Haga clic aqu para instalar Silverlight Latinoamrica Cambiar | Todos los sitios de Microsoft

Buscar en Microsoft.com:
Home | Suscrbase | Downloads | Contctenos | MSN
Bsqueda

Bsqueda Avanzada
TechNet Ir
Comunidad
Suscripcin Technet
Entrenamiento
Webcasts
Seguridad
Recursos
Medianas Empresas
Servidores
Office
Sistemas Operativos
Beta Central
Evaluacin de Software
Home TechNet de tu pas
Desarrollador
Negocios

Gua detallada de aplicacin de directivas de contraseas seguras
Publicado: septiembre 17, aaaa
En esta gua detallada se explican los mtodos para definir directivas de contraseas seguras mediante objetos de Directiva de grupo con el fin de
ampliar la seguridad de un entorno informtico.
En esta pgina
Introduccin
Guas detalladas
Las guas detalladas de desarrollo de Windows Server 2003 proporcionan experiencia prctica para muchas configuraciones de sistemas
operativos. Las guas comienzan estableciendo una infraestructura de red comn a travs de la instalacin de Windows Server 2003, la
configuracin de Active Directory

, la instalacin de una estacin de trabajo Windows XP Professional y, por ltimo, la incorporacin de esta
estacin de trabajo a un dominio. Las guas detalladas posteriores asumen que posee esta infraestructura de red comn. Si no desea seguir esta
infraestructura de red comn, tendr que efectuar las modificaciones pertinentes mientras utiliza estas guas.
La infraestructura de red comn requiere que se sigan las instrucciones de las guas siguientes.
Una vez configurada la infraestructura de red comn, pueden utilizarse todas las guas detalladas adicionales. Tenga en cuenta que algunas guas
detalladas pueden tener requisitos previos adicionales adems de los requisitos de infraestructura de red comn. Todos los requisitos adicionales
se indicarn en la gua detallada especfica.
Microsoft Virtual PC
Las guas detalladas de desarrollo de Windows Server 2003 se pueden implementar en un entorno de laboratorio fsico o mediante tecnologas de
creacin de entornos virtuales como Microsoft Virtual PC 2004 o Microsoft Virtual Server 2005. La tecnologa de mquina virtual permite a los
usuarios ejecutar varios sistemas operativos simultneamente en un nico servidor fsico. Virtual PC 2004 y Virtual Server 2005 estn diseados
para aumentar la eficacia operativa de las pruebas y desarrollo de software, la migracin de aplicaciones heredadas y los escenarios de
consolidacin de servidores.
En las guas detalladas de desarrollo de Windows Server 2003 se asume que todas las configuraciones se realizarn en un entorno de laboratorio
fsico, aunque la mayora de ellas se pueden aplicar a un entorno virtual sin necesidad de modificarlas.
La aplicacin de los conceptos proporcionados en estas guas detalladas a un entorno virtual se escapa al alcance de este documento.
Notas importantes
Las compaas, organizaciones, productos, nombres de dominio, direcciones de correo electrnico, logotipos, personas, lugares y datos
mencionados aqu son ficticios. No se pretende indicar, ni debe deducirse ninguna asociacin con compaas, organizaciones, nombres de dominio,
direcciones de correo electrnico, logotipos, personas, lugares o datos reales.
Esta infraestructura comn est concebida para su uso en una red privada. El nombre ficticio de la compaa y el nombre DNS (Sistema de
nombres de dominio) utilizados en la infraestructura comn no estn registrados para su uso en Internet. No debe utilizar estos nombres en una
red pblica ni en Internet.
El objetivo de la estructura del servicio Active Directory para esta infraestructura comn es mostrar cmo funciona la administracin de cambios y
configuracin de Windows Server 2003 con Active Directory. No se ha diseado como un modelo para configurar Active Directory en una
organizacin.
Principio de la pgina
Introduccin
La mayora de los usuarios inician sesin en sus equipos locales o remotos mediante una combinacin formada por su nombre de usuario y una
contrasea escrita con el teclado. Aunque existen tecnologas alternativas para la autenticacin, como la biometra, las tarjetas inteligentes y las
contraseas de un solo uso para todos los sistemas operativos ms conocidos, la mayora de las organizaciones siguen utilizando contraseas
tradicionales y seguirn hacindolo en los prximos aos. Por tanto, es importante que las organizaciones definan y apliquen directivas de
contraseas a sus equipos en las que se obligue a utilizar contraseas seguras.
Las contraseas seguras satisfacen una serie de requisitos de complejidad (incluida la longitud y las clases de caracteres) gracias a los cuales son
ms dfciles de averiguar por los piratas informticos. El establecimiento de directivas de contraseas seguras en su organizacin puede ayudarle
a impedir que los piratas informticos se hagan pasar por usuarios y, por tanto, que se pueda perder, divulgar o daar informacin confidencial.
Dependiendo de si los equipos de su organizacin son miembros de un dominio de Active Directory, equipos independientes o ambas cosas, para
implementar directivas de contraseas seguras deber realizar una o ambas de las tareas siguientes.
En este documento se explica cmo configurar opciones de directiva de contraseas seguras en miembros de un dominio de Active Directory
mediante objetos de Directiva de grupo.
Una vez configuras las opciones de directivas de contraseas adecuadas, los usuarios de la organizacin slo podrn crear contraseas nuevas si
stas satisfacen los requisitos de longitud y complejidad de las contraseas seguras, y no podrn cambiar inmediatamente sus nuevas
contraseas.
Requisitos previos
Requisitos de esta gua
Introduccin
Introduccin
Configurar directivas de contraseas con objetos de Directiva de grupo
Recursos adicionales

Parte I: Instalar Windows Server 2003 como un controlador de dominio

Parte II: Instalar una estacin de trabajo Windows XP Professional y conectarla a un dominio

Configurar opciones de directivas de contraseas en un dominio de Active Directory.

Configurar opciones de directivas de contraseas en equipos independientes.

Parte 1: Instalar Windows Server 2003 como un controlador de dominio

Gua detallada de administracin de Active Directory

Gua detallada de introduccin al conjunto de caractersticas de Directiva de grupo

Credenciales: Debe iniciar sesin como un miembro del grupo Admins. del dominio para realizar estos ejercicios.
Ir
Page 1 of 5 Gua detallada de aplicacin de directivas de contraseas seguras en Windows Server ...
30/05/2008 http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/strn...
Principio de la pgina
Configurar directivas de contraseas con objetos de Directiva de grupo
Antes de configurar directivas de contraseas en los equipos de la red, deber identificar qu opciones son relevantes, determinar qu valores
utilizar para esas opciones y entender cmo Windows almacena la informacin de configuracin de directivas de contraseas.
Nota: los sistemas operativos Windows 95, Windows 98 y Windows Millennium Edition no admiten las caractersticas de seguridad avanzadas,
como las directivas de contraseas. Si su red incluye equipos independientes (equipos que no pertenecen a un dominio) que ejecutan estos
sistemas operativos, no podr aplicarles directivas de contraseas. Si la red incluye equipos que ejecutan sistemas operativos que son miembros
de un dominio de Active Directory, slo podr aplicar directivas de contraseas en el nivel de dominio.
Identificar las opciones relacionadas con directivas de contraseas
En Windows 2000, Windows XP y Windows Server 2003 se pueden configurar seis opciones relacionadas con las caractersticas de contraseas:
Forzar el historial de contraseas, Vigencia mxima de la contrasea, Vigencia mnima de la contrasea, Longitud mnima de
contrasea, Las contraseas deben cumplir los requerimientos de complejidad y Almacenar contraseas usando cifrado reversible.
Para obtener ayuda sobre cmo determinar los valores de estas opciones adecuados a los requisitos del negocio de su organizacin, consulte
Seleccionar contraseas seguras (en ingls) en el sitio Web de Instrucciones de seguridad de Microsoft.
Almacenar la informacin de directivas de contraseas
Antes de implementar directivas de contraseas, debe saber cmo se almacena la informacin de su configuracin. Esto es debido a que los
mecanismos para almacenar directivas de contraseas limitan el nmero de directivas de contraseas distintas que se pueden implementar y
afecta al modo de aplicar estas directivas.
Slo puede haber una directiva de contrasea para cada base de datos de cuentas. Un dominio de Active Directory se considera una base de datos
de cuentas, ya que es la base de datos de cuentas locales en los equipos independientes. Los equipos que son miembros de un dominio tienen
tambin una base de datos de cuentas locales, pero la mayora de las organizaciones que hayan implementado dominios de Active Directory
requerirn que sus usuarios inicien sesin en sus equipos y en la red mediante cuentas basadas en el dominio. Por tanto, si especifica una
longitud mnima de contrasea de 14 caracteres para un dominio, todos los usuarios del dominio deben utilizar contraseas de 14 o ms
caracteres cuando creen contraseas nuevas. Para establecer requisitos diferentes para un conjunto especfico de usuarios, debe crear un nuevo
dominio para sus cuentas.
Los dominios de Active Directory utilizan objetos de Directiva de grupo para almacenar una gran variedad de informacin de configuracin,
incluida la configuracin de las directivas de contraseas. Aunque Active Directory es un servicio de directorio jerrquico que admite varios niveles
de unidades organizativas y varios objetos de Directiva de grupo, la configuracin de directivas de contraseas para el dominio debe estar definida
en el contenedor raz de dicho dominio. Cuando se crea el primer controlador de dominio para un nuevo dominio de Active Directory, se crean
automticamente dos objetos de Directiva de grupo: el objeto Directiva predeterminada de dominio y el objeto Directiva predeterminada de
controladores de dominio. La Directiva predeterminada de dominio est vinculada al contenedor raz. Contiene algunas opciones crticas para todo
el dominio como la configuracin de directivas de contraseas predeterminadas. La Directiva predeterminada de controladores de dominio est
vinculada a la unidad organizativa Controladores de dominio y contiene la configuracin de seguridad inicial para los controladores de dominio.
Es recomendable que no se modifiquen estos objetos de Directiva de grupo integrados. Si necesita aplicar opciones de directivas de contraseas
que difieren de la configuracin predeterminada, debe crear un nuevo objeto de Directiva de grupo, vincularlo al contenedor raz del dominio o a
la unidad organizativa Controladores de dominio y asignarle una prioridad ms alta que al objeto de Directiva de grupo integrado. Si se vinculan al

Forzar el historial de contraseas determina el nmero de contraseas nuevas exclusivas que un usuario debe utilizar para poder volver a
usar una contrasea antigua. El valor de esta opcin puede estar comprendido entre 0 y 24; si se establece en 0, se deshabilita la opcin de
forzar el historial de contraseas. Para la mayora de las organizaciones, este valor debe estar establecido en 24 contraseas.

Vigencia mxima de la contrasea determina el nmero de das que un usuario puede utilizar una contrasea antes de que se le obligue a
cambiarla. El valor de esta opcin puede estar comprendido entre 0 y 999; si se establece en 0, las contraseas no caducan nunca. La
definicin de un valor bajo para esta opcin puede resultar frustrante para los usuarios, y si el valor es demasiado alto o se deshabilita la
opcin, los piratas informticos dispondrn de ms tiempo para averiguar las contraseas. Para la mayora de las organizaciones, este valor
debe estar establecido en 42 das.

Vigencia mnima de las contraseas determina el nmero de das que un usuario puede conservar una nueva contrasea hasta que pueda
cambiarla. Esta opcin est diseada para utilizarla junto con la opcin Forzar el historial de contraseas, de forma que los usuarios no
puedan restablecer rpidamente sus contraseas tantas veces como sea necesario para luego cambiar a sus contraseas antiguas. El valor de
esta opcin puede estar comprendido entre 0 y 999; si se establece en 0, los usuarios podrn cambiar inmediatamente sus nuevas
contraseas. El valor recomendado es dos das.

Longitud mnima de la contrasea determina el nmero mnimo de caracteres que puede tener una contrasea. Aunque Windows 2000,
Windows XP y Windows Server 2003 admiten contraseas de hasta 28 caracteres de longitud, el valor de esta opcin slo puede estar
comprendido entre 0 y 14. Si se establece en 0, los usuarios podrn tener contraseas en blanco, por lo que no debe utilizar este valor. El valor
recomendado es 8 caracteres.

Las contraseas deben cumplir los requerimientos de complejidad determina si la complejidad de las contraseas es obligatoria. Si se
habilita esta opcin, las contraseas de los usuarios deben satisfacer los siguientes requisitos:

La contrasea debe tener seis caracteres como mnimo.

La contrasea contiene caracteres de al menos tres de las cinco clases siguientes:

Caracteres en maysculas del alfabeto ingls (A Z)

Caracteres en minsculas del alfabeto ingls (a z)

Dgitos en base 10 (0 9)

Caracteres no alfanumricos (por ejemplo: !, $, # o %)

Caracteres Unicode

La contrasea no contiene tres o ms caracteres del nombre de cuenta del usuario.

Si el nombre de cuenta es menor de tres caracteres de longitud, esta comprobacin no se realiza porque la probabilidad de que se
rechazaran las contraseas es demasiado alta. Cuando se comprueba el nombre completo del usuario, varios caracteres se tratan como
delimitadores que separan el nombre en elementos individuales: comas, puntos, guiones, caracteres de subrayado, espacios, signos de libra
esterlina y tabuladores. Se buscar en la contrasea todos los elementos que tengan una longitud de tres o ms caracteres. Si se encuentra
alguno, se rechazar el cambio de contrasea. Por ejemplo, el nombre "Susana F Medrano" se dividira en tres elementos: "Susana", "F" y
"Medrano". Como el segundo elemento slo tiene un carcter, se omite. Por tanto, este usuario no podra tener una contrasea que incluyera
"susana" o "medrano" como una subcadena en la contrasea. En todas estas comprobaciones no se distingue entre maysculas y
minsculas.

Estos requisitos de complejidad se exigen al cambiar la contrasea o al crear una nueva. Se recomienda que habilite esta opcin.

Almacenar contraseas usando cifrado reversible proporciona compatibilidad a las aplicaciones que utilizan protocolos que necesitan
conocer la contrasea del usuario para la autenticacin. Almacenar contraseas mediante cifrado reversible es bsicamente lo mismo que
almacenar versiones de texto sin formato de las contraseas. Por este motivo, esta directiva no debe habilitarse nunca salvo que se considere
ms importante satisfacer los requisitos de las aplicaciones que proteger la informacin de las contraseas.

Esta directiva es necesaria cuando se utiliza el Protocolo de autenticacin por desafo mutuo (CHAP) a travs de acceso remoto o de los
Servicios de autenticacin de Internet (IAS). Tambin es necesaria cuando se utiliza la Autenticacin de texto implcita en Servicios de
Internet Information Server (IIS).
Page 2 of 5 Gua detallada de aplicacin de directivas de contraseas seguras en Windows Server ...
30/05/2008 http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/strn...
mismo contenedor dos objetos de Directiva de grupo con una configuracin contradictoria, se aplica primero el que tiene la prioridad ms alta.
Implementar opciones de directiva de contraseas
En esta seccin se proporcionan instrucciones detalladas para ampliar la seguridad mediante la implementacin de opciones de directiva de
contraseas en los equipos de la organizacin.
Para crear un nuevo objeto de Directiva de grupo en el dominio raz
1. Haga clic en el botn Inicio, seleccione Todos los programas, Herramientas administrativas y, a continuacin, haga clic en
GPWalkThrough.
Nota: la consola MMC (Microsoft Management Console) GPWalkThrough se cre en la Gua detallada de introduccin al conjunto de
caractersticas de Directiva de grupo. Si no ha realizado los pasos de esa gua, tendr que modificar los siguientes pasos segn sea
necesario.
2. En la consola MMC GPWalkThrough, expanda Usuarios y equipos de Active Directory, haga clic con el botn secundario del mouse
(ratn) en contoso.com, haga clic en Propiedades y luego en la ficha Directiva de grupo.
Nota: Microsoft recomienda que se cree un nuevo objeto de Directiva de grupo en lugar de modificar el objeto integrado llamado
Directiva predeterminada de dominio. De este modo, ser mucho ms fcil recuperarse de los problemas graves que podran surgir
con la configuracin de seguridad. Si la nueva configuracin de seguridad crea problemas, puede deshabilitar temporalmente el nuevo
objeto de Directiva de grupo hasta que consiga aislar la configuracin que ha causado los problemas.
3. Haga clic en Nuevo y escriba Directiva de contraseas del dominio para el nombre de Objeto de Directiva de grupo, como se
muestra en la Figura 1.
Figura 1. Crear un objeto de Directiva de grupo en
el dominio raz
4. Presione ENTRAR.
Para forzar la aplicacin del objeto Directiva de contraseas del dominio
Nota: para obtener una descripcin completa de la herencia de Directivas de grupo y obtener ms informacin sobre los pasos siguientes,
consulte la Gua detallada de introduccin al conjunto de caractersticas de Directiva de grupo.
1. En la pgina Propiedades de contoso.com, haga clic para resaltar la Directiva de contraseas del dominio y, a continuacin, haga
clic en el botn ARRIBA.
2. En la pgina Propiedades de contoso.com, haga clic con el botn secundario del mouse en la Directiva de contraseas del dominio
y, despus, haga clic en No reemplazar. La pgina Propiedades de contoso.com debe ser similar a la que se muestra en la Figura 2.
Figura 2. Establecer la prioridad de los objetos de
Directiva de grupo
Para definir directivas de uso de contraseas
1. En la pgina Propiedades de contoso.com, haga doble clic en Directiva de contraseas del dominio.
2. En el Editor de objetos de Directiva de grupo, bajo Configuracin del equipo, expanda Configuracin de Windows,
Configuracin de seguridad y Directivas de cuenta y, a continuacin, haga clic en Directiva de contraseas.
3. En el panel de detalles, haga doble clic en Forzar el historial de contraseas, active la casilla de verificacin Definir esta
configuracin de directiva, establezca el valor de Guardar el historial de contraseas durante en 24 y, a continuacin, haga clic en
Page 3 of 5 Gua detallada de aplicacin de directivas de contraseas seguras en Windows Server ...
30/05/2008 http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/strn...
Aceptar.
4. En el panel de detalles, haga doble clic en Vigencia mxima de la contrasea, active la casilla de verificacin Definir esta
configuracin de directiva, establezca el valor de La contrasea caducar en en 42, haga clic en Aceptar y luego otra vez en
Aceptar para confirmar el cambio de valor propuesto para Vigencia mnima de la contrasea.
5. En el panel de detalles, haga doble clic en Vigencia mnima de la contrasea, establezca el valor de La contrasea se puede cambiar
despus de en 2 y, a continuacin, haga clic en Aceptar.
6. En el panel de detalles, haga doble clic en Longitud mnima de la contrasea, active la casilla de verificacin Definir esta
configuracin de directiva, establezca el valor de La contrasea debe tener al menos en 8 y, a continuacin, haga clic en Aceptar.
7. En el panel de detalles, haga doble clic en Las contraseas debe cumplir los requerimientos de complejidad, active la casilla de
verificacin Definir esta configuracin de directiva en la plantilla, seleccione Habilitada y, a continuacin, haga clic en Aceptar.
8. En el panel de detalles, haga doble clic en Almacenar contraseas usando cifrado reversible, active la casilla de verificacin Definir
esta configuracin de directiva en la plantilla, seleccione Deshabilitada (opcin predeterminada) y, a continuacin, haga clic en
Aceptar. La configuracin debe ser similar a la que se muestra en la Figura 3.
Figura 3. Confirmar las directivas de contraseas del dominio
Ver la imagen a tamao completo
Para exigir protectores de pantalla protegidos por contrasea
1. En el Editor de objetos de Directiva de grupo, contraiga Configuracin del equipo, bajo Configuracin de usuario, expanda
Plantillas administrativas y Panel de control y, a continuacin, haga clic en Pantalla.
2. Configuracin opcional: en el panel de detalles, haga doble clic en Nombre del archivo ejecutable del protector de pantalla,
seleccione Habilitado, escriba scrnsave.scr para el Nombre del archivo ejecutable del protector de pantalla y, a continuacin, haga
clic en Aceptar.
Nota: la definicin de un nombre del archivo ejecutable del protector de pantalla es una configuracin opcional aqu por motivos de
rendimiento. En Windows Server 2003, donde se proporcionan servicios informticos bsicos, los protectores de pantalla pueden consumir
capacidad de procesamiento innecesaria cuando estn habilitados y, por tanto, limitar los recursos disponibles para las necesidades
informticas de la organizacin. Si deben mostrarse protectores de pantalla en los servidores, es absolutamente recomendable que se
utilice el protector de pantalla en blanco (scrnsave.scr). Puede considerar la posibilidad de crear una objeto de Directiva de grupo adicional
bajo el contenedor Controladores de dominio que defina la configuracin del Nombre del archivo ejecutable del protector de pantalla.
3. En el panel de detalles, haga doble clic en Proteger el protector de pantalla mediante contrasea, seleccione Habilitado, escriba
scrnsave.scr para el Nombre del archivo ejecutable del protector de pantalla y, a continuacin, haga clic en Aceptar. La
configuracin debe ser similar a la que se muestra en la Figura 4.
Figura 4. Confirmar el protector de pantalla de un dominio
4. En el Editor de objetos de Directiva de grupo, haga clic en Archivo y luego en Salir. Haga clic en Cerrar en la pgina Propiedades
de contoso.com. Haga clic en Archivo y luego en Salir para cerrar Usuarios y equipos de Active Directory. Si se le indica, haga clic
en S para guardar la consola MMC GPWalkThrough.
Para comprobar los protectores de pantalla protegidos por contrasea
1. Haga clic en el botn Inicio y en Ejecutar, escriba gpupdate /force y, a continuacin, haga clic en Aceptar.
Nota: Gpupdate actualiza la configuracin local y de Directiva de grupo basada en Active Directory, incluida la configuracin de seguridad.
La opcin force omite todas las opciones personalizadas de procesamiento y vuelve a aplicar toda la configuracin.
2. Haga clic con el botn secundario del mouse en el Escritorio, haga clic en Propiedades y luego en la ficha Protector de pantalla. El
nombre del protector de pantalla debe ser En blanco y la casilla de verificacin Proteger con contrasea al reanudar debe estar
activada. Ambos elementos deben aparecer atenuados como se muestra en la Figura 5.
Page 4 of 5 Gua detallada de aplicacin de directivas de contraseas seguras en Windows Server ...
30/05/2008 http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/strn...

Principio de la pgina
Recursos adicionales
Para obtener ms informacin, consulte los siguientes recursos:

Figura 5. Comprobar un protector de
pantalla protegido con contrasea
3. Haga clic en Cancelar.

Seleccionar contraseas seguras en el Kit de instrucciones de seguridad en http://www.microsoft.com/smallbusiness/gtm/

securityguidance/articles/select_sec_passwords.mspx (en ingls)

Contraseas y directivas de cuentas en Windows Server 2003 en http://www.microsoft.com/technet/prodtechnol/

windowsserver2003/technologies/security/bpactlck.mspx (en ingls)

Para obtener la informacin ms reciente sobre Windows Server 2003, visite el sitio Web de Windows Server 2003 en
http://www.microsoft.com/windowsserver2003
Principio de la pgina

Versin para impresora Enviar esta pgina Agregar a Favoritos
Administre su perfil
2008 Microsoft Corporation. Todos los derechos reservados. Pngase en contacto con nosotros | Aviso Legal | Marcas registradas | Privacidad
Page 5 of 5 Gua detallada de aplicacin de directivas de contraseas seguras en Windows Server ...
30/05/2008 http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/strn...