Windows Server es la última edición lanzada por Microsoft a nivel corporativo en la cual encontramos cientos de utilidades, roles y características que harán de nuestra tarea de administración una grata experiencia simplificando muchas acciones y permitiéndonos tener un control directo y preciso sobre muchos objetos que están involucrados en la organización tales como usuarios, equipos y otros.
Como administradores o personal de IT que tiene acceso al sistema es importante saber que Windows Server ha sido desarrollado con el propósito de tener un control preciso y en tiempo real sobre cada acción que ejecutan los usuarios y mediante la cual nosotros podremos definir las políticas o requisitos que deben ser cumplidos por los usuarios en la organización.
Este tutorial hoy analizará en detalle cómo podemos crear políticas asociadas a la contraseña y bloqueo de cuentas en Windows Server 2016.
El siguiente videotutorial te muestra cómo realizar todo el proceso de creación de políticas relacionadas con las password y la limitación de cuentas dentro de Windows Server 2016.
1. Políticas de contraseña en Windows Server 2016
A partir de Windows Server 2088 R2 Microsoft decidió implementar políticas de contraseña estrictas con el fin de optimizar y mejorar los niveles de seguridad en la organización.
Estas políticas de usuario serán aplicadas exclusivamente a los objetos "Usuarios" o bien a los objetos "inetOrgPerson" en caso de usar estos.
Al implementar una política de contraseñas en la organización podemos estar seguros que mejorara de forma notable la seguridad y acceso a los equipos cliente al forzar el ingreso de determinados parámetros de contraseñas. Las recomendaciones para establecer una correcta política de contraseñas son:
- Establecer "Exigir historial de contraseñas a 24" ya que esto nos ayudará a prevenir múltiples vulnerabilidades provocados por la reutilización de contraseñas.
- Establecer "Vigencia máxima de la contraseña 60 días" al forzar la caducidad de las contraseñas entre los ciclos de negocios principales para evitar la pérdida de trabajo.
- Configurar "Vigencia mínima de contraseña" para que no se permitan cambios inmediatos de contraseñas.
2. Acceder al Editor de políticas de grupo de Windows Server 2016
Para iniciar el proceso de configuración de las políticas de contraseña en Windows Server 2016 debemos acceder al editor de políticas de grupo y para ello contamos con las siguientes opciones. Usar la combinación de teclas siguiente y en la ventana desplegada ingresar el comando gpedit.msc, pulsamos Enter o Aceptar.
+ R
El segundo método disponible es ir a la ruta Panel de control\Todos los elementos de Panel de control\Herramientas administrativas y allí seleccionar la opción "Directiva de seguridad local".
Usando el método deseado debemos ir a la siguiente ruta:
- Configuración del equipo
- Configuración de Windows
- Configuración de seguridad
- Directivas de cuenta
- Directiva de contraseñas.
Podemos ver que dicha política se compone de múltiples elementos como son:
Con esta política se pueden descifrar contraseñas que han sido previamente cifradas por lo cual no es recomendable su habilitación ya que algún atacante puede aprovechar su vulnerabilidad para descifrar la contraseña y acceder al equipo y con ello a los recursos compartidos.
Para realizar cualquier cambio sobre dicha política daremos doble clic sobre ella y podremos habilitarla o deshabilitarla según sea la necesidad.
El valor por defecto es 10 lo cual indica que hasta dentro de 10 cambios de contraseñas nuevas podremos usar la contraseña actual.
Podemos configurar el rango de veces entre 0 y 24 pero el objetivo, a nivel de seguridad, es establecer la mayor cantidad de veces posibles.
Para su edición daremos doble clic sobre la política y editaremos los valores según sean necesarios.
Con esta política indicamos la serie de requisitos a ser aplicados durante la creación de la contraseña como:
- La contraseña no debe contener el samAccountName (Nombre de cuenta del usuario) o el DisplayName
- (Nombre desplegado) sin importar si son mayúsculas o minúsculas.
- Recomendable que posea los siguientes atributos:
- Longitud mínima de 8 caracteres.
- Contener caracteres especiales como ,!, $, #, %.
- Incluir números.
- Incluir letras mayúsculas y minúsculas.
Allí podremos establecer valores entre 1 y 14 pero si dejamos el valor en 0 significa que el usuario ingresara sin contraseña. El valor por defecto en Windows Server 2016 es de 7 caracteres.
3. Configurar políticas de bloqueo de cuentas de usuario en Windows Server 2016
Otra de las políticas a nivel de seguridad primordiales en Windows Server 2016 es la del bloqueo de cuentas ya que a través de ella podremos definir si un usuario no autorizado está intentando acceder al sistema y esto lo logramos configurando dicha política para que después de tres intentos fallidos la cuenta sea bloqueada por lo cual deben recurrir al administrador para su desbloqueo.
Para acceder a esta política vamos de nuevo al editor de políticas de grupo como lo hemos mencionado en la parte superior e iremos a la siguiente ruta:
- Configuración del equipo
- Configuración de Windows
- Configuración de seguridad
- Directivas de cuenta
- Directiva de bloqueo de cuenta
Allí tenemos la posibilidad de configurar los siguientes parámetros:
Allí podremos definir un valor entre 1 y 99.999 minutos.
Es importante anotar que si dicho valor está en cero la cuenta no será bloqueada por lo cual esa opción no es recomendable. Allí podremos definir un valor entre 0 y 999. Esta política es la principal en esta sección ya que una vez bloqueada por intentos de sesión fallidos solo un administrador tendrá el derecho para deshabilitarla.
Comprendemos como Windows Server 2016 ofrece alternativas de seguridad sencillas de configurar y que sin lugar a dudas aumentan la seguridad en todo el entorno IT.