido por un ataque por fuerza bruta, un atacante obtener un conocimiento general

sobre el usuario o el usuario la contraseña de uso compartido. Configurar la Vigencia máxima

de la contraseña de la configuración de directiva en 0 para que los usuarios nunca se necesitan

para cambiar sus contraseñas permite a una contraseña en peligro para el usuario

malintencionado para usarse siempre que sea el usuario válido acceso autorizado.

Consideraciones

Obligatorio los cambios de contraseña son una práctica de seguridad tradicionales, pero

actuales de investigación encarecidamente indican que la expiración de contraseña tiene un

efecto negativo.

Configurar la distribución de directiva de Vigencia máxima de contraseña con un valor que

es adecuado para los requisitos de negocio de la organización. Por ejemplo, muchas

organizaciones tienen compatibilidad o mandatos seguro que requieren una corta duración en

las contraseñas. Cuando exista este requisito, la configuración de directiva de Vigencia

máxima de la contraseña puede usarse para satisfacer los requisitos empresariales.

Impacto potencial

Si la configuración de directiva de Vigencia máxima de la contraseña es demasiado baja, los

usuarios deben cambiar sus contraseñas muy a menudo. Esta configuración puede reducir la

seguridad en la organización ya que los usuarios pueden mantener sus contraseñas en una

ubicación segura o perderás. Si el valor de esta configuración de directiva es demasiado alto,

se reduce el nivel de seguridad dentro de una organización porque permite posibles atacantes

más tiempo en que se va a descubrir las contraseñas de usuario o a las cuentas de uso puesto

en peligro.

Vigencia mínima: 29 días

La configuración de directiva de Vigencia mínima de la contraseña determina el período de

tiempo (en días) que debe ser una contraseña utilizada antes de que el usuario puede

cambiarlo. Puedes establecer un valor entre 1 y 998 días, o puede permitir que los cambios de

contraseña inmediatamente estableciendo el número de días en 0. La antigüedad mínima de la

contraseña debe ser menor que la vigencia máxima de contraseña, a menos que la vigencia

máxima de la contraseña se establece en 0, que indica que la contraseña no caduca nunca. Si

la vigencia máxima de la contraseña se establece en 0, la antigüedad mínima de la contraseña

puede establecerse en cualquier valor entre 0 y 998.



Pág. 24

1. En el panel de la Administración de

directivas de grupo, en la sección de

directivas de contraseñas (ver

página 16) Seleccione opción de

Vigencia mínima de la contraseña.

2. De esta manera se define el número mínimo de días vigentes de la contraseña de equipo:


Vulnerabilidad

Los usuarios pueden tener las contraseñas de favoritos que le gusta usar porque son fáciles

de recordar y creen que su elección de contraseña es seguro desde el peligro. Por desgracia,

pueden estar en peligro las contraseñas y si un atacante está destinada a una cuenta de usuario

individuales, con conocimiento de los datos acerca del usuario, la reutilización de contraseñas

anteriores puede provocar una infracción de seguridad.



Pág. 25

Para abordar la reutilización de contraseñas, debes usar una combinación de opciones de

configuración de seguridad. Uso de esta configuración de directiva con la configuración de

directiva Exigir historial de contraseñas, impide que el facilitar su reutilización de contraseñas

anteriores. Por ejemplo, si se configura la directiva de historial de contraseñas de exigir

configuración para garantizar que los usuarios no pueden reutilizar cualquiera de las últimas

12 contraseñas, pero no configurar la configuración de directiva de Vigencia mínima de

contraseña a un número que es mayor que 0, los usuarios podrían cambiar su contraseña 13

veces dentro de unos minutos y volver a usar su contraseña original. Debes configurar esta

configuración de directiva a un número que sea mayor que 0 para la configuración de directiva

Exigir historial de contraseña resultar eficaces.

Contramedida

Configurar la configuración de directiva de Vigencia mínima de contraseña en un valor de 1

día. Los usuarios deben saber acerca de esta limitación y ponte en contacto con el servicio de

asistencia para cambiar una contraseña antes. Si estableces el número de días en 0, cambios

de contraseña inmediato estará permitidas, lo que no se recomienda.

Impacto potencial

Si puedes establecer una contraseña para un usuario, pero quieren que el usuario cambie la

contraseña cuando el usuario inicie por primera vez, el administrador debe activar la casilla de

verificación de usuario debe cambiar la contraseña en el siguiente inicio de sesión o el

usuario no puede cambiar la contraseña hasta el día siguiente.

El resumen de la configuración establecida se muestra de la siguiente manera:



Pág. 26

En la siguiente pantalla se muestran las políticas ya establecidas en el panel de configuración

de equipo de la administración de directivas de grupo:

Para que todas las políticas anteriores puedan ser ejecutadas por el usuario la opción de la

ficha del usuario: "El usuario no puede cambiar la contraseña" (*) deberá estar desmarcada.

1. En las propiedades del nombre del usuarios y equipos de Active Directory (dsa.msc), en la

pestaña Cuenta, apartado Opciones de cuenta, opción:



Pág. 27

2. Desmarcar la casilla en las propiedades sobre un usuario, pestaña Cuenta, luego en

Opciones de cuenta, opción: El usuario no puede cambiar la contraseña.



Pág. 28

3. Al encender el equipo este iniciará con normalidad

4. Después de ingresar la contraseña se le pedirá que Se debe cambiar la contraseña del

usuario antes de iniciar sesión. Clic en Aceptar.



Pág. 29

5. Deberá ingresar la contraseña anterior.

6. Ingrese la nueva contraseña y a su vez confirmarla.



Pág. 30

7. Se mostrará el mensaje Se cambió su contraseña, clic en Aceptar.

8. El mensaje Bienvenido en pantalla le demuestra que ha ingresado al sistema sin problemas.



Pág. 31

CUENTAS CON PRIVILEGIOS Y GRUPOS DE ACTIVE DIRECTORY

"Con privilegios" cuentas y grupos de Active Directory son aquellos para que, privilegios,

derechos eficaces se conceden permisos y que les permiten realizar prácticamente cualquier

acción en Active Directory y en sistemas unidos a un dominio. Este apéndice se inicia con

privilegios, derechos y permisos, seguido de información sobre las cuentas "privilegio más

alto" y los grupos en Active Directory, es decir, los grupos y cuentas más eficaces.

También se proporciona información sobre las cuentas integradas y de forma predeterminada

y los grupos de Active Directory, además de sus derechos. Aunque se proporcionan

recomendaciones de configuración específica para proteger los grupos y cuentas de privilegios

más alto como apéndices independientes, este apéndice proporciona información general que

ayuda a identificar los usuarios y grupos, que debes centrarte en proteger. Debe hacerlo porque

se puedan aprovechar los atacantes comprometer la seguridad y destruir incluso la instalación

de Active Directory.

Derechos, privilegios y permisos en Active Directory

Las diferencias entre los derechos, permisos y privilegios pueden ser confuso y contradictorio,

incluso dentro de la administración del grupo de dominio. Esta sección describe algunas de

las características de cada uno, ya que se usan en este documento. Estas descripciones no

deben considerarse autorizadas para otra documentación de Microsoft, ya que se pueden

utilizar estos términos de manera diferente.

Las excepciones asignadas de acuerdo a las funciones de los usuarios:

Excepción a GPO Panel de Control

Excepción a GPO Regedit

Excepción GPO CD DVD

Excepción GPO Unidades Extraíbles

Grupos por puestos:

Depto. Auditoria TGU

Depto. Creditos TGU

Depto. Gerencial

Depto. TIC’S

Jefaturas TGU



Pág. 32

En la



Pág. 33

Gestión de Contraseña y Rol de Usuarios

Documents

Transcript of Gestión de Contraseña y Rol de Usuarios