GUÍA DE CONFIGURACIÓN DE CONTRASEÑAS DE WINDOWS

By John Gates

June 13th, 2021

Establecer y hacer cumplir la política de contraseñas debe ser una prioridad para las organizaciones en su práctica de higiene cibernético. Las mejores prácticas y recomendaciones se siguen actualizando ya que este problema es muy crítico para la prevención de ataques. De hecho, las contraseñas comprometidas son responsables del 81% de los ataques exitosos.

Cambiar la configuración de ajuste de contraseñas es parte de la tarea de hardening. Asegurarse de que todas las máquinas estén configuradas correctamente y de que nada se rompa debido al cambio de configuración hace que esta tarea sea muy compleja. Muchas organizaciones no cambian la configuración de la contraseña debido a estos desafíos, lo que resulta en una mayor superficie de ataque. Para superar estos desafíos, recomendamos utilizar herramientas de automatización de hardening. Estas herramientas le permitirán conocer el impacto de cada cambio y aplicarán automáticamente la configuración deseada en su ambiente de producción.

Esta guía analizará las recomendaciones de dos publicaciones sobre mejores prácticas de la industria cibernética: las recomendaciones de configuración de contraseñas del Centro para la Seguridad de Internet (CIS) y las recomendaciones del Instituto Nacional de Estándares y Tecnología (NIST). Las recomendaciones de CIS se basan en los CIS Benchmarks de 2019. Las recomendaciones del NIST se toman de las Pautas de Identidad Digital del NIST, actualizadas en 2020.

Esta guía le ayudará a crear una política de contraseñas adecuada para su organización. Cubrirá los siguientes temas:

Solución de Contraseña de Administrador Local de Microsoft (LAPS).
Antigüedad y tiempo de vencimiento de la contraseña.
Gestión de contraseñas de administrador local.
Longitud y complejidad de la contraseña.

SOLUCIÓN DE CONTRASEÑA DE ADMINISTRADOR LOCAL DE MICROSOFT (LAPS):

LAPS es una herramienta gratuita de Microsoft que permite a las organizaciones establecer automáticamente contraseñas aleatorias para estaciones de trabajo y servidores miembro adjuntos a un dominio. Las contraseñas se almacenan de forma segura en la cuenta de dominio y un administrador de sistemas puede acceder a ellas desde el Directorio Activo (AD). LAPS ofrece una solución para usar una contraseña idéntica en todas las computadoras del dominio de forma predeterminada.

Para instalar LAPS, debe actualizar el esquema de AD y la instalación de la extensión del lado del cliente de la directiva de grupo (CSE). Este CSE no está instalado de forma predeterminada, y el CIS recomienda que debe “Asegurar de que LAPS AdmPwd GPO Extension / CSE esté instalado”.

EDAD DE LA CONTRASEÑA Y TIEMPO DE VENCIMIENTO:

Hay dos enfoques diferentes para configurar la antigüedad y el tiempo de vencimiento de la contraseña:

Recomendaciones de CIS sobre antigüedad de la contraseña:

En los CIS Benchmarks hay 2 reglas que abordan este asunto:

No permita que el tiempo de caducidad de la contraseña sea superior al requerido por la política, lo que significa que, de acuerdo con el CIS, debe establecer un período en el que, después de iniciar su uso, la contraseña debe caducar
Asegúrese de que “Configuración de la contraseña: Antigüedad de la contraseña (días)” esté establecida en “Habilitada: 30 o menos” (para miembros del dominio y servidores miembros).

Recomendaciones del NIST sobre antigüedad de la contraseña:

De acuerdo con las Pautas de Identidad del NIST, los cambios frecuentes de contraseña pueden empeorar la seguridad. NIST afirma que, dado que el principal desafío para establecer una buena contraseña es recordarla, y a menudo los usuarios suelen tener muchas contraseñas diferentes para recordar, la política de cambio de contraseñas hará que los usuarios cambien las contraseñas en patrones predecibles.

En este caso, si un atacante conoce la contraseña anterior del usuario, descifrar la nueva no será un desafío. Por lo tanto, de acuerdo con NIST, debe evitar solicitar un cambio periódico de contraseña.

GESTIÓN DE CONTRASEÑAS DE ADMINISTRADOR LOCAL:

El uso de la misma contraseña en todas las estaciones de trabajo y servidores miembro durante la implementación es una práctica común en muchas organizaciones. La razón principal de esto es la dificultad para administrar las contraseñas del administrador local.

Esta práctica es un riesgo importante para las organizaciones, ya que, si un atacante compromete un sistema y obtiene acceso a su contraseña, puede aprovecharla para obtener acceso a todas las demás máquinas utilizando la misma contraseña. Por lo tanto, habilitar la administración de contraseñas de administrador local e instalar LAPS aplicará contraseñas aleatorias en cada máquina y resolverá este problema.

¡Nota! Al habilitar una contraseña de administrador local, si necesita recuperar una contraseña de administrador local y el AD no está disponible (por ejemplo, cuando se recupera de un ataque), no podrá hacerlo. En este caso, considere usar una herramienta de restablecimiento de contraseña local.

COMPLEJIDAD Y LONGITUD DE LA CONTRASEÑA:

La longitud de la contraseña es fundamental para reducir la posibilidad de que los atacantes la pirateen. Las contraseñas más largas tardan más en descifrarse. El CIS recomienda que los usuarios establezcan contraseñas de al menos 14 caracteres.

La complejidad de la contraseña es un tema diferente y, en este caso, el CIS y el NIST tienen enfoques diferentes.

Recomendaciones de CIS sobre complejidad de contraseñas:

De acuerdo con los CIS Benchmarks, debe asegurarse de que “La contraseña debe cumplir con los requisitos de complejidad” esté configurada como Habilitada. Esta política requerirá que el usuario establezca su contraseña de acuerdo con las siguientes reglas:

La contraseña no debe contener el nombre de la cuenta del usuario o partes de su nombre completo (más de dos caracteres consecutivos).
Tener al menos seis caracteres.
Contienen caracteres en mayúsculas, minúsculas, dígitos y caracteres no alfabéticos.

Mientras es razonable pensar que el uso de contraseñas complejas mejorará la seguridad, el NIST sugiere un enfoque diferente para este problema.

Recomendaciones de NIST sobre complejidad de contraseñas:

La investigación muestra que exigir complejidad de la contraseña puede ser una práctica deficiente de seguridad. Según NIST, puede predecir los patrones que la mayoría de los usuarios usarán para resolver el desafío de agregar complejidad a sus contraseñas. Por ejemplo, un escenario común es que los usuarios escriban con mayúscula la primera letra de su contraseña o agreguen “1” o “!” Al final. Los atacantes conocen esos patrones comunes y los usarán cuando intenten descifrar contraseñas robadas. Además, agregar complejidad aumentará la tendencia del usuario a reutilizar las contraseñas, lo que puede exponerlos aún más a un ataque de relleno (stuffing) de credenciales, si una de sus cuentas ha sido violada.

Por estas razones, la complejidad de la contraseña puede resultar en un aumento de la superficie de ataque. NIST recomienda concentrarse en la longitud de la contraseña para reducir la superficie de ataque.

Cookie	Duration	Description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
_GRECAPTCHA	5 months 27 days	This cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis.
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.

Cookie	Duration	Description
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
__stidv	1 year	This cookie is used by ShareThis. This cookie is used for sharing the content from the website to social networks.

Cookie	Duration	Description
YSC	session	This cookies is set by Youtube and is used to track the views of embedded videos.
_gat	1 minute	This cookies is installed by Google Universal Analytics to throttle the request rate to limit the colllection of data on high traffic sites.

Cookie	Duration	Description
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.
__stid	1 year	The cookie is set by ShareThis. The cookie is used for site analytics to determine the pages visited, the amount of time spent, etc.

Cookie	Duration	Description
bscookie	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

GUÍA DE CONFIGURACIÓN DE CONTRASEÑAS DE WINDOWS

Esta guía le ayudará a crear una política de contraseñas adecuada para su organización. Cubrirá los siguientes temas:

SOLUCIÓN DE CONTRASEÑA DE ADMINISTRADOR LOCAL DE MICROSOFT (LAPS):

EDAD DE LA CONTRASEÑA Y TIEMPO DE VENCIMIENTO:

GESTIÓN DE CONTRASEÑAS DE ADMINISTRADOR LOCAL:

COMPLEJIDAD Y LONGITUD DE LA CONTRASEÑA:

Subscribe to Email Updates

You might be interested

Experience a personalized demo

Cookie	Duration	Description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 8 months 26 days 14 hours	No description
drift_campaign_refresh	30 minutes	No description
fpestid	1 year	No description
st_samesite	session	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.