Aplicación del uso de contraseñas seguras en las organizaciones

Transcripción

1 Aplicación del uso de contraseñas seguras en las organizaciones

2 La información incluida en este documento representa el punto de vista actual de Microsoft Corporation acerca de los temas tratados hasta la fecha de publicación. Dado que Microsoft debe responder a las condiciones siempre cambiantes de mercado, este proceder no se debería interpretar como un compromiso por parte de Microsoft. Asimismo, Microsoft no puede garantizar la precisión de la información presentada tras la fecha de publicación. La información que contiene este documento, incluidas las direcciones URL y otras referencias a sitios Web de Internet, está sujeta a modificaciones sin previo aviso. Este documento se proporciona con propósito informativo únicamente. MICROSOFT NO OTORGA GARANTÍAS EXPRESAS NI IMPLÍCITAS EN ESTE DOCUMENTO. A menos que se indique lo contrario, los nombres de las compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares y acontecimientos aquí mencionados son ficticios y en modo alguno representan a compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares o acontecimientos reales. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Sin limitar los derechos de autor, ninguna parte de este documento puede ser reproducida, almacenada en sistemas de recuperación o transmitida de ninguna forma, ni por ningún medio, ya sea electrónico, mecánico, fotocopia o grabación, ni con ningún propósito, sin la previa autorización por escrito de Microsoft Corporation. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y otros derechos de propiedad intelectual sobre los contenidos de este documento. El suministro de este documento no le otorga ninguna licencia sobre estas patentes, marcas, derechos de autor u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato por escrito de licencia de Microsoft Microsoft Corporation. Reservados todos los derechos. Active Directory, Microsoft, Windows y Windows Server son marcas registradas o marcas comerciales de Microsoft Corporation en EE.UU. y otros países. 2

3 3 Aplicación del uso de contraseñas seguras en las organizaciones Contenido Introducción Antes de comenzar Implementación paso a paso de la configuración de la directiva de contraseñas Información relacionada Introducción La mayoría de los usuarios inician sesión en su equipo local y en equipos remotos mediante la introducción con el teclado de la combinación de su nombre de usuario y una contraseña. Aunque ya existen tecnologías alternativas para la autenticación como, por ejemplo, la biométrica, las tarjetas inteligentes o las contraseñas de un solo uso para la mayoría de los sistemas operativos, la mayor parte de las organizaciones siguen basándose en las contraseñas tradicionales y lo seguirán haciendo en los próximos años. Por tanto, es muy importante que las organizaciones establezcan y apliquen directivas de contraseñas para sus equipos que incluyan el uso obligatorio de las contraseñas seguras. Este tipo de contraseña cumple una serie de requisitos de complejidad, entre los que se incluyen las categorías de longitud y caracteres, que dificultan a los atacantes la tarea de determinar la contraseña. El establecimiento de directivas de contraseñas seguras para la organización puede ayudar a impedir que los atacantes puedan suplantar a los usuarios y, así, evitar la pérdida, exposición o daños en la información confidencial. En este documento se explica la forma de implementar directivas de contraseñas seguras en equipos que ejecutan los sistemas operativos Microsoft Windows 2000, Windows XP y Windows Server En función de si los equipos de su organización son miembros de un dominio Active Directory, equipos independientes o ambos, para implementar directivas de contraseñas seguras, necesitará realizar una o las dos tareas siguientes: Establecer la configuración de la directiva de contraseñas en un dominio Active Directory. Establecer la configuración de la directiva de contraseñas en equipos independientes. Una vez establecida la configuración adecuada de la directiva de contraseñas, los usuarios de su organización únicamente podrán crear nuevas contraseñas si éstas cumplen con los requisitos de longitud y complejidad que exigen las contraseñas seguras; asimismo, los usuarios no podrán cambiar de inmediato las nuevas contraseñas. IMPORTANTE: todas las instrucciones paso a paso incluidas en este documento se han elaborado utilizando el menú Inicio que aparece de forma predeterminada una vez instalado el sistema operativo. Si ha modificado dicho menú, puede que los pasos varíen un poco. Antes de comenzar Antes de comenzar con la configuración de las directivas de contraseñas en los equipos de la red, es necesario identificar los parámetros que son relevantes, determinar los valores que se utilizarán para dichos parámetros y conocer el modo en que Windows almacena la información de configuración de una directiva de contraseñas.

4 4 Aplicación del uso de contraseñas seguras en las organizaciones Nota: los sistemas operativos Windows 95, Windows 98 y Windows Millennium Edition no admiten características de seguridad avanzadas como las directivas de contraseñas. Si cuenta con una red de equipos independientes (que no pertenecen a un dominio) que ejecutan estos sistemas operativos, no podrá aplicarles las directivas de contraseñas. Si la red tiene equipos con estos sistemas operativos y que son miembros de un dominio del servicio de directorio de Active Directory, únicamente podrá aplicar las directivas de contraseñas en el nivel de dominio. Identificación de la configuración relacionada con las directivas de contraseñas Para Windows 2000, Windows XP y Windows Server 2003 se pueden configurar cinco parámetros que guardan relación con las características de las contraseñas: Forzar el historial de contraseñas, Vigencia máxima de la contraseña, Vigencia mínima de la contraseña, Longitud mínima de la contraseña y Las contraseñas deben cumplir los requerimientos de complejidad. Para obtener ayuda a la hora de determinar los valores de estos parámetros de modo que coincidan con los requisitos empresariales de su organización, consulte "Contraseñas seguras" en el Kit de orientaciones sobre seguridad. Forzar el historial de contraseñas determina el número de contraseñas únicas nuevas que debe utilizar un usuario antes de poder volver a usar una antigua. El valor de esta configuración puede variar entre 0 y 24; cuando este valor se establece en 0, se deshabilita la opción de forzar el historial. En la mayoría de las organizaciones, este valor se establece en 24 contraseñas. Vigencia máxima de la contraseña establece cuántos días se puede utilizar una contraseña antes de que se solicite al usuario que la cambie. El valor varía entre 0 y 999; cuando se establece en 0, las contraseñas no caducan nunca. Si se establece este valor demasiado bajo podría causar frustración en los usuarios y si, por el contrario, se define demasiado alto o se deshabilita, podría proporcionar más tiempo a los posibles atacantes para averiguar las contraseñas. En la mayoría de las organizaciones, este valor se establece en 42 días. Vigencia mínima de la contraseña determina cuántos días debe conservar el usuario las nuevas contraseñas antes de poder cambiarlas. Esta configuración está diseñada para que funcione en combinación con la opción Forzar el historial de contraseñas de modo que los usuarios no puedan restablecer rápidamente sus contraseñas el número de veces solicitado para después volver a cambiar a las antiguas contraseñas. El valor de esta configuración puede estar entre 0 y 999; cuando se establece en 0, los usuarios pueden cambiar de inmediato las nuevas contraseñas. Se recomienda que se establezca este valor en 2 días. Longitud mínima de la contraseña determina la longitud que pueden tener las contraseñas. Aunque Windows 2000, Windows XP y Windows Server 2003 admiten contraseñas de hasta 28 caracteres, el valor de esta configuración sólo se puede establecer entre 0 y 4 caracteres. Si se define en 0, los usuarios podrán tener contraseñas en blanco, así que no debería utilizar este valor. Se recomienda que se establezca este valor en 8 caracteres. Las contraseñas deben cumplir los requerimientos de complejidad determina si se aplicará la complejidad a la contraseña. Si se habilita esta configuración, las contraseñas de los usuarios cumplen los siguientes requisitos: La contraseña tendrá una longitud de al menos seis caracteres. La contraseña contendrá caracteres de al menos tres de las cinco categorías siguientes: Caracteres en mayúsculas (A Z) Caracteres en minúsculas del alfabeto inglés (a z) Base de 10 dígitos (0 9) Caracteres no alfanuméricos (por ejemplo:!, $, #, o %)

5 5 Aplicación del uso de contraseñas seguras en las organizaciones Caracteres Unicode La contraseña no incluirá tres o más caracteres del nombre de cuenta del usuario. Si el nombre de cuenta tiene una longitud inferior a tres caracteres, no se realiza esta comprobación ya que la velocidad a la que las contraseñas se rechazarían sería demasiado alta. Al comprobar el nombre completo del usuario, varios caracteres se consideran como delimitadores que dividen el nombre en símbolos individuales: comas, puntos, guiones, caracteres de subrayado, espacios, signos de número y tabulaciones. Por cada símbolo con una longitud de tres o más caracteres, se realiza su búsqueda en la contraseña; si está presente el cambio de la contraseña se rechaza. Por ejemplo, el nombre "Sandra I. Martínez" se dividiría en tres símbolos: "Sandra", "I" y "Martínez". Puesto que el segundo símbolo tiene una longitud de un solo carácter, se omitiría. Por tanto, este usuario no podría tener una contraseña que incluyera "sandra" ni "martínez" como subcadena en ninguna parte de la contraseña. Todas estas comprobaciones no distinguen mayúsculas de minúsculas. Estos requisitos de complejidad se aplican al cambio de contraseñas o a la creación de nuevas. Se recomienda que habilite esta configuración. Modo en que el sistema operativo Windows almacena la información de configuración de la directiva de contraseñas Antes de implementar las directivas de contraseñas en la organización, necesita conocer un poco el modo en que se almacena la información de configuración de la directiva de contraseñas en Windows 2000, Windows XP y Windows Server Esto se debe a que el mecanismo de almacenamiento de las directivas limita el número de las distintas directivas de contraseñas que puede implementar y afecta a la manera en que se aplica la configuración de éstas. Sólo puede haber una única directiva de contraseñas para cada base de datos de cuentas. Un dominio Active Directory se considera una única base de datos de cuentas, al igual que la base de datos de cuentas local en los equipos independientes. Los equipos que son miembros de un dominio también tienen una base de datos de cuentas local, pero la mayoría de las organizaciones que tienen dominios Active Directory requieren que sus usuarios inicien sesión en sus equipos y en la red a través de las cuentas basadas en el dominio. Por tanto, si se especifica una longitud mínima de contraseña de 14 caracteres para un dominio, todos los usuarios del mismo deben utilizar 14 o más caracteres al crear nuevas contraseñas. Si desea establecer distintos requisitos para un conjunto específico de usuarios, debe crear un nuevo dominio para sus cuentas. Los dominios Active Directory utilizan objetos de directiva de grupo (GPO) para almacenar una amplia variedad de información de configuración, incluidos los parámetros de la directiva de contraseñas. Aunque Active Directory es un servicio de directorios jerárquico que admite diversos niveles de unidades organizativas (UO) y varios GPO, la configuración de la directiva de contraseñas para el dominio se debe definir en el contenedor raíz de éste. Al crearse el primer controlador de dominio para un nuevo dominio Active Directory, se crean automáticamente dos GPO: el de directiva de dominio predeterminada y el de directiva de controladores de dominio predeterminada. La directiva de dominio predeterminada se vincula al contenedor raíz e incluye algunos parámetros esenciales para todo el dominio, incluida la configuración predeterminada de la directiva de contraseñas. Por otro lado, la directiva de controladores de dominio predeterminada se vincula a la unidad organizativa de controladores de dominio y contiene la configuración de seguridad inicial para estos controladores. Se recomienda no modificar estos GPO integrados. Si precisa aplicar una configuración de la directiva de contraseñas distinta a la predeterminada, debería en su lugar crear un nuevo GPO y vincularlo al contenedor raíz del dominio o a la UO de controladores de dominio y asignarle una prioridad más alta que el GPO integrado: si se vinculan dos GPO que tienen configuraciones en conflicto al mismo contenedor, el de la prioridad más alta tendrá preferencia.

6 6 Aplicación del uso de contraseñas seguras en las organizaciones Implementación paso a paso de la configuración de la directiva de contraseñas En esta sección se ofrecen las siguientes instrucciones detalladas para mejorar la seguridad al implementar la configuración de la directiva de contraseñas en los equipos de la organización. Configuración de la directiva de contraseñas en un dominio basado en Active Directory. Configuración de la directiva de contraseñas en equipos independientes. Configuración de la directiva de contraseñas en un dominio basado en Active Directory. Requisitos Credenciales: debe haber iniciado sesión como miembro del grupo Admins. del dominio. Herramientas: Usuarios y equipos de Active Directory. Para implementar la directiva de contraseñas en sistemas de equipos que pertenecen a un dominio Active Directory 1. Haga clic en Inicio, seleccione Panel de control, haga doble clic en Herramientas administrativas y, a continuación, en Usuarios y equipos de Active Directory. 2. Haga clic con el botón secundario del mouse en el contenedor raíz del dominio: Nota: las capturas de pantalla mostradas en este documento reflejan un entorno de prueba y la información podría variar con respecto a la presentada en su pantalla. 3. Seleccione Propiedades en el menú que aparece:

7 7 Aplicación del uso de contraseñas seguras en las organizaciones 4. En el cuadro de diálogo de propiedades del dominio, haga clic en la ficha Directiva de grupo y seleccione Nueva para crear un nuevo objeto de directiva de grupo en el contenedor raíz. Escriba "Directiva del dominio" como nombre para la nueva directiva y, a continuación, haga clic en Cerrar. Nota: Microsoft recomienda que cree un nuevo objeto de directiva de grupo en lugar de editar el que se encuentra integrado y que recibe el nombre de Directiva de dominio predeterminada ya que, de este modo, facilita la tarea de recuperación en casos de problemas graves con la configuración de seguridad. Si la nueva configuración de seguridad crea problemas, puede deshabilitar temporalmente el nuevo objeto de directiva de grupo hasta aislar los parámetros que causaron los problemas. 5. Haga clic con el botón secundario del mouse en el contenedor raíz del dominio y, a continuación, haga clic en Propiedades. 6. En el cuadro de diálogo de propiedades, haga clic en la ficha Directiva de grupo y seleccione Directiva de dominio. 7. Haga clic en Arriba para colocar el GPO al principio de la lista y seleccione Modificar para abrir el Editor de objetos de directiva de grupo del GPO que acaba de crear. 8. En Configuración del equipo, vaya hasta la carpeta Configuración de Windows\Configuración de seguridad\directivas de cuenta\directiva de contraseñas.

8 8 Aplicación del uso de contraseñas seguras en las organizaciones 9. En el panel de detalles, haga doble clic en Forzar el historial de contraseñas, active la casilla de verificación Definir esta configuración de directiva, establezca en 24 el valor de Guardar el historial de contraseñas y haga clic en Aceptar. 10. En el panel de detalles, haga doble clic en Vigencia máxima de la contraseña, active la casilla de verificación Definir esta configuración de directiva, establezca en 42 el valor de La contraseña caducará en, haga clic en Aceptar y, a continuación, en Aceptar para cerrar la ventana Cambios de valor sugeridos que aparece.

9 9 Aplicación del uso de contraseñas seguras en las organizaciones 11. En el panel de detalles, haga doble clic en Vigencia mínima de la contraseña, active la casilla de verificación Definir esta configuración de directiva, establezca en 2 el valor de La contraseña se puede cambiar después de y, a continuación, haga clic en Aceptar. 12. En el panel de detalles, haga doble clic en Longitud mínima de la contraseña, active la casilla de verificación Definir esta configuración de directiva, establezca en 8 el valor de La contraseña debe tener al menos y, a continuación, haga clic en Aceptar.

10 10 Aplicación del uso de contraseñas seguras en las organizaciones 13.En el panel de detalles, haga doble clic en Las contraseñas deben cumplir los requerimientos de complejidad, active la casilla de verificación Definir esta configuración de la directiva en la plantilla, seleccione Habilitada y haga clic en Aceptar. 14.Cierre el Editor de objetos de directiva de grupo, haga clic en Aceptar para cerrar el cuadro de diálogo de propiedades del dominio y salga de Usuarios y equipos de Active Directory. Comprobación de la nueva configuración Siga este procedimiento para comprobar que se aplica la configuración adecuada de la directiva de contraseñas y es eficaz en el GPO de directiva de dominio. La comprobación de la configuración y su funcionamiento garantiza que se aplicarán la directivas correctas de contraseñas a todos los usuarios del dominio. Requisitos Credenciales: debe haber iniciado sesión como miembro del grupo Admins. del dominio. Herramientas: Usuarios y equipos de Active Directory.

11 11 Aplicación del uso de contraseñas seguras en las organizaciones Para comprobar la configuración de la directiva de contraseñas de un dominio Active Directory 1. Abra Usuarios y equipos de Active Directory, haga clic con el botón secundario del mouse en el dominio y seleccione Propiedades. 2. En el cuadro de diálogo de propiedades de su dominio, haga clic en la ficha Directiva de grupo, seleccione el GPO Directiva de grupo y, a continuación, haga clic en Modificar para abrir el Editor de objetos de directiva de grupo. 3. En Configuración del equipo, vaya a la carpeta Configuración de Windows\Configuración de seguridad\directivas de cuentas\directiva de contraseñas y compruebe que la configuración coincide con la mostrada a continuación: 4. Cierre el Editor de objetos de directiva de grupo, haga clic en Aceptar para cerrar el cuadro de diálogo de propiedades del dominio y salga de Usuarios y equipos de Active Directory. 5. Compruebe que los usuarios no pueden especificar contraseñas que sean más cortas de 8 caracteres, que no pueden crear contraseñas que no sean complejas y que no tienen permiso para cambiar de inmediato las nuevas contraseñas. Configuración de la directiva de contraseñas en equipos independientes Credenciales: debe haber iniciado sesión como miembro del grupo de administradores.

12 12 Aplicación del uso de contraseñas seguras en las organizaciones Herramientas: Directiva de seguridad local. Para implementar la directiva de contraseñas en sistemas de equipos que no pertenecen a un dominio Active Directory 1. Haga clic en Inicio, seleccione Panel de control, haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Directiva de seguridad local. 2. Vaya hasta la carpeta Directiva de cuentas\directiva de contraseñas. 3. En el panel de detalles, haga doble clic en Forzar el historial de contraseñas, establezca en 24 el valor de Guardar el historial de contraseñas y, a continuación, haga clic en Aceptar. 4. En el panel de detalles, haga doble clic en Vigencia máxima de la contraseña, establezca en 42 el valor de La contraseña caducará en y, a continuación, haga clic en Aceptar. 5. En el panel de detalles, haga doble clic en Vigencia mínima de la contraseña, establezca en 2 el valor de La contraseña se puede cambiar después de y, a continuación, haga clic en Aceptar. 6. En el panel de detalles, haga doble clic en Longitud mínima de la contraseña, establezca en 8 el valor de La contraseña debe tener al menos y, a continuación, haga clic en Aceptar. 7. En el panel de detalles, haga doble clic en Las contraseñas deben cumplir los requerimientos de complejidad, seleccione Habilitada y, a continuación, haga clic en Aceptar. 8. Cierre Directiva de seguridad local. Comprobación de la nueva configuración Siga este procedimiento para comprobar que se aplica la configuración adecuada de la directiva de contraseñas y es eficaz en los equipos independientes de su organización. La comprobación de la configuración y su funcionamiento garantiza que se aplicarán las directivas de contraseñas correctas a estos equipos. Requisitos Credenciales: debe haber iniciado sesión como miembro del grupo de administradores. Herramientas: Directiva de seguridad local. Para comprobar la configuración de la directiva de contraseñas en sistemas de equipos que no pertenecen a un dominio Active Directory 1. Abra Directiva de seguridad local, vaya hasta la carpeta Directivas de cuentas\directiva de contraseñas y compruebe que la configuración coincide con la mostrada a continuación:

13 13 Aplicación del uso de contraseñas seguras en las organizaciones 2. Cierre Directiva de seguridad local. 3. Compruebe que los usuarios no pueden especificar contraseñas que sean más cortas de 8 caracteres, que no pueden crear contraseñas que no sean complejas y que no tienen permiso para cambiar de inmediato las nuevas contraseñas. Información relacionada Para obtener más información sobre las directivas de contraseñas y las características relacionadas en Windows, consulte lo siguiente: "Contraseñas seguras" en el Kit de orientaciones sobre seguridad Account Passwords and Policies en el sitio Web de Microsoft TechNet en (Este artículo contiene referencias a guías de otros productos y vínculos a sitios Web que sólo están disponibles en inglés.)