Cómo establecer una política de contraseñas de dominio

En este artículo, aprenderá a configurar una política de contraseñas de dominio de Active Directory.

Las políticas de contraseñas de dominio son fundamentales para garantizar la seguridad y el cumplimiento de su organización.

También aprenderás:

  • ¿Cuál es la política de contraseña de dominio predeterminada?
  • Comprender la configuración de la política de contraseñas
  • Prácticas recomendadas de la política de contraseñas
  • Cambiar la política de contraseñas de dominio
Índice

¿Cuál es la política de contraseña de dominio predeterminada?

De forma predeterminada, Active Directory tiene una política de contraseña de dominio predeterminada. Esta política define los requisitos de contraseña para las cuentas de usuario de Active Directory, como la longitud de la contraseña, la antigüedad, etc.

Esta política de contraseñas está configurada por la Política de grupo y está asociada con la raíz del dominio. Para ver su política de contraseñas, siga estos pasos:

1. Abra la Consola de administración de políticas de grupo

2. Expanda Dominios, su dominio, luego Objetos de directiva de grupo

3. Haga clic derecho en la política de dominio predeterminada y haga clic en editar

4. Ahora vaya a Configuración del ordenador Políticas Configuración de Windows Configuración de seguridad Políticas de cuenta Política de contraseña

También puede ver la política de contraseña predeterminada de Powershell con este comando.

Get-ADDefaultDomainPasswordPolicy

Importante: La política de contraseña predeterminada se aplica a todos los equipos del dominio. Si desea aplicar diferentes políticas de contraseñas a un grupo de usuarios, es mejor utilizar una política de contraseñas específica para contraseñas. No cree un nuevo GPO y no lo asocie con OU, esto no se recomienda.

[fl_builder_insert_layout slug=”adpro_cleanup_tool”]

Comprender la configuración de la política de contraseñas

Ahora que sabe cómo ver la política de contraseña de dominio predeterminada, veamos la configuración.

Ejecutar historial de contraseñas:

Este parámetro determina cuántas contraseñas únicas se deben usar antes de que se pueda reutilizar la contraseña anterior. Por ejemplo, si mi contraseña actual es "Th334goore0!" entonces no puedo reutilizar esta contraseña hasta que cambie mi contraseña 24 veces (o cualquier otro número en el que se establezca la política). Esta configuración es útil para que los usuarios no sigan usando la misma contraseña. El valor predeterminado es 24

Antigüedad máxima de la contraseña:

Esta configuración determina cuántos días puede usar la contraseña antes de que necesite cambiarla. La configuración predeterminada es 42 días.

Edad mínima de la contraseña

Este parámetro determina cuánto tiempo se debe usar la contraseña antes de poder cambiarla. La configuración predeterminada es 1 día.

Longitud mínima de la contraseña

Este parámetro determina cuántos caracteres debe tener la contraseña. El valor predeterminado es 7. Esto significa que mi contraseña debe tener al menos 7 caracteres.

La contraseña debe cumplir con los requisitos de complejidad.

Si las contraseñas están habilitadas deben cumplir con los siguientes requisitos:

  • No contiene un nombre de cuenta de usuario o parte de un nombre de usuario completo que exceda dos caracteres consecutivos
  • Longitud de al menos seis caracteres
  • Contiene personajes de tres de las siguientes cuatro categorías:
    • Grandes caracteres ingleses (A a Z)
    • Caracteres ingleses en minúsculas (de la a a la z)
    • Base 10 dígitos (0 a 9)
    • Caracteres no alfabéticos (por ejemplo, !, $, #, %)

Esto está habilitado por defecto

Almacenar contraseñas usando encriptación inversa

Este parámetro determina si el sistema operativo almacena contraseñas mediante cifrado inverso. Esto es esencialmente lo mismo que almacenar una variedad de versiones de contraseñas. Esta política NUNCA debe incluirse a menos que tenga requisitos de aplicación especiales.

Prácticas recomendadas de la política de contraseñas

Hay diferentes opiniones al respecto, por lo que voy a citar dos fuentes. Además, la política de contraseñas de su organización puede estar sujeta a requisitos reglamentarios o de cumplimiento, como PCI, SOX, CJIS, etc.

Configuración de contraseña de Microsoft recomendada

Estos ajustes de Kit de herramientas de compatibilidad del kit de herramientas de seguridad de Microsoft. Este kit de herramientas proporciona la configuración de GPO recomendada de Microsoft.

  • Ejecutando el historial de contraseñas: 24
  • Antigüedad máxima de la contraseña: no establecida
  • Antigüedad mínima de la contraseña: no establecida
  • Longitud mínima de la contraseña: 14
  • La contraseña debe coincidir con la dificultad: habilitado
  • Almacenar contraseñas usando cifrado inverso: deshabilitado

NOTA: Microsoft abandonó la política de caducidad de contraseñas del nivel de seguridad base de 1903. Puedes leer más al respecto aquí

Creo que esta es una buena solución, pero algunas organizaciones aún deberán seguir ciertas instrucciones (por ejemplo, PCI, SOX, CJIS). Esperemos que se actualicen pronto.

Configuración de contraseña de CIS Benchmark

Estos ajustes de Pruebas CIS. Internet Security Center es una organización sin fines de lucro que desarrolla pautas y pautas de seguridad.

  • Ejecutando el historial de contraseñas: 24
  • Validez máxima de la contraseña: 60 días o menos
  • Edad mínima de la contraseña: 1 o más
  • Longitud mínima de la contraseña: 14
  • La contraseña debe coincidir con la dificultad: habilitado
  • Almacenar contraseñas usando cifrado inverso: deshabilitado

Cambiar la política de contraseña de dominio predeterminada

Para cambiar la política de contraseñas, deberá cambiar la política de dominio predeterminada.

1. Abra la Consola de administración de políticas de grupo

2. Expanda Dominios, su dominio, luego Objetos de directiva de grupo

3. Haga clic derecho en la política de dominio predeterminada y haga clic en editar

4. Ahora vaya a Configuración del ordenador Políticas Configuración de Windows Configuración de seguridad Políticas de cuenta Política de contraseña

5. Ahora haga doble clic en una de las configuraciones para editar. Por ejemplo, restaré la longitud mínima de la contraseña.

Cambiaré esta configuración de 7 a 14 caracteres y luego haré clic en "Aplicar".

Haga doble clic en cualquier otra configuración de política de contraseñas para cambiar.

Espero que hayas disfrutado este artículo.

¿Tiene usted alguna pregunta? Déjame saber abajo en los comentarios.

Artículos de interés

Subir