Directiva de contraseñas

Se aplica a: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Este tema de referencia de la directiva de seguridad para profesionales de TI proporciona una visión general de las directivas de contraseñas para Windows y vínculos a información para cada configuración de directiva.

En muchos sistemas operativos, el método más común para autenticar la identidad de un usuario es utilizar una frase de contraseña secreta o contraseña. Un entorno de red seguro requiere que todos los usuarios que usen contraseñas seguras, que tienen al menos ocho caracteres e incluyen una combinación de letras, números y símbolos. Las contraseñas ayudan a evitar el riesgo de las cuentas de usuario y cuentas administrativas, usuarios no autorizados que utilicen métodos manuales o herramientas automatizadas para adivinar las contraseñas. Contraseñas seguras que se modifiquen con regularidad reducen la probabilidad de un ataque de contraseña correcto.

Introducida en Windows Server 2008 R2 y Windows Server 2008, Windows admite directivas de contraseña muy específicas. Esta característica proporciona a las organizaciones una manera de definir otra contraseña y directivas de bloqueo de cuenta para distintos conjuntos de usuarios en un dominio. Dominios de Windows 2000 Server y Windows Server 2003 Active Directory, directiva de contraseña y la directiva de bloqueo de cuenta se puede aplicar a todos los usuarios del dominio. Directivas de contraseña específica se aplican sólo a los objetos de usuario (o los objetos inetOrgPerson si se utilizan en lugar de objetos de usuario) y grupos de seguridad global.

Para aplicar una directiva de contraseña específica a los usuarios de una unidad organizativa, puede usar un grupo de instantáneas. Un grupo de instantáneas es un grupo de seguridad global que se asigna de forma lógica a una unidad organizativa para aplicar una directiva de contraseña específica. Agregar usuarios de la unidad organizativa como miembros del grupo de instantáneas recién creado y, a continuación, aplicar la directiva de contraseña específica a este grupo de instantáneas. Puede crear grupos de sombra adicionales para otras unidades organizativas según sea necesario. Si mueve un usuario de una unidad organizativa a otra, debe actualizar la pertenencia de los grupos correspondientes de la sombra.

Las directivas de contraseña muy específicas incluyen atributos de todas las configuraciones que se pueden definir en la directiva de dominio predeterminada (excepto la configuración de Kerberos) además de la configuración del bloqueo de cuenta. Cuando se especifica una directiva de contraseña específica, debe especificar todas estas configuraciones. De manera predeterminada, solamente los miembros del grupo Administradores de dominio pueden establecer directivas de contraseña específica. No obstante, también puede delegar la capacidad de establecer estas directivas a otros usuarios. El dominio debe estar ejecutando al menos Windows Server 2008 R2 o Windows Server 2008 para usar las directivas de contraseña muy específicas. Directivas de contraseña específica no se puede aplicar directamente a una unidad organizativa (OU).

Directivas de contraseña específica no interfieren con filtros de contraseñas personalizadas que puede usar en el mismo dominio. Las organizaciones que han implementado filtros personalizados de contraseña en controladores de dominio que ejecutan Windows 2000 Server o Windows Server 2003 pueden seguir utilizando esos filtros de contraseña para exigir restricciones adicionales para las contraseñas. Para obtener más información acerca de las directivas de contraseña muy específicas, consulte AD DS: directivas de contraseña específica.

Puede exigir el uso de contraseñas seguras a través de una directiva de contraseña adecuadas. Hay configuraciones de directiva de contraseña que controlan la complejidad y la duración de las contraseñas, como la las contraseñas deben cumplir los requisitos de complejidad configuración de directiva.

Puede configurar la configuración de directiva de contraseñas en la siguiente ubicación mediante el uso de la consola de administración de directivas de grupo en el controlador de dominio:

Configuración de equipo\Configuración de Windows\Configuración de seguridad\Directivas Cuenta\directiva

Si los grupos individuales requieren directivas de contraseña distintos, estos grupos deben separarse en otro dominio o bosque, en función de los requisitos adicionales.

Para obtener información acerca de cómo establecer directivas de seguridad, consulte Cómo configurar opciones de directiva de seguridad.

Los temas siguientes proporcionan una explicación de la implementación de directivas de contraseña y consideraciones de prácticas recomendadas, ubicación de la directiva, valores predeterminados para el tipo de servidor o el GPO, diferencias relevantes en las versiones de sistema operativo, consideraciones de seguridad (incluidas las posibles vulnerabilidades de cada configuración), las medidas que puede tomar y el potencial impacto para cada configuración.

• Exigir historial de contraseñas

• Duración máxima

• Vigencia mínima de contraseña

• Longitud mínima de la contraseña

• Contraseña debe cumplir los requisitos de complejidad

• Almacenar contraseñas usando cifrado reversible