Cómo configurar múltiples políticas de contraseña y bloqueo de cuenta

Desde Windows Server 2008, Microsoft ha permitido a los administradores crear múltiples password policies para dominios en Active Directory. En un entorno moderno habilitado para la nube, es importante que las cuentas con mayores privilegios estén restringidas mediante políticas y auditadas regularmente.

Aquí hay una guía paso a paso sobre cómo habilitar Múltiples Políticas de Contraseña y Bloqueo de Cuenta en su entorno. Esto también es conocido como una política de contraseña de granularidad fina.

No olvides que siempre puedes usar la herramienta gratuita AD account tool de Netwrix para investigar
bloqueos de cuentas de usuario más rápidamente.

Antes de intentar esto, asegúrese de que el nivel funcional de su dominio y bosque sea al menos 2008 o superior y que haya iniciado sesión como Administrador del Dominio (o superior).

Active Directory almacena estas nuevas políticas de contraseñas en un Contenedor de Configuración de Contraseñas (PSC) – aquí es donde comenzaremos:

1. Abra adsiedit.msc desde el Menú de Inicio
2. Haga clic derecho en 'ADSI Edit' en el panel izquierdo y seleccione 'Conectar a'
3. En el cuadro ‘name’, introduzca el nombre de dominio en el que desea implementar esto y haga clic en OK
4. Expanda el árbol de la izquierda: DC=Your Domain -> CN=System -> CN= Password Settings Container

1. Haga clic derecho en el espacio vacío a la derecha y seleccione 'Nuevo' -> 'Objeto' -> msDS-PasswordSettings -> Siguiente
2. Asigne un nombre a esta política, aquí la llamo 'Chief Executives' -> Siguiente
3. Para cada uno de los atributos que el asistente le solicita, complete con un valor apropiado:
   1. Precedencia de configuración de contraseña – de 0 en adelante
      • Este es el orden en el que la Política de Contraseñas se aplica a un usuario: un número MÁS BAJO indica una MAYOR prioridad (tendrá prioridad sobre las demás).
   2. La encriptación reversible está habilitada – verdadero o falso
      • Almacene la contraseña utilizando cifrado reversible – ¡no recomendado!
   3. Longitud del historial de contraseñas – de 0 a 1024
      • ¿Cuántas contraseñas se recuerdan después de que los usuarios las han cambiado?
   4. Complejidad de contraseña activada – verdadero o falso
      • La contraseña debe cumplir con los requisitos de complejidad (es decir, debe tener números, símbolos, mayúsculas y minúsculas)
   5. Longitud mínima de la contraseña – de 0 a 255
   6. Edad mínima de la contraseña: un período de tiempo expresado en dd:hh:mm:ss o (ninguno)
      • Cuánto tiempo debe mantener el usuario una contraseña antes de que se le permita cambiarla (evita que la cambie y luego la vuelva a cambiar)
   7. Edad máxima de la contraseña: un período de tiempo expresado en dd:hh:mm:ss o (nunca)
   8. Umbral de bloqueo – 0 a 65535
      • ¿Cuántas contraseñas se pueden ingresar incorrectamente antes de que la cuenta se bloquee?
   9. Ventana de observación de bloqueo – un intervalo de tiempo expresado en dd:hh:mm:ss o (ninguno)
      • El tiempo en el que se deben revisar las contraseñas incorrectas anteriores y bloquear si es necesario.
   10. Duración del bloqueo: un intervalo de tiempo escrito en dd:hh:mm:ss o (nunca)
       • Cuánto tiempo bloquear una cuenta después de que se haya alcanzado el límite de intentos de contraseña incorrectos
   11. Haga clic en ‘Finish’, luego haga clic derecho en la nueva política de contraseñas y haga clic en ‘Properties’
   12. Encuentre el atributo ‘msDS-PSOAppliesTo’ y haga doble clic, luego ‘Agregar cuenta de Windows’

Especifique los grupos o usuarios a los que se debe aplicar esta política de contraseñas:

1. ¡Presiona OK hasta salir cuando hayas terminado!

Una vez que su nueva política de contraseñas se replique en otros controladores de dominio, debería aplicarse casi instantáneamente.

Si tienes la suerte de contar con un dominio de Windows Server 2012, o una computadora con Windows 8 o superior con las herramientas de administración remota de servidores instaladas, este proceso es algo más sencillo:

1. Abra el Centro Administrativo de Active Directory y conéctese a su dominio
2. Navegue a la misma ubicación que en ADSI: Dominio -> Sistema -> Contenedor de Configuración de Contraseñas
3. Haga clic derecho y elija 'Nuevo' -> 'Configuración de contraseña'

Aparecerá un diálogo con opciones muy similares a las descritas anteriormente, pero con menos control sobre algunas de las duraciones (por ejemplo, no se puede establecer una duración en horas o minutos para la edad mínima/máxima de la contraseña.

1. Establezca sus opciones y luego agregue los usuarios / grupos a los que se debe aplicar esta política de contraseñas, luego presione OK.

Alternativamente, puedes hacer todo el proceso con dos comandos de PowerShell de la siguiente manera...

Cree la Password Policy:

Nuevo – ADFineGrainedPasswordPolicy – ComplexityEnabled: $true -LockoutDuration: “00:30:00” – LockoutObservationWindow: “00:30:00” – LockoutThreshold: “5” – MaxPasswordAge: “42.00:00:00” -MinPasswordAge: “1.00:00:00” – MinPasswordLength: “7” -Name: “FriendlyNameHere” – PasswordHistoryCount: “24” – Precedence: “5” -ReversibleEncryptionEnabled: $false – Server: “domaincontroller.domain.local”

Y aplíquelo a un grupo o usuario:

Agregar – ADFineGrainedPasswordPolicySubject – Identidad: “CN=FriendlyNameHere, CN=Password Settings Container, CN=System, DC=domain, DC=local” – Servidor: “domaincontroller.domain.local” – Sujetos: “DNPathToUserOrGroup”

Nuevamente, las descripciones de los atributos están arriba.

Recomendaría encarecidamente configurar Fine-Grained Password Policies – aquí están los 4 niveles que hemos establecido:

• Cuentas de invitado y desechables
  – Se permiten contraseñas simples, más de 5 caracteres, sin caducidad
• Personal Regular
  – Se permiten contraseñas simples, más de 12 caracteres, caducidad de 30 días
• Personal de Finanzas y Material Confidencial
  – Contraseñas complejas, más de 12 caracteres, caducidad de 30 días, se recuerdan 12 contraseñas
• Personal de TIC y Administradores
  – Contraseñas complejas, más de 12 caracteres, caducidad de 14 días, se recuerdan 12 contraseñas