Dentro de las tareas más importantes que tenemos como personal responsable de la administración de usuarios e infraestructura es la de velar porque los diferentes usuarios creen contraseñas seguras, robustas y difíciles de identificar por el beneficio tanto de ellos como de los datos almacenados en el sistema. Gracias a las políticas de grupo o GPO en Windows Server, estas tareas pueden ser realmente útiles.
Una de las preguntas frecuentes con las que nos podemos encontrar es la posibilidad de aplicar otro tipo de política de contraseña a un grupo específico de usuarios, por ejemplo del área gerencial no tanto porque ellos quieran pasar por alto las políticas que se implementa a nivel de dominio sino porque en ocasiones no pueden darse el lujo de establecer contraseñas complejas y mucho menos que se les bloquee la cuenta debido al ingreso incorrecto de las contraseñas.
Para solucionar este problema existen las políticas de seguridad granular las cuales analizaremos en este estudio.
De esta manera permitimos que algunos usuarios establezcan su contraseña según el criterio de ellos. Política muy útil cuando gestionamos grupos con diferente nivel o responsabilidades.
1. Acceder al panel de Active Directory
Para poder crear una política de seguridad granular en nuestro dominio realizaremos el siguiente proceso.
Accederemos al centro de administración de Active Directory desde el menú Herramientas en el administrador del servidor. Se desplegará la siguiente ventana.
Estando en el centro de administración de Active Directory seleccionaremos nuestro dominio y nos ubicaremos en la ficha System.
Una vez desplegadas las opciones de System debemos seleccionar Password Settings Container.
Podemos ver que se encuentra vacía debido a que no hemos creado ninguna política.
2. Crear política de contraseña granular desde Active Directory
Para iniciar el proceso de creación de la política granular tenemos las siguientes opciones.
- Seleccionar la opción Nuevo del costado derecho y elegir la opción Configuración de contraseña.
- Dar clic derecho en cualquier espacio en blanco y seleccionar Nuevo / Configuración de contraseña.
Una vez pulsemos esta opción veremos la siguiente ventana.
En esta ventana debemos configurar los parámetros de la política granular según sean nuestras necesidades así.
Los demás campos son intuitivos y podemos definirlos según nuestro criterio.
Para este ejemplo vamos a configurar las políticas granulares para un grupo creado en el Active Directory llamado Redacción. En la ventana que estamos trabajando pulsaremos el botón Agregar ubicado en la parte inferior y allí debemos buscar el grupo al cual crearemos la política granular.
Pulsamos Aceptar y a continuación debemos configurar las contraseñas según los criterios para el grupo indicado.
Una vez definidas las políticas pulsamos el botón Aceptar para guardar la configuración creada. Tras completarse el proceso podremos ver nuestra política granular creada correctamente.
De esta manera hemos creado una política especial de contraseñas para uno o más grupos y así evitar que ese grupo tome la configuración general del dominio. Con ello conseguimos que los equipos del dominio tengan unos criterios básicos para poder usar contraseñas evitando que cada uno ponga la que quiera. Esto es realmente útil cuando gestionamos grupos que tratan información delicada, podremos imponerles unas reglas de seguridad diferentes al resto de grupos.
Gracias a las políticas de grupo, gestionar grupos es mucho más fácil ya que se aplica de manera general. Una de las configuraciones que puedes usar desde tu consola de Windows Server es establecer una fecha de caducidad para esas contraseñas, así reducimos la posibilidad de sufrir hack.
