Guía de planeamiento de la seguridad de las cuentas de administrador

Capítulo 3: Directrices para mejorar la seguridad de las cuentas de administrador

Actualizado: 25/5/2005

En este capítulo se describen algunas directrices de prácticas recomendadas generales para mejorar la seguridad de las cuentas administrativas. Estas directrices siguen los principios que se han presentado en el capítulo 2, "Cómo mejorar la seguridad de las cuentas de administrador".

Descripción general de las directrices para mejorar la seguridad de las cuentas de administrador

Cada nueva instalación del servicio de directorio Active Directory® crea una cuenta Administrador para cada dominio. De forma predeterminada, esta cuenta no se puede eliminar ni bloquear. En Microsoft® Windows Server™ 2003, la cuenta Administrador se puede deshabilitar, pero se vuelve a habilitar automáticamente al iniciar el equipo en modo a prueba de errores.

Un usuario malintencionado que intenta tener acceso a un equipo empieza normalmente por buscar una cuenta válida y, a continuación, intenta aumentar los privilegios de dicha cuenta. También puede intentar el uso de técnicas para averiguar contraseñas con el fin de obtener la contraseña de la cuenta Administrador. Se centra en esta cuenta porque tiene más privilegios y no se puede bloquear. También puede intentar engañar al administrador para que ejecute código malintencionado que concederá acceso al atacante.

Separar las funciones Administrador de dominio y Administrador de organización

Debido a que la función Administrador de organización tiene los máximos privilegios en un entorno de bosque, debe llevar a cabo una de estas dos acciones para garantizar que su uso está bien controlado. Puede crear y seleccionar una única cuenta bien protegida que sea miembro de Administradores de organización u optar por no configurar una cuenta con dichas credenciales y, en su lugar, crear esa cuenta únicamente cuando una tarea autorizada que requiera estos privilegios así lo exija. Después de que la cuenta termine la tarea, debe eliminar inmediatamente la cuenta de Administradores de organización temporal.

Separar las cuentas de usuario y administrador

Para cada usuario que desempeñe una función de administrador, debe crear dos cuentas: una cuenta de usuario normal para las tareas cotidianas típicas, como correo electrónico y otros programas, y una cuenta administrativa únicamente para las tareas administrativas. No debe habilitar estas cuentas administrativas para el correo electrónico, utilícelas para ejecutar programas estándar o explorar Internet. Cada cuenta debe disponer de una contraseña única. Si adopta estas precauciones simples, contribuirá a reducir considerablemente la exposición de las cuentas a los riesgos externos y la cantidad de tiempo que las cuentas administrativas están activas en un equipo o dominio.

Utilizar el servicio de inicio de sesión secundario

En Microsoft Windows® 2000, Windows XP Professional y Windows Server 2003, se pueden ejecutar programas como un usuario distinto del que ha iniciado la sesión actualmente. En Windows 2000, el servicio Ejecutar como proporciona esta capacidad, mientras que en Windows XP y Windows Server 2003, se denomina servicio de inicio de sesión secundario. Los servicios Ejecutar como e Inicio de sesión secundario son el mismo pero con nombres distintos.

El inicio de sesión secundario permite a los administradores iniciar sesión en el equipo con una cuenta no administrativa y, sin cerrar la sesión, llevar a cabo tareas administrativas mediante la ejecución de programas administrativos de confianza en contextos administrativos.

Un servicio de inicio de sesión secundario soluciona los riesgos de seguridad que se les presentan a los administradores que ejecutan programas que son vulnerables al código malintencionado; por ejemplo, un usuario que obtiene acceso a un sitio Web mientras ha iniciado sesión con privilegios administrativos.

El inicio de sesión secundario está destinado principalmente a administradores del sistema; no obstante, puede utilizarlo cualquier usuario que disponga de varias cuentas y necesite iniciar programas en distintos contextos de cuenta sin cerrar la sesión.

El servicio de inicio de sesión secundario está configurado para iniciarse automáticamente, utiliza la herramienta Ejecutar como de interfaz de usuario y emplea runas.exe de interfaz de línea de comandos. Con Ejecutar como, puede ejecutar programas (*.exe), consolas de Microsoft Management Console (MMC) guardadas (*.msc), accesos directos a programas y elementos del Panel de control. Puede ejecutar estos programas como administrador aunque haya iniciado la sesión en su equipo con una cuenta de usuario estándar que no disponga de privilegios administrativos, siempre que proporcione las credenciales adecuadas para la contraseña y la cuenta de usuario administrativo cuando se le soliciten.

Ejecutar como permite administrar un servidor de otro dominio o bosque si dispone de las credenciales de la cuenta de administrador del otro dominio.

Nota: algunos elementos, como la carpeta Impresoras, Mi PC y Mis sitios de red del escritorio, no se pueden iniciar con Ejecutar como.

Uso de Ejecutar como

Ejecutar como se puede utilizar de varias formas:

Para utilizar Ejecutar como con el fin de iniciar un shell de comandos con credenciales de cuenta de administrador

1.	Haga clic en Inicio y, a continuación, en Ejecutar.
2.	En el cuadro de diálogo Ejecutar, escriba runas /user:<nombre_dominio>\administrador cmd (donde <nombre_dominio> es el nombre del dominio) y, a continuación, haga clic en Aceptar.
3.	Cuando se le pida que especifique una contraseña para la cuenta nombre_dominio\administrador, escriba la contraseña de la cuenta de administrador y, a continuación, presione ENTRAR.
4.	Aparecerá una nueva ventana de consola, que se ejecuta en el contexto administrativo. El título de la consola se identifica como Ejecutándose como nombre_dominio\administrador.

Para utilizar Ejecutar como con el fin de ejecutar un elemento del Panel de control

1.	En Windows XP o Windows Server 2003, haga clic en Inicio y, a continuación, en Panel de control.
2.	Mientras mantiene presionada la tecla MAYÚS, haga clic con el botón secundario del mouse (ratón) en la herramienta o programa que desee ejecutar en un contexto administrativo (por ejemplo, Agregar hardware).
3.	En el menú contextual, haga clic en Ejecutar como.
4.	En el cuadro de diálogo Ejecutar como, haga clic en El siguiente usuario y, a continuación, escriba el nombre de dominio adecuado, el nombre de la cuenta de administrador y la contraseña; por ejemplo: DOMINIOEMP\Administrador C0ntr@señ@
5.	Haga clic en Aceptar. El programa se ejecuta en el contexto administrativo.

Para utilizar Ejecutar como con el fin de abrir un programa del menú Inicio, como Usuarios y equipos de Active Directory

1.	En Windows Server 2003, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic con el botón secundario del mouse (ratón) en Usuarios y equipos de Active Directory.
2.	En el menú contextual, haga clic en Ejecutar como.

También puede emplear la utilidad de la línea de comandos ejecutable runas.exe para ejecutar programas e iniciar consolas de administración desde la línea de comandos.

Para iniciar una instancia del símbolo del sistema como administrador en un equipo local

1.	Haga clic en Inicio y, a continuación, en Ejecutar.
2.	En el cuadro de diálogo Ejecutar, escriba runas /user:<nombre_equipo_local>\administrador cmd
3.	Haga clic en Aceptar.
4.	Cuando se le pida, escriba la contraseña del administrador en la ventana del símbolo del sistema y, a continuación, presione ENTRAR.

Para iniciar una instancia del complemento Administración de equipos con una cuenta de administrador de dominio denominada administradordominio en el dominiodominioemp

1.	Haga clic en Inicio y, a continuación, en Ejecutar.
2.	En el cuadro de diálogo Ejecutar, escriba runas /user:<dominioemp>\<administradordominio> "mmc %windir%\system32\compmgmt.msc"
3.	Haga clic en Aceptar.
4.	Cuando se le pida, escriba la contraseña de la cuenta en la ventana del símbolo del sistema y, a continuación, presione ENTRAR.

También puede utilizar runas.exe para ejecutar programas e iniciar consolas de administración desde la línea de comandos con credenciales de tarjeta inteligente.

Para iniciar una instancia del símbolo del sistema como administrador en su equipo local con credenciales de tarjeta inteligente

1.	Haga clic en Inicio y, a continuación, en Ejecutar.
2.	En el cuadro de diálogo Ejecutar, escriba runas /smartcard /user:<nombre_equipo_local>\administrador cmd
3.	Haga clic en Aceptar.
4.	Cuando se le pida, escriba el número PIN de la tarjeta inteligente en la ventana del símbolo del sistema y, a continuación, presione ENTRAR.

Nota: no es posible especificar la contraseña como un parámetro de la línea de comandos para runas.exe porque no sería seguro hacerlo.

Ejecutar una sesión independiente de Servicios de Terminal Server para administración

Ejecutar como es el enfoque más habitual que los administradores utilizan cuando realizan cambios en sus equipos locales y posiblemente ejecutar algunos programas de línea de negocios. Para las tareas administrativas basadas en TI, puede utilizar Servicios de Terminal Server para conectarse a los servidores que necesita administrar. Resulta más sencillo para administrar varios servidores remotos sin tener que desplazarse físicamente a cada uno y este enfoque reduce la necesidad de derechos de inicio de sesión interactivo en los servidores. Para utilizar este método, inicie la sesión con las credenciales de su cuenta de usuario normal y, a continuación, ejecute una sesión de Servicios de Terminal Server como administrador del dominio. Sólo debe realizar tareas de administración de dominio en esta ventana de sesión.

Cambiar el nombre de la cuenta Administrador predeterminada

Cuando se cambia el nombre de la cuenta Administrador predeterminada, se elimina la indicación evidente de que esta cuenta dispone de privilegios elevados. Aunque un atacante sigue necesitando la contraseña para utilizar la cuenta Administrador predeterminada, al cambiar el nombre de dicha cuenta se agrega un nivel adicional de protección contra los ataques de elevación de privilegios. Una posibilidad sería utilizar un nombre y unos apellidos ficticios que tengan el mismo formato que los demás nombres de usuario.

Nota: al cambiar el nombre de la cuenta Administrador predeterminada sólo se impiden determinados tipos de ataque. Continúa siendo relativamente sencillo para un atacante determinar cuál es la cuenta Administrador predeterminada, ya que el Id. de seguridad de esta cuenta siempre es el mismo. Además, existen herramientas que enumeran miembros de grupos y siempre se muestra la cuenta de administrador original en primer lugar. Para obtener la máxima protección contra ataques a la cuenta de administrador integrada, cree una nueva cuenta de administración y, a continuación, deshabilite la integrada.

Para cambiar el nombre de la cuenta Administrador predeterminada en un dominio

1.	Inicie sesión como miembro del grupo de administradores de dominio (pero no la cuenta Administrador integrada) y, a continuación, abra Usuarios y equipos de Active Directory.
2.	En el árbol de consola, haga clic en Users.
3.	En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en Administrador y, a continuación, haga clic en Cambiar nombre.
4.	Escriba un nombre y unos apellidos ficticios y, a continuación, presione Entrar.
5.	En el cuadro de diálogo Cambiar nombre de usuario, modifique los valores de los campos Nombre completo, Nombre, Apellidos, Nombre para mostrar, Nombre de inicio de sesión de usuario y Nombre de inicio de sesión de usuario (anterior a Windows 2000) para que coincidan con los de la cuenta ficticia y, a continuación, haga clic en Aceptar.
6.	En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el nuevo nombre y, a continuación, haga clic en Propiedades.
7.	Haga clic en la ficha General. En el cuadro Descripción, elimine Cuenta para la administración del equipo o dominio y, a continuación, escriba una descripción similar a las demás cuentas de usuario (en muchas organizaciones este valor está en blanco).
8.	Haga clic en Aceptar.

Para cambiar el nombre de la cuenta Administrador local predeterminada

1.	Inicie sesión como miembro del grupo Administradores local (pero no la cuenta Administrador integrada) y abra la herramienta de complemento Usuarios locales y grupos en la consola Administración de equipos.
2.	En el árbol de consola, expanda Usuarios locales y grupos y, a continuación, haga clic en Usuarios.
3.	En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en Administrador y, a continuación, haga clic en Cambiar nombre.
4.	Escriba un nombre y unos apellidos ficticios y, a continuación, presione Entrar.
5.	En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el nuevo nombre y, a continuación, haga clic en Propiedades.
6.	Haga clic en la ficha General. En el cuadro Nombre completo, escriba el nuevo nombre completo. En el cuadro Descripción, elimine Cuenta para la administración del equipo o dominio y, a continuación, escriba una descripción similar a las demás cuentas de usuario (en muchas organizaciones este valor está en blanco).
7.	Haga clic en Aceptar.

Nota: también existe una configuración de objeto de directiva de grupo (GPO) que puede utilizar para cambiar el nombre de la cuenta Administrador predeterminada en gran cantidad de equipos. No obstante, esta configuración no permite modificar la descripción predeterminada. Para obtener más información, consulte el artículo de Knowledge Base HOW TO: Rename the Administrator and Guest Account in Windows Server 2003 en http://support.microsoft.com/default.aspx?scid=kb;en-us;816109.

Crear una cuenta Administrador señuelo

La creación de una cuenta Administrador señuelo agrega un nivel adicional de protección. Puede engañar a un atacante que planee un ataque de contraseña en la cuenta Administrador para que lo haga en una cuenta que no tenga privilegios especiales, por lo que es muy poco probable que el atacante descubra que ha cambiado el nombre de la cuenta Administrador. También es aconsejable para detener a un atacante, asegurándose de que esta cuenta señuelo no se bloquea y estableciendo una contraseña segura. Después de crear la cuenta señuelo, debe asegurarse de que no es miembro de ningún grupo de seguridad con privilegios y, a continuación, supervise el uso de la cuenta por si se produce alguna actividad inesperada, como errores de inicio de sesión. Para obtener más información, consulte Seguridad en grupos administrativos y cuentas de Active Directory en www.microsoft.com/technet/security/topics/networksecurity/sec_ad_admin_groups.mspx.

Para crear una cuenta Administrador señuelo en un dominio

1.	Inicie sesión como miembro del grupo Admins. del dominio y abra Usuarios y equipos de Active Directory.
2.	Haga clic con el botón secundario del mouse (ratón) en el contenedor Users, seleccione Nuevo y, a continuación, haga clic en Usuario.
3.	En los cuadros Nombre y Nombre de inicio de sesión de usuario, escriba Administrador y, a continuación, haga clic en Siguiente.
4.	Escriba una contraseña y confírmela.
5.	Desactive la casilla de verificación El usuario debe cambiar la contraseña al iniciar una sesión de nuevo y, a continuación, haga clic en Siguiente.
6.	Compruebe que la información de la cuenta señuelo es correcta y, a continuación, haga clic en Finalizar.
7.	En el panel de detalles, haga clic con el botón secundario del mouse en Administrador y, a continuación, haga clic en Propiedades.
8.	Haga clic en la ficha General. En el cuadro Descripción, escriba Cuenta para la administración del equipo o dominio y, a continuación, haga clic en Aceptar.

Para crear una cuenta Administrador señuelo local

1.	Inicie sesión como miembro del grupo Administradores local y abra la herramienta de complemento Usuarios locales y grupos en la consola Administración de equipos.
2.	En el árbol de la consola, amplíe Usuarios locales y grupos.
3.	Haga clic con el botón secundario del mouse (ratón) en la carpeta Usuarios y, a continuación, haga clic en Nuevo usuario.
4.	En el cuadro Nombre de usuario, escriba Administrador. En el cuadro Descripción, escriba Cuenta para la administración del equipo o dominio.
5.	Escriba una contraseña y confírmela.
6.	Desactive la casilla de verificación El usuario debe cambiar la contraseña al iniciar una sesión de nuevo.
7.	Haga clic en Crear.

Crear una cuenta de administrador secundaria y deshabilitar la cuenta integrada

Aunque no utilice Servicios de Terminal Server para la administración o no permita que los usuarios no administrativos tengan acceso a los servidores, se recomienda crear un usuario adicional como cuenta de administrador secundaria para administrar los servidores. Debe convertir a este usuario en miembro del grupo Administradores. Después de crear la cuenta secundaria, puede deshabilitar la cuenta Administrador integrada.

Para crear una cuenta de administrador secundaria

1.	Inicie sesión como administrador y, a continuación, abra Usuarios y equipos de Active Directory.
2.	Haga clic con el botón secundario del mouse (ratón) en el contenedor Users, seleccione Nuevo y, a continuación, haga clic en Usuario.
3.	En Nombre y Nombre de inicio de sesión de usuario, escriba <nombre de usuario>y, a continuación, haga clic en Siguiente.
4.	Escriba una contraseña segura y confírmela.
5.	Desactive la casilla de verificación El usuario debe cambiar la contraseña al iniciar una sesión de nuevo y, a continuación, haga clic en Siguiente.
6.	Compruebe que la información de cuenta es correcta y, a continuación, haga clic en Finalizar.
7.	En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en nombre de usuario y, a continuación, haga clic en Propiedades.
8.	Haga clic en la ficha Miembro de, haga clic en Agregar, escriba administradores, haga clic en Comprobar nombresy, a continuación, en Aceptar.
9.	Vuelva a hacer clic en Aceptar para cerrar la página Propiedades.

Para deshabilitar la cuenta Administrador integrada

1.	Inicie sesión con la cuenta de administrador secundario que acaba de crear y abra Usuarios y equipos de Active Directory.
2.	Haga clic en el contenedor Users, haga clic con el botón secundario del mouse (ratón) en el nombre de la cuenta Administrador integrada y, a continuación, haga clic en Propiedades.
3.	Haga clic en la ficha Cuenta.
4.	En Opciones de cuenta, desplácese hacia abajo y, a continuación, active la casilla de verificación Cuenta deshabilitada.
5.	Haga clic en Aceptar.

Advertencia: Debe estar seguro de que existe otra cuenta que tiene los privilegios de administrador adecuados cuando deshabilite la cuenta Administrador integrada. Si deshabilita la cuenta sin asegurarse de que hay disponible otra cuenta, puede perder el control administrativo del dominio, lo que puede requerir una operación de restauración o nueva instalación del sistema.

Habilitar el bloqueo de la cuenta para inicios de sesión de administrador remotos

Una forma de impedir que los piratas informáticos utilicen las credenciales de contraseña y de cuenta de administrador integrada es permitir que la cuenta de administrador esté bloqueada en la red por una directiva de cuenta después de que se produzca un número determinado de errores de inicio de sesión. De forma predeterminada, la cuenta de administrador integrada no se puede bloquear; no obstante, se puede utilizar passprop.exe, un programa de la línea de comandos del kit de recursos de Microsoft Windows 2000 Server, para habilitar el bloqueo de inicios de sesión remotos que utilizan la cuenta de administrador. Cuando se ejecuta la utilidad passprop con el modificador /ADMINLOCKOUT, la cuenta de administrador se somete a las directivas de bloqueo de cuenta. En Windows 2000 Server, esto sólo se aplica a los inicios de sesión remotos y debido a que la cuenta de administrador integrada nunca se puede bloquear en su equipo local, este programa permite proteger la cuenta de administrador de ataques a través de la red pero sigue permitiendo el acceso interactivo.

Advertencia: en Windows Server 2003, passprop permite que la cuenta de administrador integrada se bloquee en los inicios de sesión interactivos así como en los remotos.

Puede utilizar los siguientes modificadores de bloqueo de cuenta con passprop:

passprop [/adminlockout] [/noadminlockout]

El modificador /adminlockout mantiene el bloqueo del administrador.

El modificador /noadminlockout quita el bloqueo del administrador.

Nota: cuando se habilita esta configuración, y la cuenta se bloquea, ningún usuario puede realizar administración remota con la cuenta de administrador.

Crear una contraseña de administrador segura

Utilice una contraseña segura para la cuenta Administrador integrada. Una contraseña segura minimiza la amenaza de que un atacante averigüe la contraseña y obtenga las credenciales de la cuenta Administrador. Una contraseña de cuenta de administrador segura debe:

•	Contener 15 caracteres como mínimo.
•	No contener un nombre de cuenta, nombre real o nombre de compañía.
•	No contener una palabra de diccionario completa, ni siquiera de argot o jerga, en ningún idioma.
•	Ser considerablemente distinta de las contraseñas anteriores. Las contraseñas que incluyen un incremento (Contraseña1, Contraseña2, Contraseña3, ...) no son seguras.
•	Contener caracteres, como mínimo, de tres de los cinco grupos enumerados en la tabla siguiente.

Tabla 3.1 Tipos de caracteres para una contraseña de administrador segura

Tipos de caracteres	Ejemplo
Letras mayúsculas	A, B, C ...
Letras minúsculas	a, b, c ...
Números	0, 1, 2, 3 ...
Símbolos de teclado no alfanuméricos	` ~ ! @ # $ % ^ & * ( ) _ + - = { } \| [ ] \ : " ; ' < > ? , . /
Caracteres Unicode	€, G, ƒ, ?

Utilizar frases cifradas en vez de contraseñas

La forma de crear una contraseña segura que no tenga que anotar consiste en utilizar una frase cifrada. Una frase cifrada es fundamentalmente una frase que puede recordar, como "Mi hijo Juan es tres años mayor que mi hija Ana". Puede crear una contraseña razonablemente segura con la primera letra de cada palabra de la frase. Por ejemplo, "mhjetamqmha". No obstante, puede crear una contraseña todavía más segura con una combinación de mayúsculas y minúsculas, números y caracteres especiales que parezcan letras. Por ejemplo, si utiliza la misma frase fácil de recordar y unos cuantos trucos, la contraseña ahora sería MhJe3@mqmh@.

Aunque las frases cifradas son vulnerables a los ataques de diccionario, la mayoría del software de averiguación de contraseñas comercial no comprueba las contraseñas de más de 14 caracteres. Si los usuarios utilizan frases cifradas largas, es menos probable que se averigüen sus contraseñas y resultan más fáciles de recordar que las contraseñas seguras tradicionales. También es menos probable que los usuarios anoten las contraseñas si son fáciles de recordar. A continuación se ofrecen buenos ejemplos de una frase cifrada segura:

•	¡H0y he c0mido 4 s@lchich@s!
•	¡Re@lmente quiero c0mprar 11 Perros!

Estos ejemplos contienen más de 20 caracteres, son frases cifradas muy largas e incluyen caracteres de cuatro de los cinco grupos posibles. No son frases muy conocidas, pero son más fáciles de recordar que una contraseña de 15 caracteres que tuviera una combinación alfanumérica de caracteres no relacionados, símbolos y signos de puntuación que no tienen un significado intrínseco.

No utilizar contraseñas de administrador en blanco o poco seguras

Aunque supone un riesgo importante para la seguridad, algunas organizaciones tienen contraseñas poco seguras o en blanco para las cuentas de administrador. Las contraseñas en blanco o poco seguras representan una de las vulnerabilidades más habituales en una red y uno de los puntos de acceso más sencillo para los intrusos.

Cuando se establecen contraseñas en blanco o poco seguras para la cuenta de administrador, los usuarios malintencionados puede obtener acceso mediante el uso de combinaciones básicas, como “Administrador” para el nombre de usuario o un valor en blanco o “administrador” para la contraseña. Las contraseñas en blanco y poco seguras sucumben rápidamente a los intentos de averiguación de contraseñas y son vulnerables a los ataques de diccionario, que prueban metódicamente una palabra tras otra, y los ataques de fuerza bruta, que utilizan una lista de caracteres comunes, como A-Z y 0-9, en combinaciones lineales.

Aunque una buena contraseña no puede garantizar que un intruso no obtenga acceso a la red, proporciona una excelente defensa de primera línea.

Utilizar contraseñas seguras

Debe asegurarse de que los administradores de red de la organización utilizan contraseñas seguras. En Windows 2000 Server y Windows Server 2003, puede utilizar Directiva de grupo para aplicar el uso de contraseñas seguras.

Para obtener información acerca de las contraseñas seguras, consulte las notas del producto Aplicación del uso de contraseñas seguras en las organizaciones en www.microsoft.com/smallbusiness/gtm/securityguidance/articles/enforce_strong_passwords.mspx y Contraseñas seguras en www.microsoft.com/smallbusiness/gtm/securityguidance/articles/select_sec_passwords.mspx.

Cambiar las contraseñas de administrador periódicamente

Debe cambiar las contraseñas de las cuentas con privilegios periódicamente. El intervalo entre cada cambio se debe determinar según las consecuencias que el riesgo de la cuenta supongan para la organización. Para obtener directrices acerca de cómo se pueden determinar estas consecuencias, consulte la Guía de administración de riesgos de seguridaden www.microsoft.com/technet/security/guidance/secrisk/default.mspx.

Debe cambiar periódicamente las contraseñas de las cuentas de administrador locales. Puede automatizar este proceso para los servidores y estaciones de trabajo con la herramienta cusrmgr.exe incluida en el kit de recursos de Microsoft Windows 2000 Server. Para obtener más información acerca de cómo utilizar cusrmgr.exe, consulte el artículo de Knowledge Base How to Use the Cusrmgr.exe Tool to Change Administrator Account Password on Multiple Computers en http://support.microsoft.com/kb/272530.

También debe cambiar la contraseña del administrador de Modo de restauración de servicios de directorio (DSRM) en los controladores de dominio de forma periódica. Windows 2000 emplea la utilidad setpwd para restablecer la contraseña DSRM. En Windows Server 2003, la herramienta Ntdsutil ofrece esa funcionalidad. Puede utilizar estas herramientas de forma remota.

Detectar automáticamente contraseñas poco seguras

Las contraseñas poco seguras y en blanco suponen un peligro importante para la seguridad global de la red de una organización. Las organizaciones deben crear o adquirir software que detecte o pruebe automáticamente contraseñas en blanco y poco seguras.

Estos tipos de herramientas emplean dos enfoques básicos:

•

Múltiples intentos de inicio de sesión en línea a través de la red mediante contraseñas poco seguras comunes. Microsoft Baseline Security Analyzer (MBSA) constituye un ejemplo de este tipo de herramienta. No es el método recomendado porque la metodología en línea puede provocar la denegación de servicio si se habilitan los bloqueos de cuenta.

•

Análisis de contraseñas sin conexión. Hay disponibles algunas buenas herramientas de análisis sin conexión de terceros que pueden contribuir a reducir el riesgo de seguridad de una organización al permitir a los administradores que identifiquen y solucionen vulnerabilidades de seguridad derivadas de contraseñas poco seguras o que se puedan averiguar fácilmente. Normalmente estas herramientas buscan contraseñas poco seguras y, a continuación, proporcionan valoración de calidad de contraseña, información y capacidades de corrección. Éste es el método recomendado para probar contraseñas poco seguras.

Después de identificar una cuenta con una contraseña en blanco o poco segura, la respuesta a la incidencia debe seguir el protocolo de respuesta a incidencias establecido de la organización. Algunos ejemplos de protocolo de respuesta a incidencias son:

•	El sistema automatizado restablece la contraseña de la cuenta por una contraseña segura.
•	El sistema automatizado envía un mensaje de correo electrónico al propietario del servidor para solicitar un restablecimiento de contraseña.

Esta última respuesta puede prolongar el período de vulnerabilidad del servidor.

Analizar contraseñas con Microsoft Baseline Security Analyzer

Puede utilizar la herramienta Microsoft Baseline Security Analyzer (MBSA), disponible en www.microsoft.com/technet/security/tools/mbsahome.mspx, para analizar todos los equipos de la red y buscar contraseñas poco seguras.

Entre otras pruebas de seguridad, MBSA puede enumerar todas las cuentas de usuario y comprobar los siguientes puntos débiles de las contraseñas:

•	La contraseña está en blanco
•	La contraseña es la misma que el nombre de la cuenta de usuario
•	La contraseña es la misma que el nombre de equipo
•	La contraseña utiliza la palabra "contraseña"
•	La contraseña utiliza la palabra "admin" o "administrador"

Como resultado del análisis, esta comprobación también informa de las cuentas deshabilitadas o bloqueadas actualmente.

Para realizar esta prueba, MBSA intenta cambiar la contraseña en su equipo de destino utilizando cada una de estas contraseñas. MBSA no restablece ni cambia permanentemente la contraseña, pero avisa si la contraseña no es lo suficientemente segura y, por lo tanto, representa un riesgo de seguridad.

Utilizar credenciales administrativas sólo en equipos de confianza

Asegúrese de que los administradores de la organización nunca utilizan sus credenciales administrativas para iniciar sesión en un equipo en el que carezcan de control total. En un equipo puede haber ejecutándose un capturador de teclado o pantalla que capture las credenciales de contraseña del administrador.

Un capturador de teclado es un programa de software espía silencioso que se ejecuta en segundo plano en un equipo de un usuario. Los programadores de software espía diseñan sus capturadores de teclado para que estén en modo oculto mientras registran todas las pulsaciones sin el consentimiento o el conocimiento del usuario. A continuación, esta información se almacena para recuperarla más adelante o transmitirla al autor del capturador de teclado para que la examine. Los capturadores de teclado pueden registrar todas las pulsaciones, incluida información personal como contraseñas o números de tarjeta de crédito. También pueden registrar todo el correo electrónico redactado o las sesiones de charla en línea.

Un capturador de pantalla captura los datos basados en caracteres de un equipo o programa; para esto, examina el contenido de una pantalla que no está diseñada realmente para el transporte de datos o su inspección por parte de programas y, a continuación, lo presenta con un formato de interfaz gráfica de usuario (GUI) más fácil de entender. Los capturadores de pantalla más recientes presentan la información en HTML, por lo que se puede tener acceso a la información con un explorador.

Auditar las cuentas y contraseñas periódicamente

Las auditorías periódicas contribuyen a garantizar la integridad de la seguridad de dominio y a proteger contra la elevación de privilegios. La elevación de privilegios puede proporcionar a las cuentas de usuario privilegios administrativos no autorizados. A menos que proteja las capacidades administrativas, los atacantes pueden provocar vulnerabilidades y eludir las medidas de seguridad. Por ejemplo, los atacantes que dispongan de privilegios administrativos pueden crear cuentas de usuario ficticias, agregar cuentas a grupos, elevar los privilegios de las cuentas que ya existen, agregar o modificar directivas y deshabilitar opciones de seguridad.

Debe auditar a todos los usuarios y grupos administrativos de nivel de dominio y a todos los usuarios y grupos administrativos de servidores confidenciales de forma periódica. Debido a que los administradores pueden disponer de la capacidad, pero no de la autoridad, para realizar modificaciones en sus propias cuentas administrativas, las organizaciones deben garantizar que las cuentas cumplen la directiva de seguridad de los usuarios administrativos de nivel de dominio. Es importante auditar el uso de estas credenciales con privilegios y comprender que la auditoría no es una simple comprobación de la seguridad de las contraseñas. La auditoría también resulta útil para averiguar las tareas que han llevado a cabo las cuentas administrativas. Utilice Visor de sucesos para consultar los registros de seguridad que se han creado después de configurar y habilitar la auditoría. Las auditorías también pueden detectar cuentas administrativas de nivel de dominio que no se utilizan. Las cuentas administrativas de nivel de dominio inactivas suponen una vulnerabilidad para el entorno de red, en concreto si un atacante las pone en peligro sin que se advierta. Debe quitar todas las cuentas y grupos de administradores de nivel de dominio que no se utilicen.

Prohibir la delegación de cuentas

Debe designar todas las cuentas de usuario administrador de nivel de dominio como La cuenta es importante y no se puede delegar. Esta acción contribuye a impedir que se suplanten las credenciales mediante un servidor marcado como de confianza para la delegación.

La autenticación delegada se produce cuando un servicio de red acepta una solicitud de un usuario y supone la identidad de dicho usuario para iniciar una nueva conexión a un segundo servicio de red. La autenticación delegada resulta útil para aplicaciones de varios niveles que utilizan capacidades de inicio de sesión único en varios equipos. Por ejemplo, se confía automáticamente en los controladores de dominio para la delegación. Si habilita el sistema de cifrado de archivos (EFS) en un servidor de archivos, el servidor debe ser de confianza para la delegación con el fin de almacenar los archivos cifrados en nombre de los usuarios. La autenticación delegada también resulta útil para los programas en los que Servicios de Internet Information Server (IIS) admite una interfaz Web a una base de datos que se ejecuta en otro equipo, como Microsoft Outlook® Web Access (OWA) en Microsoft Exchange Server o para las páginas de compatibilidad de inscripción Web para una entidad emisora de certificados de empresa si las páginas se alojan en otro servidor Web.

Debe denegar el derecho a participar en la autenticación delegada a las cuentas de equipo en Active Directory, a los equipos que no son seguros físicamente y a las cuentas de administrador de dominio. Las cuentas de administrador de dominio tienen acceso a recursos confidenciales y, si se ponen en peligro, suponen un alto riesgo para la organización. Para obtener más información, consulte el tema Enabling Delegated Authenticationen el kit de implementación de Windows Server 2003 en www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dsscc_aut_vwcs.asp.

Controlar el proceso de inicio de sesión administrativa

Los miembros de los grupos Administradores, Administradores de organización y Admins. del dominio representan las cuentas con más privilegios de cada dominio. Para minimizar los riesgos de seguridad, adopte las medidas descritas en las secciones siguientes de esta guía para aplicar credenciales administrativas seguras.

Solicitar tarjetas inteligentes para el inicio de sesión administrativo

A los administradores de dominio se les debe solicitar el uso de autenticación de dos factores para todas sus funciones administrativas. La autenticación de dos factores requiere dos partes:

•	Algo que el usuario tiene, como una tarjeta inteligente.
•	Algo que el usuario sabe, como un número de identificación personal (PIN).

Solicitar ambos factores reduce los riesgos de un acceso no autorizado mediante credenciales de factor único compartidas, robadas o duplicadas, como los nombres de usuario y las contraseñas.

La autenticación de dos factores es un elemento importante cuando se protegen las cuentas de administrador de dominio porque los nombres de usuario y las contraseñas convencionales son credenciales de texto libre que, por lo general, se componen de juegos de caracteres de lenguaje natural. Como tales, un usuario malintencionado puede robarlas, compartirlas o duplicarlas si:

•	Un usuario de confianza comparte su contraseña con un usuario no autorizado o registra la contraseña de un modo no seguro (por ejemplo, una nota adherida al monitor).
•	La contraseña se transmite en formato de texto sin cifrar.
•	Se utiliza un dispositivo de hardware o software para capturar datos del teclado durante el inicio de sesión.

Si se requiere a los administradores que utilicen tarjetas inteligentes para los inicios de sesión interactivos, se exige a los usuarios administrativos que dispongan físicamente de las tarjetas para iniciar la sesión y se garantiza el uso de contraseñas seguras cifradas generadas de modo aleatorio en sus cuentas de usuario. Estas contraseñas seguras protegen del robo de contraseñas poco seguras con el fin de obtener acceso administrativo.

Puede aplicar el uso de tarjetas inteligentes si habilita la opción de cuenta La tarjeta inteligente es necesaria para un inicio de sesión interactivo para cada cuenta de usuario administrativo.

El PIN de la tarjeta inteligente es un código cifrado que cada propietario de tarjeta establece y almacena en ella. El PIN es una cadena que el usuario debe facilitar cuando se autentica con la tarjeta inteligente para utilizar la clave privada. Cada clave privada de una tarjeta inteligente es única, lo que garantiza la singularidad de la autenticación.

La autenticación de tarjeta inteligente resulta muy importante cuando un administrador de dominio utiliza el inicio de sesión interactivo. Las tarjetas inteligentes facilitan las tareas a los administradores de dominio que están encargados de varios servidores y cada uno de los cuales necesita autenticación. En vez de obligar a los administradores a disponer de una contraseña independiente por cada servidor en el que deben autenticarse, puede proteger los servidores con tarjetas inteligentes exclusivas que compartan un PIN común.

Nota: Windows 2000 Server admite el uso de tarjetas inteligentes para el acceso remoto; no obstante, se necesita Windows Server 2003 para poder utilizar tarjetas inteligentes para cuentas de nivel de dominio. También se necesita Windows Server 2003 para utilizar credenciales de tarjeta inteligente con el comando runas del servicio de inicio de sesión secundario.

La implementación de tarjetas inteligentes para administradores de dominio y la adopción de los principios y prácticas que se describen en esta guía pueden servir para que las organizaciones mejoren la seguridad de sus activos de red.

Para obtener más información acerca del uso de tarjetas inteligentes para la autenticación, consulte los recursos siguientes:

•	The Smart Card Deployment Cookbook, en el sitio Web de Microsoft TechNet en www.microsoft.com/technet/security/topics/smrtcard/smrtcdcb/default.mspx.
•	Planning a Smart Card Deployment, en www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/f65c054e-4cb3-4a6e-84f6-8a9787819df5.mspx.

Compartir credenciales de inicio de sesión para cuentas administrativas importantes

Por cada cuenta que considere importante, por ejemplo, una que sea miembro de los grupos Administradores de organización o Administradores de dominio del dominio raíz del bosque, asigne dos usuarios que compartan dicha cuenta con el fin de que ambos estén presentes para iniciar la sesión correctamente con ella. Cuando se comparten estas cuentas, se proporciona una auditoría visual inherente: Un usuario observa las acciones que lleva a cabo el otro. También se evita que un usuario inicie la sesión por su cuenta para tener acceso al equipo como administrador con el objeto de poner en peligro su seguridad como administrador malintencionado o en una situación de coacción.

Puede implementar cuentas administrativas compartidas que utilicen contraseñas o tarjetas inteligentes además de números PIN. Si utiliza credenciales basadas en contraseña para las cuentas administrativas, divida la contraseña entre los dos usuarios que comparten dicha cuenta para que cada uno conozca sólo la mitad de la contraseña. Cada usuario es responsable de mantener su mitad de la contraseña. Por ejemplo, puede crear una cuenta administrativa denominada Admin1 y asignarle dos usuarios de confianza, María y Roberto, para compartir esta cuenta. Cada usuario mantiene la mitad de la contraseña. Para que uno de ellos inicie la sesión y utilice la cuenta, el otro debe estar presente para especificar la otra mitad de la contraseña.

El inconveniente de la opción de cuenta administrativa compartida es que existe una falta inherente de responsabilidad en la auditoría. Las organizaciones necesitarán disponer de otro sistema de control, como cámaras de vigilancia, para garantizar que los usuarios no realizan un uso abusivo de estos privilegios compartidos.

Si utiliza credenciales basadas en tarjeta inteligente para las cuentas administrativas, divida la propiedad de la tarjeta inteligente y su PIN entre los dos usuarios que comparten la cuenta para que un usuario sea el propietario físico de la tarjeta inteligente y el otro mantenga el PIN. De este modo, ambos usuarios deben estar presentes para iniciar sesión en la cuenta.

Restringir el modo y el lugar donde los administradores de dominio pueden iniciar sesión

Las organizaciones deben restringir el modo y el lugar donde un administrador de nivel de dominio puede iniciar sesión. Si así lo requiere su tarea o función, los administradores pueden iniciar sesión interactivamente en los controladores de dominio en los que tienen privilegios, pero se debe seguir solicitando la autenticación de dos factores.

Se debe prohibir a los administradores de dominio que inicien sesión en cualquier equipo no esté aprobado específicamente para el uso de administradores de dominio en los siguientes casos:

•	Cuando se utilicen inicios de sesión interactivos
•	Cuando se utilice Escritorio remoto
•	Cuando se inicie sesión como un servicio
•	Cuando se inicie sesión como un trabajo por lotes

Principio de la página

4 de 6

En este artículo

•	Información general
•	Capítulo 1: Introducción
•	Capítulo 2: Cómo mejorar la seguridad de las cuentas de administrador
•	Capítulo 3: Directrices para mejorar la seguridad de las cuentas de administrador
•	Capítulo 4: Resumen
•	Agradecimientos

Descargar

Guía de planeamiento de supervisión de la seguridad y detección de ataques