Cómo implementar políticas de contraseñas detalladas en Active Directory

Cómo administrar políticas de contraseñas detalladas en Active Directory, en realidad

Esto puede ser un verdadero engorro si nunca lo has configurado. Las Políticas de Contraseñas Granulares (FGPP) son necesarias si quieres reglas de contraseña diferentes para distintos grupos, como políticas más estrictas para administradores o contratistas externos. Antes de Windows Server 2008, estabas prácticamente limitado a una única política de contraseñas para todo el dominio, lo cual no es ideal. Pero ahora, con FGPP, es posible asignar múltiples políticas, lo que permite ajustar las reglas sin afectar a los demás. No voy a mentir, al principio es un poco confuso, sobre todo al intentar crear, asignar y verificar estas políticas. Pero una vez que le coges el truco, gestionar los requisitos de seguridad para grupos específicos se vuelve mucho más fácil, sobre todo en redes grandes.

Normalmente, este tipo de configuraciones son útiles cuando los usuarios reportan errores de contraseña inusuales o cuando se desea una regla completamente independiente para esas cuentas críticas. En una configuración funcionó, en otra… no tanto, porque, claro, Windows tiene que complicar las cosas más de lo necesario. En fin, aquí tienes un resumen de lo que me ha resultado útil.

Cómo crear y asignar una política de contraseñas detallada en Active Directory

Uso del Centro administrativo de Active Directory (ADAC)

Esta es la forma más sencilla si usa Windows Server 2012 o una versión posterior. Abra el Centro de administración de Active Directory ejecutando dsac.msc. Expanda todo el árbol; encontrará el contenedor de configuración de contraseñas en el contenedor del sistema. Haga clic derecho en él y seleccione Nuevo > Configuración de contraseñas. Si no lo ve, asegúrese de haber habilitado las funciones avanzadas en Ver > Funciones avanzadas.

Aquí es donde empieza la diversión: dale a tu política un nombre decente, como «Política de contraseñas para administradores», y ajusta la configuración. Verás opciones como Longitud mínima de contraseña, Complejidad de contraseña, Longitud del historial de contraseñas y opciones de bloqueo. Los atributos que configures corresponden a los atributos de AD, como msDS-MaximumPasswordAge, msDS-MinimumPasswordLength, etc. Solo ten en cuenta: presta atención a la Precedencia. Cuanto menor sea el número, mayor será la prioridad. Si a un usuario se le asignan varias políticas, AD aplica la que tenga el número de precedencia más bajo. Esto suele causar confusión, especialmente si se aplican diferentes políticas mediante la pertenencia a grupos y la asignación directa.

Aplicación de la política a usuarios o grupos

Una vez creada la política, deberá seleccionar quién la recibe. Esto se hace en la sección » Se aplica directamente a», preferiblemente grupos. Considere grupos de seguridad como » Administradores de dominio» o grupos personalizados para contratistas externos. Agregue el grupo y guárdelo. Después, en un equipo cliente, puede verificar qué política se aplica accediendo al editor de atributos de un objeto de usuario (con la opción » Usuarios y equipos de Active Directory con funciones avanzadas » habilitada).Busque el atributo «msDS-ResultantPSO». Este mostrará qué política está utilizando el usuario.

Consejo: También puedes usar la herramienta de línea de comandos dsget para realizar comprobaciones rápidas. Ejemplo: dsget user "CN=Max, OU=Admins, DC=woshub, DC=com" –effectivepso. Un poco raro, pero funciona mejor que hacer clic.

Administrar FGPP con PowerShell: porque la automatización es clave

Si prefieres los scripts (¿y quién no?), PowerShell facilita la creación y asignación de políticas. Primero, asegúrate de tener instalado el módulo de Active Directory. El comando principal para crear una nueva política es New-ADFineGrainedPasswordPolicy. Por ejemplo:

New-ADFineGrainedPasswordPolicy -Name "Admin PSO Policy" -Precedence 10 -ComplexityEnabled $true -Description "Domain password policy for admins" -DisplayName "Admin PSO Policy" -LockoutDuration "0.20:00:00" -LockoutObservationWindow "0.00:30:00" -LockoutThreshold 6 -MaxPasswordAge "12.00:00:00" -MinPasswordAge "1.00:00:00" -MinPasswordLength 8 -PasswordHistoryCount 12 -ReversibleEncryptionEnabled $false

Una vez creado, asígnelo a un grupo como Administradores de dominio con:

Add-ADFineGrainedPasswordPolicySubject "Admin PSO Policy" -Subjects "Domain Admins"

¿Quieres cambiar alguna configuración más tarde? Usa Set-ADFineGrainedPasswordPolicy. Por ejemplo, para aumentar el historial de contraseñas:

Set-ADFineGrainedPasswordPolicy "Admin PSO Policy" -PasswordHistoryCount 12

Para ver todas las políticas de su dominio, esto ayuda a evitar confusiones:

Get-ADFineGrainedPasswordPolicy -Filter *

Y para saber qué políticas tiene aplicadas actualmente un usuario o grupo (útil si las cosas no funcionan bien), haga lo siguiente:

Get-ADUserResultantPasswordPolicy -Identity "CN=Max, OU=Admins, DC=woshub, DC=com"

o para grupos:

Get-ADGroup "Domain Admins" -properties * | Select-Object msDS-PSOApplied

Por supuesto, la política de contraseña predeterminada aún se aplica a menos que se anule: compruébelo con:

Get-ADDefaultDomainPasswordPolicy
Y, por supuesto, los usuarios siguen eligiendo contraseñas débiles como [nombre P@ssw0rddel dominio], incluso con el FGPP implementado. Es recomendable auditar periódicamente tu dominio para detectar contraseñas débiles, porque, por desgracia, el FGPP no es mágico, solo un poco más de control.

En general, modificar estas políticas no siempre es intuitivo, pero si se gestionan correctamente, ofrecen la flexibilidad necesaria para diferentes grupos, especialmente en redes más grandes o complejas. Al fin y al cabo, la seguridad es un proceso continuo.