Articles

Prácticas recomendadas de directivas de contraseñas para una seguridad sólida en AD

cómo establecer directivas de contraseñas en Active Directory

una directiva de contraseñas seguras es la primera línea de defensa de cualquier organización contra intrusos. En Microsoft Active Directory, puede usar la directiva de grupo para aplicar y controlar muchos requisitos de contraseña diferentes, como complejidad, duración y vida útil.,

la directiva de contraseñas de dominio predeterminada se encuentra en el siguiente objeto de directiva de grupo (GPO): configuración del equipo -> políticas -> configuración de Windows ->configuración de seguridad -> directivas de cuenta -> directiva de contraseñas

a partir del nivel funcional del dominio de Windows Server 2008, puede definir directivas detalladas para diferentes unidades organizativas mediante el Centro de administración de Active Directory (dsac) o PowerShell.,

NIST password guidelines

El Instituto Nacional de estándares y Tecnología (NIST) ofrece pautas de identidad Digital para una política de contraseñas sólida, incluidas las siguientes recomendaciones:

complejidad y longitud de las contraseñas

muchas organizaciones requieren que las contraseñas incluyan una variedad de símbolos, como al menos un número, tanto mayúsculas como minúsculas, y uno o más caracteres especiales. Sin embargo, el beneficio de estas reglas no es tan significativo como se esperaba, y hacen que las contraseñas sean mucho más difíciles de recordar y escribir para los usuarios.,

longitud de la contraseña, por otro lado, se ha encontrado que es un factor principal en la fuerza de la contraseña. En consecuencia, el NIST recomienda alentar a los usuarios a elegir contraseñas largas o frases de acceso de hasta 64 caracteres (incluidos los espacios).

edad de la contraseña

las directrices anteriores del NIST recomendaban forzar a los usuarios a cambiar las contraseñas cada 90 días (180 días para las frases de contraseña). Sin embargo, cambiar las contraseñas con demasiada frecuencia irrita a los usuarios y generalmente les hace reutilizar contraseñas antiguas o usar patrones simples, lo que perjudica su postura de seguridad de la información., Si bien se pueden implementar estrategias para evitar la reutilización de contraseñas, los usuarios aún encontrarán formas creativas de evitarlas.

por lo tanto, la recomendación actual del NIST sobre la edad máxima de contraseña es pedir a los empleados que creen una nueva contraseña solo en el caso de una amenaza potencial o sospecha de acceso no autorizado.,

contraseñas especialmente susceptibles a ataques de fuerza bruta

es aconsejable utilizar desalentar o prohibir las siguientes contraseñas:

  • contraseñas fáciles de adivinar, especialmente la frase «password»
  • Una cadena de números o letras como «1234» o «abcd»
  • Una cadena de caracteres que aparecen secuencialmente en el teclado, como «@#% % ^&»
  • El nombre de un usuario, el nombre de un cónyuge o pareja, u otros nombres
  • El número de teléfono o número de matrícula del usuario, la fecha de nacimiento de cualquier persona u otra información fácilmente obtenida sobre un usuario (p., palabras que se pueden encontrar en un diccionario
  • contraseñas predeterminadas o sugeridas , incluso si parecen fuertes
  • nombres de usuario o nombres de host utilizados como contraseñas
  • cualquiera de los anteriores seguidos o precedidos por un solo dígito
  • contraseñas que forman un patrón al incrementar un número o carácter al principio o al final

prácticas recomendadas para la directiva de contraseñas

los administradores deben asegurarse de:

  • configurar una longitud mínima de contraseña.,
  • Aplicar la política de historial de contraseñas con al menos 10 contraseñas anteriores recordadas.
  • establezca una edad mínima de contraseña de 3 días.
  • habilite la configuración que requiere contraseñas para cumplir con los requisitos de complejidad. Esta configuración se puede desactivar para frases de contraseña, pero no se recomienda.
  • restablecer contraseñas de administrador local cada 180 días. Esto se puede hacer con la herramienta gratuita de restablecimiento de contraseña masiva Netwrix.
  • restablecer contraseñas de cuentas de servicio una vez al año durante el mantenimiento.
  • Para las cuentas de administrador de dominio, utilice frases de contraseña fuertes con un mínimo de 15 caracteres.,
  • realice un seguimiento de todos los cambios de contraseña mediante una solución como Netwrix Auditor para Active Directory.
  • Crear notificaciones por correo electrónico para la caducidad de la contraseña. Esto se puede hacer con la herramienta gratuita Netwrix Password Expiration Notifier.
  • en lugar de editar la configuración predeterminada en la directiva de dominio, se recomienda crear directivas de auditoría granulares y vincularlas a unidades organizativas específicas.

prácticas recomendadas de autenticación y contraseña adicionales

  • Las aplicaciones empresariales deben admitir la autenticación de cuentas de usuario individuales, no de grupos.,
  • Las aplicaciones empresariales deben proteger las contraseñas almacenadas y transferidas con cifrado para garantizar que los rastreadores no las descifren.
  • Los usuarios (y las aplicaciones) no deben almacenar contraseñas en texto plano o en cualquier forma fácilmente reversible y no deben transmitir contraseñas en texto plano a través de la red.
  • utilice la autenticación multifactor (MFA) siempre que sea posible para mitigar los riesgos de seguridad de las contraseñas robadas y mal manejadas.
  • Cuando los empleados abandonen la organización, cambie las contraseñas de sus cuentas.,

Educación del Usuario

Además, asegúrese de educar a sus usuarios sobre lo siguiente:

  • Es vital recordar su contraseña sin escribirla en algún lugar, así que elija una contraseña o frase de contraseña segura que recuerde fácilmente. Si tiene muchas contraseñas diferentes, puede usar herramientas de administración de contraseñas, pero debe elegir una clave maestra fuerte y recordarla.
  • tenga en cuenta cómo se envían las contraseñas a través de Internet. Las URL (direcciones web) que comienzan con «https://» en lugar de «http://» tienen más probabilidades de ser seguras para el uso de su contraseña.,
  • Si sospecha que otra persona puede conocer su contraseña actual, cámbiela inmediatamente.
  • NO escriba su contraseña mientras alguien está mirando.
  • evite usar la misma contraseña para varios sitios web que contengan información confidencial.