Vigilancia de seguridadDirectivas de contraseñas de dominio de Windows

Derek Melber

Si es administrador de un dominio de Windows, conocerá muy bien las restricciones relacionadas con las directivas de contraseñas para cuentas de usuario de dominio. Sin embargo, con la llegada de Windows Server 2008, algunas de esas limitaciones desaparecerán. Echemos un vistazo a la manera en que el nuevo sistema operativo resuelve un problema: la incapacidad de implementar varias directivas de contraseñas.

Si ejecuta cualquier versión actual de dominio de Windows® (Windows NT®, Windows 2000 Active Directory® o Windows Server® 2003 Active Directory), se ve limitado a una sola directiva de contraseñas por dominio. En realidad, la limitación no está únicamente en la directiva de contraseñas, sino en el ámbito más amplio de la configuración incluido en las directivas de cuentas. La figura 1 muestra estas directivas y la configuración.

Figure 1 Directivas de cuenta

Directiva de contraseñas
Aplicar el historial de contraseñas
Vigencia máxima de la contraseña
Vigencia mínima de la contraseña
Longitud mínima de contraseña
La contraseña debe cumplir requisitos de complejidad
Almacenar contraseñas con cifrado reversible
Directiva de bloqueo de cuenta
Duración del bloqueo de cuenta
Umbral de bloqueo de cuenta
Restablecer recuentos de bloqueo de cuenta tras...
Directiva Kerberos
Aplicar restricciones de inicio de sesión de usuario
Vigencia máxima del vale de servicio
Vigencia máxima del vale de usuario
Vigencia máxima de renovación de vales de usuario
Tolerancia máxima para la sincronización de los relojes de los equipos
 

Esta configuración de directiva se aplica, de forma predeterminada, a todo el dominio y las cuentas de usuario asociadas al dominio. Esto ocurre debido al modo en que la directiva de grupo se hereda mediante la estructura de Active Directory. Para hacerse una idea más clara sobre el modo en que estas directivas afectan a las cuentas de usuario locales y de dominio, es importante comprender dónde se establecen estas directivas y cómo afecta la herencia de directiva de grupo a todas las cuentas de usuario diferentes. (Tenga en cuenta que la configuración de directiva de Kerberos sólo se aplica a cuentas de usuario de dominio, ya que son las únicas que usan Kerberos para la autenticación. En su lugar, las cuentas de usuario locales usan NTLMv2, NTLM o LM para la autenticación.)

Establecimiento de directivas de cuenta

Dentro de Active Directory, la directiva de grupo establece y controla las directivas de cuenta para todo el dominio. Esto ocurre en la instalación inicial del dominio de Active Directory y se realiza teniendo un objeto de directiva de grupo (GPO) predeterminado que está vinculado al nodo de dominio en Active Directory. Este GPO, denominado directiva predeterminada de dominios, tiene configuraciones predeterminadas para las tres secciones de las directivas de cuenta. La figura 2 muestra una lista completa de la configuración inicial de los elementos de la directiva de contraseñas en un dominio de Windows Server 2003.

Figura 2 Directivas de contraseñas predeterminadas para el dominio de Windows Server 2003

Figura 2** Directivas de contraseñas predeterminadas para el dominio de Windows Server 2003 **(Hacer clic en la imagen para ampliarla)

La configuración en este GPO controla las directivas de cuenta para todas las cuentas de usuario de dominio, así como para todos los equipos del dominio. Es importante recordar que todos equipos del dominio (escritorios y servidores) tienen un Administrador de cuentas de seguridad (SAM) local. Este SAM se controla mediante la configuración en este GPO predeterminado. Como es obvio, los SAM locales también contienen cuentas de usuario locales para el equipo respectivo.

La configuración de la directiva predeterminada de dominios afecta a todos los equipos del dominio mediante la herencia normal de GPO por la estructura de Active Directory. Puesto que este GPO está vinculado al nodo de dominio, todas las cuentas de equipo del dominio también se verán afectadas.

Lo que no se puede hacer con las directivas de contraseña actuales

Existen varias ideas equivocadas sobre los controles de contraseña en torno a la implementación actual de Active Directory (en Windows Server 2003), pese a haber transcurrido años de pruebas rigurosas y no existir ninguna prueba que haya demostrado jamás que esas ideas equivocadas sean ciertas. Está claro, o debería estarlo, que esta directiva no funcionará en modos distintos al original, para el que se diseñó.

A pesar de lo dicho, muchos administradores creen que es posible tener varias directivas de contraseñas para usuarios en el mismo dominio. Piensan que se puede crear un GPO y vincularlo a una unidad organizativa (UO). La idea consiste en desplazar cuentas de usuario a la unidad organizativa para que el GPO afecte a los objetos. Dentro del GPO, las directivas de cuenta se modifican para crear una directiva de contraseñas más segura, quizás estableciendo la longitud máxima de la contraseña en 14 caracteres. Sin embargo, por varios motivos, esta configuración nunca ofrecerá el resultado deseado. En primer lugar, la configuración de la directiva de contraseñas está basada en equipos en lugar de en usuarios. Con esta base para la configuración, nunca afectarán a las cuentas de usuario. En segundo lugar, la única manera de modificar la configuración de directiva de cuenta para una cuenta de usuario de dominio radica en un GPO vinculado al dominio. Los GPO vinculados a la unidad organizativa que están configurados para modificar la configuración de directivas de cuenta modificarán el SAM local de equipos que residen en la unidad organizativa o que están en subunidades organizativas de la unidad organizativa vinculada.

Una segunda idea equivocada es que la configuración de directivas de cuenta establecidas en el dominio raíz (el dominio inicial del bosque de Active Directory) irá introduciéndose poco a poco o se heredará a través de los dominios secundarios del bosque. Esto tampoco es así y además no es posible hacer que la configuración funcione de esta manera. Los GPO vinculados al dominio y las unidades organizativas incluidas dentro de un dominio no afectarán a objetos de otro dominio, incluso si el dominio al que el GPO está vinculado es el dominio raíz. El único método para que la configuración de GPO abarque objetos en dominios diferentes es vincular los GPO a sitios de Active Directory.

Lo que guardan las contraseñas

Como acabamos de ver, las versiones actuales de Windows tratan las contraseñas de cuenta de usuario de una manera sencilla. Esto incluye un solo conjunto de reglas de contraseña para todas las cuentas de dominio, así como la administración de las directivas de cuenta a través de un objeto de directiva de grupo vinculado al nodo de dominio en Active Directory. Todo esto desaparece con la llegada de Windows Server 2008.

Windows Server 2008 y la infraestructura de Active Directory que incorpora, adoptan un enfoque diferente. En lugar de tener las directivas de cuenta en un GPO, lo que sólo permitía establecer una única directiva para todas las cuentas de usuario de dominio, ahora la configuración se ha desplazado a una parte más profunda de Active Directory. Además, las directivas de cuenta ya no se basan en cuentas de equipo. Ahora puede dirigirse a usuarios individuales y a grupos de usuarios para controlar sus restricciones de contraseña. Se trata de un concepto radicalmente nuevo para los administradores de Windows, ya que hemos estado tratando con directivas de cuenta para cuentas de equipo durante tanto tiempo.

Directivas de cuenta dentro de Windows Server 2008

En Windows Server 2008, no tendrá que establecer directivas de cuenta con la directiva predeterminada de dominios. De hecho, no tendrá que usar en absoluto GPO para crear directivas de cuenta para cuentas de usuario de dominio. En Windows Server 2008, se le dirigirá a la base de datos de Active Directory para que haga sus modificaciones. En particular, deberá usar una herramienta como ADSIEdit para modificar el objeto de Active Directory y sus atributos asociados.

El motivo de este cambio es que la directiva de grupo no está diseñada para varias contraseñas dentro del mismo dominio. La implementación de las capacidad de tener diversas contraseñas por dominio en Windows Server 2008 es elegante, aunque no tan sencilla como le gustaría a mucha gente. Sin embargo, con paso del tiempo será más fácil tener acceso a la interfaz para establecer la configuración. De momento, si quiere realizar cambios en el sistema tendrá que hacerlo manipulando las bases de datos de Active Directory.

No necesita usar ADSIEdit para modificar la configuración de directiva de cuenta si prefiere hacerlo de manera diferente. Puede usar cualquier otra herramienta de edición de LDAP que pueda explorar la base de datos de Active Directory o incluso usando scripts. Al implementar sus directivas de contraseñas en Windows Server 2008, deberá adoptar un enfoque muy diferente al que haya adoptado anteriormente. Las nuevas capacidades significan que deberá tener en cuenta los usuarios y grupos que recibirán cada configuración de contraseñas.

Se debe tener en cuenta no sólo la longitud de la contraseña sino también las restricciones adicionales que acompañan a la configuración de la directiva de contraseñas, como la antigüedad mínima y máxima, el historial, etc. Otras cuestiones relacionadas son cómo controlar la configuración de directivas de bloqueo de usuario y la configuración de Kerberos. Existe una relación de uno a uno entre la configuración actual de directiva de cuenta y la que está establecida en la base de datos de Active Directory en Windows Server 2008. Sin embargo, es importante tener en cuenta que los nombres de cada configuración de directiva son diferentes ahora que son objetos y atributos de Active Directory.

Para implementar la nueva configuración de contraseña, debe crear un objeto configuraciones de contraseña (PSO) denominado msDS-PasswordSettings en el contenedor de la configuración de contraseña, que tiene la ruta de acceso de LDAP de "cn=Configuración de contraseña,cn=Sistema,dc=nombrededominio,dc=com." Tenga en cuenta que el nivel funcional del dominio en el que está trabajando debe estar establecido en Windows Server 2008. En este nuevo objeto, deberá completar la información para varios atributos, como se muestra en la figura 3.

Figure 3 Atributos de la contraseña en Active Directory

Nombre de atributo de Active Directory Descripción del atributo
msDS-PasswordSettingsPrecedence Establece lo que tiene prioridad en las situaciones en que un usuario es miembro de varios grupos con directivas de contraseñas diferentes.
msDS-PasswordReversibleEncryptionEnabled Alterna si está habilitado el cifrado reversible.
msDS-PasswordHistoryLength Determina cuántas de las contraseñas que intervienen deben ser únicas para poder volver a usar una.
msDS-PasswordComplexityEnabled Establece el número y el tipo de caracteres necesarios en una contraseña.
msDS-MinimumPasswordLength Establece la longitud mínima de una contraseña.
msDS-MinimumPasswordAge Determina el tiempo que un usuario debe usar una contraseña antes de cambiarla.
msDS-MaximumPasswordAge Determina el tiempo que un usuario puede usar una contraseña antes de que se le solicite cambiarla.
msDS-LockoutThreshold Determina el número de intentos con error de la contraseña que se permitirán antes de bloquear la cuenta del usuario.
msDS-LockoutObservationWindow Determina el tiempo a partir del cual se restablecerá el contador de contraseña incorrecta.
msDS-LockoutDuration Determina el intervalo tiempo que estará bloqueada la cuenta tras provocar demasiados intentos con error de la contraseña.
   

Como puede ver, todas las opciones de directiva de grupo relacionadas con la configuración de directiva de cuenta están duplicadas como atributos. Tenga en cuenta que también hay una opción de prioridad; esto resulta esencial para implementar varias contraseñas en el mismo dominio, ya que seguramente surgirán conflictos y deberá existir un mecanismo para tratar con ellos.

Dirigirse a la configuración de la directivas de cuenta

Para cada objeto que cree, deberá rellenar todos los atributos para moldear la directiva de cuenta para cada usuario. Existe un atributo nuevo, msDS-PSOAppliesTo, que determina los objetos que recibirán el conjunto de la configuración de directiva. Se trata del atributo especial que le permite canalizar opciones específicas a usuarios específicos. La lista incluida en este atributo puede estar constituida por usuarios o grupos pero, igual que ocurre con todo al establecer una lista de control de acceso, es mejor usar grupos en lugar de usuarios. Los grupos son más estables, más visibles y generalmente mucho más fáciles de usar.

Ovaciones y aplausos

Durante muchos años todos hemos deseado poder usar varias contraseñas dentro del mismo dominio de Active Directory, y ahora podemos. Ya no se conservará el mismo nivel de seguridad a cada usuario de todo el dominio en lo que a contraseñas respecta. Ahora, por ejemplo, podrá tener usuarios normales con una contraseña de 8 caracteres y profesionales de TI (que pueden tener privilegios de administrador) con una contraseña más compleja de 14 caracteres.

Pasará algún tiempo hasta que se acostumbre a entrar la base de datos de Active Directory para establecer o modificar la configuración de directiva de cuenta. Sin embargo, afortunadamente, la nueva configuración imita el entorno con el que ya está familiarizado. Asegúrese de explorar esta nueva configuración tan pronto como tenga disponible Windows Server 2008, ya que seguro que será el primer conjunto de configuraciones que realice.

Derek Melber, MCSE, CISM, MVP, es un consultor e instructor independiente. Se dedica a educar y difundir la tecnología de Microsoft, centrándose en Active Directory, directivas de grupo, seguridad y administración de escritorio. Derek es autor de varios libros de TI, incluida la Guía de directiva de grupo de Microsoft Windows (Microsoft Press, 2005). Puede ponerse en contacto con él en derekm@braincore.net.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.