Está en la página 1de 9

Gua detallada de aplicacin de directivas de contraseas seguras en Wi...

http://www.microsoft.com/spain/technet/recursos/articulos/strngpw.mspx

Haga clic aqu para instalar Silverlight

Espaa Cambiar | Todos los sitios de Microsoft

Inicio TechNet
Buscar

Busc ar M icros o| | Suscripcin CD/DVD ft.cBoletn | Internacional | Suscrbase | Mapa del Web | Contacte con nosotros om

Gua detallada de aplicacin de directivas de contraseas seguras


Publicado: septiembre 17, 2004

Qu es TechNet Productos y Tecnologas Soluciones TI Seminarios y Webcasts Seguridad Recursos y Descargas Soporte Migracin e Interoperabilidad Desktop Deployment Comunidad Nueva Suscripcin CD/DVD TechNet Formacin y Certificacin Enlaces Encuentre un partner de soluciones

En esta gua detallada se explican los mtodos para definir directivas de contraseas seguras mediante objetos de Directiva de grupo con el fin de ampliar la seguridad de un entorno informtico. En esta pgina Introduccin Introduccin Configurar directivas de contraseas con objetos de Directiva de grupo Recursos adicionales

Introduccin
Guas detalladas
Las guas detalladas de desarrollo de Windows Server 2003 proporcionan experiencia prctica para muchas configuraciones de sistemas operativos. Las guas comienzan estableciendo una infraestructura de red comn a travs de la instalacin de Windows Server 2003, la configuracin de Active Directory , la instalacin de una estacin de trabajo Windows XP Professional y, por ltimo, la incorporacin de esta estacin de trabajo a un dominio. Las guas detalladas posteriores asumen que posee esta infraestructura de red comn. Si no desea seguir esta infraestructura de red comn, tendr que efectuar las modificaciones pertinentes mientras utiliza estas guas. La infraestructura de red comn requiere que se sigan las instrucciones de las guas siguientes.

Parte I: Instalar Windows Server 2003 como un controlador de dominio Parte II: Instalar una estacin de trabajo Windows XP Professional y conectarla a un dominio

Una vez configurada la infraestructura de red comn, pueden utilizarse todas las guas detalladas adicionales. Tenga en cuenta que algunas guas detalladas pueden tener requisitos previos adicionales adems de los requisitos de infraestructura de red comn. Todos los requisitos adicionales se indicarn en la gua detallada especfica.

Microsoft Virtual PC
Las guas detalladas de desarrollo de Windows Server 2003 se pueden implementar en un entorno de laboratorio fsico o mediante tecnologas de creacin de entornos virtuales como Microsoft Virtual PC 2004 o Microsoft Virtual Server 2005. La tecnologa de mquina virtual permite a los usuarios ejecutar varios sistemas operativos simultneamente en un nico servidor fsico. Virtual PC 2004 y Virtual Server 2005 estn diseados para aumentar la eficacia operativa de las pruebas y desarrollo de software, la migracin de aplicaciones heredadas y los escenarios de consolidacin de servidores. En las guas detalladas de desarrollo de Windows Server 2003 se asume que todas las configuraciones se realizarn en un entorno de laboratorio fsico, aunque la mayora de ellas se pueden aplicar a un entorno virtual sin necesidad de modificarlas. La aplicacin de los conceptos proporcionados en estas guas detalladas a un entorno virtual se escapa al alcance de este documento.

Notas importantes
Las compaas, organizaciones, productos, nombres de dominio, direcciones de correo

1 de 9

04/10/2011 08:01 p.m.

Gua detallada de aplicacin de directivas de contraseas seguras en Wi...

http://www.microsoft.com/spain/technet/recursos/articulos/strngpw.mspx

electrnico, logotipos, personas, lugares y datos mencionados aqu son ficticios. No se pretende indicar, ni debe deducirse ninguna asociacin con compaas, organizaciones, nombres de dominio, direcciones de correo electrnico, logotipos, personas, lugares o datos reales. Esta infraestructura comn est concebida para su uso en una red privada. El nombre ficticio de la compaa y el nombre DNS (Sistema de nombres de dominio) utilizados en la infraestructura comn no estn registrados para su uso en Internet. No debe utilizar estos nombres en una red pblica ni en Internet. El objetivo de la estructura del servicio Active Directory para esta infraestructura comn es mostrar cmo funciona la administracin de cambios y configuracin de Windows Server 2003 con Active Directory. No se ha diseado como un modelo para configurar Active Directory en una organizacin.
Principio de la pgina

Introduccin
La mayora de los usuarios inician sesin en sus equipos locales o remotos mediante una combinacin formada por su nombre de usuario y una contrasea escrita con el teclado. Aunque existen tecnologas alternativas para la autenticacin, como la biometra, las tarjetas inteligentes y las contraseas de un solo uso para todos los sistemas operativos ms conocidos, la mayora de las organizaciones siguen utilizando contraseas tradicionales y seguirn hacindolo en los prximos aos. Por tanto, es importante que las organizaciones definan y apliquen directivas de contraseas a sus equipos en las que se obligue a utilizar contraseas seguras. Las contraseas seguras satisfacen una serie de requisitos de complejidad (incluida la longitud y las clases de caracteres) gracias a los cuales son ms dfciles de averiguar por los piratas informticos. El establecimiento de directivas de contraseas seguras en su organizacin puede ayudarle a impedir que los piratas informticos se hagan pasar por usuarios y, por tanto, que se pueda perder, divulgar o daar informacin confidencial. Dependiendo de si los equipos de su organizacin son miembros de un dominio de Active Directory, equipos independientes o ambas cosas, para implementar directivas de contraseas seguras deber realizar una o ambas de las tareas siguientes.

Configurar opciones de directivas de contraseas en un dominio de Active Directory. Configurar opciones de directivas de contraseas en equipos independientes.

En este documento se explica cmo configurar opciones de directiva de contraseas seguras en miembros de un dominio de Active Directory mediante objetos de Directiva de grupo. Una vez configuras las opciones de directivas de contraseas adecuadas, los usuarios de la organizacin slo podrn crear contraseas nuevas si stas satisfacen los requisitos de longitud y complejidad de las contraseas seguras, y no podrn cambiar inmediatamente sus nuevas contraseas.

Requisitos previos

Parte 1: Instalar Windows Server 2003 como un controlador de dominio Gua detallada de administracin de Active Directory Gua detallada de introduccin al conjunto de caractersticas de Directiva de grupo

Requisitos de esta gua


Credenciales: Debe iniciar sesin como un miembro del grupo Admins. del dominio para realizar estos ejercicios.
Principio de la pgina

Configurar directivas de contraseas con objetos de Directiva de grupo


Antes de configurar directivas de contraseas en los equipos de la red, deber identificar qu opciones son relevantes, determinar qu valores utilizar para esas opciones y entender cmo Windows almacena la informacin de configuracin de directivas de contraseas. Nota: los sistemas operativos Windows 95, Windows 98 y Windows Millennium Edition no

2 de 9

04/10/2011 08:01 p.m.

Gua detallada de aplicacin de directivas de contraseas seguras en Wi...

http://www.microsoft.com/spain/technet/recursos/articulos/strngpw.mspx

admiten las caractersticas de seguridad avanzadas, como las directivas de contraseas. Si su red incluye equipos independientes (equipos que no pertenecen a un dominio) que ejecutan estos sistemas operativos, no podr aplicarles directivas de contraseas. Si la red incluye equipos que ejecutan sistemas operativos que son miembros de un dominio de Active Directory, slo podr aplicar directivas de contraseas en el nivel de dominio.

Identificar las opciones relacionadas con directivas de contraseas


En Windows 2000, Windows XP y Windows Server 2003 se pueden configurar seis opciones relacionadas con las caractersticas de contraseas: Forzar el historial de contraseas, Vigencia mxima de la contrasea, Vigencia mnima de la contrasea, Longitud mnima de contrasea, Las contraseas deben cumplir los requerimientos de complejidad y Almacenar contraseas usando cifrado reversible. Para obtener ayuda sobre cmo determinar los valores de estas opciones adecuados a los requisitos del negocio de su organizacin, consulte Seleccionar contraseas seguras (en ingls) en el sitio Web de Instrucciones de seguridad de Microsoft.

Forzar el historial de contraseas determina el nmero de contraseas nuevas exclusivas que un usuario debe utilizar para poder volver a usar una contrasea antigua. El valor de esta opcin puede estar comprendido entre 0 y 24; si se establece en 0, se deshabilita la opcin de forzar el historial de contraseas. Para la mayora de las organizaciones, este valor debe estar establecido en 24 contraseas. Vigencia mxima de la contrasea determina el nmero de das que un usuario puede utilizar una contrasea antes de que se le obligue a cambiarla. El valor de esta opcin puede estar comprendido entre 0 y 999; si se establece en 0, las contraseas no caducan nunca. La definicin de un valor bajo para esta opcin puede resultar frustrante para los usuarios, y si el valor es demasiado alto o se deshabilita la opcin, los piratas informticos dispondrn de ms tiempo para averiguar las contraseas. Para la mayora de las organizaciones, este valor debe estar establecido en 42 das. Vigencia mnima de las contraseas determina el nmero de das que un usuario puede conservar una nueva contrasea hasta que pueda cambiarla. Esta opcin est diseada para utilizarla junto con la opcin Forzar el historial de contraseas, de forma que los usuarios no puedan restablecer rpidamente sus contraseas tantas veces como sea necesario para luego cambiar a sus contraseas antiguas. El valor de esta opcin puede estar comprendido entre 0 y 999; si se establece en 0, los usuarios podrn cambiar inmediatamente sus nuevas contraseas. El valor recomendado es dos das. Longitud mnima de la contrasea determina el nmero mnimo de caracteres que puede tener una contrasea. Aunque Windows 2000, Windows XP y Windows Server 2003 admiten contraseas de hasta 28 caracteres de longitud, el valor de esta opcin slo puede estar comprendido entre 0 y 14. Si se establece en 0, los usuarios podrn tener contraseas en blanco, por lo que no debe utilizar este valor. El valor recomendado es 8 caracteres. Las contraseas deben cumplir los requerimientos de complejidad determina si la complejidad de las contraseas es obligatoria. Si se habilita esta opcin, las contraseas de los usuarios deben satisfacer los siguientes requisitos:

La contrasea debe tener seis caracteres como mnimo. La contrasea contiene caracteres de al menos tres de las cinco clases siguientes:

Caracteres en maysculas del alfabeto ingls (A Z) Caracteres en minsculas del alfabeto ingls (a z) Dgitos en base 10 (0 9) Caracteres no alfanumricos (por ejemplo: !, $, # o %) Caracteres Unicode

La contrasea no contiene tres o ms caracteres del nombre de cuenta del usuario. Si el nombre de cuenta es menor de tres caracteres de longitud, esta comprobacin no se realiza porque la probabilidad de que se rechazaran las contraseas es demasiado alta. Cuando se comprueba el nombre completo del usuario, varios caracteres se tratan como delimitadores que separan el nombre en elementos individuales: comas, puntos, guiones,

3 de 9

04/10/2011 08:01 p.m.

Gua detallada de aplicacin de directivas de contraseas seguras en Wi...

http://www.microsoft.com/spain/technet/recursos/articulos/strngpw.mspx

caracteres de subrayado, espacios, signos de libra esterlina y tabuladores. Se buscar en la contrasea todos los elementos que tengan una longitud de tres o ms caracteres. Si se encuentra alguno, se rechazar el cambio de contrasea. Por ejemplo, el nombre "Susana F Medrano" se dividira en tres elementos: "Susana", "F" y "Medrano". Como el segundo elemento slo tiene un carcter, se omite. Por tanto, este usuario no podra tener una contrasea que incluyera "susana" o "medrano" como una subcadena en la contrasea. En todas estas comprobaciones no se distingue entre maysculas y minsculas.

Estos requisitos de complejidad se exigen al cambiar la contrasea o al crear una nueva. Se recomienda que habilite esta opcin.

Almacenar contraseas usando cifrado reversible proporciona compatibilidad a las aplicaciones que utilizan protocolos que necesitan conocer la contrasea del usuario para la autenticacin. Almacenar contraseas mediante cifrado reversible es bsicamente lo mismo que almacenar versiones de texto sin formato de las contraseas. Por este motivo, esta directiva no debe habilitarse nunca salvo que se considere ms importante satisfacer los requisitos de las aplicaciones que proteger la informacin de las contraseas.

Esta directiva es necesaria cuando se utiliza el Protocolo de autenticacin por desafo mutuo (CHAP) a travs de acceso remoto o de los Servicios de autenticacin de Internet (IAS). Tambin es necesaria cuando se utiliza la Autenticacin de texto implcita en Servicios de Internet Information Server (IIS).

Almacenar la informacin de directivas de contraseas


Antes de implementar directivas de contraseas, debe saber cmo se almacena la informacin de su configuracin. Esto es debido a que los mecanismos para almacenar directivas de contraseas limitan el nmero de directivas de contraseas distintas que se pueden implementar y afecta al modo de aplicar estas directivas. Slo puede haber una directiva de contrasea para cada base de datos de cuentas. Un dominio de Active Directory se considera una base de datos de cuentas, ya que es la base de datos de cuentas locales en los equipos independientes. Los equipos que son miembros de un dominio tienen tambin una base de datos de cuentas locales, pero la mayora de las organizaciones que hayan implementado dominios de Active Directory requerirn que sus usuarios inicien sesin en sus equipos y en la red mediante cuentas basadas en el dominio. Por tanto, si especifica una longitud mnima de contrasea de 14 caracteres para un dominio, todos los usuarios del dominio deben utilizar contraseas de 14 o ms caracteres cuando creen contraseas nuevas. Para establecer requisitos diferentes para un conjunto especfico de usuarios, debe crear un nuevo dominio para sus cuentas. Los dominios de Active Directory utilizan objetos de Directiva de grupo para almacenar una gran variedad de informacin de configuracin, incluida la configuracin de las directivas de contraseas. Aunque Active Directory es un servicio de directorio jerrquico que admite varios niveles de unidades organizativas y varios objetos de Directiva de grupo, la configuracin de directivas de contraseas para el dominio debe estar definida en el contenedor raz de dicho dominio. Cuando se crea el primer controlador de dominio para un nuevo dominio de Active Directory, se crean automticamente dos objetos de Directiva de grupo: el objeto Directiva predeterminada de dominio y el objeto Directiva predeterminada de controladores de dominio. La Directiva predeterminada de dominio est vinculada al contenedor raz. Contiene algunas opciones crticas para todo el dominio como la configuracin de directivas de contraseas predeterminadas. La Directiva predeterminada de controladores de dominio est vinculada a la unidad organizativa Controladores de dominio y contiene la configuracin de seguridad inicial para los controladores de dominio. Es recomendable que no se modifiquen estos objetos de Directiva de grupo integrados. Si necesita aplicar opciones de directivas de contraseas que difieren de la configuracin predeterminada, debe crear un nuevo objeto de Directiva de grupo, vincularlo al contenedor raz del dominio o a la unidad organizativa Controladores de dominio y asignarle una prioridad ms alta que al objeto de Directiva de grupo integrado. Si se vinculan al mismo contenedor dos objetos de Directiva de grupo con una configuracin contradictoria, se aplica primero el que tiene la prioridad ms alta.

Implementar opciones de directiva de contraseas


En esta seccin se proporcionan instrucciones detalladas para ampliar la seguridad mediante la implementacin de opciones de directiva de contraseas en los equipos de la organizacin.

4 de 9

04/10/2011 08:01 p.m.

Gua detallada de aplicacin de directivas de contraseas seguras en Wi...

http://www.microsoft.com/spain/technet/recursos/articulos/strngpw.mspx

Para crear un nuevo objeto de Directiva de grupo en el dominio raz 1. Haga clic en el botn Inicio, seleccione Todos los programas, Herramientas administrativas y, a continuacin, haga clic en GPWalkThrough. Nota: la consola MMC (Microsoft Management Console) GPWalkThrough se cre en la Gua detallada de introduccin al conjunto de caractersticas de Directiva de grupo. Si no ha realizado los pasos de esa gua, tendr que modificar los siguientes pasos segn sea necesario. 2. En la consola MMC GPWalkThrough, expanda Usuarios y equipos de Active Directory, haga clic con el botn secundario del mouse (ratn) en contoso.com, haga clic en Propiedades y luego en la ficha Directiva de grupo. Nota: Microsoft recomienda que se cree un nuevo objeto de Directiva de grupo en lugar de modificar el objeto integrado llamado Directiva predeterminada de dominio. De este modo, ser mucho ms fcil recuperarse de los problemas graves que podran surgir con la configuracin de seguridad. Si la nueva configuracin de seguridad crea problemas, puede deshabilitar temporalmente el nuevo objeto de Directiva de grupo hasta que consiga aislar la configuracin que ha causado los problemas. 3. Haga clic en Nuevo y escriba Directiva de contraseas del dominio para el nombre de Objeto de Directiva de grupo, como se muestra en la Figura 1.

Figura 1. Crear un objeto de Directiva de grupo en el dominio raz

4. Presione ENTRAR. Para forzar la aplicacin del objeto Directiva de contraseas del dominio Nota: para obtener una descripcin completa de la herencia de Directivas de grupo y obtener ms informacin sobre los pasos siguientes, consulte la Gua detallada de introduccin al conjunto de caractersticas de Directiva de grupo. 1. En la pgina Propiedades de contoso.com, haga clic para resaltar la Directiva de contraseas del dominio y, a continuacin, haga clic en el botn ARRIBA. 2. En la pgina Propiedades de contoso.com, haga clic con el botn secundario del mouse en la Directiva de contraseas del dominio y, despus, haga clic en No reemplazar. La pgina Propiedades de contoso.com debe ser similar a la que se muestra en la Figura 2.

5 de 9

04/10/2011 08:01 p.m.

Gua detallada de aplicacin de directivas de contraseas seguras en Wi...

http://www.microsoft.com/spain/technet/recursos/articulos/strngpw.mspx

Figura 2. Establecer la prioridad de los objetos de Directiva de grupo

Para definir directivas de uso de contraseas 1. En la pgina Propiedades de contoso.com, haga doble clic en Directiva de contraseas del dominio. 2. En el Editor de objetos de Directiva de grupo, bajo Configuracin del equipo, expanda Configuracin de Windows, Configuracin de seguridad y Directivas de cuenta y, a continuacin, haga clic en Directiva de contraseas. 3. En el panel de detalles, haga doble clic en Forzar el historial de contraseas, active la casilla de verificacin Definir esta configuracin de directiva, establezca el valor de Guardar el historial de contraseas durante en 24 y, a continuacin, haga clic en Aceptar. 4. En el panel de detalles, haga doble clic en Vigencia mxima de la contrasea, active la casilla de verificacin Definir esta configuracin de directiva, establezca el valor de La contrasea caducar en en 42, haga clic en Aceptar y luego otra vez en Aceptar para confirmar el cambio de valor propuesto para Vigencia mnima de la contrasea. 5. En el panel de detalles, haga doble clic en Vigencia mnima de la contrasea, establezca el valor de La contrasea se puede cambiar despus de en 2 y, a continuacin, haga clic en Aceptar. 6. En el panel de detalles, haga doble clic en Longitud mnima de la contrasea, active la casilla de verificacin Definir esta configuracin de directiva, establezca el valor de La contrasea debe tener al menos en 8 y, a continuacin, haga clic en Aceptar. 7. En el panel de detalles, haga doble clic en Las contraseas debe cumplir los requerimientos de complejidad, active la casilla de verificacin Definir esta configuracin de directiva en la plantilla, seleccione Habilitada y, a continuacin, haga clic en Aceptar. 8. En el panel de detalles, haga doble clic en Almacenar contraseas usando cifrado reversible, active la casilla de verificacin Definir esta configuracin de directiva en la plantilla, seleccione Deshabilitada (opcin predeterminada) y, a continuacin, haga clic en Aceptar. La configuracin debe ser similar a la que se muestra en la Figura 3.

6 de 9

04/10/2011 08:01 p.m.

Gua detallada de aplicacin de directivas de contraseas seguras en Wi...

http://www.microsoft.com/spain/technet/recursos/articulos/strngpw.mspx

Figura 3. Confirmar las directivas de contraseas del dominio Ver la imagen a tamao completo

Para exigir protectores de pantalla protegidos por contrasea 1. En el Editor de objetos de Directiva de grupo, contraiga Configuracin del equipo, bajo Configuracin de usuario, expanda Plantillas administrativas y Panel de control y, a continuacin, haga clic en Pantalla. 2. Configuracin opcional: en el panel de detalles, haga doble clic en Nombre del archivo ejecutable del protector de pantalla, seleccione Habilitado, escriba scrnsave.scr para el Nombre del archivo ejecutable del protector de pantalla y, a continuacin, haga clic en Aceptar. Nota: la definicin de un nombre del archivo ejecutable del protector de pantalla es una configuracin opcional aqu por motivos de rendimiento. En Windows Server 2003, donde se proporcionan servicios informticos bsicos, los protectores de pantalla pueden consumir capacidad de procesamiento innecesaria cuando estn habilitados y, por tanto, limitar los recursos disponibles para las necesidades informticas de la organizacin. Si deben mostrarse protectores de pantalla en los servidores, es absolutamente recomendable que se utilice el protector de pantalla en blanco (scrnsave.scr). Puede considerar la posibilidad de crear una objeto de Directiva de grupo adicional bajo el contenedor Controladores de dominio que defina la configuracin del Nombre del archivo ejecutable del protector de pantalla. 3. En el panel de detalles, haga doble clic en Proteger el protector de pantalla mediante contrasea, seleccione Habilitado, escriba scrnsave.scr para el Nombre del archivo ejecutable del protector de pantalla y, a continuacin, haga clic en Aceptar. La configuracin debe ser similar a la que se muestra en la Figura 4.

7 de 9

04/10/2011 08:01 p.m.

Gua detallada de aplicacin de directivas de contraseas seguras en Wi...

http://www.microsoft.com/spain/technet/recursos/articulos/strngpw.mspx

Figura 4. Confirmar el protector de pantalla de un dominio

4. En el Editor de objetos de Directiva de grupo, haga clic en Archivo y luego en Salir. Haga clic en Cerrar en la pgina Propiedades de contoso.com. Haga clic en Archivo y luego en Salir para cerrar Usuarios y equipos de Active Directory. Si se le indica, haga clic en S para guardar la consola MMC GPWalkThrough. Para comprobar los protectores de pantalla protegidos por contrasea 1. Haga clic en el botn Inicio y en Ejecutar, escriba gpupdate /force y, a continuacin, haga clic en Aceptar. Nota: Gpupdate actualiza la configuracin local y de Directiva de grupo basada en Active Directory, incluida la configuracin de seguridad. La opcin force omite todas las opciones personalizadas de procesamiento y vuelve a aplicar toda la configuracin. 2. Haga clic con el botn secundario del mouse en el Escritorio, haga clic en Propiedades y luego en la ficha Protector de pantalla. El nombre del protector de pantalla debe ser En blanco y la casilla de verificacin Proteger con contrasea al reanudar debe estar activada. Ambos elementos deben aparecer atenuados como se muestra en la Figura 5.

Figura 5. Comprobar un protector de pantalla protegido con contrasea

3. Haga clic en Cancelar.


Principio de la pgina

8 de 9

04/10/2011 08:01 p.m.

Gua detallada de aplicacin de directivas de contraseas seguras en Wi...

http://www.microsoft.com/spain/technet/recursos/articulos/strngpw.mspx

Recursos adicionales
Para obtener ms informacin, consulte los siguientes recursos:

Seleccionar contraseas seguras en el Kit de instrucciones de seguridad en http://www.microsoft.com/smallbusiness/gtm/ securityguidance/articles/select_sec_passwords.mspx (en ingls) Contraseas y directivas de cuentas en Windows Server 2003 en http://www.microsoft.com /technet/prodtechnol/ windowsserver2003/technologies/security/bpactlck.mspx (en ingls) Para obtener la informacin ms reciente sobre Windows Server 2003, visite el sitio Web de Windows Server 2003 en http://www.microsoft.com/windowsserver2003 (en ingls)

Principio de la pgina

Administre su perfil 2011 Microsoft Corporation. Todos los derechos reservados. Pngase en contacto con nosotros | Condiciones de uso | Marcas registradas | Declaracin de Privacidad

9 de 9

04/10/2011 08:01 p.m.

También podría gustarte