Windows Server Active Directory
Administra políticas de vencimiento de contraseña en Active Directory utilizando la política de grupo. Aquí hay una guía paso a paso:
1. Gestión de políticas de grupo abierto:
* Vaya a Inicio , escriba `gpmc.msc` y presione Enter . Esto abre la consola de gestión de políticas grupales (GPMC).
* Alternativamente, puede encontrarlo bajo Herramientas administrativas .
2. Navegue al dominio o ou:
* En el GPMC, expanda su bosque , luego expanda sus dominios .
* Haga clic derecho en cualquiera de los dos:
* Tu dominio: Esto aplica la política a * Todos * usuarios en el dominio. Generalmente esto es * no * recomendado para el control granular.
* Unidad organizacional (OU): Esto le permite aplicar diferentes políticas a diferentes grupos de usuarios. Esta es la mejor práctica para administrar diferentes políticas de contraseña.
* Seleccione "Crear un GPO en este dominio y vincularlo aquí ..." (o "enlace un GPO existente ..." Si ya tiene un GPO adecuado). Proporcione al nuevo GPO un nombre descriptivo (por ejemplo, "Política de vencimiento de contraseña - Usuarios estándar").
3. Edite el objeto de política de grupo (GPO):
* Haga clic derecho en el GPO recién creado (o vinculado) en el GPMC y seleccione "Editar" . Esto abre el editor de gestión de políticas grupales.
4. Navegue a la configuración de la contraseña:
* En el editor de gestión de políticas grupales, navegue a:
* Configuración de la computadora (Aquí es donde se configuran las políticas de contraseña)
* Políticas
* Configuración de Windows
* Configuración de seguridad
* Políticas de cuenta
* Política de contraseña
5. Configurar la configuración de la política de contraseña:
* Verá varias configuraciones que puede configurar:
* "aplicar el historial de contraseñas": Esto evita que los usuarios reutilen las contraseñas antiguas. Establezca un valor como "24 contraseñas recordadas" para evitar que los usuarios simplemente se vuelven en bicicleta a través de ligeras variaciones de la misma contraseña.
* "edad de contraseña máxima": Esta es la configuración que estás buscando. Esto define cuánto tiempo es válido una contraseña antes de que el usuario se vea obligado a cambiarla. Establezca esto en un valor razonable, como "90 días" o "120 días". *IMPORTANTE:Investigue las mejores prácticas y requisitos reglamentarios antes de establecer esto. La vida corta de la contraseña a veces puede conducir a contraseñas más débiles, ya que los usuarios eligen opciones fácilmente adivinables.
* "edad mínima de contraseña": Esto evita que los usuarios cambien su contraseña con demasiada frecuencia (por ejemplo, inmediatamente después de ser obligados a cambiarla debido a la expiración). Un valor común es "1 día". Esto evita que los usuarios eluden el historial de contraseñas cambiando inmediatamente su contraseña varias veces.
* "Longitud mínima de contraseña": Esto es *crítico *. Haga cumplir una fuerte longitud de contraseña mínima. *Como mínimo*, usa 12 caracteres. 14-16 es preferible. Las contraseñas más largas son exponencialmente más difíciles de descifrar.
* "La contraseña debe cumplir con los requisitos de complejidad": Habilitar esto. Esta configuración requiere que las contraseñas contengan una combinación de letras mayúsculas, letras minúsculas, números y símbolos. Esto es muy importante para la seguridad.
* "Almacene las contraseñas utilizando el cifrado reversible para todos los usuarios en el dominio": no habilite esto. Esta configuración es para escenarios muy específicos de compatibilidad hacia atrás (generalmente aplicaciones muy antiguas). Debilita significativamente la seguridad almacenando contraseñas de una manera relativamente fácil de descifrar.
6. Aplicar la política (si no es ya vinculada a un OU):
* Asegúrese de que el GPO esté vinculado al dominio o que desee aplicarlo (Paso 2).
* Group Policy actualizaciones periódicamente (generalmente cada 90 minutos con un desplazamiento de 30 minutos), pero puede forzar una actualización de una máquina de cliente o el servidor con el comando:`gpupdate /force`
7. Prueba:
* Después de aplicar la política, pruebe para asegurarse de que funcione como se esperaba. Inicie sesión con un usuario de prueba en el OU e intente cambiar la contraseña. Verifique los registros de eventos en busca de errores. Espere el período de vencimiento para transcurrir y vea si se le solicita al usuario que cambie su contraseña.
Consideraciones importantes para las políticas de contraseña de Active Directory:
* Políticas de contraseña de grano fino (FGPP): Si necesita diferentes políticas de contraseña para diferentes usuarios o grupos *dentro del mismo OU *, deberá usar políticas de contraseña de grano fino (FGPP). FGPP ofrece un control mucho más granular. Los FGPP se configuran utilizando el Centro Administrativo de Active Directory o PowerShell. Son más complejos de configurar que un GPO estándar. Los FGPP pueden tener prioridad sobre las políticas de dominio estándar, por lo que debe comprender el orden de precedencia.
* Complejidad de contraseña: La complejidad de la contraseña segura es vital. No subestimes la importancia de requerir una combinación de tipos de personajes.
* Educación del usuario: Educar a sus usuarios sobre la importancia de las contraseñas seguras y la política de contraseña. Explique por qué necesitan cambiar sus contraseñas y proporcionar consejos para crear contraseñas fuertes y memorables.
* Revisión regular: Revise su política de contraseña regularmente y ajústela según sea necesario según las mejores prácticas de seguridad y las necesidades de su organización.
* Política de bloqueo de cuenta: Configure una política de bloqueo de cuenta (también encontrada en las políticas de cuenta) para bloquear las cuentas de los usuarios después de un cierto número de intentos de inicio de sesión fallidos. Esto ayuda a prevenir ataques de contraseña de fuerza bruta. Considere establecer una duración de bloqueo razonable (por ejemplo, 30 minutos).
* Registro de auditoría: Habilite la auditoría para eventos de gestión de cuentas. Esto lo ayudará a rastrear los cambios de contraseña y otra actividad relacionada con la cuenta.
Linux (descripción general general)
En los sistemas Linux, las políticas de contraseña generalmente se gestionan utilizando `PAM_PWQUALALY.SO` (parte de los módulos de autenticación conectables, o PAM). La configuración se realiza a través de `etc/pam.d/` y `/etc/seguridad/pwQuity.conf`. Los detalles dependen de la distribución (por ejemplo, Debian/Ubuntu, Red Hat/CentOS).
1. editar `/etc/pam.d/common-password` (Debian/ubuntu):
* Abra este archivo con un editor de texto (como root).
* Encuentra la línea que incluye `pam_unix.so`. Se verá algo así como:
`` `` ``
Se requiere contraseña PAM_UNIX.SO ...
`` `` ``
* Agregar `pam_pwQuality.so` * antes *` pam_unix.so`. El orden es importante. Por ejemplo:
`` `` ``
Contraseña REQUISITA PAM_PWQUALY.SO RETRY =3
Se requiere contraseña PAM_UNIX.SO ...
`` `` ``
2. Editar `/etc/Security/PwQuality.Conf`:
* Abra este archivo con un editor de texto (como root).
* Este archivo define las reglas de la política de contraseña. La configuración común incluye:
* `minlen =12` (longitud mínima de contraseña)
* `mINCLASS =3` (número mínimo de clases de caracteres:mayúscula, minúscula, dígitos, símbolos)
* `dCredit =-1` (crédito máximo para dígitos)
* `UCredit =-1` (crédito máximo por cartas mayúsculas)
* `lcredit =-1` (crédito máximo para letras minúsculas)
* `ocredit =-1` (crédito máximo para otros caracteres, es decir, símbolos)
* `rechazar_username =true` (no permita que las contraseñas contengan el nombre de usuario)
* `difok =3` (el número de caracteres en la nueva contraseña que debe diferir de la contraseña anterior)
* `maxRepeat =3` (el número máximo de caracteres repetidos permitidos)
* `gecoscheck =1` (evitar que las contraseñas se deriven del campo GECOS (información del usuario)
3. Vestimato de contraseña (comando CHAGE):
* Los sistemas Linux generalmente usan el comando 'CHAGE` para administrar el envejecimiento de la contraseña.
* `CHAGE -L
* `CHAGE -M
* `CHAGE -M
* `CHAGE -W
* `CHAGE -D 0
* Para establecer una política de caducidad de contraseña predeterminada para * todos * nuevos usuarios, puede modificar `/etc/login.defs`. Busque las siguientes líneas y ajuste en consecuencia:
`` `` ``
Pass_max_days 90 # número máximo de días se puede usar una contraseña.
Pass_min_days 0 # Número mínimo de días permitido entre los cambios de contraseña.
Pass_warn_age 7 # Número de días Advertencia dada antes de que expire una contraseña.
`` `` ``
4. Prueba:
* Cree un usuario de prueba e intente establecer una contraseña que viole la política.
* Inicie sesión con el usuario de la prueba y verifique las advertencias de vencimiento de contraseña.
Consideraciones importantes para las políticas de contraseña de Linux:
* Distribución específica: La ubicación exacta de los archivos de configuración y las opciones disponibles pueden variar según la distribución de Linux. Consulte la documentación de su distribución.
* Privilegios raíz: Necesitará privilegios raíz (usando `sudo` o iniciar sesión como root) para modificar estos archivos de configuración.
* Pam: Comprender PAM es clave para configurar políticas de autenticación y contraseña en Linux.
* `CHAGE` comando: Familiarícese con el comando 'CHAGE` para administrar el envejecimiento de contraseñas de usuarios individuales.
Las mejores prácticas generales (aplicables a Windows y Linux):
* Contraseñas seguras: El núcleo de cualquier política de contraseña es hacer cumplir las contraseñas seguras. Esto significa:
* Longitud suficiente (al menos 12 caracteres, preferiblemente más larga)
* Complejidad (mezcla de mayúsculas, minúsculas, números y símbolos)
* Singularidad (no permita la reutilización de contraseñas anteriores)
* Evitar información personal (sin palabras de diccionario, nombres, cumpleaños, etc.)
* Autenticación multifactor (MFA): Implementar la autenticación multifactor (MFA) siempre que sea posible. Esto agrega una capa adicional de seguridad más allá de las contraseñas, lo que hace que sea mucho más difícil para los atacantes obtener acceso a las cuentas, incluso si han robado la contraseña.
* Administradores de contraseñas: Fomentar el uso de los administradores de contraseñas. Los administradores de contraseñas pueden generar y almacenar contraseñas fuertes y únicas para cada sitio web y aplicación, lo que facilita que los usuarios sigan una buena higiene de contraseñas.
* Auditorías regulares: Revise regularmente sus políticas y configuraciones de contraseña para asegurarse de que sean efectivos y actualizados. Verifique los registros para actividades sospechosas.
* Principio de menor privilegio: Solo otorgue a los usuarios los privilegios mínimos necesarios. Esto limita el impacto de una cuenta comprometida.
* Zero Trust: Adoptar un modelo de seguridad de confianza cero. Suponga que todos los usuarios y dispositivos están potencialmente comprometidos y requieren autenticación y autorización estricta antes de otorgar acceso a los recursos.
Siguiendo estos pasos y mejores prácticas, puede crear y mantener una política de vencimiento de contraseña segura que ayude a proteger sus sistemas y datos del acceso no autorizado. Recuerde adaptar la política a sus necesidades específicas de entorno y seguridad. ¡Buena suerte!