A la hora de definir contraseñas para el inicio de sesión, no es recomendable que a los usuarios se les permita poner contraseñas de cualquier longitud y complejidad, y mucho menos que puedan dejarla en blanco.
Es por eso que debemos obligar a los usuarios a poner contraseñas robustas definiendo unas políticas acordes a complejidad y renovación de las mismas cumpliendo así con unos mínimos recomendados.
Acceder a la directiva de contraseña
Para acceder tan solo tenemos que ejecutar gpmc.msc para editar "Default Domain Policy".
Como vemos en la imagen debemos editar la Directiva de Dominio, de esta manera se abrirá el Editor de administración de directivas de grupo.
En el Editor de administración de directivas de grupo accedemos a la directiva de contraseñas:
Configuración del equipo > Directivas > Configuración de Windows > Configuración de Seguridad > Directivas de cuenta > Directiva de contraseñas
Configuraciones posibles en la política de contraseñas
Cuando se edita un Objeto de Directiva de Grupo (GPO) estándar desde la Consola de Administración de Directivas de Grupo (GPMC), se encuentran las mismas opciones que para una cuenta local. Se encontrarán tres carpetas de políticas: Política de contraseñas, Política de bloqueo de cuentas y Política de Kerberos.
Para cada una de estas opciones existe una configuración predeterminada que se detalla a continuación:
Para cada una de estas opciones existe una configuración predeterminada que se detalla a continuación:
Limitaciones de la política de contraseñas para usuarios de dominio
Los usuarios de dominio son aquellos que se crean y almacena en la base de datos de Active Directory. Esto significa que todos los usuarios que se encuentran almacenados en los Controladores de Dominio (DC) se incluyen en esta definición. Una manera de ver esto es abrir Usuarios y equipos de Active Directory (ADUC) y realizar una búsqueda de todos los usuarios de dominio, cada usuario que aparece en esta búsqueda cae en este ámbito.
La única forma de controlar la política de contraseñas para los usuarios de dominio es configurar la políticas de la cuentas en una GPO vinculada al dominio. Esta es la única forma por defecto, por lo tanto se puede crear una nueva GPO y configurar una nueva política con la preferencia mas alta en GPMC, el resultado será que esta nueva GPO controlará la configuración de la política de las cuentas de todos los usuarios de dominio.
- La política de dominio predeterminada define las políticas de contraseña para todos los usuario en Active Directory y cada usuario ubicado en la SAM local de cada servidor y cliente que se una a dominio.
- Solo puede haber una política de contraseñas para los usuarios de dominio que usan las Políticas de grupo.
- No es posible configurar la política de contraseñas en un GPO vinculada a una unidad organizativa y que afecte de manera diferente a otros usuarios en el dominio u a otra unidad organizativa.
- La configuración de la política de contraseñas no se puede ampliar para incluir configuraciones adicionales sin utilizar una herramienta de terceros o desarrollar una propia.
- No es posible configurar una política de contraseñas para el dominio raíz y hacer que se propague los otros dominios en un árbol de Active Directory.
FGPP (Fine Grained Password Policy)
Ya hemos visto como funciona de forma predeterminada la política de contraseñas y sus limitaciones. Es exactamente como se comportaban las versiones anteriores a 2008, es por eso que para agregar esta nueva característica de Windows Server es necesario que el nivel funcional del dominio sea Windows Server 2008.
FGPP nos permite crear varias políticas de contraseña en el mismo dominio de Active Directory.
Este método no usa la Política de grupo sino que modifica la base de datos de Active Directory. La base de datos se modifica agregando objetos adicionales conocidos como objetos de configuración de contraseña (PSO).
Para configurar FGPP se deben realizar los siguientes pasos:
FGPP nos permite crear varias políticas de contraseña en el mismo dominio de Active Directory.
Este método no usa la Política de grupo sino que modifica la base de datos de Active Directory. La base de datos se modifica agregando objetos adicionales conocidos como objetos de configuración de contraseña (PSO).
Para configurar FGPP se deben realizar los siguientes pasos:
- Ejecutar ADSIEDIT.MSC en el AD.
- Seleccionar en la barra de herramientas la opción "Acción" y "Conectar a..."
- En el cuadro de dialogo "Configuración de conexión" hacer click en Aceptar (Figura 1.)
- Dentro de ADSIEDIT expandir la vista de dominio hasta CN=System para ver el contenido disponible en ese nodo.
- Click derecho sobre CN=Password Setting Container de configuración de contraseña
- Seleccionar "Nuevo > Objeto..."
- Completar los valores para cada entrada (Tabla de valores FGPP)
 |
| Figura 1. Opciones de conexión Tabla de valores FGPP / PSO para crear un objeto |
Hay que tener en cuenta que los valores para minuto/hora/dia de la tabla anterior estan en formato tipo "18". El tipo "18" sigue un formato impar como se puede ver en la siguiente tabla:
Para vincular la FGPP / PSO al usuario o grupo se deberá configurar el atributo en el objeto. Para asegurarse de que está configurado correctamente:
 |
| Configuración del filtro FGPP para ver los atributos correctos al configurar los permisos |
En la lista de atributos de FGPP hay que desplazarse hacia abajo y buscar msDS-PSOApplies To. Hacer doble click sobre el atributo para agregar nuevo DN (Distinguished Name) o Cuenta de usuario:
 |
| DN múltivalor en el editor FGPP |
Podemos ingresar un nombre de dominio, nombre de usuario o grupo de seguridad. En este ejemplo agregamos al usuario "vgil".
 |
| Usuario vgil agregado a HRPasswordPolicy |
Conclusiones
Se puede usar ADSIEDIT.MSC para crear y configurar uno o más objetos FGPP, lo que nos permitirá tener múltiples políticas de contraseñas en el mismo dominio. Las FGPP / PSO se asociarán a con un nombre de dominio, usuario o grupo, y no tienen nada que ver con la Política de grupo.
De esta manera se puede obtener distintas políticas para diferentes usuarios o grupos en el mismo dominio de Active Directory.
No hay comentarios:
Publicar un comentario