⛔️ OBLIGA el uso de CONTRASEÑAS SEGURAS -

Contenido del Artículo

Concienciar a nuestros usuarios para que utilicen contraseñas seguras, es una tarea bastante compleja, por lo que, la mejor medida que podemos tomar, es que nosotros mismos creemos una política restrictiva de contraseñas en nuestros sistemas 😈.

De esta manera, no depende de la buena fe y responsabilidad de nuestros usuarios, si no que, el propio sistema operativo, se encargará de hacer responsables a nuestros compañeros de empresa.

Esta guía está enfocada para sistemas de servidor Windows Server, por lo que si quieres añadir un poco de Hardening en tu empresa, has llegado al lugar adecuado.

Windows Server 2012/2016/2019

El sistema Windows Server es ampliamente utilizado para servir de Controlador de dominio, prácticamente todas las empresas lo tienen instalado, así que, vamos a ver como aplicaríamos una política restrictiva de contraseñas en nuestro dominio.

Evidentemente, lo primero que necesitamos es tener el Rol de Active Directory instalado en nuestro servidor Windows, que hará de controlador de dominio, para que los usuarios puedan logarse en nuestra entidad corporativa.

Una vez hemos accedido a nuestro servidor DC (Domain Controller), es la hora de abrir el editor de políticas de grupo, vamos, las GPO de toda la santa vida.

Para ello, tenemos varias formas:

Mediante Ejecutar (run en Inglish),

Simplemente haremos click derecho sobre nuestro icono de Windows y pulsaremos sobre «ejecutar (run)» o presionaremos la tecla windows + r en el atajo de nuestro teclado.

Una vez tenemos la ventana abierta, escribiremos gpmc.msc y le daremos a OK

De esta forma, se nos abrirá el administrador de políticas de grupo.

Mediante Panel De Control,

Si vuestro sistema no admite el msc de gpmc, simplemente nos iremos a panel de control/Sistema y Seguridad/Herramientas Administrativas y haremos doble click sobre administrador de políticas de grupo.

Perfest, ya lo tenemos abierto. Al ser una política que debemos aplicar a los equipos del dominio, no a usuarios, y teniendo en cuenta que ya tenemos nuestro árbol de OU (Organizational Unit) creado desde hace tiempo, simplemente crearemos nuestra GPO y la Linkearemos a la OU de equipos de nuestro dominio.

Para ello haremos click derecho sobre Objetos De Políticas De Grupo y le daremos a Nueva.

Pondremos un nombre descriptivo para nuestra GPO y pulsaremos sobre OK.

Nos cercioramos que ha sido creada y además, que esté habilitada para poderla usar.

Bien, ahora tenemos un papel en blanco, por lo que tenemos que habilitar la política restrictiva de contraseñas.

Para ello, click derecho sobre la política que hemos creado y le daremos a Editar.

Se nos abrirá una nueva ventana de edición e iremos desplegando el árbol para llegar a la siguiente ruta,

Configuración de Equipo/Políticas/Configuración de Windows/Configuración De Seguridad/Políticas De Cuenta/Políticas De Contraseña.

En el lado derecho, vamos a definir nuestra política de contraseñas con los valores adecuados, pero antes, os explico brevemente que hace cada una de las opciones:

Hacer cumplir el historial de contraseñas: determina la cantidad de contraseñas antiguas almacenadas en AD, lo que evita que un usuario utilice una contraseña antigua.
Antigüedad máxima de contraseñas: establece la caducidad de la contraseña en días. Una vez que expire la contraseña, Windows le pedirá al usuario que la cambie. Asegura la regularidad de los cambios de contraseña por parte de los usuarios
Antigüedad mínima de las contraseñas: establece la frecuencia con la que los usuarios pueden cambiar sus contraseñas. Esto permite que el usuario pueda cambiar la contraseña por su cuenta X veces, por ejemplo, si se compromete su cuenta, podrá cambiarla el/ella mismo/a, sin que el administrador del sistema tenga que intervenir.
Longitud máxima de las contraseñas: se recomienda que las contraseñas contengan al menos 8 caracteres (si especificas 0 aquí, la contraseña no es necesaria).
Las contraseñas deben cumplir los requerimientos de complejidad: Si habilitamos esta política, el usuario no podrá usar el nombre de su cuenta como contraseña o que contenga parte de su username, también le obligará a que la contraseña contenga algún número, mayúsculas, minúsculas y caracteres especiales.
Almacene las contraseñas mediante cifrado reversible: las contraseñas de los usuarios se almacenan cifradas en la base de datos de AD, pero en algunos casos debe otorgar acceso a las contraseñas de los usuarios a algunas aplicaciones. Si esta configuración de política está habilitada, las contraseñas están menos protegidas (casi texto sin formato). No es seguro (un atacante puede obtener acceso a la base de datos de contraseñas si el DC está comprometido).

Según las recomendaciones del propio INCIBE en materia de contraseñas, debemos utilizar contraseñas robustas, por lo que yo recomiendo la siguiente configuración en esta política,

La restricción siempre va a depender del equipo de ciberseguridad, ellos nos darán las políticas que se deben seguir y nosotros, los sysadmin, aplicaremos en consecuencia.

Bien, ahora linkearemos la GPO que hemos creado a nuestra OU de ordenadores para terminar. Para ello, simplemente haremos click derecho sobre la OU donde queremos linkar la GPO (en mi caso ORDENADORES) y elegiremos la opción Enlazar una GPO Existente.

Seleccionamos la GPO que acabamos de configurar y le daremos a OK.

Y forzamos que se aplique la política enlazada, click derecho sobre la política y pulsaremos sobre Forzar.

Con esto ya tendríamos nuestra política aplicada a todos los ordenadores de la compañía, o al menos, a los que están dentro de la OU que hemos elegido.

Si nos vamos a un equipo y probamos a poner una contraseña poco segura, como por ejemplo 1234, nos aparecerá el siguiente error, confirmando que la política está habilitada.