martes, 21 de octubre de 2008

Contraseñas a nivel de dominio

Vamos a ver cuales son las caracteristicas de las contraseñas que se implementan por defecto, una vez montado nuestro Directorio Activo.

Antes que nada, las políticas de contraseña se establecen a nivel de dominio. Nunca a nivel de OU, Sitios ni DC's. Esto significa que la herramienta administrativa a editar para las contraseñas será siempre Default Domain Policy.

Cuando implementamos el Directorio Activo y establecemos una política de contraseñas para toda la organización, no podremos crear un grupo de excepción para contraseñas, no podremos meterlas a una OU ni nada por el estilo. Si queremos establecer una política de contraseñas distinta a la creada para el resto de la organización, será necesario crear otro servidor en otro dominio y unir este grupo de equipos al nuevo dominio.

Teniendo claro esto, miremos ahora las características predeterminadas para todos los usuarios en cuanto a contraseñas.
las contraseñas deben cumplir con los siguientes requerimientos:

1. Al menos 6 caracteres en tamaño
2. No incluir el nombre de usuario
3. Debe contener minimo 3 caracteres en combinación de los siguientes:

a. no alfanuméricos (!@#$%&)
b. minúsculas (a-z)
c. mayúsculas (A-Z)
d. números (0-9)


Ahora una recomendación.

Los sistemas anteriores como Windows NT nos permitían un máximo de 14 caracteres, y los sitemas posteriores a este, como Windows 2000 o XP nos permiten un máximo de 127 caracteres.
Esto nos permite 'jugar' con la planificacion de una contraseña segura para nuestra red.

Opción 1
Con la configuración predeterminada podremos establecer contraseñas por combinaciones de caracteres:

X1ab&125

Opción 2
Eliminando la configuración predeterminada ( Default domain policy > Security Settings > Account Policies > Password Policy > deshabilitamos todas las opciones y refrescamos las políticas en el servidor en una ventana de comandos con: gpupdate /force )
Podremos ahora utilizar frases en lugar de combinación de caracteres:

estapuedeserunaclavesinningunproblema

o mas segura aún:

Est@puedeser otraclaveaunconlos espac1os

Aqui le estamos complicando aún mas la existencia a los intrusos que intenten vulnerarnos con diccionarios de claves o programas similares.

---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co
Publicado por en
Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)