- 27/11/2017
- 5 minutos de lectura
se aplica a: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Este tema de referencia de directiva de seguridad para el profesional de TI describe las mejores prácticas, ubicación, valores y consideraciones de seguridad para esta configuración de directiva.,
referencia
la configuración de directiva contraseñas deben cumplir requisitos de complejidad determina si las contraseñas deben cumplir una serie de directrices que se consideran importantes para una contraseña segura. Para habilitar esta configuración de directiva, es necesario que las contraseñas cumplan los siguientes requisitos:
-
Las contraseñas pueden no contener el valor samAccountName (nombre de cuenta) del usuario o todo displayName (valor de nombre completo). Ambas comprobaciones no distinguen entre mayúsculas y minúsculas.
el samAccountName se comprueba en su totalidad solo para determinar si es parte de la contraseña., Si el samAccountName tiene menos de tres caracteres, esta comprobación se omite.
el displayName se analiza para delimitadores: comas, puntos, guiones o guiones, guiones bajos, espacios, signos de libra y tabulaciones. Si se encuentra alguno de estos delimitadores, displayName se divide y se confirma que todas las secciones analizadas (tokens) no están incluidas en la contraseña. Los Tokens que tienen menos de tres caracteres se ignoran y las subcadenas de los tokens no se comprueban. Por ejemplo, el nombre «Erin M. Hagens «se divide en tres fichas:» Erin»,» M «y»Hagens»., Debido a que el segundo token tiene solo un carácter, se ignora. Por lo tanto, este usuario no podría tener una contraseña que incluyera «erin» O «hagens» como subcadena en cualquier parte de la contraseña.,
-
la contraseña contiene caracteres de tres de las siguientes categorías:
-
letras mayúsculas de idiomas europeos (de A A Z, con marcas diacríticas, caracteres griegos y Cirílicos)
-
letras minúsculas de idiomas europeos (de A A z, sharp-s, con marcas diacríticas, caracteres griegos y Cirílicos)
-
Base 10 dígitos (0 a 9)
-
caracteres no alfanuméricos: ~!@#$%^&*_-+=`|(){}:;»‘<>,.?,/
-
cualquier carácter Unicode que esté categorizado como un carácter alfabético pero no esté en mayúsculas o minúsculas. Esto incluye caracteres Unicode de idiomas asiáticos.
-
los requisitos de complejidad se aplican cuando se cambian o crean contraseñas.
Las reglas que se incluyen en los requisitos de complejidad de contraseñas de Windows Server forman parte de Passfilt.dll, y no se pueden modificar directamente.
habilitar el filtro de contraseña predeterminado.,dll puede causar algunas llamadas adicionales de Help Desk para cuentas bloqueadas porque los usuarios pueden no estar acostumbrados a tener contraseñas que contengan caracteres distintos de los que se encuentran en el alfabeto. Sin embargo, esta configuración de directiva es lo suficientemente liberal como para que todos los usuarios puedan cumplir con los requisitos con una curva de aprendizaje menor.
ajustes adicionales que se pueden incluir en un Passfilt personalizado.dll son el uso de caracteres que no son de la fila superior. Los caracteres de la fila superior son aquellos que se escriben manteniendo presionada la tecla MAYÚS y escribiendo cualquiera de los dígitos del 1 al 10.,
esta configuración de directiva se admite en las versiones de Windows designadas en la lista aplica a Al principio de este tema.
valores Posibles
-
Habilitado
-
Discapacidad
-
No definido
las Mejores prácticas
Establecer las Contraseñas deben cumplir los requerimientos de complejidad a Habilitado. Esta configuración de directiva, combinada con una longitud mínima de contraseña de 8, garantiza que haya al menos 218,340,105,584,896 posibilidades diferentes para una sola contraseña. Esto hace que un ataque de fuerza bruta sea difícil, pero no imposible.,
el uso de combinaciones de caracteres de tecla ALT puede mejorar en gran medida la complejidad de una contraseña. Sin embargo, exigir a todos los usuarios de una organización que se adhieran a estos estrictos requisitos de contraseña puede resultar en usuarios insatisfechos y un servicio de asistencia extremadamente ocupado. Considere implementar un requisito en su organización para usar caracteres ALT en el rango de 0128 a 0159 como parte de todas las contraseñas de administrador. (Los caracteres ALT fuera de este rango PUEDEN representar caracteres alfanuméricos estándar que no añaden complejidad adicional a la contraseña.,)
Las contraseñas que contienen solo caracteres alfanuméricos son fáciles de comprometer mediante el uso de herramientas disponibles públicamente. Para evitar esto, las contraseñas deben contener caracteres adicionales y cumplir con los requisitos de complejidad.
Location
GPO_name \Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy
Default values
la siguiente tabla muestra los valores de directiva predeterminados reales y efectivos para las versiones compatibles más recientes de Windows. Los valores predeterminados también se enumeran en la página de propiedades de la directiva.,r>
Operating System Version differences
no hay diferencias en la forma en que funciona esta configuración de directiva entre las versiones compatibles de Windows.,
consideraciones de seguridad
esta sección describe cómo un atacante puede explotar una característica o su configuración, cómo implementar la contramedida y las posibles consecuencias negativas de la implementación de contramedidas.
vulnerabilidad
Las contraseñas que contienen solo caracteres alfanuméricos son extremadamente fáciles de descubrir con varias herramientas disponibles públicamente.
contramedida
configurar la configuración de directiva contraseñas debe cumplir requisitos de complejidad en Habilitado y aconsejar a los usuarios que utilicen una variedad de caracteres en sus contraseñas.,
Cuando se combina con una longitud mínima de contraseña de 8, esta configuración de Directiva garantiza que el número de posibilidades diferentes para una sola contraseña sea tan grande que sea difícil (pero no imposible) que un ataque de fuerza bruta tenga éxito. (Si se aumenta la configuración de directiva de longitud mínima de contraseña, también aumenta la cantidad media de tiempo necesario para un ataque exitoso.,)
impacto potencial
Si se mantiene la configuración de complejidad de contraseñas predeterminada, podrían producirse llamadas adicionales al servicio de asistencia para cuentas bloqueadas porque los usuarios podrían no estar acostumbrados a contraseñas que contengan caracteres no alfabéticos, o podrían tener problemas para introducir contraseñas que contengan caracteres acentuados o símbolos en teclados con diseños diferentes. Sin embargo, todos los usuarios deben ser capaces de cumplir con el requisito de complejidad con una dificultad mínima.
si su organización tiene requisitos de seguridad más estrictos, puede crear una versión personalizada de Passfilt.,archivo dll que permite el uso de reglas de seguridad de contraseñas arbitrariamente complejas. Por ejemplo, un filtro de contraseña personalizado puede requerir el uso de símbolos que no sean de la fila superior. (Los símbolos de la fila superior son aquellos que requieren que mantenga presionada la tecla MAYÚS y luego presione cualquiera de los dígitos entre 1 y 0.) Un filtro de contraseña personalizado también puede realizar una comprobación del diccionario para verificar que la contraseña propuesta no contenga palabras o fragmentos comunes del diccionario.
el uso de combinaciones de caracteres de tecla ALT puede mejorar en gran medida la complejidad de una contraseña., Sin embargo, estos estrictos requisitos de contraseña pueden dar lugar a solicitudes adicionales de Asistencia al usuario. Alternativamente, su organización podría considerar un requisito para que todas las contraseñas de administrador usen caracteres ALT en el rango 0128-0159. (Los caracteres ALT fuera de este rango PUEDEN representar caracteres alfanuméricos estándar que no añadirían complejidad adicional a la contraseña.)
Véase también
Política de contraseñas