Ver destacados

Políticas de contraseña y bloqueo cuentas Windows Server 2016

Cómo configurar políticas de contraseña y bloqueo de cuentas usuario en Windows Server 2016. Con videotutorial incluido.
Escrito por
61.9K Visitas  |  Publicado jun 21 2017 12:32
Favorito
Compartir
Comparte esta pagina a tus Amigos y Contactos usando las siguientes Redes Sociales


Windows Server es la última edición lanzada por Microsoft a nivel corporativo en la cual encontramos cientos de utilidades, roles y características que harán de nuestra tarea de administración una grata experiencia simplificando muchas acciones y permitiéndonos tener un control directo y preciso sobre muchos objetos que están involucrados en la organización tales como usuarios, equipos y otros.

 

Como administradores o personal de IT que tiene acceso al sistema es importante saber que Windows Server ha sido desarrollado con el propósito de tener un control preciso y en tiempo real sobre cada acción que ejecutan los usuarios y mediante la cual nosotros podremos definir las políticas o requisitos que deben ser cumplidos por los usuarios en la organización.

 

Este tutorial hoy analizará en detalle cómo podemos crear políticas asociadas a la contraseña y bloqueo de cuentas en Windows Server 2016.

 

El siguiente videotutorial te muestra cómo realizar todo el proceso de creación de políticas relacionadas con las password y la limitación de cuentas dentro de Windows Server 2016.

 

 

 

 


1. Políticas de contraseña en Windows Server 2016


A partir de Windows Server 2088 R2 Microsoft decidió implementar políticas de contraseña estrictas con el fin de optimizar y mejorar los niveles de seguridad en la organización.

 

Estas políticas de usuario serán aplicadas exclusivamente a los objetos "Usuarios" o bien a los objetos "inetOrgPerson" en caso de usar estos.

 

Al implementar una política de contraseñas en la organización podemos estar seguros que mejorara de forma notable la seguridad y acceso a los equipos cliente al forzar el ingreso de determinados parámetros de contraseñas. Las recomendaciones para establecer una correcta política de contraseñas son:

  • Establecer "Exigir historial de contraseñas a 24" ya que esto nos ayudará a prevenir múltiples vulnerabilidades provocados por la reutilización de contraseñas.
  • Establecer "Vigencia máxima de la contraseña 60 días" al forzar la caducidad de las contraseñas entre los ciclos de negocios principales para evitar la pérdida de trabajo.
  • Configurar "Vigencia mínima de contraseña" para que no se permitan cambios inmediatos de contraseñas.
Podemos ver que es vital configurar de forma adecuada nuestras políticas para evitar ataques y fallos de seguridad en el acceso de los usuarios.

 

 


2. Acceder al Editor de políticas de grupo de Windows Server 2016

 

Paso 1

Para iniciar el proceso de configuración de las políticas de contraseña en Windows Server 2016 debemos acceder al editor de políticas de grupo y para ello contamos con las siguientes opciones. Usar la combinación de teclas siguiente y en la ventana desplegada ingresar el comando gpedit.msc, pulsamos Enter o Aceptar.

 

 

+ R

 

 

 

 

 

Paso 2

El segundo método disponible es ir a la ruta Panel de control\Todos los elementos de Panel de control\Herramientas administrativas y allí seleccionar la opción "Directiva de seguridad local".

 

 

 

Paso 3

Usando el método deseado debemos ir a la siguiente ruta:
  • Configuración del equipo
  • Configuración de Windows
  • Configuración de seguridad
  • Directivas de cuenta
  • Directiva de contraseñas.

 

 

 

 

Paso 4

Podemos ver que dicha política se compone de múltiples elementos como son:

 

Almacenar contraseñas con cifrado reversible
Esta política habilita la compatibilidad de protocolos que requieren la contraseña del usuario para el inicio de sesión.

 

Con esta política se pueden descifrar contraseñas que han sido previamente cifradas por lo cual no es recomendable su habilitación ya que algún atacante puede aprovechar su vulnerabilidad para descifrar la contraseña y acceder al equipo y con ello a los recursos compartidos.

 

Para realizar cualquier cambio sobre dicha política daremos doble clic sobre ella y podremos habilitarla o deshabilitarla según sea la necesidad.

 

 

 

Exigir historial de contraseñas
Con esta política determinamos la cantidad de nuevas contraseñas deben estar asociadas a la cuenta antes de poder usar de nuevo la contraseña antigua. El usar la misma contraseña de forma seguida puede resultar en una fallo de seguridad dentro de nuestra gestión ya que esta será más vulnerable a un ataque de fuerza bruta.

 

El valor por defecto es 10 lo cual indica que hasta dentro de 10 cambios de contraseñas nuevas podremos usar la contraseña actual.

 

Podemos configurar el rango de veces entre 0 y 24 pero el objetivo, a nivel de seguridad, es establecer la mayor cantidad de veces posibles.

 

Para su edición daremos doble clic sobre la política y editaremos los valores según sean necesarios.

 

 

 

 

La contraseña debe cumplir los requisitos de complejidad
Esta es una de las políticas más vitales para llevar a cabo una excelente configuración de políticas de contraseñas ya que acá definiremos los niveles de complejidad que deben ser obligatorios aplicar a la contraseña asignada por el usuario.

 

Con esta política indicamos la serie de requisitos a ser aplicados durante la creación de la contraseña como:

  • La contraseña no debe contener el samAccountName (Nombre de cuenta del usuario) o el DisplayName
  • (Nombre desplegado) sin importar si son mayúsculas o minúsculas.
  • Recomendable que posea los siguientes atributos:
  • Longitud mínima de 8 caracteres.
  • Contener caracteres especiales como ,!, $, #, %.
  • Incluir números.
  • Incluir letras mayúsculas y minúsculas.

 

 

 

 

 

Longitud mínima de la contraseña
Con esta política indicamos la cantidad mínima de caracteres que debe contener la contraseña para que sea aceptada por el sistema.

 

Allí podremos establecer valores entre 1 y 14 pero si dejamos el valor en 0 significa que el usuario ingresara sin contraseña. El valor por defecto en Windows Server 2016 es de 7 caracteres.

 

 

 

Vigencia máxima de la contraseña
Esta política nos permite definir la cantidad de tiempo, en días, en las cuales la contraseña caducará y será necesario forzar al usuario a cambiarla por una nueva siguiendo las políticas configuradas. El valor por defecto es 42 días.

 

 

 

 

Vigencia mínima de la contraseña
Indica el tiempo en el cual una contraseña puede ser usada antes de que el usuario decida modificarla. Allí podremos establecer tiempos entre 0 y 998 días.

 

 

 

 


3. Configurar políticas de bloqueo de cuentas de usuario en Windows Server 2016

 

Otra de las políticas a nivel de seguridad primordiales en Windows Server 2016 es la del bloqueo de cuentas ya que a través de ella podremos definir si un usuario no autorizado está intentando acceder al sistema y esto lo logramos configurando dicha política para que después de tres intentos fallidos la cuenta sea bloqueada por lo cual deben recurrir al administrador para su desbloqueo.

 

Paso 1

Para acceder a esta política vamos de nuevo al editor de políticas de grupo como lo hemos mencionado en la parte superior e iremos a la siguiente ruta:
  • Configuración del equipo
  • Configuración de Windows
  • Configuración de seguridad
  • Directivas de cuenta
  • Directiva de bloqueo de cuenta

 

 

 

 

Paso 2

Allí tenemos la posibilidad de configurar los siguientes parámetros:

 

Duración del bloqueo de cuenta
Esta política nos perite definir la cantidad de tiempo en la cual la cuenta involucrada permanecerá bloqueada y este tiempo se expresa en minutos en un rango entre 1 y 99.999 minutos; Si establecemos el valor cero (0) solo un administrador podrá desbloquear dicha cuenta.

 

Restablecer el bloqueo de cuenta después de
Con esta política definimos la cantidad de tiempo en minutos que deben pasar antes que el contador de intento de inicio de sesión este en cero para intentar nuevamente acceder a la cuenta.

 

Allí podremos definir un valor entre 1 y 99.999 minutos.

 

Umbral de bloqueo de cuenta
Esta es la política que nos permite llevar un control especial en términos de seguridad ya que allí definiremos la cantidad de intentos de inicio de sesión fallidos antes de que la cuenta sea bloqueada.

 

 

Es importante anotar que si dicho valor está en cero la cuenta no será bloqueada por lo cual esa opción no es recomendable. Allí podremos definir un valor entre 0 y 999. Esta política es la principal en esta sección ya que una vez bloqueada por intentos de sesión fallidos solo un administrador tendrá el derecho para deshabilitarla.

 

Comprendemos como Windows Server 2016 ofrece alternativas de seguridad sencillas de configurar y que sin lugar a dudas aumentan la seguridad en todo el entorno IT.

 

Gestiona de forma personalizada la seguridad de tu dominio gracias a las políticas de contraseñas granulares desde tu Windows Server 2016.

¿Te ayudó este Tutorial?

Ayuda a mejorar este Tutorial!
¿Quieres ayudarnos a mejorar este tutorial más? Puedes enviar tu Revisión con los cambios que considere útiles. Ya hay 0 usuario que han contribuido en este tutorial al enviar sus Revisiones. ¡Puedes ser el próximo!