1.3K
La política de caducidad de la contraseña de dominio de Active Directory juega un papel crucial para garantizar la seguridad de las cuentas de usuario dentro de las organizaciones. Al hacer cumplir los cambios regulares de contraseña, esta política ayuda a mitigar el riesgo de acceso no autorizado a información confidencial y protege contra posibles infracciones de seguridad.
¿Qué sucede cuando la contraseña de un usuario caduca en Active Directory? La cuenta de usuario no está bloqueada, pero el usuario debe cambiar su contraseña en el próximo inicio de sesión: Su contraseña ha caducado y debe cambiarse.
Los usuarios no pueden acceder a los recursos y equipos del dominio hasta que cambien su contraseña.
En esta publicación de blog, exploraremos la importancia de las políticas de caducidad de contraseñas y lo guiaremos a través del proceso de configuración dentro de un entorno de dominio.
¿Microsoft sigue recomendando la caducidad periódica de la contraseña?
Anteriormente, Microsoft recomendaba hacer caducar periódicamente las contraseñas de los usuarios de Active Directory como medida de seguridad. Pero, en los últimos años, Microsoft ha actualizado su postura sobre esta práctica.
en su documentación de referencia de seguridad (1903)Microsoft sugiere que la caducidad periódica de la contraseña puede no ser tan efectiva como se pensaba anteriormente.
Destacan la importancia de contraseñas fuertes y complejas y la autenticación de múltiples factores como medidas de seguridad más confiables.
Si bien aún es posible configurar políticas de caducidad de contraseñas, las organizaciones deben evaluar cuidadosamente la eficacia de dichas políticas en función de sus requisitos de seguridad específicos y evaluaciones de riesgos.
Obtención de la fecha de caducidad de la contraseña de usuario
Antes de profundizar en la política de caducidad de la contraseña, repasemos cómo obtener las fechas de caducidad de la contraseña del usuario mediante PowerShell. Este método requiere el módulo PowerShell AD.
Puede realizar este método en un controlador de dominio o en una computadora con las herramientas de administración remota del servidor (RSAT) instaladas.
Ejecute el comando de PowerShell para determinar la fecha de vencimiento de la contraseña de un usuario. Reemplazar alfa con el nombre de usuario que está recibiendo.
Get-ADUser -Identity alpha -Properties "msDS-UserPasswordExpiryTimeComputed" | Select-Object -Property Name, @{Name = "PasswordExpiryDate"; Expression = { [datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed") } }
Este comando recupera la fecha de vencimiento de la contraseña para un usuario llamado «alfa» y la muestra junto con el nombre del usuario.
Para recuperar las fechas de vencimiento de la contraseña para todos los usuarios, excepto aquellos con el «La contraseña nunca expira” atributo establecido en “Verdadero”, ejecute el siguiente comando:
Get-ADUser -Filter 'PasswordNeverExpires -eq "False"' -Properties PasswordNeverExpires, "msDS-UserPasswordExpiryTimeComputed" | Select-Object -Property Name, @{Name = "PasswordExpiryDate"; Expression = { [datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed") } }
Este comando recupera las fechas de caducidad de la contraseña para todos los usuarios con el «La contraseña nunca expira” atributo establecido en “FALSO” y muestra los resultados, incluidos los nombres de los usuarios y las fechas de vencimiento de las contraseñas correspondientes.
Configuración de la política de caducidad de la contraseña del dominio
Ahora que sabemos cómo determinar las fechas de caducidad de las contraseñas de los usuarios, profundicemos en la configuración de la política de caducidad de contraseñas de dominio dentro de un objeto de política de grupo (GPO).
Para ubicar la configuración de la política de caducidad de la contraseña dentro de un GPO, siga estos pasos:
- Abra la Consola de administración de directivas de grupo (GPMC) en un controlador de dominio o una máquina con las Herramientas de administración remota del servidor (RSAT) instaladas.
- Expanda el dominio deseado dentro de GPMC y navegue hasta «Objetos de directiva de grupo».
- Haga clic derecho en el Política de dominio predeterminada y selecciona «Editar” para abrir el Editor de administración de directivas de grupo.
- En el editor, vaya a «Configuración de la computadora» → «Políticas» → «Configuración de Windows» → «Configuración de seguridad» → «Políticas de la cuenta» → «Política de contraseñas».
Dentro de la carpeta «Política de contraseñas», encontrará varias configuraciones de políticas relacionadas con las contraseñas, incluido el valor «Vigencia máxima de la contraseña». De forma predeterminada, las contraseñas de las cuentas de usuario caducan después de 42 días desde el último cambio de contraseña. - Haga doble clic en la configuración de política «Edad máxima de la contraseña» para abrir sus propiedades.
- Establezca la duración de caducidad de la contraseña deseada (en días) en el campo «Vigencia máxima de la contraseña». Por ejemplo, si desea que las contraseñas caduquen cada 90 días, ingrese «90» como valor.
- Haga clic en «Aceptar» para guardar los cambios.
- Puedes ejecutar el gpupdate / fuerza en una máquina unida a un dominio o espere el próximo intervalo de actualización de la directiva de grupo. Después de lo cual, todas las cuentas de usuario del dominio se adhieren a la política de caducidad de contraseña actualizada.
- Para confirmar el GPO aplicado, ejecute el siguiente comando para obtener el conjunto de políticas resultante.
Get-GPResultantSetOfPolicy -ReportType HTML -Path rsop.html
- Abra el informe y vea la configuración de la política de caducidad de la contraseña aplicada.
Configuración de la política de caducidad de contraseña detallada
Además de la configuración de la política de caducidad de contraseña a través de objetos de política de grupo (GPO), Active Directory ofrece un enfoque más granular para la política de caducidad de contraseña conocida como política de contraseña detallada (FGPP).
Esta función permite a los administradores definir políticas de contraseñas específicas para grupos de usuarios o individuos dentro del dominio de Active Directory. Esta sección explorará las diferencias entre configurar políticas de caducidad de contraseña a través de GPO y usar la configuración de contraseña de la consola del Centro de administración de Active Directory.
Además, lo guiaremos a través de la creación, configuración y aplicación de configuraciones detalladas de caducidad de contraseña.
Política de caducidad de contraseña: objeto de política de grupo frente a granularidad
Al configurar políticas de caducidad de contraseñas, la principal diferencia entre GPO y la consola FGPP radica en su alcance y nivel de control.
Los objetos de directiva de grupo (GPO) proporcionan un enfoque de todo el dominio para la aplicación de directivas. Al configurar los ajustes de caducidad de la contraseña en el GPO, la política se aplica de manera uniforme a todos los usuarios dentro del dominio de destino. Los GPO son adecuados para organizaciones que requieren políticas de contraseña coherentes en toda su infraestructura de Active Directory.
Por otro lado, el FGPP ofrece más flexibilidad a través de políticas de caducidad de contraseña detallada (FGPP). Esto permite a los administradores crear y aplicar diferentes políticas de contraseñas a grupos de usuarios específicos o cuentas de usuarios individuales. FGPE proporciona un enfoque más personalizado para la caducidad de la contraseña, lo que permite a las organizaciones abordar requisitos únicos en función de las funciones de los usuarios, los niveles de seguridad o las necesidades de cumplimiento.
Uso del Centro de administración de Active Directory (GUI)
Para crear y configurar una política de caducidad de contraseña detallada, siga estos pasos:
- Abra la consola del Centro de administración de Active Directory en un controlador de dominio o una máquina con las Herramientas de administración remota del servidor (RSAT) instaladas.
- Navegar a «Dominio» → «Sistema» → «Contenedor de configuración de contraseña».
- En el panel Tareas, haga clic en Nuevo → Configuración de contraseña.
- Proporcione un nombre único para la política de contraseñas, la precedencia y la antigüedad máxima de la contraseña en días.
- Especifique los usuarios o grupos a los que se debe aplicar la política agregándolos a la sección «Se aplica directamente a». En este ejemplo, agregué el grupo Administradores del servidor de CA.
- Haga clic en Aceptar para guardar la política de contraseñas.
La política FGPE ahora se aplicará al usuario o grupo especificado, proporcionando una política de caducidad de contraseña personalizada que difiere de la configuración de todo el dominio.
Uso de PowerShell
Usando el mismo ejemplo, vamos a crear una política de caducidad de contraseña detallada para otro grupo de usuarios.
- Abra PowerShell como administrador en el controlador de dominio o en una computadora con RSAT instalado.
- Ejecute el siguiente comando para crear una nueva política de contraseñas detallada. Esta política hará caducar las contraseñas de los usuarios afectados después de 60 días desde el último cambio.
# Create the new Fine-Grained password expiration policy $policySettings = @{ Name="Expire Password after 60-days" MinPasswordAge="1.00:00:00" MaxPasswordAge="60.00:00:00" Precedence = 1 } New-ADFineGrainedPasswordPolicy @policySettings # Display the new Fine-Grained password expiration policy Get-ADFineGrainedPasswordPolicy $policySettings['Name']
- Ahora, asignemos esta política de caducidad de contraseña a objetivos específicos. En este ejemplo, aplicaré la política a la CA DevOps grupo y el jsmith cuenta de usuario.
# Add new subjects to the password expiration policy. Add-ADFineGrainedPasswordPolicySubject -Identity 'Expire Password after 60-days' -Subjects 'CA DevOps', 'jsmith' # Display the password expiration policy subjects. Get-ADFineGrainedPasswordPolicySubject -Identity 'Expire Password after 60-days'
Resumen
Gracias por leer y llegar al final de este post. Antes de ir, aquí hay algunos puntos de resumen.
- La política de caducidad de la contraseña de GPO se aplica en todo el dominio.
- FGPP se aplica a usuarios o grupos específicos y tiene prioridad sobre la configuración de GPO.
- FGPP no se puede desactivar. Una vez creado, se habilita y aplica. FGPP solo se puede eliminar para evitar que se apliquen a grupos y usuarios de AD objetivo.
- FGPP se puede crear y configurar mediante la consola administrativa de Active Directory (GUI) y PowerShell.
- Ambos tipos de políticas de caducidad de contraseña solo se aplican a cuentas de usuario directamente o como miembros de grupos. No aplican para cuentas de computadora.
- A partir de la línea base de seguridad de 1903, Microsoft ya no recomienda la caducidad o los cambios periódicos de la contraseña como mejor práctica. En cambio, MSFT recomienda implementar otras medidas como:
- Listas de contraseñas prohibidas
- Autenticación multifactor.
- Detección de ataques de adivinación de contraseñas
- Detección de intentos de inicio de sesión anormales