Configuración de bloqueo de Cuenta
Cuando un usuario introduce un password erróneo una cierta cantidad de veces puede ocurrir que su cuenta esté bajo un ataque de fuerza bruta, o un ente externo está tratando de ingresar sin autorización a su cuenta, para prevenir esto y dar mas seguridad a nuestro entorno de redes se debe introducir una política de bloqueo de cuenta.
Esta política debe garantizarnos que luego de un número de veces de intentos de logueos incorrectos la cuenta de usuario se bloquee, alertando de esta forma al administrador de sistemas sobre la irregularidad y obligando al usuario a reportar su cuenta en caso que haya sido por error de él que haya ocurrido, y si es por algún tipo de ataque no puedan acceder a los datos ni al terminal.
Estas políticas se configuran en el GPO (Group Policy Objetcs) disponible en la ruta:
Computer Configuration\Policies\Windows Settings\Security Settings\Account
Estas políticas deben ser establecidas a nivel de dominio para que apliquen a nuestro entorno de forma correcta.
Para el bloqueo de las cuentas disponemos de una serie de políticas que nos ayudan en esta tarea, dentro de nuestro entorno de dominio de Windows Server 2012 tenemos las siguientes:
Cuando la habilitamos nos trae un tiempo por defecto de 30 minutos lo que quiere decir que si nuestro limite de bloqueo de cuenta es de 5 intentos, estos deben ocurrir en menos de 30 minutos para que se bloquee la cuenta, ahora en caso en que el usuario haga los 5 intentos en 31 minutos el bloqueo de cuenta no ocurre ya que el contador se habría reseteado en el minuto 31.
Bloqueo de Cuentas en el mundo real
En el mundo real un bloqueo de cuenta que dure 30 minutos equivale a un bloqueo que no expira, ya que por naturaleza el usuario presta poca atención a las políticas de seguridad, aunque el administrador de sistemas le indique miles de veces que una vez bloqueada su cuenta debe esperar 30 minutos antes de volver a loguearse.
En un entorno de trabajo estos 30 minutos pueden significar el retraso para la impresión de un reporte a la gerencia general, por lo que los teléfonos de soporte técnico siempre estarán sonando.
Para prevenir esto es recomendable que el bloqueo sea de 1 minuto y especificarlo en pantalla con un mensaje, este minuto es suficiente para evitar ataques por diccionario y por fuerza bruta, ya que forzaría a los motores del ataque a esperar un tiempo en el cual el administrador pudiera percatarse y tomar las medidas necesarias.
Cuando un usuario introduce un password erróneo una cierta cantidad de veces puede ocurrir que su cuenta esté bajo un ataque de fuerza bruta, o un ente externo está tratando de ingresar sin autorización a su cuenta, para prevenir esto y dar mas seguridad a nuestro entorno de redes se debe introducir una política de bloqueo de cuenta.
Esta política debe garantizarnos que luego de un número de veces de intentos de logueos incorrectos la cuenta de usuario se bloquee, alertando de esta forma al administrador de sistemas sobre la irregularidad y obligando al usuario a reportar su cuenta en caso que haya sido por error de él que haya ocurrido, y si es por algún tipo de ataque no puedan acceder a los datos ni al terminal.
Estas políticas se configuran en el GPO (Group Policy Objetcs) disponible en la ruta:
Computer Configuration\Policies\Windows Settings\Security Settings\Account
Estas políticas deben ser establecidas a nivel de dominio para que apliquen a nuestro entorno de forma correcta.
Para el bloqueo de las cuentas disponemos de una serie de políticas que nos ayudan en esta tarea, dentro de nuestro entorno de dominio de Windows Server 2012 tenemos las siguientes:
- Duración de bloqueo de Cuenta: Es el tiempo que durara el bloqueo de la cuenta, por defecto el tiempo base es 30 minutos cuando se hace la activación de la política. Cuando el valor está en 0 indica que la cuenta estará bloqueada hasta que un administrador proceda a hacer el desbloqueo.
- Límite para el bloque de Cuenta: Este elemento nos permite establecer el límite de intentos de login erróneos que una cuenta puede intentar para activar el bloqueo, cuando es activado por defecto el valor es 5 intentos, puede colocarse un máximo de 999 intentos, estos intentos deben ocurrir en un período de tiempo determinado para que sean contabilizados.
- Reseteo del contador de Intentos Erróneos: Este elemento nos permite establecer el período de tiempo en el cual se contaran los intentos incorrectos de ingreso con una contraseña incorrecta.
Cuando la habilitamos nos trae un tiempo por defecto de 30 minutos lo que quiere decir que si nuestro limite de bloqueo de cuenta es de 5 intentos, estos deben ocurrir en menos de 30 minutos para que se bloquee la cuenta, ahora en caso en que el usuario haga los 5 intentos en 31 minutos el bloqueo de cuenta no ocurre ya que el contador se habría reseteado en el minuto 31.
Bloqueo de Cuentas en el mundo real
En el mundo real un bloqueo de cuenta que dure 30 minutos equivale a un bloqueo que no expira, ya que por naturaleza el usuario presta poca atención a las políticas de seguridad, aunque el administrador de sistemas le indique miles de veces que una vez bloqueada su cuenta debe esperar 30 minutos antes de volver a loguearse.
En un entorno de trabajo estos 30 minutos pueden significar el retraso para la impresión de un reporte a la gerencia general, por lo que los teléfonos de soporte técnico siempre estarán sonando.
Para prevenir esto es recomendable que el bloqueo sea de 1 minuto y especificarlo en pantalla con un mensaje, este minuto es suficiente para evitar ataques por diccionario y por fuerza bruta, ya que forzaría a los motores del ataque a esperar un tiempo en el cual el administrador pudiera percatarse y tomar las medidas necesarias.
