Cómo configurar una política de contraseña de dominio

En este artículo, aprenderá a configurar la política de contraseña de dominio de Active Directory.

También aprenderá:

  • Cuál es la política de contraseña de dominio predeterminada
  • Comprender la configuración de la política de contraseña
  • Mejor política de contraseña prácticas
  • Modificar la política de contraseña de dominio

¿Qué es la política de contraseña de dominio predeterminada?

De forma predeterminada, Active Directory está configurado con un dominio predeterminado política de contraseñas. Esta política define los requisitos de contraseña para las cuentas de usuario de Active Directory, como la longitud, la antigüedad, etc. de la contraseña.

Esta política de contraseñas está configurada por política de grupo y vinculada a la raíz del dominio. Para ver la política de contraseñas, siga estos pasos:

1. Abra la consola de administración de políticas de grupo

2. Expanda Domains, su dominio, luego agrupe los objetos de política

3. Haga clic con el botón derecho en la política de dominio predeterminada y haga clic en editar

4. Ahora navegue a Configuración del equipo \ Políticas \ Configuración de Windows \ Configuración de seguridad \ Políticas de cuenta \ Política de contraseña

También puede ver la política de contraseña predeterminada con Powershell usando este comando.

Get-ADDefaultDomainPasswordPolicy

Importante: La política de contraseña predeterminada se aplica a todas las computadoras en el dominio. Si desea aplicar diferentes políticas de contraseñas a un grupo de usuarios, lo mejor es utilizar una política de contraseñas detallada. No cree un nuevo GPO y lo vincule a una OU, esto no se recomienda.

Herramienta recomendada: Herramienta de limpieza de Active Directory

Encuentre usuarios y computadoras inactivos, mantenga AD seguro y limpio.

Descargue su copia de la Herramienta de limpieza de Active Directory

Comprender la configuración de la política de contraseñas

Ahora que sabe cómo ver la política de contraseña predeterminada del dominio, veamos en la configuración.

Hacer cumplir el historial de contraseñas:

Esta configuración define cuántas contraseñas únicas deben usarse antes de que se pueda reutilizar una contraseña anterior. Por ejemplo, si mi contraseña actual es «Th334goore0!» entonces no puedo reutilizar esa contraseña hasta que haya cambiado mi contraseña 24 veces (o cualquier número en el que esté configurada la política). Esta configuración es útil para que los usuarios no sigan reutilizando la misma contraseña. La configuración predeterminada es 24

Antigüedad máxima de la contraseña:

Esta configuración define cuánto tiempo en días se puede usar una contraseña antes de que sea necesario cambiarla. La configuración predeterminada es 42 días

Contraseña mínima edad

Esta configuración determina cuánto tiempo se debe usar una contraseña antes de que se pueda cambiar. La configuración predeterminada es 1 día

Longitud mínima de la contraseña

Esta configuración determina cuántos caracteres debe tener una contraseña. El valor predeterminado es 7. Esto significa que mi contraseña debe contener al menos 7 caracteres.

La contraseña debe cumplir con los requisitos de complejidad

Si están habilitadas, las contraseñas deben cumplir con estos requisitos :

  • No contener el nombre de la cuenta del usuario o partes del nombre completo del usuario que excedan dos caracteres consecutivos
  • Tener al menos seis caracteres de longitud
  • Conta en caracteres de tres de las siguientes cuatro categorías:
    • Caracteres en mayúsculas en inglés (de la A a la Z)
    • Caracteres en minúsculas en inglés (de la a a la z)
    • Base de 10 dígitos ( 0 a 9)
    • Caracteres no alfabéticos (por ejemplo,!, $, #,%)

Esto está habilitado por predeterminado

Almacenar contraseñas usando cifrado reversible

Esta configuración determina si el sistema operativo almacena contraseñas usando cifrado reversible. Esto es esencialmente lo mismo que almacenar versiones de contraseñas plantest. Esta política NUNCA debe configurarse como habilitada a menos que tenga algunos requisitos de aplicación muy específicos.

Mejores prácticas para la política de contraseñas

Hay diferentes opiniones al respecto, por lo que voy a hacer referencia a dos fuentes. Además, la política de contraseñas de su organización puede estar impulsada por requisitos de cumplimiento / reglamentaciones como PCI / SOX / CJIS, etc.

Configuraciones de contraseña recomendadas por Microsofts

Estas configuraciones son del Security Compiance Toolkit de Microsoft. Este kit de herramientas proporciona la configuración de GPO recomendada de Microsoft.

  • Aplicar historial de contraseñas: 24
  • Antigüedad máxima de la contraseña: no establecida
  • Antigüedad mínima de la contraseña: no establecida
  • Contraseña mínima longitud: 14
  • La contraseña debe cumplir con la complejidad: habilitada
  • Almacenar contraseñas con cifrado reversible: deshabilitado

NOTA: Microsoft ha eliminado las políticas de caducidad de contraseñas comenzando con la línea de base de seguridad de 1903. Puede leer más sobre esto aquí

Creo que es una buena decisión, pero algunas organizaciones aún necesitarán seguir guías específicas (como PCI, SOX, CJIS). Con suerte, se actualizarán pronto.

Configuración de la contraseña de CIS Benchmark

Estas configuraciones son de CIS Benchmarks.El centro de seguridad de Internet es una organización sin fines de lucro que desarrolla pautas de seguridad y puntos de referencia.

  • Aplicar el historial de contraseñas: 24
  • Antigüedad máxima de la contraseña: 60 días o menos
  • Antigüedad mínima de la contraseña: 1 o más
  • Longitud mínima de la contraseña: 14
  • La contraseña debe cumplir con la complejidad: habilitada
  • Almacenar contraseñas con cifrado reversible: deshabilitado

Modificar la política de contraseña de dominio predeterminada / h2>

Para modificar la política de contraseñas, deberá modificar la política de dominio predeterminada.

1. Abra la consola de administración de políticas de grupo

2. Expanda Domains, su dominio, luego agrupe los objetos de política

3. Haga clic con el botón derecho en la política de dominio predeterminada y haga clic en editar

4. Ahora navegue a Configuración del equipo \ Políticas \ Configuración de Windows \ Configuración de seguridad \ Políticas de cuenta \ Política de contraseña

5. Ahora haga doble clic en una de las configuraciones para editar. Por ejemplo, haré doble clic en la longitud mínima de la contraseña.

Voy a cambiar esta configuración de 7 a 14 caracteres y luego hacer clic en Aplicar.

Haga doble clic en cualquier otra configuración de política de contraseñas para cambiarla.

Espero que haya disfrutado de este artículo.

¿Tiene alguna pregunta? Déjame saber abajo en los comentarios.

Herramienta recomendada: SolarWinds Server & Monitor de aplicaciones

Esta utilidad fue diseñada para monitorear Active Directory y otros servicios críticos como DNS & DHCP. Detectará rápidamente problemas con el controlador de dominio, evitará fallas de replicación, rastreará los intentos fallidos de inicio de sesión y mucho más.

Lo que más me gusta de SAM es su panel de control y sus funciones de alerta fáciles de usar. También tiene la capacidad de monitorear máquinas virtuales y almacenamiento.

Descargue su prueba gratuita aquí

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *