Directivas de nivel de dominio

En esta página

	Descripción del módulo
	Objetivos
	Marco de aplicación
	Uso del módulo
	Introducción
	Directivas de cuenta
	Forzar el historial de contraseñas
	Vigencia máxima de la contraseña
	Vigencia mínima de la contraseña
	Longitud mínima de la contraseña
	Las contraseñas deben cumplir el requisito de complejidad
	Almacenar contraseña usando cifrado reversible para todos los usuarios del dominio
	Directiva de bloqueo de cuentas
	Duración del bloqueo de cuenta
	Umbral de bloqueos de la cuenta
	Restablecer la cuenta de bloqueos después de
	Directiva Kerberos
	Forzar restricciones de inicio de sesión de usuario
	Vigencia máxima del vale de servicio
	Vigencia máxima del vale de usuario
	Edad máxima de renovación de tíquets de usuario
	Tolerancia máxima para la sincronización de los relojes de los equipos

Descripción del módulo

En este módulo se describe cómo establecer las directivas de nivel de dominio; se incluyen las directivas de cuenta, de bloqueo de cuentas y las de Kerberos.

Principio de la página

Objetivos

Utilice este módulo para establecer las siguientes directivas de nivel de dominio:

Principio de la página

Marco de aplicación

Este módulo se aplica a los siguientes productos y tecnologías:

Principio de la página

Uso del módulo

El objetivo de este módulo es ofrecer una referencia para la configuración de seguridad de nivel de dominio disponible en las versiones actuales de los sistemas operativos de Microsoft Windows. Esta es una guía complementaria a otras dos publicaciones de Microsoft: Guía de seguridad de Windows Server 2003, disponible en: http://www.microsoft.com/Spain/technet/seguridad/guias/guia_ws2003.asp y la Guía de seguridad de Windows XP.

Este módulo reúne las principales secciones que aparecen en la interfaz de usuario de modificación de directivas de grupo. Comienza con una breve explicación de los aspectos que tratará, seguida de una lista con los encabezados de las subsecciones. Dichos encabezados corresponden a un valor de configuración o un grupo de ellos. Cada valor se presenta junto con una breve explicación del efecto de la contramedida, además de otras tres subsecciones: Vulnerabilidad, Contramedida e Impacto potencial. En la subsección Vulnerabilidad se explica el modo en que un atacante puede explotar la contramedida si se configura de forma poco segura. En Contramedida se analiza cómo implementar la contramedida correspondiente. En la subsección Impacto potencial se describen las consecuencias negativas que puede comportar la aplicación de la contramedida.

Principio de la página

Introducción

La configuración de directiva de grupo de directivas de cuenta se aplica en el nivel de dominio. Los valores predeterminados se encuentran en la directiva predeterminada de controladores de dominio integrada para directivas de cuenta, directivas de bloqueo de cuentas y directivas Kerberos. Al configurarlas en Microsoft Active Directory, se debe tener en cuenta que Microsoft Windows sólo permite una directiva de cuenta de dominio: la directiva de cuenta aplicada al dominio raíz del árbol del dominio. La directiva de cuenta de dominio será la directiva de cuenta predeterminada de cualquier sistema Windows que sea miembro del dominio. La única excepción a esta regla tiene lugar cuando se define otra directiva de cuenta para una unidad organizativa. La configuración de la directiva de cuenta para la unidad organizativa afectará a la directiva local en cualquier equipo contenido en la unidad organizativa. La configuración para cada uno de estos tipos se describe en este módulo.

Principio de la página

Directivas de cuenta

Se implementan en el nivel de dominio. Un dominio de Microsoft Windows Server 2003 debe tener una directiva de contraseñas, una directiva de bloqueo de cuenta y una directiva de protocolo de autenticación de la versión 5 de Kerberos para el dominio. Si se establecen estas directivas en cualquier otro nivel de Active Directory, afectarán únicamente a las cuentas locales de los servidores miembro. Si hay grupos que necesitan directivas de contraseñas independientes, se deberán segmentar en otro dominio o bosque basado en cualquier requisito adicional.

En Windows y muchos otros sistemas operativos, el método más común para autenticar la identidad de un usuario es utilizar una contraseña o frase cifrada secreta. Para proteger el entorno de red es necesario que todos los usuarios utilicen contraseñas seguras. Así, se evita que un usuario no autorizado averigüe una contraseña no segura por medio de métodos manuales o de herramientas para obtener las credenciales de una cuenta de usuario en peligro. Esto es así, especialmente, en las cuentas administrativas. El libro de Microsoft Excel, Configuración de la seguridad y los servicios predeterminados de Windows, que acompaña a esta guía, incluye la configuración predeterminada. Haga clic aquí para descargarlo

Una contraseña compleja que se modifica regularmente reduce el riesgo de sufrir un ataque. La configuración de la directiva de contraseñas controla la complejidad y la duración de las contraseñas. En esta sección se trata cada valor específico de cuenta de directiva de contraseñas.

Nota: en relación con las cuentas de dominio, sólo podrá haber una directiva de cuenta por dominio. La directiva de cuenta se debe definir en la directiva de dominio predeterminada, o bien, en una nueva directiva vinculada a la raíz del dominio y con preferencia sobre la primera directiva que, a su vez, aplican los controladores que crean el dominio. Un controlador de dominio siempre obtiene la directiva de cuenta de la raíz del dominio, aun cuando se aplique una directiva de cuenta distinta a la unidad organizativa que contiene el controlador de dominio. La raíz del dominio es el contenedor del nivel superior del dominio, de modo que no debe confundirse con el dominio raíz de un bosque, que es el dominio del nivel superior dentro de ese bosque.

De forma predeterminada, las estaciones de trabajo y los servidores unidos a un dominio (equipos miembros de dominio) también reciben la misma directiva de cuenta para las cuentas locales correspondientes, si bien las directivas de cuenta locales para los equipos miembros se diferencian de la directiva de cuenta de dominio en la definición de una directiva de cuenta para la unidad organizativa que contiene a los equipos miembros.

La configuración de directivas de cuenta se puede establecer en la siguiente ubicación del Editor de objetos de directiva de grupo:

Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directivas de contraseñas

Principio de la página

Forzar el historial de contraseñas

El uso del valor Forzar el historial de contraseñas determina el número de nuevas contraseñas únicas que se deben asociar a una cuenta de usuario antes de que se pueda volver a utilizar una contraseña anterior.

Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:

Vulnerabilidad

La reutilización de contraseñas es una preocupación importante en cualquier organización. Muchos usuarios querrán utilizar o volver a utilizar la misma contraseña para su cuenta durante un largo periodo de tiempo. Cuanto más tiempo se utilice una contraseña en una cuenta determinada, más posibilidades habrá de que un atacante pueda averiguarla mediante un ataque de fuerza bruta. Si se solicita que los usuarios cambien su contraseña, pero nada evita que utilicen sus contraseñas antiguas o que utilicen continuamente un pequeño número de ellas, la eficacia de una buena directiva de contraseñas se verá enormemente reducida.

En caso de especificar un número bajo para este valor, los usuarios podrán utilizar el mismo número bajo de contraseñas de forma repetida y continuada. Si el valor Vigencia mínima de la contraseña tampoco se configura, los usuarios podrán cambiar la contraseña tantas veces seguidas como sea necesario para poder volver a utilizar la contraseña original.

Contramedida

Establezca Forzar el historial de contraseñas en 24, la configuración máxima. Al establecer este valor en la configuración máxima, se garantiza que las vulnerabilidades provocadas por la reutilización de contraseñas se mantengan al mínimo.

Para que este valor sea eficaz en la organización, no permita que las contraseñas se cambien inmediatamente al configurar el valor Vigencia mínima de la contraseña. Este valor debe establecerse en un nivel con el fin de combinar de forma razonable una vigencia máxima de la contraseña con un intervalo de cambio de contraseñas para todos los usuarios de la organización.

Impacto potencial

El principal impacto de este valor reside en que los usuarios deberán utilizar una contraseña nueva cada vez que se les inste a cambiar la antigua. Pedir a los usuarios que cambien las contraseñas a valores únicos nuevos incrementa el riesgo de que se apunten las contraseñas para no olvidarlas.

Principio de la página

Vigencia máxima de la contraseña

El uso del valor Vigencia máxima de la contraseña determina el número de días que se debe utilizar una contraseña antes de que el sistema solicite al usuario que la cambie.

Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:

Vulnerabilidad

Cualquier contraseña se puede descifrar; de hecho, con los recursos informáticos actuales, averiguar la contraseña más compleja es sólo cuestión de tiempo y capacidad de procesamiento. Algunos de los siguientes valores pueden acentuar la dificultad para averiguar las contraseñas en una cantidad de tiempo razonable. Sin embargo, cambiar las contraseñas de usuario con frecuencia en el entorno puede ayudar a reducir el riesgo de averiguación de una contraseña válida, así como a mitigar el riesgo de que alguien utilice una contraseña que se haya obtenido ilegalmente. La vigencia máxima de la contraseña se puede configurar para que los usuarios no necesiten cambiarla en ningún momento, si bien esto conlleva un aumento del riesgo de la seguridad.

Contramedida

Establezca la Vigencia máxima de la contraseña en un valor entre 30 y 60 días. El valor para la vigencia máxima de la contraseña se puede configurar para que no caduque nunca si se fija el número de días en 0.

Impacto potencial

Si el valor para la vigencia máxima de la contraseña se establece demasiado bajo, hará que los usuarios tengan que cambiar las contraseñas muy a menudo, de manera que la seguridad de la organización se verá reducida, ya que aumenta la posibilidad de que los usuarios apunten sus contraseñas para evitar olvidarlas. Asimismo, establecer el valor muy alto hará que el nivel de seguridad de la organización baje, por cuanto un posible atacante dispondrá de más tiempo para averiguar una contraseña de usuario.

Principio de la página

Vigencia mínima de la contraseña

El uso del valor Vigencia mínima de la contraseña determina el número de días que una contraseña se ha de utilizar antes de que el usuario pueda cambiarla. El valor de la vigencia mínima de la contraseña debe ser menor que el valor de la vigencia máxima de la contraseña.

Establézcalo en una cifra superior a 0 si desea que el valor Forzar el historial de contraseñas sea eficaz. En caso de que Forzar el historial de contraseñas se establezca en 0, el usuario no tendrá que seleccionar ninguna otra contraseña. Si se emplea el historial de contraseñas, los usuarios tendrán que utilizar una contraseña nueva exclusiva cuando la cambien.

Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:

Vulnerabilidad

Obligar a los usuarios a que cambien las contraseñas con regularidad no resulta una medida eficaz si pueden pasar de una contraseña a otra en varias ocaciones hasta obtener una anterior por la que tuvieran preferencia. Utilice este valor con Forzar el historial de contraseñas para evitar que esto suceda. Por ejemplo, si Forzar el historial de contraseñas se establece para garantizar que los usuarios no puedan volver a utilizar ninguna de las últimas 12 contraseñas, pero la Vigencia mínima de contraseña es mayor que 0, podrán cambiar su contraseña 13 veces seguidas para volver a la contraseña original. Por ello, este valor se debe configurar en más de 0 si desea que Forzar el historial de contraseñas sea eficaz.

Contramedida

Establezca la Vigencia mínima de la contraseña en un valor de 2 días. Si establece el número de días en 0, se podrán realizar cambios inmediatos en la contraseña, algo que no es aconsejable.

Impacto potencial

Hay un problema menor en relación con la configuración de la Vigencia mínima de la contraseña en una cifra superior a 0. Si un administrador establece una contraseña para un usuario, pero, más adelante, desea que ese usuario la cambie, el administrador debe activar la casilla de verificación El usuario debe cambiar la contraseña en el próximo inicio de sesión. De lo contrario, el usuario no podrá cambiar la contraseña hasta el siguiente día.

Principio de la página

Longitud mínima de la contraseña

El uso del valor Longitud mínima de la contraseña determina el número mínimo de caracteres que debe tener una contraseña para una cuenta de usuario. Existen diversas teorías para determinar la mejor longitud de contraseña para una organización, pero quizás el término "frase cifrada" sea más apropiado que "contraseña". En Microsoft Windows 2000 y versiones posteriores, las frases cifradas pueden ser bastante largas y pueden incluir espacios; así, una frase como "Quiero beberme un batido de 5 €" es una frase cifrada válida bastante más segura que una cadena de 8 o 10 caracteres de números y letras aleatorios. Además, es más fácil de recordar.

Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:

Vulnerabilidad

Existen varios tipos de ataques de contraseña que se pueden llevar a cabo con la intención de obtener la contraseña de una cuenta de usuario determinada. Aquí se incluyen los ataques de diccionario (que intentan utilizar palabras y frases comunes) y los ataques de fuerza bruta (que prueban cualquier combinación posible de caracteres). Además, un ataque se puede perpetrar obteniendo la base de datos de la cuenta y empleando utilidades a fin de averiguar las cuentas y las contraseñas.

Contramedida

Establezca la Longitud mínima de la contraseña en, al menos, 8. Si el número de caracteres se establece en 0, no será necesaria ninguna contraseña.

En la mayoría de los entornos es aconsejable utilizar una contraseña de 8 caracteres, ya que es lo suficientemente larga para ofrecer una seguridad adecuada, pero lo suficientemente corta para que los usuarios puedan recordarla. Este valor ofrecerá una defensa adecuada contra un ataque de fuerza bruta. Si se agregan requisitos de complejidad, disminuirá la posibilidad de que se produzca un ataque de diccionario. Estos requisitos de complejidad se tratan en la siguiente sección.

Impacto potencial

Si permite contraseñas cortas, la seguridad se verá reducida, ya que estas contraseñas resultan más fáciles de averiguar con herramientas que realizan ataques de diccionario o de fuerza bruta. Por el contrario. si solicita contraseñas muy largas, es posible que se generen errores tipográficos al escribirlas que puedan tener como consecuencia un bloqueo de las cuentas y un aumento del volumen de llamadas al servicio de asistencia.

Solicitar contraseñas extremadamente largas puede, en realidad, reducir la seguridad de una organización, ya que es muy probable que los usuarios las anoten para evitar olvidarlas, pero si se informa a los usuarios de que pueden utilizar frases cifradas como se ha indicado anteriormente, será mucho más fácil retenerlas.

Principio de la página

Las contraseñas deben cumplir el requisito de complejidad

El uso del valor Las contraseñas deben cumplir el requisito de complejidad determina si las contraseñas deben cumplir una serie de instrucciones consideradas de importancia para una contraseña segura.

Para habilitar esta directiva, es necesario que las contraseñas cumplan los siguientes requisitos:

Estos requisitos de complejidad son de aplicación forzosa al cambiar una contraseña o al crear una nueva.

Las reglas que se incluyen en la directiva de Windows Server 2003 no se pueden modificar directamente, si bien puede crear una nueva versión de passfilt.dll para aplicar un conjunto de reglas diferente. Para ver el código fuente de passfilt.dll, consulte el artículo 151082 de Microsoft Knowledge Base, "HOW TO: Password Change Filtering & Notification in Windows NT", en: http://support.microsoft.com/default.aspx?scid=kb;ES;151082.

Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:

Vulnerabilidad

Las contraseñas que sólo contienen caracteres alfanuméricos son extremadamente fáciles de averiguar mediante varias utilidades disponibles para el público en general. Para evitarlo, las contraseñas deben contener requisitos y caracteres adicionales.

Contramedida

Establezca Las contraseñas deben cumplir el requisito de complejidad en Habilitado.

Si este valor se combina con una Longitud mínima de la contraseña de 8, se garantizará que haya, al menos, 218.340.105.584.896 posibilidades distintas para una única contraseña. Esto hace que utilizar un ataque de fuerza bruta sea difícil, pero no imposible: un atacante con suficiente capacidad de procesamiento para probar un millón de contraseñas por segundo podría averiguar una contraseña así en unos siete días y medio o menos.

Impacto potencial

Si se habilita la passfilt.dll predeterminada, puede ocurrir que se realicen más llamadas al servicio de asistencia por motivo del bloqueo de cuentas. Esto se debe a que los usuarios no están acostumbrados a tener contraseñas que contengan caracteres que no se encuentren en el alfabeto. Sin embargo, este valor es tan amplio que los usuarios podrán cumplir los requisitos sin mucho esfuerzo.

La configuración adicional que se podría incluir en una passfilt.dll personalizada consiste en el uso de caracteres que no sean de la fila superior. Los caracteres de la fila superior son aquellos que se escriben manteniendo presionada la tecla Mayús y presionando cualquier dígito del 1 al 10.

Además, la utilización de combinaciones de teclas Alt puede mejorar enormemente la complejidad de una contraseña. Sin embargo, si se insta a todos los usuarios de la organización a adherirse a unos requisitos tan estrictos, es probable que surja el descontento y que aumenten las llamadas al servicio de asistencia. Considere la implementación de un requisito en su organización para utilizar caracteres Alt en el intervalo 0128 – 0159 como parte de todas las contraseñas de administrador. Puede que los caracteres Alt que se hallen fuera de este intervalo representen caracteres alfanuméricos estándar que no impliquen una complejidad adicional a la contraseña.

Principio de la página

Almacenar contraseña usando cifrado reversible para todos los usuarios del dominio

El uso del valor Almacenar contraseña usando cifrado reversible para todos los usuarios del dominio determina si Microsoft Windows Server 2003, Windows 2000 Server, Windows 2000 Professional y Windows XP Professional almacenan contraseñas con el cifrado reversible.

Esta directiva proporciona compatibilidad con aquellas aplicaciones que utilizan protocolos en los que es preciso conocer la contraseña del usuario con fines de autenticación. Por definición, almacenar contraseñas cifradas de manera reversible significa que éstas pueden descifrarse, de manera que un atacante experto que lo consiga podría entrar en los recursos de red utilizando la cuenta en peligro. En consecuencia, no habilite nunca este valor, a menos que los requisitos de la aplicación tengan prioridad sobre la necesidad de proteger la información de contraseña.

Deberá habilitarlo igualmente si desea utilizar la autenticación CHAP a través del acceso remoto o los servicios de autenticación de Internet (IAS). El protocolo de autenticación por desafío mutuo (CHAP) es un protocolo de autenticación que las conexiones de red y el acceso remoto de Microsoft utilizan. La autenticación de texto implícita de los Servicios de Internet Information Server (IIS) de Microsoft requiere la habilitación de este valor.

Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:

Vulnerabilidad

Con este valor se determina si Windows Server 2003 almacena contraseñas en un formato menos seguro que es mucho más proclive a sufrir ataques de fuerza bruta.

Contramedida

Establezca el valor para Almacenar contraseña usando cifrado reversible para todos los usuarios del dominio en Deshabilitado.

Impacto potencial

Utilizando el protocolo de autenticación CHAP a través del acceso remoto o los servicios de autenticación de Internet (IAS). La autenticación de texto implícita en Servicios de Internet Information Server (IIS) precisa que esto se establezca en Habilitado. Se trata de un valor extremadamente peligroso si se aplica utilizando una directiva de grupo en una base usuario - por - usuario, ya que será necesario abrir el objeto de la cuenta de usuario adecuado en la consola de administración Usuarios y equipos de Active Directory.

Precaución: no habilite nunca este valor, a menos que los requisitos de la empresa tengan prioridad sobre la necesidad de proteger la información de contraseña.

Principio de la página

Directiva de bloqueo de cuentas

Si durante un intento de inicio de sesión en el sistema son varias las veces que la contraseña se escribe de forma incorrecta, puede que un atacante esté intentando averiguar la contraseña de una cuenta a través del método de ensayo y error. Windows Server 2003 realiza un seguimiento de los intentos de inicio de sesión, mientras que el sistema operativo se puede configurar para que responda a este posible ataque deshabilitando la cuenta durante un periodo de tiempo previamente establecido. Gracias a la configuración de la directiva de bloqueo de cuentas, se controla el umbral de esta respuesta y las acciones que se deben llevar a cabo cuando éste se alcanza. El libro de Microsoft Excel Configuración de la seguridad y los servicios predeterminados de Windows que se incluye con esta guía ofrece información sobre la configuración predeterminada.

La configuración de la directiva de bloqueo de cuentas se puede establecer en la siguiente ubicación del Editor de objetos de directiva de grupo:

Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de bloqueo de cuentas

Principio de la página

Duración del bloqueo de cuenta

El uso del valor Duración del bloqueo de cuenta determina el número de minutos que una cuenta permanece bloqueada antes de desbloquearse automáticamente. El intervalo de valores disponible es de 1 a 99.999 minutos. Puede especificar que la cuenta se bloquee hasta que un administrador la desbloquee de forma expresa estableciendo el valor en 0. Si el umbral de bloqueos de la cuenta se define, la duración del bloqueo de cuenta debe ser igual o mayor que el tiempo de restablecimiento.

Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:

Vulnerabilidad

Un ataque de denegación de servicio (DoS) se puede crear si un atacante altera el Umbral de bloqueos de la cuenta e intenta iniciar sesión en una cuenta de forma repetida. Si se configura el Umbral de bloqueos de la cuenta, la cuenta se bloqueará tras el número de intentos erróneos especificado. Si la Duración del bloqueo de cuenta se establece en 0, la cuenta permanecerá bloqueada hasta que el administrador la desbloquee de forma manual.

Contramedida

Establezca Duración del bloqueo de cuenta en 30 minutos. Para especificar que la cuenta no debe bloquearse nunca, el valor puede establecerse en 0.

Impacto potencial

Si bien en principio parece una buena idea configurar este valor para que no desbloquee nunca las cuentas automáticamente, podría incrementar el número de llamadas al servicio de asistencia que la organización recibe sobre el desbloqueo de las cuentas que se han bloqueado por error.

Principio de la página

Umbral de bloqueos de la cuenta

El uso del valor Umbral de bloqueos de la cuenta determina el número de intentos fallidos para iniciar sesión que provoca el bloqueo de la cuenta de usuario. Una cuenta bloqueada no se podrá utilizar hasta que un administrador la restablezca o hasta que finalice el periodo de duración del bloqueo de la cuenta. Puede escoger un valor de entre 1 y 999 intentos de inicio de sesión sin éxito, o bien puede especificar que la cuenta no se bloquee nunca estableciendo el valor en 0. Si define un umbral de bloqueos de la cuenta, la duración del bloqueo de cuenta deberá ser igual o mayor que el tiempo de restablecimiento.

Los intentos de escribir una contraseña sin éxito en estaciones de trabajo o servidores miembro que se han bloqueado por medio de Ctrl+Alt+Supr o de protectores de pantalla protegidos por contraseña no contarán como intentos de inicio de sesión sin éxito, a menos que se habilite la directiva de grupo Inicio de sesión interactivo: requerir la autenticación del controlador de dominio para desbloquear el equipo. Si se habilita, los intentos de escribir la contraseña sin éxito para desbloquear la estación de trabajo se tendrán en cuenta en el Umbral de bloqueos de la cuenta.

Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:

Vulnerabilidad

Puede que en los ataques de contraseña se empleen métodos automatizados con el propósito de probar miles o incluso millones de combinaciones de contraseña para una o todas las cuentas de usuario. Si se limita el número de inicios de sesión sin éxito que se pueden llevar a cabo, la eficacia de tales ataques quedará prácticamente anulada.

Sin embargo, es importante no olvidar que se puede llevar a cabo un ataque de denegación de servicio en un dominio con un umbral de bloqueos de la cuenta configurado. Así, un atacante malintencionado puede intentar realizar una serie de ataques de contraseña en todos los usuarios de la organización de forma programada y, si el número de intentos es mayor que el umbral de bloqueos de la cuenta, podrá bloquear todas las cuentas.

Contramedida

Dado que pueden existir vulnerabilidades tanto si este valor está configurado como si no, se definen dos contramedidas diferentes. Cada organización debería sopesar ambas alternativas teniendo presente las amenazas y los riesgos identificados que se quieran mitigar. Son dos las opciones que se han de considerar con respecto a este valor.

Impacto potencial

Si habilita este valor, evitará que una cuenta bloqueada se pueda utilizar hasta que un administrador la restablezca o hasta que finalice el periodo de duración del bloqueo de la cuenta. Este valor generará con casi toda probabilidad un número de llamadas adicionales al servicio de asistencia. De hecho, en muchas organizaciones, la mayoría de las llamadas al servicio de asistencia se deben a cuentas bloqueadas.

Si el umbral de bloqueos de la cuenta se establece en 0, existirá la posibilidad de que no se detecten los intentos de averiguar las contraseñas mediante ataques de fuerza bruta.

Principio de la página

Restablecer la cuenta de bloqueos después de

El uso del valor Restablecer la cuenta de bloqueos después de determina el número de minutos que deben pasar después de un intento de inicio de sesión sin éxito antes de que la cuenta de intentos de inicio de sesión sin éxito se vuelva a establecer en 0. Si se define un Umbral de bloqueos de la cuenta, este tiempo de restablecimiento deberá ser igual o inferior al valor de Duración del bloqueo de cuenta.

Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:

Vulnerabilidad

Los usuarios pueden bloquear sus propias cuentas sin intención si la escriben incorrectamente varias veces. Para reducir la probabilidad de que esto ocurra, con el valor Restablecer la cuenta de bloqueos después de se determina el número de minutos que deben pasar después de un intento de inicio de sesión sin éxito antes de que la cuenta de intentos de inicio de sesión sin éxito se vuelva a establecer en 0.

Contramedida

Establezca el valor de Restablecer la cuenta de bloqueos después de en 30 minutos.

Impacto potencial

Si no se establece este valor o si se establece un intervalo muy largo, podría producirse un ataque de denegación de servicio. Así, un atacante podría realizar una serie de intentos de inicio de sesión malintencionados en todas las cuentas de usuario de la organización y bloquearlas, como se ha descrito anteriormente. Si no se establece una directiva para restablecer el bloqueo, los administradores deberán desbloquear manualmente todas las cuentas. Si se establece un valor razonable, los usuarios permanecerán bloqueados durante algún tiempo, pero al final de ese periodo sus cuentas se habrán desbloqueado automáticamente.

Principio de la página

Directiva Kerberos

En Windows Server 2003, el protocolo de autenticación de la versión 5 de Kerberos ofrece el mecanismo predeterminado para los servicios de autenticación, así como los datos de autorización necesarios para que un usuario tenga acceso a un recurso y realice una tarea en él. Al reducir la vigencia máxima de los vales de Kerberos, desciende el riesgo de que un atacante robe las credenciales de un usuario legítimo y los utilice con éxito, si bien aumenta la carga administrativa que conlleva el proceso de autorización. En la mayoría de los entornos no es necesario cambiar esta configuración, que se aplica en el nivel de dominio. Los valores predeterminados se configuran en el GPO de la directiva de dominio predeterminada en una instalación predeterminada de un dominio de Active Directory Windows 2000 o de Windows Server 2003. El libro de Microsoft Excel Configuración de la seguridad y los servicios predeterminados de Windows que se incluye con esta guía ofrece información sobre la configuración predeterminada.

La configuración de la directiva Kerberos se puede establecer en la siguiente ubicación del Editor de objetos de directiva de grupo:

Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva Kerberos

Principio de la página

Forzar restricciones de inicio de sesión de usuario

Este valor de seguridad determina si el Centro de distribución de claves Kerberos V5 (KDC) valida cada solicitud de vale de sesión en la directiva de derechos de usuario de la cuenta del usuario. La validación de cada solicitud de vale de sesión es opcional, ya que el paso adicional requiere tiempo y puede ralentizar el acceso de red a los servicios.

Vulnerabilidad

Si este valor se deshabilita, se podrán conceder vales de sesión a los usuarios para servicios que no tienen derecho a utilizar.

Contramedida

Establezca Forzar restricciones de inicio de sesión de usuario en Habilitado.

Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:

Impacto potencial

Ninguno: se trata de la configuración predeterminada.

Principio de la página

Vigencia máxima del vale de servicio

Este valor de seguridad determina la cantidad máxima de tiempo (en minutos) que un vale de sesión con permiso puede usar para obtener acceso a un servicio determinado. El valor debe ser 10 minutos, mayor e igual o menor que el valor establecido para Vigencia máxima del vale de usuario.

Si, al solicitar una conexión con un servidor, un cliente presenta un vale de sesión caducado, el servidor devolverá un mensaje de error. El cliente deberá pedir un nuevo vale de sesión al Centro de distribución de claves Kerberos V5 (KDC). Sin embargo, una vez que se autentica una conexión, ya no es importante que el vale de sesión siga siendo válido, ya que los vales de sesión se utilizan sólo para autenticar nuevas conexiones con los servidores. Del mismo modo, las operaciones en curso no se verán interrumpidas si el vale de sesión con el que se ha autenticado la sesión caduca.

Vulnerabilidad

Si este valor se establece demasiado alto, puede suceder que los usuarios obtengan acceso a los recursos de red fuera de las horas de inicio de sesión, o que los usuarios cuyas cuentas se hayan deshabilitado continúen teniendo acceso a los servicios de red por medio de vales de servicio válidos emitidos antes de que se deshabilitara la cuenta.

Contramedida

Establezca Vigencia máxima del vale de servicio en 600 minutos.

Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:

Impacto potencial

Ninguno: se trata de la configuración predeterminada.

Principio de la página

Vigencia máxima del vale de usuario

Este valor de seguridad determina la cantidad máxima de tiempo (en horas) de un vale de concesión de vales de usuario. Cuando este vale de usuario caduque se debe "renovar", o bien, solicitar uno nuevo.

Vulnerabilidad

Si este valor es demasiado alto, puede suceder que los usuarios obtengan acceso a los recursos de red fuera de las horas de inicio de sesión, o bien que los usuarios cuyas cuentas se hayan deshabilitado continúen teniendo acceso a los servicios de red mediante vales de servicio válidos emitidos antes de que se deshabilitara la cuenta.

Contramedida

Establezca Vigencia máxima del vale de usuario en 10 horas.

Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:

Impacto potencial

Ninguno: se trata de la configuración predeterminada.

Principio de la página

Edad máxima de renovación de tíquets de usuario

Este valor de seguridad determina el periodo de tiempo (en días) durante el cual se puede renovar un vale de concesión de vales de usuario.

Vulnerabilidad

Si este valor es demasiado alto, los usuarios podrán renovar vales de usuario muy antiguos.

Contramedida

Establezca Edad máxima de renovación de tíquets de usuario en 7 días.

Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:

Impacto potencial

Ninguno: se trata de la configuración predeterminada.

Principio de la página

Tolerancia máxima para la sincronización de los relojes de los equipos

Con este valor de seguridad se determina la diferencia máxima de tiempo (en minutos) que Kerberos V5 admite entre la hora del reloj del cliente y la hora del controlador de dominio que ejecuta Windows Server 2003 y que ofrece autenticación Kerberos.

Vulnerabilidad

Para evitar "ataques de reproducción", Kerberos V5 utiliza marcas de tiempo como parte de su definición de protocolo. A fin de que las marcas de tiempo funcionen adecuadamente, los relojes del cliente y del controlador de dominio necesitarán estar sincronizados al máximo. Dado los relojes de dos equipos distintos no suelen estar sincronizados, los administradores podrán utilizar esta directiva para establecer la diferencia máxima aceptable en Kerberos V5 entre un reloj de cliente y un reloj de controlador de dominio. Si esta diferencia es menor que la diferencia máxima de tiempo que se especifica en esta directiva, cualquier marca de tiempo que se utilice en una sesión entre dos equipos se considerará auténtica.

Contramedida

Establezca Tolerancia máxima para la sincronización de los relojes de los equipos en 5 minutos.

Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:

Impacto potencial

Ninguno: se trata de la configuración predeterminada.

Principio de la página

2 de 12