GUÍA DE CONFIGURACIÓN DE CONTRASEÑAS DE WINDOWS

By Keren Pollack, on June 13th, 2021

Establecer y hacer cumplir la política de contraseñas debe ser una prioridad para las organizaciones en su práctica de higiene cibernético. Las mejores prácticas y recomendaciones se siguen actualizando ya que este problema es muy crítico para la prevención de ataques. De hecho, las contraseñas comprometidas son responsables del 81% de los ataques exitosos.

 

Cambiar la configuración de ajuste de contraseñas es parte de la tarea de hardening. Asegurarse de que todas las máquinas estén configuradas correctamente y de que nada se rompa debido al cambio de configuración hace que esta tarea sea muy compleja. Muchas organizaciones no cambian la configuración de la contraseña debido a estos desafíos, lo que resulta en una mayor superficie de ataque. Para superar estos desafíos, recomendamos utilizar herramientas de automatización de hardening. Estas herramientas le permitirán conocer el impacto de cada cambio y aplicarán automáticamente la configuración deseada en su ambiente de producción.

 

Esta guía analizará las recomendaciones de dos publicaciones sobre mejores prácticas de la industria cibernética: las recomendaciones de configuración de contraseñas del Centro para la Seguridad de Internet (CIS) y las recomendaciones del Instituto Nacional de Estándares y Tecnología (NIST). Las recomendaciones de CIS se basan en los CIS Benchmarks de 2019. Las recomendaciones del NIST se toman de las Pautas de Identidad Digital del NIST, actualizadas en 2020.

 

Esta guía le ayudará a crear una política de contraseñas adecuada para su organización. Cubrirá los siguientes temas:

  1. Solución de Contraseña de Administrador Local de Microsoft (LAPS).
  2. Antigüedad y tiempo de vencimiento de la contraseña.
  3. Gestión de contraseñas de administrador local.
  4. Longitud y complejidad de la contraseña.

 

SOLUCIÓN DE CONTRASEÑA DE ADMINISTRADOR LOCAL DE MICROSOFT (LAPS):

LAPS es una herramienta gratuita de Microsoft que permite a las organizaciones establecer automáticamente contraseñas aleatorias para estaciones de trabajo y servidores miembro adjuntos a un dominio. Las contraseñas se almacenan de forma segura en la cuenta de dominio y un administrador de sistemas puede acceder a ellas desde el Directorio Activo (AD). LAPS ofrece una solución para usar una contraseña idéntica en todas las computadoras del dominio de forma predeterminada.

 

Para instalar LAPS, debe actualizar el esquema de AD y la instalación de la extensión del lado del cliente de la directiva de grupo (CSE). Este CSE no está instalado de forma predeterminada, y el CIS recomienda que debe “Asegurar de que LAPS AdmPwd GPO Extension / CSE esté instalado”.

 

EDAD DE LA CONTRASEÑA Y TIEMPO DE VENCIMIENTO:

Hay dos enfoques diferentes para configurar la antigüedad y el tiempo de vencimiento de la contraseña:

 

Recomendaciones de CIS sobre antigüedad de la contraseña:

En los CIS Benchmarks hay 2 reglas que abordan este asunto:

  1. No permita que el tiempo de caducidad de la contraseña sea superior al requerido por la política, lo que significa que, de acuerdo con el CIS, debe establecer un período en el que, después de iniciar su uso, la contraseña debe caducar
  2. Asegúrese de que “Configuración de la contraseña: Antigüedad de la contraseña (días)” esté establecida en “Habilitada: 30 o menos” (para miembros del dominio y servidores miembros).

 

Recomendaciones del NIST sobre antigüedad de la contraseña:

De acuerdo con las Pautas de Identidad del NIST, los cambios frecuentes de contraseña pueden empeorar la seguridad. NIST afirma que, dado que el principal desafío para establecer una buena contraseña es recordarla, y a menudo los usuarios suelen tener muchas contraseñas diferentes para recordar, la política de cambio de contraseñas hará que los usuarios cambien las contraseñas en patrones predecibles.

 

En este caso, si un atacante conoce la contraseña anterior del usuario, descifrar la nueva no será un desafío. Por lo tanto, de acuerdo con NIST, debe evitar solicitar un cambio periódico de contraseña.

 

GESTIÓN DE CONTRASEÑAS DE ADMINISTRADOR LOCAL:

El uso de la misma contraseña en todas las estaciones de trabajo y servidores miembro durante la implementación es una práctica común en muchas organizaciones. La razón principal de esto es la dificultad para administrar las contraseñas del administrador local.

 

Esta práctica es un riesgo importante para las organizaciones, ya que, si un atacante compromete un sistema y obtiene acceso a su contraseña, puede aprovecharla para obtener acceso a todas las demás máquinas utilizando la misma contraseña. Por lo tanto, habilitar la administración de contraseñas de administrador local e instalar LAPS aplicará contraseñas aleatorias en cada máquina y resolverá este problema.

 

¡Nota! Al habilitar una contraseña de administrador local, si necesita recuperar una contraseña de administrador local y el AD no está disponible (por ejemplo, cuando se recupera de un ataque), no podrá hacerlo. En este caso, considere usar una herramienta de restablecimiento de contraseña local.

 

COMPLEJIDAD Y LONGITUD DE LA CONTRASEÑA:

La longitud de la contraseña es fundamental para reducir la posibilidad de que los atacantes la pirateen. Las contraseñas más largas tardan más en descifrarse. El CIS recomienda que los usuarios establezcan contraseñas de al menos 14 caracteres.

 

La complejidad de la contraseña es un tema diferente y, en este caso, el CIS y el NIST tienen enfoques diferentes.

 

Recomendaciones de CIS sobre complejidad de contraseñas:

De acuerdo con los CIS Benchmarks, debe asegurarse de que “La contraseña debe cumplir con los requisitos de complejidad” esté configurada como Habilitada. Esta política requerirá que el usuario establezca su contraseña de acuerdo con las siguientes reglas:

  1. La contraseña no debe contener el nombre de la cuenta del usuario o partes de su nombre completo (más de dos caracteres consecutivos).
  2. Tener al menos seis caracteres.
  3. Contienen caracteres en mayúsculas, minúsculas, dígitos y caracteres no alfabéticos.

 

Mientras es razonable pensar que el uso de contraseñas complejas mejorará la seguridad, el NIST sugiere un enfoque diferente para este problema.

 

Recomendaciones de NIST sobre complejidad de contraseñas:

La investigación muestra que exigir complejidad de la contraseña puede ser una práctica deficiente de seguridad. Según NIST, puede predecir los patrones que la mayoría de los usuarios usarán para resolver el desafío de agregar complejidad a sus contraseñas. Por ejemplo, un escenario común es que los usuarios escriban con mayúscula la primera letra de su contraseña o agreguen “1” o “!” Al final. Los atacantes conocen esos patrones comunes y los usarán cuando intenten descifrar contraseñas robadas. Además, agregar complejidad aumentará la tendencia del usuario a reutilizar las contraseñas, lo que puede exponerlos aún más a un ataque de relleno (stuffing) de credenciales, si una de sus cuentas ha sido violada.

 

Por estas razones, la complejidad de la contraseña puede resultar en un aumento de la superficie de ataque. NIST recomienda concentrarse en la longitud de la contraseña para reducir la superficie de ataque.