Introducción

En la actualidad todas las organizaciones son diferentes y la determinación de los permisos

de Active Directory es tan flexible, que no es posible recomendar una estrategia de
permisos válida para todas las organizaciones. Por lo que la información aquí referida
intenta guiar hacia un modelo de permisos apropiados para cada organización.

Nosotros explicaremos como configurar los permisos para una organización que tiene un
numero elevado de ordenadores que administrar. El problema de esto es que algunos
cambios suponen ir equipo por equipo haciendo la misma modificación, lo cual es un
trabajo pesado y largo. Por eso hemos decidido utilizar Active Directory y sus directivas o
políticas de grupo, ya que nos van a sacar de forma trivial y sencilla del problema, pues
solamente debemos indicar al servidor que configure los equipos cliente de tal forma.
Dichas directivas nos permitirán realizar múltiples configuraciones que podemos aplicar a
los usuarios o equipos del dominio, con sólo indicárselo al servidor en el apartado
correspondiente, puedes limitar la cuota de disco del perfil de los usuarios, configuración
de la contraseña, especificar la página de inicio del navegador, especificar el fondo de
escritorio, …

[editar]

Active Directory y los permisos

[editar]

Contextos de nomenclatura

En Active Directory, el almacenamiento de datos está dividido en tres segmentos lógicos

denominados contextos de nomenclatura. Cada contexto de nomenclatura replica sus
cambios por separado entre esos controladores de dominio del bosque que almacenan
copias (réplicas) de los mismos contextos de nomenclatura:

• Contexto de nomenclatura de esquema

• Contexto de nomenclatura de configuración
• Contexto de nomenclatura de dominio

[editar]

Contexto de nomenclatura de esquema

Sólo hay un contexto de nomenclatura de esquema por bosque. El contexto de

nomenclatura de esquema contiene las definiciones de todos los objetos de los que se puede
crear una instancia en Active Directory. También almacena las definiciones de todos los
atributos que pueden formar parte de objetos en Active Directory. Cada controlador de
dominio tiene una copia de la partición de directorio de esquema en la que se puede
escribir, aunque sólo se pueden realizar actualizaciones del esquema en el controlador de
dominio que es maestro de operaciones de esquema.

El objeto de raíz del contexto de nomenclatura de esquema contiene un objeto secundario

por cada clase de objetos de los que se puede crear una instancia en el bosque de Active
Directory y un objeto por cada atributo que puede formar parte de un objeto en el bosque de
Active Directory.

[editar]

Contexto de nomenclatura de configuración

Sólo hay un contexto de nomenclatura de configuración por bosque y almacena los datos de
configuración del bosque necesarios para el correcto funcionamiento de Active Directory
como servicio de directorio. Por ejemplo, toda la información necesaria para garantizar el
correcto funcionamiento de la replicación está almacenada en la partición de configuración,
que también aloja información relacionada con la topología del sitio. La información que
Active Directory utiliza para construir la jerarquía de árboles de directorio también se
almacena en la partición de directorio de configuración, al igual que la información
específica de los servicios de toda la red que las aplicaciones utilizan para conectarse a
instancias de los servicios del bosque. Cada controlador de dominio tiene una copia de la
partición de directorio de configuración en la que se puede escribir.

[editar]

Contexto de nomenclatura de dominio

Cada dominio está representado por un contexto de nomenclatura de dominio. El contexto

de nomenclatura de dominio almacena usuarios, equipos, grupos y otros objetos para dicho
dominio. Todos los controladores de dominio que se unen al dominio comparten una copia
de la partición de directorio de dominio en la que se puede escribir. Además, todos los
controladores de dominio del bosque que alojan el catálogo global también alojan una copia
parcial de sólo lectura de todos los demás contextos de nomenclatura de dominio del
bosque. En su gran mayoría, los contextos de nomenclatura de dominio almacenan
contenido del dominio; es decir, información de usuarios, grupos y equipos. Sin embargo,
algunos datos de configuración específicos del dominio también se almacenan en el
contenedor System de la partición de directorio de dominio.

[editar]

Definición de Directivas o Políticas de Grupos

La configuración de Directiva de Grupo define los distintos componentes del entorno de

Escritorio del usuario que accede de forma autenticada al dominio de nuestro servidor
Windows 2003, de modo que el administrador del sistema determina cuales le serán
aplicadas a cada usuario englobado en un sitio, dominio o unidad organizativa; entre las
directivas que pueden especificarse, por ejemplo, podemos indicar aquellos programas que
deseemos se encuentren disponibles para nuestros usuarios, los programas que aparecerán
en su Escritorio, las opciones del menú Inicio, las opciones del navegador, etc.

Para crear una configuración específica de Escritorio para un grupo de usuarios en

particular, se utilizan las Directiva de Grupo. La configuración de Directiva de Grupo está
contenida en un objeto de Directiva de Grupo, de modo que se asocia dicha directiva a los
Sitios, Dominios o Unidades Organizativas indicadas en Active Directory.

Curiosamente, y pese a su nombre, las Directivas de Grupo no pueden ser asociadas a un

grupo de usuarios o grupos de equipos (sólo a Sitios, Dominios o Unidades Organizativas),
aunque el resultado de su aplicación afecte únicamente a los usuarios y a los equipos de
Active Directory.

Las directivas se aplican en este orden:

1. En primer lugar se aplica el objeto de Directiva de Grupo local único.

2. En segundo lugar se aplican los Objetos de Directiva de Grupo del Sitio, en orden
especificado administrativamente.
3. En tercer lugar los Objetos de Directiva de Grupo del Dominio, en orden
especificado administrativamente.
4. En cuarto lugar los Objetos de Directiva de Grupo de las Unidades Organizativas,
de Unidad Organizativa principal a secundaria, y en orden especificado
administrativamente en el nivel de cada Unidad Organizativa.
5. Finalmente, de forma predeterminada, las directivas aplicadas posteriormente
sobrescriben las directivas aplicadas con anterioridad cuando las directivas son
incoherentes. Sin embargo, si no hay incoherencias de configuración, tanto las
directivas anteriores como las posteriores contribuyen a la directiva efectiva, es
decir, se suman las configuraciones de las distintas directivas asociadas al objeto en
cuestión.

Podemos resumir el funcionamiento de las Directivas de Grupo como sigue:

La Directiva de Grupo se aplica de manera jerárquica desde el grupo menos restrictivo

(Sitio) al grupo más restrictivo (Unidad Organizativa). La Directiva de Grupo también es
acumulativa. Los contenedores de servicio de directorio secundarios heredan la Directiva
de Grupo de los contenedores primarios y el procesamiento de la Directiva de Grupo tiene
lugar en el siguiente orden: Sitio, Dominio y Unidad Organizativa. Esto significa que, si se
ha asignado una Directiva de Grupo determinada a un contenedor primario de alto nivel,
esa Directiva de Grupo se aplica a todos los contenedores por debajo de dicho contenedor
primario, incluidos los objetos equipo y usuario de cada contenedor. Sin embargo, si
especifica de manera explícita una Directiva de Grupo para un contenedor secundario,
dicha directiva suplantará a la del contenedor primario, si es que son contradictorias, y se
sumará a la anterior si no lo son.
Es importante resaltar que las Directivas de Grupo tienen prioridad sobre las opciones de
configuración del perfil del usuario en caso de que se cree un conflicto.

En los siguientes apartados nos centraremos en definir una estructura de Unidades

Organizativas para nuestro centro, así como en asociar las Políticas o Directivas de Grupo
al dominio o a las Unidades Organizativas anteriormente creadas.

Vamos a citar y definir los siguientes términos, con los que trabajaremos habitualmente a lo
largo de este apartado:

• Sitio .- Podemos definir un sitio como un conjunto de equipos en una o varias

subredes IP. Los sitios suelen representar la estructura física de la red.

• Dominio .- Un dominio tiene un nombre único y permite el acceso a las cuentas de

usuario y de grupo centralizadas mantenidas por el administrador del dominio. Cada
dominio tiene sus propias directivas de seguridad y relaciones de seguridad con
otros dominios, y representa límite de seguridad en una red Windows 2003. Active
Directory está compuesto de uno o varios dominios, cada uno de los cuales puede
abarcar más de una ubicación física. Los dominios representan la estructura lógica
de la organización.

[editar]

Unidades Organizativas
Es un objeto contenedor de Active Directory que se utiliza en los dominios. Las Unidades
Organizativas son contenedores lógicos en los que pueden colocarse usuarios, grupos,
equipos y otras Unidades Organizativas. Sólo pueden contener objetos de su dominio
principal. Una U.O. es el ámbito más pequeño al que se puede aplicar una Directiva de
Grupo.

[editar]

Aplicación de permisos en el nivel de unidad organizativa

La recomendación para aplicar permisos delegados es aplicar los permisos en una unidad
organizativa (UO) principal. Este método aísla la aplicación de los permisos a determinados
objetos de clase contenidos dentro de la unidad organizativa y de sus contenedores
secundarios. De esta manera tendremos un mecanismo sencillo para agrupar usuarios,
equipos y otras entidades de seguridad principales, además de proporcionar un medio eficaz
de segmentar los límites administrativos.

Los requisitos empresariales pueden impedir que la organización aplique esta metodología;
por tanto, quizás haya que aplicar los permisos en varias unidades organizativas.

[editar]
Diseño de las unidades organizativas

Uno de los objetivos principales del diseño de la estructura de unidades organizativas de

cualquier entorno es sentar las bases para una implementación sin problemas de Directiva
de grupo que se aplique a todas las estaciones de trabajo de Active Directory y que
garantice que se cumplen los estándares de seguridad de la organización. De la misma
forma, la estructura de unidades organizativas se debe diseñar de forma que ofrezca la
configuración de seguridad adecuada a los tipos específicos de usuarios dentro de la misma.
Por ejemplo, es probable que los desarrolladores puedan realizar tareas en sus estaciones de
trabajo que no estén autorizadas a usuarios con menos privilegios. Los usuarios de equipos
portátiles también pueden tener requisitos de seguridad distintos a los usuarios de equipos
de escritorio. En la siguiente figura se muestra una estructura sencilla de unidades
organizativas que resulta suficiente para el contenido relacionado con Directiva de grupo
que se trata en este capítulo. Esta estructura puede diferir significativamente de los
requisitos organizativos de su entorno.

Estructura de unidades organizativas

UO Departamento
Dado que los requisitos de seguridad suelen cambiar dentro de una organización,
puede resultar lógico crear unidades organizativas de departamento en el entorno.
La configuración de seguridad del departamento se puede aplicar a través de un
 GPO a los equipos y usuarios en sus respectivas unidades organizativas de
departamento.
UO Windows XP
Esta unidad organizativa contiene unidades organizativas secundarias para cada tipo
de equipos cliente Windows XP del entorno. En esta guía se incluyen instrucciones
para equipos de escritorio y portátiles. Por esta razón se han creado una unidad
organizativa Escritorio y una unidad organizativa Equipo portátil.
• UO Escritorio
Incluye los equipos de escritorio que permanecen conectados constantemente a la
red.
• UO Equipo portátil
Incluye los equipos portátiles de los usuarios móviles que no siempre están
conectados a la red.
[editar]

Creación de las unidades organizativas

• Lo primero que vamos a hacer para crear las Unidades Organizativas deseadas en
nuestro centro es acceder a las "Herramientas administrativas" del "Panel de
Control" y hacer doble clic sobre "Usuarios y Equipos de Active Directory".

• En la pantalla que se muestra a continuación, sobre el Dominio raiz, pulsamos con

el botón derecho del ratón y seleccionamos la opción "Nuevo" y posteriormente
"Unidad organizativa".
 • Indicamos el nombre de la nueva U.O. a crear, tecleando "UO Departamento" en la
caja de texto destinada a tal efecto.

• Actuaremos de igual forma para crear la UO Controlador de dominio.

• El resto de UO´s en las UO's existentes, siguiendo el diseño anterior.

• Para finalizar, debemos incluir a los usuarios en el contenedor correspondiente a la

U.O; para ello accedemos a la carpeta "Users" y seleccionamos los usuarios que
previamente hayamos creado; con el botón derecho del ratón pulsamos sobre la
selección efectuada y elegimos la opción "Mover".

• En la ventana que se muestra especificamos que deseamos mover dichos usuarios a

una determinada UO, y pulsamos sobre el botón "Aceptar".

[editar]

Directivas de Grupo
Utilice objetos GPO para asegurarse de que se aplican a todas las estaciones de trabajo o
usuarios de una unidad organizativa las configuraciones de directiva, los derechos de
usuario y los comportamiento específicos. El uso de Directiva de grupo en vez de la
configuración manual simplifica la actualización de varias estaciones de trabajo o usuarios
en el futuro cuando se producen cambios adicionales.

La configuración de seguridad incluida en la directiva de grupo de nivel de unidad

organizativa debe ser específica de la unidad. Esta configuración incluye tanto parámetros
de equipo como de usuario.

[editar]

El Editor

Lo primero que vamos a hacer para definir las Directivas de Grupo deseadas en nuestro
centro es acceder a las "Herramientas administrativas" del "Panel de Control" y hacer doble
clic sobre "Usuarios y Equipos de Active Directory", y pulsando con el botón derecho del
ratón sobre el dominio raiz, seleccionar la opción "Propiedades"; en la ventana que se
muestra a continuación nos situamos sobre la pestaña "Directiva de Grupo".
Observaremos que ya hay definida una política de dominio por defecto; podríamos crear
una nueva que también sería aplicada a todos los usuarios y equipos del dominio, pero
aprovecharemos la ya existente, seleccionándola y pulsando a continuación sobre el botón
"Modificar" para personalizar lo que deseemos.

Como observamos existen 2 entradas principales en la Directiva de Grupo que estamos

editando; una de ellas es relativa a la "Configuración del equipo" y la otra a la
"Configuración de usuario"; las entradas existentes en cada uno de dichos elementos no son
similares, si bien algunas de ellas sí son comunes; en caso de que definamos 2 políticas
contradictorias en dos entradas comunes, una en equipos y otra en usuarios, prevalecerá la
primera de ellas. Obviamente las políticas que definamos en "Configuración del equipo"
serán aplicadas a los equipos del dominio y las que definamos en "Configuración de
usuario" se aplicarán a los usuarios del dominio.

Tanto para los equipos como para los usuarios, la primera directiva susceptible de ser
configurada está relacionada con la "Configuración de software"; por la importancia que
tiene esta política le dedicaremos íntegramente el siguiente capítulo del curso. De hecho en
el apartado "Configuración de equipo", utilizaremos esta entrada para especificar todo el
software que se instalará en todos los equipos de la organización.

Vamos a centrarnos en las entradas del apartado "Configuración de usuario". Existen

multitud de directivas configurables, pero nosotros incidiremos en aquellas que
consideramos más interesantes.

[editar]

Configuración de usuario

[editar]

Configuración del Proxy

Si disponemos de un proxy en nuestra red por el cual deseamos que salgan a Internet todos
los equipos del centro, en la entrada "Configuración de Usuarios"-> "Configuración de
Windows"-> "Mantenimiento de Internet Explorer"-> "Conexión", haremos doble clic
sobre la directiva "Configuración de los servidores proxy".

En la ventana mostrada, activaríamos la casilla "Habilitar configuración del proxy" e

indicaríamos la dirección del proxy y el puerto de salida, así como las posibles excepciones
para las direcciones locales (si procediera).

Luego vamos a "Deshabilitar el cambio de configuración de proxy", existente en la entrada

"Plantillas Administrativas-> Componentes de Windows-> Internet Explorer". Si en esta
directiva seleccionamos la opción "Habilitada", impediremos que los usuarios puedan
modificar en sesión la configuración del proxy, pues las opciones del proxy aparecerán
atenuadas e inaccesibles.
[editar]

Configuración de la directiva de contraseñas

Las contraseñas complejas que se pueden modificar regularmente reducen los riesgos de
que se produzcan ataques a las mismas. La configuración de la directiva de contraseñas
permite controlar la complejidad y la vigencia de las contraseñas y sólo se puede establecer
mediante Directiva de grupo en el nivel de dominio.

Puede establecer la configuración de directiva de contraseñas en la siguiente ubicación del

Editor de objetos de directiva de grupo:

Configuración del equipo\Configuración de Windows\Configuración de

seguridad\Directivas de cuenta\Directivas de contraseñas

En la siguiente tabla se resumen las recomendaciones acerca de la configuración de la

directiva de contraseñas para los dos tipos de entornos seguros definidos en esta guía. En
las siguientes subsecciones se proporciona información más detallada acerca de cada una de
las configuraciones.

Tabla 1 Recomendaciones sobre la configuración de la directiva de contraseñas

Configuración
Configuración predeterminada del EC SSLFThis
controlador de dominio
Forzar el historial de 24
24 contraseñas 24 contraseñas
contraseñas contraseñas
Vigencia máxima de la 42 días 90 días 90 días
contraseña
Vigencia mínima de la
1 día 1 día 1 día
contraseña
Longitud mínima de la
7 caracteres 8 caracteres 12 caracteres
contraseña
Las contraseñas deben
cumplir los requerimientos de Habilitada Habilitada Habilitada
complejidad
Almacenar contraseña usando
cifrado reversible para todos Deshabilitado Deshabilitado Deshabilitadoa
los usuarios del dominio

[editar]

Forzar el historial de contraseñas

Esta configuración determina el número de nuevas contraseñas únicas que se deben asociar
a una cuenta de usuario antes de que sea posible volver a utilizar una contraseña anterior. El
valor de esta configuración de directiva debe estar comprendido entre 0 y 24 contraseñas.
El valor predeterminado para Windows Server 2003 es de 0 contraseñas, pero en el caso de
un dominio es de 24. Para mantener la eficacia de esta configuración de directiva, utilice el
parámetro Vigencia mínima de la contraseña con objeto de evitar que los usuarios cambien
repetidamente sus contraseñas.

Establezca la configuración Forzar el historial de contraseñas en 24 contraseñas para los

dos entornos de seguridad definidos en esta guía.

[editar]

Vigencia máxima de la contraseña

Los valores de esta configuración de directiva están comprendidos entre 1 y 999 días.
(También puede establecer el valor en 0 para especificar que las contraseñas no caducan).
Esta configuración de directiva define durante cuánto tiempo puede utilizar un usuario su
contraseña antes de que caduque. El valor predeterminado de esta configuración de
directiva es de 42 días. La mayoría de las contraseñas se pueden descifrar; por tanto, cuanto
mayor sea la frecuencia con la que se cambian, menores serán las posibilidades de que el
atacante pueda utilizarlas. No obstante, cuanto menor sea el valor de la configuración,
mayor será, con mucha probabilidad, el número de llamadas al servicio de asistencia que
realice el usuario.
Establezca la configuración Vigencia máxima de la contraseña en un valor de 90 días para
los dos entornos de seguridad definidos en esta guía.

[editar]

Las contraseñas deben cumplir los requerimientos de complejidad

Esta configuración de directiva comprueba todas las contraseñas nuevas para garantizar que
se cumplen los requisitos básicos de una contraseña segura. De forma predeterminada, el
valor de esta configuración de directiva en Windows XP se establece en Deshabilitado,
pero aparece como Habilitado en el dominio Windows Server 2003.

Cada carácter adicional de una contraseña aumenta su complejidad de forma exponencial.

Por ejemplo, una contraseña con siete caracteres alfabéticos en minúsculas tendría 267
(aproximadamente 8 x 109 u 8.000 millones) combinaciones posibles. A razón de
1.000.000 de intentos por segundo (capacidad que ofrecen muchas utilidades de descifrado
de contraseñas), sólo se necesitarían 133 minutos para descifrarla. Una contraseña
alfabética de 7 caracteres en la que se distingan mayúsculas y minúsculas tiene 527
combinaciones. Una contraseña alfanumérica de 7 caracteres en la que se distingan
mayúsculas y minúsculas sin puntuación tiene 627 combinaciones. Una contraseña de 8
caracteres tiene 268, o 2 x 1011, combinaciones posibles. Aunque pueda parecer un número
inconcebible, a razón de 1.000.000 de intentos por segundo sólo se necesitarían 59 horas
para probar todas las contraseñas posibles. Recuerde que estos tiempos se incrementarán
considerablemente en el caso de las contraseñas con caracteres ALT y otros caracteres
especiales del teclado, tales como ! o @.

El uso apropiado de configuraciones de contraseñas puede hacer muy difícil, si no

imposible, un ataque de fuerza bruta.

[editar]

Almacenar contraseña usando cifrado reversible para todos los usuarios del dominio

Esta configuración de directiva determina si el sistema operativo almacena las contraseñas

de una manera en que se utilice el cifrado reversible; admite protocolos de aplicación que
requieren el conocimiento de la contraseña del usuario para la autenticación. Las
contraseñas almacenadas con cifrado reversible coinciden básicamente con las versiones de
texto sin formato de las contraseñas. Por esta razón, esta configuración de directiva nunca
se debe habilitar a menos que los requisitos de la aplicación tengan más peso que la
necesidad de proteger la contraseña. El valor predeterminado de esta configuración de
directiva es Deshabilitado.

Esta configuración de directiva debe estar habilitada cuando se utiliza el protocolo de

autenticación por desafío mutuo (CHAP) a través del acceso remoto o el servicio de
autenticación de Internet (IAS). También se requiere al utilizar la autenticación de texto
implícita en los Servicios de Internet Information Server (IIS) de Microsoft.
Asegúrese de que la configuración Almacenar contraseña usando cifrado reversible para
todos los usuarios del dominio se establece como Deshabilitada, que es como se configura
en el GPO predeterminado de dominio de Windows Server 2003 y en la directiva de
seguridad local para estaciones de trabajo y servidores. Esta configuración de directiva
también está Deshabilitada en los dos entornos que se definen en esta guía.

[editar]

Mecanismos para impedir que los usuarios cambien las contraseñas excepto cuando se les solicite

Además de las directivas de contraseñas descritas anteriormente en este capítulo, el control

centralizado de todos los usuarios es un requisito para algunas organizaciones. En esta
sección se describen los mecanismos para impedir que los usuarios puedan cambiar sus
contraseñas excepto cuando se les requiera específicamente que lo hagan.

El control centralizado de las contraseñas de los usuarios es la piedra angular de cualquier

esquema de seguridad de un sistema Windows XP,Windows Server 2003 bien diseñado.
Puede emplear Directiva de grupo para establecer la vigencia mínima y máxima de las
contraseñas, como se analizó anteriormente. Sin embargo, el hecho de que sea necesario
cambiar frecuentemente las contraseñas puede dar lugar a que a los usuarios burlen la
configuración Forzar el historial de contraseñas del entorno. El requisito de que las
contraseñas sean demasiado largas también puede provocar más llamadas al servicio de
asistencia por parte de usuarios que olviden sus contraseñas.

Los usuarios pueden cambiar sus contraseñas en el período entre la vigencia mínima y
máxima de la contraseña. Sin embargo, el diseño para el entorno Seguridad especializada:
Funcionalidad limitada requiere que los usuarios cambien sus contraseñas únicamente
cuando el sistema operativo así lo solicite, después de que sus contraseñas hayan llegado a
la vigencia máxima de 42 días. Para lograr este nivel de control, los administradores pueden
deshabilitar el botón Cambiar contraseña... en el cuadro de diálogo Seguridad de Windows
que aparece al presionar Ctrl+Alt+Supr.

[editar]

Vigencia mínima de la contraseña

Esta configuración de directiva determina el número de días que se debe utilizar una
contraseña antes de que un usuario la pueda cambiar. Los valores para esta configuración
están comprendidos entre 1 y 998 días. (También puede establecer el valor en 0 para
permitir cambios de contraseña inmediatos). El valor predeterminado para esta
configuración de directiva es de 0 días.

El valor de la configuración Vigencia mínima de la contraseña debe ser inferior al

especificado para Vigencia máxima de la contraseña, a menos que el valor deesta última
opción se configure como 0, lo que hace que la contraseña nunca caduque. Si el valor de
Vigencia máxima de la contraseña se establece en 0, el valor de esta configuración de
directiva se puede establecer en cualquier valor comprendido entre 0 y 999.
Si desea que la configuración Forzar el historial de contraseñas sea efectiva, seleccione un
valor mayor que 0. Si el parámetro de Vigencia mínima de la contraseña es 0, los usuarios
pueden pasar de una contraseña a otra repetidamente hasta volver a su contraseña favorita
utilizada con anterioridad.

Establezca la configuración Vigencia mínima de la contraseña en un valor de 1 día para los

dos entornos de seguridad definidos en esta guía. Este valor impide que los usuarios
reutilicen la misma contraseña, ya que debe esperarse un día entero antes de poder cambiar
la contraseña. También les anima a recordar las nuevas contraseñas, ya que deben
utilizarlas durante al menos un día antes del restablecimiento. Por último, evita que los
usuarios burlen la restricción de la configuración Forzar el historial de contraseñas.

[editar]

Longitud mínima de la contraseña

Esta configuración de directiva determina el número mínimo de caracteres que componen

una contraseña para una cuenta de usuario. Hay muchas teorías diferentes acerca de cómo
determinar la longitud más adecuada para las contraseñas en una organización, pero quizás
"frase cifrada" sea un término que se ajuste más a las circunstancias que el de "contraseña".
En Microsoft Windows 2000 y versiones posteriores, las frases cifradas pueden ser bastante
largas e incluir espacios. Así, “Quiero beberme un batido de 5 €” es una frase cifrada válida
bastante más segura que una cadena compuesta de 8 o 10 caracteres que incluya números y
letras aleatorios. Además, es más fácil de recordar. Recuerde que es necesario instruir a los
usuarios acerca de la selección y el mantenimiento adecuados de las contraseñas, sobre todo
en lo referente a su longitud.

En el entorno EC, asegúrese de que el valor para el parámetro Longitud mínima de la

contraseña se configure en 8 caracteres. Esta configuración de directiva exige una
contraseña lo suficientemente larga como para proporcionar la seguridad adecuada y, al
mismo tiempo, lo bastante corta como para que los usuarios la recuerden con facilidad. En
el entorno SSLF, configure el valor en 12 caracteres. Las contraseñas deben cumplir los
requerimientos de complejidad

Esta configuración de directiva comprueba todas las contraseñas nuevas para garantizar que
se cumplen los requisitos básicos de una contraseña segura. De forma predeterminada, el
valor de esta configuración de directiva en Windows XP se establece en Deshabilitado,
pero aparece como Habilitado en el dominio Windows Server 2003.

El uso apropiado de configuraciones de contraseñas puede hacer muy difícil, si no

imposible, un ataque de fuerza bruta.

[editar]

Configuración de directiva de bloqueo de cuentas

La directiva de bloqueo de cuentas es una característica de seguridad de Active Directory
que bloquea las cuentas de usuario e impide el inicio de sesión después de un número
determinado de intentos de inicio de sesión sin éxito dentro de un período especificado. Los
controladores de dominio realizan un seguimiento de los intentos de inicio de sesión. El
número de intentos permitidos y el período de tiempo se basan en los valores establecidos
en la configuración del bloqueo de cuentas. La duración del bloqueo también se puede
especificar.

Estas configuraciones de directiva ayudan a evitar que los atacantes puedan averiguar las
contraseñas de los usuarios y reducen las probabilidades de ataques con éxito en el entorno
de red. Sin embargo, es probable que la habilitación de una directiva de bloqueo de cuentas
provoque más problemas de soporte para los usuarios de red. Antes de habilitar la
configuración siguiente, asegúrese de que su organización desea aceptar esta carga de
administración adicional. Para muchas organizaciones, una solución mejorada y menos
costosa consiste en analizar los registros de eventos de seguridad para los controladores de
dominio y generar alarmas administrativas cuando parezca que alguien intenta adivinar las
contraseñas de cuentas de usuario.

Puede establecer la configuración de directiva de bloqueo de cuentas en la siguiente

ubicación del Editor de objetos de directiva de grupo:

Configuración del equipo\Configuración de Windows\Configuración de

seguridad\Directivas de cuenta\Directiva de bloqueo de cuentas

La tabla siguiente incluye las recomendaciones sobre la configuración de la directiva de

bloqueo de cuentas para los dos entornos de seguridad que se definen en esta guía. En las
siguientes subsecciones se proporciona información más detallada acerca de cada una de las
configuraciones.

Tabla 2 Recomendaciones sobre la configuración de la directiva de bloqueo de cuentas

Configuración
Configuración predeterminada del EC SSLFThis
controlador de dominio
Duración del bloqueo
No está definido 15 minutos 15 minutos
de cuenta
50 intentos de 10 intentos de
Umbral de bloqueos de 0 intentos de inicio de sesión
inicio de sesión inicio de sesión no
la cuenta incorrectos
no válidos válidos
Restablecer la cuenta No está definido 15 minutos 15 minutos
de bloqueos después
de

[editar]

Duración del bloqueo de cuenta

Esta configuración de directiva determina el tiempo que debe transcurrir antes de que una
cuenta se bloquee y de que un usuario pueda volver a intentar iniciar sesión. Funciona
especificando el número de minutos que permanece no disponible una cuenta bloqueada. Si
el valor de esta configuración de directiva está establecido en 0, las cuentas permanecerán
bloqueadas hasta que el administrador las desbloquee. El valor predeterminado de
Windows XP para esta configuración de directiva es No está definido.

Aunque quizás parezca una buena idea configurar el valor de esta configuración de
directiva de modo que nunca se desbloqueen las cuentas automáticamente, es probable que
en ese caso se incremente el número de llamadas al servicio de asistencia para desbloquear
cuentas bloqueadas por error. El valor de configuración recomendado de 15 minutos se
consideró un tiempo razonable de espera de los usuarios antes de intentar iniciar sesión
nuevamente en caso de bloqueo de la cuenta. Los usuarios también deben ser informados
de cómo se configura esta directiva para que sepan que sólo tienen que llamar al personal
de asistencia si necesitan recuperar urgentemente el acceso a su equipo.

[editar]

Umbral de bloqueos de la cuenta

Esta configuración de directiva determina el número de intentos de inicio de sesión que un

usuario puede llevar a cabo antes de que se bloquee una cuenta. Los usuarios autorizados
pueden bloquear sus propias cuentas en caso de no recordar su contraseña, escribirla
incorrectamente o cambiarla en un equipo mientras han iniciado sesión en otro. El equipo
con la contraseña incorrecta intentará repetidamente autenticar al usuario y, puesto que la
contraseña utilizada es incorrecta, la cuenta del usuario terminará bloqueándose. Para evitar
el bloqueo accidental de usuarios autorizados, establezca el umbral de bloqueos de la
cuenta en un número alto. El valor predeterminado para esta configuración de directiva es
de 0 intentos de inicio de sesión no válidos, con lo que se deshabilita la característica del
bloqueo de cuentas.

Establezca el valor para la configuración del Umbral de bloqueos de la cuenta en 50

intentos de inicio de sesión no válidos para "clientes de empresa" (Entornos EC) y 10 para
"Seguridad especializada: Funcionalidad limitada" (entornos SSLF).

Dado que un atacante puede utilizar este estado de bloqueo como una denegación de
servicio (DoS) desencadenando un bloqueo que afecte a un gran número de cuentas, es
aconsejable que la organización determine si debe utilizarse esta configuración de directiva,
en función de las amenazas identificadas y de los riesgos que se desea evitar. Son dos las
opciones que se deben considerar en el caso de esta configuración de directiva.

• Establezca el valor de Umbral de bloqueos de la cuenta en 0 para asegurarse de que

las cuentas no se bloquean. Este valor evitará los ataques DoS que intenten bloquear
las cuentas de su organización. Se reducirán también las llamadas al servicio de
asistencia, ya que los usuarios no podrán bloquear sus cuentas accidentalmente. Sin
embargo, este valor de configuración no evitará un ataque de fuerza bruta. También
deben considerarse las siguientes defensas:

•
o Una directiva de contraseñas que obligue a los usuarios a tener contraseñas
complejas compuestas de 8 o más caracteres.

•
o Un mecanismo de auditoría eficaz para avisar a los administradores cuando
se produzca una serie de bloqueos de cuentas en el entorno. Por ejemplo, la
solución de auditoría debería supervisar el suceso de seguridad 539, que es
un error de inicio de sesión. Este suceso significa que la cuenta se bloqueó
en el momento en el que se intentó el inicio de sesión.

La segunda opción es la siguiente:

• Configure el Umbral de bloqueos de la cuenta con un valor que proporcione a los

usuarios la posibilidad de escribir incorrectamente su contraseña varias veces de
forma accidental, pero que bloquee la cuenta si se produce un ataque de fuerza
bruta. Un valor de configuración de 50 inicios de sesión no válidos para entornos
EC y 10 para entornos de tipo SSLF podrían garantizar un nivel de seguridad
adecuado y una capacidad de uso aceptable. Esta configuración evitará bloqueos
accidentales y reducirá el número de llamadas al servicio de asistencia, pero no
impedirá los ataques DoS, como se describía en la opción anterior.

[editar]

Restablecer la cuenta de bloqueos después de

Esta configuración de directiva determina el plazo de tiempo antes de que el Umbral de

bloqueos de la cuenta se restablezca a cero. El valor predeterminado de esta configuración
de directiva es No está definido. Si se define Umbral de bloqueos de la cuenta, este tiempo
de restablecimiento debe ser inferior o igual al valor de Duración del bloqueo de cuenta.

Establezca el valor de la configuración Restablecer la cuenta de bloqueos después de en 15

minutos para los entornos EC y SSLF que se definen en esta guía.
Si deja el valor predeterminado para esta configuración de directiva o configura el valor
con un intervalo demasiado largo, su entorno podría ser vulnerable a un ataque de DoS. Un
atacante podría realizar una serie de intentos de inicio de sesión malintencionados en todas
las cuentas de usuario de la organización y bloquearlas, como se describió anteriormente en
este capítulo. Si no se determina ninguna directiva para restablecer el bloqueo, los
administrados deberían desbloquear manualmente todas las cuentas. Por el contrario, si se
establece un valor de tiempo razonable para esta configuración de directiva, los usuarios no
tendrán acceso durante un período de tiempo establecido hasta que todas las cuentas se
desbloqueen automáticamente. El valor de configuración recomendado de 15 minutos se
consideró un tiempo razonable que es probable que acepten los usuarios y que ayudará a
reducir al mínimo el número de llamadas al servicio de asistencia técnica. Los usuarios
también deben ser informados de cómo se configura esta directiva para que sepan que sólo
tienen que llamar al personal de asistencia si necesitan recuperar urgentemente el acceso a
su equipo. Principio de la página