- 22/1/2021
- 5 minutos para leer
-
- D
- g
- R
- j
- d
-
+6
Se aplica a
- Windows 10
Describe las mejores prácticas, la ubicación, los valores y las consideraciones de seguridad para la configuración de la política de seguridad de los requisitos de complejidad.
Referencia
La configuración de la política de seguridad de los requisitos de complejidad debe determinar si las contraseñas deben cumplir con una serie de pautas para contraseñas seguras. Cuando está habilitada, esta configuración requiere que las contraseñas cumplan con los siguientes requisitos:
-
Las contraseñas no pueden contener el valor samAccountName (nombre de la cuenta) del usuario o displayName completo (valor del nombre completo). Ambos las comprobaciones no distinguen entre mayúsculas y minúsculas.
SamAccountName se comprueba en su totalidad solo para determinar si es parte de la contraseña. Si samAccountName tiene menos de tres caracteres, se omite esta comprobación. analizados para delimitadores: comas, puntos, guiones o guiones, guiones bajos, espacios, signos de almohadilla y tabulaciones. Si se encuentra alguno de estos delimitadores, el displayName se divide y se confirma que todas las secciones analizadas (tokens) no están incluidas en la contraseña . Los tokens que tienen menos de tres caracteres se ignoran y las subcadenas de los tokens no se verifican. Por ejemplo, el nombre «Erin M. Hagens» se divide en tres tokens: «Erin», «M» y «Havens». Debido a que el segundo token tiene solo un carácter, se ignora. Por lo tanto, este usuario podría no tener una contraseña que incluya «erin» o «havens» como subcadena en cualquier lugar de la contraseña.
-
La contraseña contiene caracteres de tres de las siguientes categorías:
- Letras mayúsculas de idiomas europeos (de la A a la Z, con signos diacríticos, caracteres griegos y cirílicos)
- Letras minúsculas de idiomas europeos (de la a a la z, sostenidas-s, con signos diacríticos , Caracteres griegos y cirílicos)
- Dígitos de base 10 (0 a 9)
- Caracteres no alfanuméricos (caracteres especiales) 🙁 ~! @ # $% ^ & * _- + =` | \ () {} :; «» < >,.? /) Los símbolos de moneda como el euro o la libra esterlina no se cuentan como caracteres especiales para esta configuración de política.
- Cualquier carácter Unicode que esté categorizado como un carácter alfabético pero no esté en mayúsculas o minúsculas. Este grupo incluye caracteres Unicode de idiomas asiáticos.
Los requisitos de complejidad se aplican cuando se cambian o se crean contraseñas.
Las reglas que son incluidos en los requisitos de complejidad de la contraseña de Windows Server son parte de Passfilt.dll y no se pueden modificar directamente.
Cuando está habilitado, el Passfilt.dll predeterminado puede causar algunas llamadas adicionales al servicio de asistencia para cuentas bloqueadas porque los usuarios no están acostumbrados a contraseñas que contienen caracteres que no están en el alfabeto. Pero esta configuración de política es lo suficientemente liberal como para que todos los usuarios se acostumbren a ella.
Las configuraciones adicionales que se pueden incluir en un Passfilt.dll personalizado son el uso de caracteres que no sean de la fila superior. Para escribir los caracteres de la fila superior, mantenga presionada la tecla MAYÚS y presione una de las teclas en la fila numérica del teclado (del 1 al 9 y 0).
Valores posibles
- Habilitado
- Deshabilitado
- No definido
Mejores prácticas
Sugerencia
Para conocer las mejores prácticas más recientes, consulte la Guía de contraseñas.
Las contraseñas establecidas deben cumplir los requisitos de complejidad para habilitarse. Esta configuración de directiva, combinada con una longitud mínima de contraseña de 8, garantiza que haya al menos 218,340,105,584,896 posibilidades diferentes para una sola contraseña. Esta configuración hace que un ataque de fuerza bruta sea difícil, pero aún no imposible.
El uso de combinaciones de caracteres de la tecla ALT puede mejorar enormemente la complejidad de una contraseña. Sin embargo, exigir que todos los usuarios de una organización se adhieran a requisitos tan estrictos de contraseñas puede resultar en usuarios insatisfechos y en una mesa de ayuda con exceso de trabajo. Considere implementar un requisito en su organización para usar caracteres ALT en el rango de 0128 a 0159 como parte de todas las contraseñas de administrador. (Los caracteres ALT fuera de ese rango pueden representar caracteres alfanuméricos estándar que no agregan complejidad adicional a la contraseña).
Las contraseñas que contienen solo caracteres alfanuméricos son fáciles de comprometer mediante el uso de herramientas disponibles públicamente. Para evitar esto, las contraseñas deben contener caracteres adicionales y cumplir con los requisitos de complejidad.
Ubicación
Configuración del equipo \ Configuración de Windows \ Configuración de seguridad \ Políticas de cuenta \ Política de contraseña
Valores predeterminados
La siguiente tabla enumera los valores de política predeterminados reales y efectivos. Los valores predeterminados también se enumeran en la página de propiedades de la política.
Tipo de servidor o política de grupo Objeto (GPO) | Valor predeterminado |
---|---|
Política de dominio predeterminada | Habilitada |
Política de controlador de dominio predeterminada | Habilitada |
Configuración predeterminada del servidor independiente | Deshabilitado |
Configuración predeterminada efectiva del controlador de dominio | Habilitado |
Configuración predeterminada efectiva del servidor miembro | Habilitado |
Configuración predeterminada de GPO efectiva en equipos cliente | Deshabilitado |
Consideraciones de seguridad
Esta sección describe cómo un atacante podría explotar una característica o su configuración, cómo implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Las contraseñas que contienen solo caracteres alfanuméricos son extremadamente fáciles de descubrir con varias herramientas disponibles públicamente.
Contramedida
Configurar las contraseñas deben cumplir la configuración de la política de requisitos de complejidad en Habilitado y aconsejar a los usuarios que utilicen una variedad de caracteres en sus contraseñas.
Cuando se combina con una longitud mínima de contraseña de 8, esta configuración de política asegura que la cantidad de posibilidades diferentes para una sola contraseña es tan grande que es difícil (pero no imposible) que un ataque de fuerza bruta tenga éxito. (Si se aumenta la configuración de la política Longitud mínima de contraseña, también aumenta la cantidad de tiempo promedio necesario para un ataque exitoso).
Impacto potencial
Si se conserva la configuración de complejidad de contraseña predeterminada, Es posible que se realicen llamadas adicionales a la mesa de ayuda para cuentas bloqueadas porque los usuarios pueden no estar acostumbrados a contraseñas que contienen caracteres no alfabéticos, o pueden tener problemas para ingresar contraseñas que contienen caracteres acentuados o símbolos en teclados con diferentes diseños. Sin embargo, todos los usuarios deberían poder cumplir con el requisito de complejidad con una dificultad mínima.
Si su organización tiene requisitos de seguridad más estrictos, puede crear una versión personalizada del archivo Passfilt.dll que permita el uso de reglas de seguridad de contraseña arbitrariamente complejas. Por ejemplo, un filtro de contraseña personalizado puede requerir el uso de símbolos que no estén en la fila superior. (Los símbolos de la fila superior son aquellos que requieren que mantenga presionada la tecla MAYÚS y luego presione cualquiera de las teclas en la fila numérica del teclado, del 1 al 9 y 0.) Un filtro de contraseña personalizado también puede realizar una verificación de diccionario para verificar que la contraseña propuesta no contiene palabras o fragmentos comunes en el diccionario.
El uso de combinaciones de caracteres de la tecla ALT puede mejorar enormemente la complejidad de una contraseña. Sin embargo, estos estrictos requisitos de contraseña pueden dar lugar a solicitudes adicionales de la mesa de ayuda. Como alternativa, su organización podría considerar un requisito para que todas las contraseñas de administrador usen caracteres ALT en el rango 0128–0159. (Los caracteres ALT fuera de este rango pueden representar caracteres alfanuméricos estándar que no agregarían complejidad adicional a la contraseña).
- Política de contraseña