Introducción

En la actualidad todas las organizaciones son diferentes y la determinación de los permisos de Active Directory es tan flexible, que no es posible recomendar una estrategia de permisos válida para todas las organizaciones. Por lo que la información aquí referida intenta guiar hacia un modelo de permisos apropiados para cada organización.

Nosotros explicaremos como configurar los permisos para una organización que tiene un numero elevado de ordenadores que administrar. El problema de esto es que algunos cambios suponen ir equipo por equipo haciendo la misma modificación, lo cual es un trabajo pesado y largo. Por eso hemos decidido utilizar Active Directory y sus directivas o políticas de grupo, ya que nos van a sacar de forma trivial y sencilla del problema, pues solamente debemos indicar al servidor que configure los equipos cliente de tal forma. Dichas directivas nos permitirán realizar múltiples configuraciones que podemos aplicar a los usuarios o equipos del dominio, con sólo indicárselo al servidor en el apartado correspondiente, puedes limitar la cuota de disco del perfil de los usuarios, configuración de la contraseña, especificar la página de inicio del navegador, especificar el fondo de escritorio, …

[editar]

Active Directory y los permisos

[editar]

Contextos de nomenclatura

En Active Directory, el almacenamiento de datos está dividido en tres segmentos lógicos denominados contextos de nomenclatura. Cada contexto de nomenclatura replica sus cambios por separado entre esos controladores de dominio del bosque que almacenan copias (réplicas) de los mismos contextos de nomenclatura:

Contexto de nomenclatura de esquema Contexto de nomenclatura de configuración Contexto de nomenclatura de dominio

[editar]

Contexto de nomenclatura de esquema

Sólo hay un contexto de nomenclatura de esquema por bosque. El contexto de nomenclatura de esquema contiene las definiciones de todos los objetos de los que se puede crear una instancia en Active Directory. También almacena las definiciones de todos los atributos que pueden formar parte de objetos en Active Directory. Cada controlador de dominio tiene una copia de la partición de directorio de esquema en la que se puede

escribir, aunque sólo se pueden realizar actualizaciones del esquema en el controlador de dominio que es maestro de operaciones de esquema.

El objeto de raíz del contexto de nomenclatura de esquema contiene un objeto secundario por cada clase de objetos de los que se puede crear una instancia en el bosque de Active Directory y un objeto por cada atributo que puede formar parte de un objeto en el bosque de Active Directory.

[editar]

Contexto de nomenclatura de configuración

Sólo hay un contexto de nomenclatura de configuración por bosque y almacena los datos de configuración del bosque necesarios para el correcto funcionamiento de Active Directory como servicio de directorio. Por ejemplo, toda la información necesaria para garantizar el correcto funcionamiento de la replicación está almacenada en la partición de configuración, que también aloja información relacionada con la topología del sitio. La información que Active Directory utiliza para construir la jerarquía de árboles de directorio también se almacena en la partición de directorio de configuración, al igual que la información específica de los servicios de toda la red que las aplicaciones utilizan para conectarse a instancias de los servicios del bosque. Cada controlador de dominio tiene una copia de la partición de directorio de configuración en la que se puede escribir.

[editar]

Contexto de nomenclatura de dominio

Cada dominio está representado por un contexto de nomenclatura de dominio. El contexto de nomenclatura de dominio almacena usuarios, equipos, grupos y otros objetos para dicho dominio. Todos los controladores de dominio que se unen al dominio comparten una copia de la partición de directorio de dominio en la que se puede escribir. Además, todos los controladores de dominio del bosque que alojan el catálogo global también alojan una copia parcial de sólo lectura de todos los demás contextos de nomenclatura de dominio del bosque. En su gran mayoría, los contextos de nomenclatura de dominio almacenan contenido del dominio; es decir, información de usuarios, grupos y equipos. Sin embargo, algunos datos de configuración específicos del dominio también se almacenan en el contenedor System de la partición de directorio de dominio.

[editar]

Definición de Directivas o Políticas de Grupos

La configuración de Directiva de Grupo define los distintos componentes del entorno de Escritorio del usuario que accede de forma autenticada al dominio de nuestro servidor

Windows 2003, de modo que el administrador del sistema determina cuales le serán aplicadas a cada usuario englobado en un sitio, dominio o unidad organizativa; entre las directivas que pueden especificarse, por ejemplo, podemos indicar aquellos programas que deseemos se encuentren disponibles para nuestros usuarios, los programas que aparecerán en su Escritorio, las opciones del menú Inicio, las opciones del navegador, etc.

Para crear una configuración específica de Escritorio para un grupo de usuarios en particular, se utilizan las Directiva de Grupo. La configuración de Directiva de Grupo está contenida en un objeto de Directiva de Grupo, de modo que se asocia dicha directiva a los Sitios, Dominios o Unidades Organizativas indicadas en Active Directory.

Curiosamente, y pese a su nombre, las Directivas de Grupo no pueden ser asociadas a un grupo de usuarios o grupos de equipos (sólo a Sitios, Dominios o Unidades Organizativas), aunque el resultado de su aplicación afecte únicamente a los usuarios y a los equipos de Active Directory.

Las directivas se aplican en este orden:

1. En primer lugar se aplica el objeto de Directiva de Grupo local único. 2. En segundo lugar se aplican los Objetos de Directiva de Grupo del Sitio, en orden

especificado administrativamente. 3. En tercer lugar los Objetos de Directiva de Grupo del Dominio, en orden

especificado administrativamente. 4. En cuarto lugar los Objetos de Directiva de Grupo de las Unidades Organizativas,

de Unidad Organizativa principal a secundaria, y en orden especificado administrativamente en el nivel de cada Unidad Organizativa.

5. Finalmente, de forma predeterminada, las directivas aplicadas posteriormente sobrescriben las directivas aplicadas con anterioridad cuando las directivas son incoherentes. Sin embargo, si no hay incoherencias de configuración, tanto las directivas anteriores como las posteriores contribuyen a la directiva efectiva, es decir, se suman las configuraciones de las distintas directivas asociadas al objeto en cuestión.

Podemos resumir el funcionamiento de las Directivas de Grupo como sigue:

La Directiva de Grupo se aplica de manera jerárquica desde el grupo menos restrictivo (Sitio) al grupo más restrictivo (Unidad Organizativa). La Directiva de Grupo también es acumulativa. Los contenedores de servicio de directorio secundarios heredan la Directiva de Grupo de los contenedores primarios y el procesamiento de la Directiva de Grupo tiene lugar en el siguiente orden: Sitio, Dominio y Unidad Organizativa. Esto significa que, si se ha asignado una Directiva de Grupo determinada a un contenedor primario de alto nivel, esa Directiva de Grupo se aplica a todos los contenedores por debajo de dicho contenedor primario, incluidos los objetos equipo y usuario de cada contenedor. Sin embargo, si especifica de manera explícita una Directiva de Grupo para un contenedor secundario, dicha directiva suplantará a la del contenedor primario, si es que son contradictorias, y se sumará a la anterior si no lo son.

Es importante resaltar que las Directivas de Grupo tienen prioridad sobre las opciones de configuración del perfil del usuario en caso de que se cree un conflicto.

En los siguientes apartados nos centraremos en definir una estructura de Unidades Organizativas para nuestro centro, así como en asociar las Políticas o Directivas de Grupo al dominio o a las Unidades Organizativas anteriormente creadas.

Vamos a citar y definir los siguientes términos, con los que trabajaremos habitualmente a lo largo de este apartado:

Sitio .- Podemos definir un sitio como un conjunto de equipos en una o varias subredes IP. Los sitios suelen representar la estructura física de la red.

Dominio .- Un dominio tiene un nombre único y permite el acceso a las cuentas de usuario y de grupo centralizadas mantenidas por el administrador del dominio. Cada dominio tiene sus propias directivas de seguridad y relaciones de seguridad con otros dominios, y representa límite de seguridad en una red Windows 2003. Active Directory está compuesto de uno o varios dominios, cada uno de los cuales puede abarcar más de una ubicación física. Los dominios representan la estructura lógica de la organización.

[editar]

Unidades Organizativas

Es un objeto contenedor de Active Directory que se utiliza en los dominios. Las Unidades Organizativas son contenedores lógicos en los que pueden colocarse usuarios, grupos, equipos y otras Unidades Organizativas. Sólo pueden contener objetos de su dominio principal. Una U.O. es el ámbito más pequeño al que se puede aplicar una Directiva de Grupo.

[editar]

Aplicación de permisos en el nivel de unidad organizativa

La recomendación para aplicar permisos delegados es aplicar los permisos en una unidad organizativa (UO) principal. Este método aísla la aplicación de los permisos a determinados objetos de clase contenidos dentro de la unidad organizativa y de sus contenedores secundarios. De esta manera tendremos un mecanismo sencillo para agrupar usuarios, equipos y otras entidades de seguridad principales, además de proporcionar un medio eficaz de segmentar los límites administrativos.

Los requisitos empresariales pueden impedir que la organización aplique esta metodología; por tanto, quizás haya que aplicar los permisos en varias unidades organizativas.

[editar]

Diseño de las unidades organizativas

Uno de los objetivos principales del diseño de la estructura de unidades organizativas de cualquier entorno es sentar las bases para una implementación sin problemas de Directiva de grupo que se aplique a todas las estaciones de trabajo de Active Directory y que garantice que se cumplen los estándares de seguridad de la organización. De la misma forma, la estructura de unidades organizativas se debe diseñar de forma que ofrezca la configuración de seguridad adecuada a los tipos específicos de usuarios dentro de la misma. Por ejemplo, es probable que los desarrolladores puedan realizar tareas en sus estaciones de trabajo que no estén autorizadas a usuarios con menos privilegios. Los usuarios de equipos portátiles también pueden tener requisitos de seguridad distintos a los usuarios de equipos de escritorio. En la siguiente figura se muestra una estructura sencilla de unidades organizativas que resulta suficiente para el contenido relacionado con Directiva de grupo que se trata en este capítulo. Esta estructura puede diferir significativamente de los requisitos organizativos de su entorno.

Estructura de unidades organizativasUO Departamento

Dado que los requisitos de seguridad suelen cambiar dentro de una organización, puede resultar lógico crear unidades organizativas de departamento en el entorno. La configuración de seguridad del departamento se puede aplicar a través de un

GPO a los equipos y usuarios en sus respectivas unidades organizativas de departamento.

UO Windows XP Esta unidad organizativa contiene unidades organizativas secundarias para cada tipo de equipos cliente Windows XP del entorno. En esta guía se incluyen instrucciones para equipos de escritorio y portátiles. Por esta razón se han creado una unidad organizativa Escritorio y una unidad organizativa Equipo portátil.

UO Escritorio Incluye los equipos de escritorio que permanecen conectados constantemente a la red.

UO Equipo portátil Incluye los equipos portátiles de los usuarios móviles que no siempre están conectados a la red.

[editar]

Creación de las unidades organizativas

Lo primero que vamos a hacer para crear las Unidades Organizativas deseadas en nuestro centro es acceder a las "Herramientas administrativas" del "Panel de Control" y hacer doble clic sobre "Usuarios y Equipos de Active Directory".

En la pantalla que se muestra a continuación, sobre el Dominio raiz, pulsamos con el botón derecho del ratón y seleccionamos la opción "Nuevo" y posteriormente "Unidad organizativa".

Indicamos el nombre de la nueva U.O. a crear, tecleando "UO Departamento" en la caja de texto destinada a tal efecto.

Actuaremos de igual forma para crear la UO Controlador de dominio.

El resto de UO´s en las UO's existentes, siguiendo el diseño anterior.

Para finalizar, debemos incluir a los usuarios en el contenedor correspondiente a la U.O; para ello accedemos a la carpeta "Users" y seleccionamos los usuarios que previamente hayamos creado; con el botón derecho del ratón pulsamos sobre la selección efectuada y elegimos la opción "Mover".

En la ventana que se muestra especificamos que deseamos mover dichos usuarios a una determinada UO, y pulsamos sobre el botón "Aceptar".

[editar]

Directivas de Grupo

Utilice objetos GPO para asegurarse de que se aplican a todas las estaciones de trabajo o usuarios de una unidad organizativa las configuraciones de directiva, los derechos de usuario y los comportamiento específicos. El uso de Directiva de grupo en vez de la configuración manual simplifica la actualización de varias estaciones de trabajo o usuarios en el futuro cuando se producen cambios adicionales.

La configuración de seguridad incluida en la directiva de grupo de nivel de unidad organizativa debe ser específica de la unidad. Esta configuración incluye tanto parámetros de equipo como de usuario.

[editar]

El Editor

Lo primero que vamos a hacer para definir las Directivas de Grupo deseadas en nuestro centro es acceder a las "Herramientas administrativas" del "Panel de Control" y hacer doble clic sobre "Usuarios y Equipos de Active Directory", y pulsando con el botón derecho del ratón sobre el dominio raiz, seleccionar la opción "Propiedades"; en la ventana que se muestra a continuación nos situamos sobre la pestaña "Directiva de Grupo".

Observaremos que ya hay definida una política de dominio por defecto; podríamos crear una nueva que también sería aplicada a todos los usuarios y equipos del dominio, pero aprovecharemos la ya existente, seleccionándola y pulsando a continuación sobre el botón "Modificar" para personalizar lo que deseemos.

Como observamos existen 2 entradas principales en la Directiva de Grupo que estamos editando; una de ellas es relativa a la "Configuración del equipo" y la otra a la "Configuración de usuario"; las entradas existentes en cada uno de dichos elementos no son similares, si bien algunas de ellas sí son comunes; en caso de que definamos 2 políticas contradictorias en dos entradas comunes, una en equipos y otra en usuarios, prevalecerá la primera de ellas. Obviamente las políticas que definamos en "Configuración del equipo" serán aplicadas a los equipos del dominio y las que definamos en "Configuración de usuario" se aplicarán a los usuarios del dominio.

Tanto para los equipos como para los usuarios, la primera directiva susceptible de ser configurada está relacionada con la "Configuración de software"; por la importancia que

tiene esta política le dedicaremos íntegramente el siguiente capítulo del curso. De hecho en el apartado "Configuración de equipo", utilizaremos esta entrada para especificar todo el software que se instalará en todos los equipos de la organización.

Vamos a centrarnos en las entradas del apartado "Configuración de usuario". Existen multitud de directivas configurables, pero nosotros incidiremos en aquellas que consideramos más interesantes.

[editar]

Configuración de usuario

[editar]

Configuración del Proxy

Si disponemos de un proxy en nuestra red por el cual deseamos que salgan a Internet todos los equipos del centro, en la entrada "Configuración de Usuarios"-> "Configuración de Windows"-> "Mantenimiento de Internet Explorer"-> "Conexión", haremos doble clic sobre la directiva "Configuración de los servidores proxy".

En la ventana mostrada, activaríamos la casilla "Habilitar configuración del proxy" e indicaríamos la dirección del proxy y el puerto de salida, así como las posibles excepciones para las direcciones locales (si procediera).

Luego vamos a "Deshabilitar el cambio de configuración de proxy", existente en la entrada "Plantillas Administrativas-> Componentes de Windows-> Internet Explorer". Si en esta directiva seleccionamos la opción "Habilitada", impediremos que los usuarios puedan modificar en sesión la configuración del proxy, pues las opciones del proxy aparecerán atenuadas e inaccesibles.

[editar]

Configuración de la directiva de contraseñas

Las contraseñas complejas que se pueden modificar regularmente reducen los riesgos de que se produzcan ataques a las mismas. La configuración de la directiva de contraseñas permite controlar la complejidad y la vigencia de las contraseñas y sólo se puede establecer mediante Directiva de grupo en el nivel de dominio.

Puede establecer la configuración de directiva de contraseñas en la siguiente ubicación del Editor de objetos de directiva de grupo:

Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directivas de contraseñas

En la siguiente tabla se resumen las recomendaciones acerca de la configuración de la directiva de contraseñas para los dos tipos de entornos seguros definidos en esta guía. En las siguientes subsecciones se proporciona información más detallada acerca de cada una de las configuraciones.

Tabla 1 Recomendaciones sobre la configuración de la directiva de contraseñas

Configuración Configuración

predeterminada del controlador de dominio

EC SSLFThis

Forzar el historial de contraseñas

24 contraseñas 24 contraseñas

24 contraseñas

Vigencia máxima de la 42 días 90 días 90 días

contraseña

Vigencia mínima de la contraseña

1 día 1 día 1 día

Longitud mínima de la contraseña

7 caracteres 8 caracteres 12 caracteres

Las contraseñas deben cumplir los requerimientos de complejidad

Habilitada Habilitada Habilitada

Almacenar contraseña usando cifrado reversible para todos los usuarios del dominio

Deshabilitado Deshabilitado Deshabilitadoa

[editar]

Forzar el historial de contraseñas

Esta configuración determina el número de nuevas contraseñas únicas que se deben asociar a una cuenta de usuario antes de que sea posible volver a utilizar una contraseña anterior. El valor de esta configuración de directiva debe estar comprendido entre 0 y 24 contraseñas. El valor predeterminado para Windows Server 2003 es de 0 contraseñas, pero en el caso de un dominio es de 24. Para mantener la eficacia de esta configuración de directiva, utilice el parámetro Vigencia mínima de la contraseña con objeto de evitar que los usuarios cambien repetidamente sus contraseñas.

Establezca la configuración Forzar el historial de contraseñas en 24 contraseñas para los dos entornos de seguridad definidos en esta guía.

[editar]

Vigencia máxima de la contraseña

Los valores de esta configuración de directiva están comprendidos entre 1 y 999 días. (También puede establecer el valor en 0 para especificar que las contraseñas no caducan). Esta configuración de directiva define durante cuánto tiempo puede utilizar un usuario su contraseña antes de que caduque. El valor predeterminado de esta configuración de directiva es de 42 días. La mayoría de las contraseñas se pueden descifrar; por tanto, cuanto mayor sea la frecuencia con la que se cambian, menores serán las posibilidades de que el atacante pueda utilizarlas. No obstante, cuanto menor sea el valor de la configuración, mayor será, con mucha probabilidad, el número de llamadas al servicio de asistencia que realice el usuario.

Establezca la configuración Vigencia máxima de la contraseña en un valor de 90 días para los dos entornos de seguridad definidos en esta guía.

[editar]

Las contraseñas deben cumplir los requerimientos de complejidad

Esta configuración de directiva comprueba todas las contraseñas nuevas para garantizar que se cumplen los requisitos básicos de una contraseña segura. De forma predeterminada, el valor de esta configuración de directiva en Windows XP se establece en Deshabilitado, pero aparece como Habilitado en el dominio Windows Server 2003.

Cada carácter adicional de una contraseña aumenta su complejidad de forma exponencial. Por ejemplo, una contraseña con siete caracteres alfabéticos en minúsculas tendría 267 (aproximadamente 8 x 109 u 8.000 millones) combinaciones posibles. A razón de 1.000.000 de intentos por segundo (capacidad que ofrecen muchas utilidades de descifrado de contraseñas), sólo se necesitarían 133 minutos para descifrarla. Una contraseña alfabética de 7 caracteres en la que se distingan mayúsculas y minúsculas tiene 527 combinaciones. Una contraseña alfanumérica de 7 caracteres en la que se distingan mayúsculas y minúsculas sin puntuación tiene 627 combinaciones. Una contraseña de 8 caracteres tiene 268, o 2 x 1011, combinaciones posibles. Aunque pueda parecer un número inconcebible, a razón de 1.000.000 de intentos por segundo sólo se necesitarían 59 horas para probar todas las contraseñas posibles. Recuerde que estos tiempos se incrementarán considerablemente en el caso de las contraseñas con caracteres ALT y otros caracteres especiales del teclado, tales como ! o @.

El uso apropiado de configuraciones de contraseñas puede hacer muy difícil, si no imposible, un ataque de fuerza bruta.

[editar]

Almacenar contraseña usando cifrado reversible para todos los usuarios del dominio

Esta configuración de directiva determina si el sistema operativo almacena las contraseñas de una manera en que se utilice el cifrado reversible; admite protocolos de aplicación que requieren el conocimiento de la contraseña del usuario para la autenticación. Las contraseñas almacenadas con cifrado reversible coinciden básicamente con las versiones de texto sin formato de las contraseñas. Por esta razón, esta configuración de directiva nunca se debe habilitar a menos que los requisitos de la aplicación tengan más peso que la necesidad de proteger la contraseña. El valor predeterminado de esta configuración de directiva es Deshabilitado.

Esta configuración de directiva debe estar habilitada cuando se utiliza el protocolo de autenticación por desafío mutuo (CHAP) a través del acceso remoto o el servicio de autenticación de Internet (IAS). También se requiere al utilizar la autenticación de texto implícita en los Servicios de Internet Information Server (IIS) de Microsoft.

Asegúrese de que la configuración Almacenar contraseña usando cifrado reversible para todos los usuarios del dominio se establece como Deshabilitada, que es como se configura en el GPO predeterminado de dominio de Windows Server 2003 y en la directiva de seguridad local para estaciones de trabajo y servidores. Esta configuración de directiva también está Deshabilitada en los dos entornos que se definen en esta guía.

[editar]

Mecanismos para impedir que los usuarios cambien las contraseñas excepto cuando se les solicite

Además de las directivas de contraseñas descritas anteriormente en este capítulo, el control centralizado de todos los usuarios es un requisito para algunas organizaciones. En esta sección se describen los mecanismos para impedir que los usuarios puedan cambiar sus contraseñas excepto cuando se les requiera específicamente que lo hagan.

El control centralizado de las contraseñas de los usuarios es la piedra angular de cualquier esquema de seguridad de un sistema Windows XP,Windows Server 2003 bien diseñado. Puede emplear Directiva de grupo para establecer la vigencia mínima y máxima de las contraseñas, como se analizó anteriormente. Sin embargo, el hecho de que sea necesario cambiar frecuentemente las contraseñas puede dar lugar a que a los usuarios burlen la configuración Forzar el historial de contraseñas del entorno. El requisito de que las contraseñas sean demasiado largas también puede provocar más llamadas al servicio de asistencia por parte de usuarios que olviden sus contraseñas.

Los usuarios pueden cambiar sus contraseñas en el período entre la vigencia mínima y máxima de la contraseña. Sin embargo, el diseño para el entorno Seguridad especializada: Funcionalidad limitada requiere que los usuarios cambien sus contraseñas únicamente cuando el sistema operativo así lo solicite, después de que sus contraseñas hayan llegado a la vigencia máxima de 42 días. Para lograr este nivel de control, los administradores pueden deshabilitar el botón Cambiar contraseña... en el cuadro de diálogo Seguridad de Windows que aparece al presionar Ctrl+Alt+Supr.

[editar]

Vigencia mínima de la contraseña

Esta configuración de directiva determina el número de días que se debe utilizar una contraseña antes de que un usuario la pueda cambiar. Los valores para esta configuración están comprendidos entre 1 y 998 días. (También puede establecer el valor en 0 para permitir cambios de contraseña inmediatos). El valor predeterminado para esta configuración de directiva es de 0 días.

El valor de la configuración Vigencia mínima de la contraseña debe ser inferior al especificado para Vigencia máxima de la contraseña, a menos que el valor deesta última opción se configure como 0, lo que hace que la contraseña nunca caduque. Si el valor de Vigencia máxima de la contraseña se establece en 0, el valor de esta configuración de directiva se puede establecer en cualquier valor comprendido entre 0 y 999.

Si desea que la configuración Forzar el historial de contraseñas sea efectiva, seleccione un valor mayor que 0. Si el parámetro de Vigencia mínima de la contraseña es 0, los usuarios pueden pasar de una contraseña a otra repetidamente hasta volver a su contraseña favorita utilizada con anterioridad.

Establezca la configuración Vigencia mínima de la contraseña en un valor de 1 día para los dos entornos de seguridad definidos en esta guía. Este valor impide que los usuarios reutilicen la misma contraseña, ya que debe esperarse un día entero antes de poder cambiar la contraseña. También les anima a recordar las nuevas contraseñas, ya que deben utilizarlas durante al menos un día antes del restablecimiento. Por último, evita que los usuarios burlen la restricción de la configuración Forzar el historial de contraseñas.

[editar]

Longitud mínima de la contraseña

Esta configuración de directiva determina el número mínimo de caracteres que componen una contraseña para una cuenta de usuario. Hay muchas teorías diferentes acerca de cómo determinar la longitud más adecuada para las contraseñas en una organización, pero quizás "frase cifrada" sea un término que se ajuste más a las circunstancias que el de "contraseña". En Microsoft Windows 2000 y versiones posteriores, las frases cifradas pueden ser bastante largas e incluir espacios. Así, “Quiero beberme un batido de 5 €” es una frase cifrada válida bastante más segura que una cadena compuesta de 8 o 10 caracteres que incluya números y letras aleatorios. Además, es más fácil de recordar. Recuerde que es necesario instruir a los usuarios acerca de la selección y el mantenimiento adecuados de las contraseñas, sobre todo en lo referente a su longitud.

En el entorno EC, asegúrese de que el valor para el parámetro Longitud mínima de la contraseña se configure en 8 caracteres. Esta configuración de directiva exige una contraseña lo suficientemente larga como para proporcionar la seguridad adecuada y, al mismo tiempo, lo bastante corta como para que los usuarios la recuerden con facilidad. En el entorno SSLF, configure el valor en 12 caracteres. Las contraseñas deben cumplir los requerimientos de complejidad

Esta configuración de directiva comprueba todas las contraseñas nuevas para garantizar que se cumplen los requisitos básicos de una contraseña segura. De forma predeterminada, el valor de esta configuración de directiva en Windows XP se establece en Deshabilitado, pero aparece como Habilitado en el dominio Windows Server 2003.

El uso apropiado de configuraciones de contraseñas puede hacer muy difícil, si no imposible, un ataque de fuerza bruta.

[editar]

Configuración de directiva de bloqueo de cuentas

La directiva de bloqueo de cuentas es una característica de seguridad de Active Directory que bloquea las cuentas de usuario e impide el inicio de sesión después de un número determinado de intentos de inicio de sesión sin éxito dentro de un período especificado. Los controladores de dominio realizan un seguimiento de los intentos de inicio de sesión. El número de intentos permitidos y el período de tiempo se basan en los valores establecidos en la configuración del bloqueo de cuentas. La duración del bloqueo también se puede especificar.

Estas configuraciones de directiva ayudan a evitar que los atacantes puedan averiguar las contraseñas de los usuarios y reducen las probabilidades de ataques con éxito en el entorno de red. Sin embargo, es probable que la habilitación de una directiva de bloqueo de cuentas provoque más problemas de soporte para los usuarios de red. Antes de habilitar la configuración siguiente, asegúrese de que su organización desea aceptar esta carga de administración adicional. Para muchas organizaciones, una solución mejorada y menos costosa consiste en analizar los registros de eventos de seguridad para los controladores de dominio y generar alarmas administrativas cuando parezca que alguien intenta adivinar las contraseñas de cuentas de usuario.

Puede establecer la configuración de directiva de bloqueo de cuentas en la siguiente ubicación del Editor de objetos de directiva de grupo:

Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de bloqueo de cuentas

La tabla siguiente incluye las recomendaciones sobre la configuración de la directiva de bloqueo de cuentas para los dos entornos de seguridad que se definen en esta guía. En las siguientes subsecciones se proporciona información más detallada acerca de cada una de las configuraciones.

Tabla 2 Recomendaciones sobre la configuración de la directiva de bloqueo de cuentas

Configuración Configuración

predeterminada del controlador de dominio

EC SSLFThis

Duración del bloqueo de cuenta

No está definido 15 minutos 15 minutos

Umbral de bloqueos de la cuenta

0 intentos de inicio de sesión incorrectos

50 intentos de inicio de sesión no válidos

10 intentos de inicio de sesión no válidos

Restablecer la cuenta de bloqueos después

No está definido 15 minutos 15 minutos

de

[editar]

Duración del bloqueo de cuenta

Esta configuración de directiva determina el tiempo que debe transcurrir antes de que una cuenta se bloquee y de que un usuario pueda volver a intentar iniciar sesión. Funciona especificando el número de minutos que permanece no disponible una cuenta bloqueada. Si el valor de esta configuración de directiva está establecido en 0, las cuentas permanecerán bloqueadas hasta que el administrador las desbloquee. El valor predeterminado de Windows XP para esta configuración de directiva es No está definido.

Aunque quizás parezca una buena idea configurar el valor de esta configuración de directiva de modo que nunca se desbloqueen las cuentas automáticamente, es probable que en ese caso se incremente el número de llamadas al servicio de asistencia para desbloquear cuentas bloqueadas por error. El valor de configuración recomendado de 15 minutos se consideró un tiempo razonable de espera de los usuarios antes de intentar iniciar sesión nuevamente en caso de bloqueo de la cuenta. Los usuarios también deben ser informados de cómo se configura esta directiva para que sepan que sólo tienen que llamar al personal de asistencia si necesitan recuperar urgentemente el acceso a su equipo.

[editar]

Umbral de bloqueos de la cuenta

Esta configuración de directiva determina el número de intentos de inicio de sesión que un usuario puede llevar a cabo antes de que se bloquee una cuenta. Los usuarios autorizados pueden bloquear sus propias cuentas en caso de no recordar su contraseña, escribirla incorrectamente o cambiarla en un equipo mientras han iniciado sesión en otro. El equipo con la contraseña incorrecta intentará repetidamente autenticar al usuario y, puesto que la contraseña utilizada es incorrecta, la cuenta del usuario terminará bloqueándose. Para evitar el bloqueo accidental de usuarios autorizados, establezca el umbral de bloqueos de la cuenta en un número alto. El valor predeterminado para esta configuración de directiva es de 0 intentos de inicio de sesión no válidos, con lo que se deshabilita la característica del bloqueo de cuentas.

Establezca el valor para la configuración del Umbral de bloqueos de la cuenta en 50 intentos de inicio de sesión no válidos para "clientes de empresa" (Entornos EC) y 10 para "Seguridad especializada: Funcionalidad limitada" (entornos SSLF).

Dado que un atacante puede utilizar este estado de bloqueo como una denegación de servicio (DoS) desencadenando un bloqueo que afecte a un gran número de cuentas, es aconsejable que la organización determine si debe utilizarse esta configuración de directiva,

en función de las amenazas identificadas y de los riesgos que se desea evitar. Son dos las opciones que se deben considerar en el caso de esta configuración de directiva.

Establezca el valor de Umbral de bloqueos de la cuenta en 0 para asegurarse de que las cuentas no se bloquean. Este valor evitará los ataques DoS que intenten bloquear las cuentas de su organización. Se reducirán también las llamadas al servicio de asistencia, ya que los usuarios no podrán bloquear sus cuentas accidentalmente. Sin embargo, este valor de configuración no evitará un ataque de fuerza bruta. También deben considerarse las siguientes defensas:

o Una directiva de contraseñas que obligue a los usuarios a tener contraseñas

complejas compuestas de 8 o más caracteres.

o Un mecanismo de auditoría eficaz para avisar a los administradores cuando

se produzca una serie de bloqueos de cuentas en el entorno. Por ejemplo, la solución de auditoría debería supervisar el suceso de seguridad 539, que es un error de inicio de sesión. Este suceso significa que la cuenta se bloqueó en el momento en el que se intentó el inicio de sesión.

La segunda opción es la siguiente:

Configure el Umbral de bloqueos de la cuenta con un valor que proporcione a los usuarios la posibilidad de escribir incorrectamente su contraseña varias veces de forma accidental, pero que bloquee la cuenta si se produce un ataque de fuerza bruta. Un valor de configuración de 50 inicios de sesión no válidos para entornos EC y 10 para entornos de tipo SSLF podrían garantizar un nivel de seguridad adecuado y una capacidad de uso aceptable. Esta configuración evitará bloqueos accidentales y reducirá el número de llamadas al servicio de asistencia, pero no impedirá los ataques DoS, como se describía en la opción anterior.

[editar]

Restablecer la cuenta de bloqueos después de

Esta configuración de directiva determina el plazo de tiempo antes de que el Umbral de bloqueos de la cuenta se restablezca a cero. El valor predeterminado de esta configuración de directiva es No está definido. Si se define Umbral de bloqueos de la cuenta, este tiempo de restablecimiento debe ser inferior o igual al valor de Duración del bloqueo de cuenta.

Establezca el valor de la configuración Restablecer la cuenta de bloqueos después de en 15 minutos para los entornos EC y SSLF que se definen en esta guía.

Si deja el valor predeterminado para esta configuración de directiva o configura el valor con un intervalo demasiado largo, su entorno podría ser vulnerable a un ataque de DoS. Un atacante podría realizar una serie de intentos de inicio de sesión malintencionados en todas las cuentas de usuario de la organización y bloquearlas, como se describió anteriormente en este capítulo. Si no se determina ninguna directiva para restablecer el bloqueo, los administrados deberían desbloquear manualmente todas las cuentas. Por el contrario, si se establece un valor de tiempo razonable para esta configuración de directiva, los usuarios no tendrán acceso durante un período de tiempo establecido hasta que todas las cuentas se desbloqueen automáticamente. El valor de configuración recomendado de 15 minutos se consideró un tiempo razonable que es probable que acepten los usuarios y que ayudará a reducir al mínimo el número de llamadas al servicio de asistencia técnica. Los usuarios también deben ser informados de cómo se configura esta directiva para que sepan que sólo tienen que llamar al personal de asistencia si necesitan recuperar urgentemente el acceso a su equipo. Principio de la página