Herramienta de administración de dominio
Puede usar la herramienta de Administración de Dominio para gestionar configuraciones que se aplican a todo su dominio. Una vez que haya modificado los ajustes, sus cambios se guardan automáticamente.
Puede acceder a la herramienta de Administración de Dominio a través del menú de inicio.
Información del Usuario Actual
En la parte inferior izquierda de la herramienta de Administración de Dominio, puede ver información sobre el usuario que ha iniciado sesión. Mostrará el nombre del usuario actual, así como el rol que ese usuario está ejecutando (Administrador de Dominio o Grupo de Administradores de Specops Password Policy).
Roles y permisos
Como Administrador de Dominio, puede realizar todas las tareas en Specops Password Policy. Los permisos del Grupo de Administradores de Specops Password Policy están restringidos a lo siguiente:
- Habilitar/deshabilitar SPP en el dominio
- Editar algunas de las Configuraciones del Dominio:
- Configurar SMTP y enviar correos electrónicos de prueba para la configuración de SMTP
- Configurar atributos de usuario personalizados
- Seleccionar otro DC para el conteo de usuarios
- Habilitar/deshabilitar "Guardar contraseña con cifrado reversible"
- Gestionar Árbitros
- Descargar lista Express
- Iniciar escaneo Express
- Actualizar archivos de idioma
- Actualizar la licencia (La primera vez que se agrega aún requerirá Administrador de Dominio)
- Obtener una vista limitada del estado de Sentinel en el menú de Password Policy Sentinel (Solo si la API Web está habilitada en un DC, para obtener el estado de la versión correcta aún requerirá Administrador de Dominio)
Nota
Si los clientes dan acceso al grupo de Administradores de Specops Password Policy o a un usuario final a un GPO, podrán editar/guardar políticas de contraseña existentes y enviar correos electrónicos de prueba desde la política.
Nota
Al crear el Administrador de Specops Password Policy, puede tardar hasta 10 minutos en que el Árbitro lo registre.
Menú superior [nombre_dominio]
El menú superior, indicado por el nombre de su dominio, incluye las siguientes secciones:
- Cambiar dominios: cambiar entre los dominios disponibles.
-
Cambiar controlador de dominio: cambiar entre los controladores de dominio disponibles.
Nota
Tenga en cuenta que la lista de controladores de dominio en la columna Nombre se puede ordenar haciendo clic en el encabezado de la columna.
-
Deshabilitar y habilitar Specops Password Policy: Se aplica a todo su dominio y determina si el Sentinel procesa los cambios de contraseña entrantes.
- Licencia: proporciona una visión general de la información relevante para la licencia actual. Incluye la siguiente información:
- Nombre de cuenta: el nombre de la cuenta en el archivo de licencia.
- Asientos usados: número de asientos actualmente en uso.
- Funciones: funciones incluidas en la licencia.
- Último escaneo periódico: fecha y hora en que se realizó el último escaneo periódico.
- Importar archivo de licencia: le permite importar nuevas licencias.
Políticas de contraseña
Puede usar el menú de políticas de contraseña para realizar las siguientes tareas:
- Crear una nueva Política de Contraseña o asociar una política existente con un nuevo GPO.
- Ver la lista de todos los Objetos de Política de Grupo en su dominio que contienen configuraciones de política de contraseña.
- Obtener una visión general de las reglas de política de contraseña asociadas con cada GPO listado.
- Editar una política existente.
- Eliminar una política de un GPO.
Creando una nueva Política de Contraseña
Nota
puede crear una nueva política a través de la Herramienta de Administración de Dominio o a través del Editor de Administración de Políticas de Grupo (expanda Configuración de Usuario, Políticas, nodo de Configuración de Windows, y seleccione Specops Password Policy, luego haga clic en Crear Nueva Política de Contraseña).
- Haga clic en Crear Nueva Política de Contraseña
- Seleccione un GPO existente haciendo clic en su nombre en la lista de Objetos de Política de Grupo, o haga clic en Nuevo Objeto de Política de Grupo… para crear un nuevo GPO para vincular a esta OU y política. Tenga en cuenta que cuando crea un nuevo GPO, tendrá la opción de nombrarlo, así como asociarlo con una Unidad Organizativa existente. Por defecto, el GPO se aplicará a todos los usuarios del grupo. También puede filtrar a qué usuarios se aplica el GPO agregando grupos de seguridad.
- Haga clic en OK.
- Seleccione una plantilla de la lista, o elija Personalizado si desea crear una política desde cero, luego haga clic en Siguiente.
- Configure la política, luego haga clic en OK.
Para obtener más información sobre la configuración de políticas, consulte la sección Configuración de Políticas.
Editando una política existente
Nota
La Política de Dominio Predeterminada no se puede editar y afecta a todos los usuarios en el dominio, a menos que estén afectados por una política de contraseña de grano fino.
Nota
Puede editar una política a través de la Herramienta de Administración de Dominio o a través del Editor de Administración de Políticas de Grupo (expanda Configuración de Usuario, nodo de Configuración de Windows, y seleccione Specops Password Policy, luego haga clic en Crear Nueva Política de Contraseña).
- Seleccione el GPO cuya política desea editar en la columna de Política de Contraseña.
- Haga clic en Editar Política
- Edite la política, luego haga clic en OK.
Para obtener más información sobre la configuración de políticas, consulte la sección de Configuración de Políticas.
Eliminando una política de un GPO
- Seleccione el GPO cuya política desea eliminar en la columna de Política de Contraseña.
- Haga clic en Eliminar Política.
- En la ventana de confirmación, haga clic en Sí. La política se eliminará de la lista.
Configuraciones de Dominio
Puede usar el menú de Configuraciones de Dominio para realizar las siguientes tareas:
- Verificar y editar grupos de seguridad: verifique el Grupo lector de envejecimiento de contraseñas basado en longitud, y cree o verifique el Grupo de Administradores de Specops Password Policy (ver abajo)
-
Configuraciones del Sistema de Correo Electrónico: Aquí se pueden configurar las configuraciones globales (SMTP) para todas las notificaciones por correo electrónico.
Nota
Se recomienda configurar las configuraciones de SMTP en la herramienta de Administración de Dominio antes de realizar cualquier cambio en las plantillas de correo electrónico en el complemento de Política de Grupo. Si las configuraciones de SMTP no se han establecido en la herramienta de Administración de Dominio, al aplicar cambios a las plantillas de correo en el complemento de Política de Grupo se mostrará una advertencia informando al administrador que las configuraciones de SMTP deben configurarse en la herramienta de Administración de Dominio.
Para obtener más información sobre todas las configuraciones de notificación, consulte la página de Notificaciones.
-
Atributos de usuario personalizados
Si el correo electrónico y el número de teléfono en Active Directory no se almacenan en los campos estándar de correo electrónico y móvil, respectivamente, se pueden anular aquí.
-
Configuraciones de seguridad avanzadas
Guardar contraseña anterior con cifrado reversible: Le permite guardar la contraseña anterior del usuario con cifrado reversible en Active Directory.
Se necesita cifrado reversible para las siguientes configuraciones:
- No permitir reutilizar parte de la contraseña actual
-
Número mínimo de caracteres cambiados
Nota
Si la casilla no está marcada, la contraseña se guarda con cifrado unidireccional.
Creando el Grupo de Administradores de Specops Password Policy
- Haga clic en el botón Crear junto a Grupo de Administradores de Specops Password Policy.
-
Puede aceptar el nombre y la ubicación recomendados donde se crea el grupo, o cambiarlos. La ubicación se puede cambiar ingresando el nombre distinguido de un contenedor.
Nota
El nombre distinguido también se puede copiar de las propiedades del contenedor en Active Directory. Tenga en cuenta que el nombre y la ubicación de este grupo de seguridad también se pueden cambiar después de la creación. Los cambios después de la creación se realizan en Active Directory.
-
Haga clic en OK.
Password Policy Sentinels
El Servicio Sentinel siempre se instala como parte de Specops Password Policy. Se instala como parte del MSI de Specops Password Policy Sentinel y debe instalarse en todos los controladores de dominio escribibles en el Dominio de Active Directory. Es responsable del conteo de usuarios, la expiración de contraseñas y la Breached Password Protection Completa. Si se utiliza la Breached Password Protection Completa, el Servicio Sentinel se accede desde todos los controladores de dominio escribibles. De lo contrario, solo se accede en el DC utilizado para el conteo de usuarios, que por defecto es el emulador PDC.
Advertencia
El Servicio Sentinel es un componente crítico de Specops Password Policy. Se recomienda monitorear el Servicio Sentinel en todos los controladores de dominio para asegurarse de que siempre esté en funcionamiento.
Puede usar el menú de Password Policy Sentinel para verificar que haya instalado el Sentinel en todos los controladores de dominio escribibles. Si nota que a un controlador de dominio le falta el componente Sentinel, puede:
- Ejecutar nuevamente el Asistente de Configuración para instalarlo, o
- Instalar manualmente el Componente Sentinel en el controlador de dominio afectado
Verificando el estado del Sentinel
El estado del Sentinel se puede verificar tanto en el Asistente de Configuración como en la Herramienta de Administración de Dominio.
Verificando el estado en la Herramienta de Administración de Dominio
- Haga clic en Password Policy Sentinels.
-
Haga clic en el Controlador de Dominio que desea verificar.
Nota
La columna de controladores de dominio se puede ordenar haciendo clic en el encabezado de la columna.
-
En la tabla a la derecha, puede ver dos estados: Estado general (si el Sentinel está instalado y actualizado en este DC), y Estado del servicio (ver lista de mensajes de estado a continuación).
Verificando el estado en el Asistente de Configuración
- Haga clic en Domain Controller Sentinel.
- Haga clic derecho en la columna Estado del Sentinel para el DC que desea verificar, y elija Mostrar Detalles.
- El mensaje emergente muestra dos estados: Estado general (si el Sentinel está instalado y actualizado en este DC), y Estado del servicio (ver lista de mensajes de estado a continuación).
Mensajes de estado del Sentinel
- Inalcanzable
- Acceso Denegado
- Error desconocido
- No instalado
- Versión antigua
- Versión más reciente instalada
- Se requiere reinicio
- OK
Ordenación de estado del Sentinel
Para hacer que los Sentinels que requieren su atención sean más identificables en largas listas de Controladores de Dominio en la tabla, la lista se muestra dinámicamente. Aquellos sentinels cuyo estado no es OK, aparecerán en la parte superior de la tabla. La tabla se ordena primero por el estado del Sentinel, luego por nombre.
Habilitar y deshabilitar la API Web del Sentinel
Para obtener información sobre cómo habilitar o deshabilitar la API Web del Sentinel, consulte la página de Password Policy Sentinel.
Árbitros de Password Policy
El Árbitro de Specops Password se utiliza como parte de Specops Password Policy. Es responsable de la Breached Password Protection Completa y las notificaciones a través de la API de Specops BPP basada en la nube. También se puede usar para enviar correos electrónicos SMTP, si está configurado así. Si está utilizando cualquiera de las funciones que requieren un Árbitro, se debe instalar al menos un Árbitro. El Árbitro requiere conectividad a Internet con la API de Specops BPP. Se recomienda instalar Árbitros en servidores que no sean controladores de dominio. Si bien un Árbitro para todo el dominio de AD es suficiente en muchos casos, es posible instalar múltiples Árbitros (por ejemplo, para tener uno o dos Árbitros por sitio en Active Directory) para minimizar los viajes de ida y vuelta.
Advertencia
Se recomienda monitorear los Árbitros regularmente para asegurarse de que siempre estén en funcionamiento.
La tabla en esta sección enumera todos los Árbitros instalados y proporciona información sobre su estado. La siguiente información está disponible para todos los Árbitros:
- Nombre del servidor: el nombre del servidor en el que está instalado el Árbitro.
- Sitios: sitios asociados con este Árbitro.
- En línea: muestra si el Árbitro es accesible.
- Versión: número de versión del Árbitro.
- Clave API: indicador que muestra si una Clave API está asociada con este Árbitro.
- Acciones: botón para acciones adicionales realizadas en el Árbitro.
Acciones
El botón Acciones (...), proporciona acceso a una serie de operaciones que se pueden realizar en cualquier Árbitro.
Importando una Clave API
Nota
Las Claves API son proporcionadas por Soporte de Producto.
- Haga clic en el botón Acciones para el Árbitro.
- Elija Importar clave API del menú desplegable.
-
Copie la Clave API que recibió en su portapapeles
Nota
Asegúrese de incluir tanto la etiqueta de inicio (--- BEGIN API KEY ---) como la etiqueta de finalización (--- END API KEY ---)
-
Pegue la Clave API completa en la ventana Agregar clave API.
Nota
Si la clave API se copió al portapapeles antes de abrir la ventana, la aplicación pegará automáticamente la clave en la ventana.
-
Haga clic en OK.
Mostrando información de nube del Árbitro
Muestra la URL de la nube asociada con el Árbitro.
- Haga clic en el botón Acciones para el Árbitro.
- Elija Mostrar información de nube del menú desplegable.
Probando la conexión de nube del Árbitro
Prueba la conexión del Árbitro con la API de Protección contra Brechas.
- Haga clic en el botón Acciones para el Árbitro.
- Elija Probar conexión de nube del menú desplegable.
Configurando sitios
Los sitios de Active Directory a menudo se utilizan para gestionar organizaciones que tienen sucursales distribuidas en ubicaciones geográficas pero que pertenecen al mismo dominio. Es una solución para gestionar geográficamente una red de Active Directory sin cambiar la estructura lógica del entorno. Los sitios son agrupaciones físicas de subredes IP bien conectadas que se utilizan para replicar información entre controladores de dominio.
Para controlar mejor qué Árbitro es accedido por cada ubicación/sitio (geográfico), puede asociar sitios en su estructura con controladores de dominio particulares. Los Árbitros se pueden configurar para uno o más sitios en su estructura. Esto significa que los controladores de dominio en el sitio se conectarán a esos Árbitros en el mismo sitio.
- Haga clic en el botón Acciones para el Árbitro.
- Elija Configurar sitios del menú desplegable.
-
Seleccione la casilla de verificación para el(los) sitio(s) que desea establecer como preferido(s) para este Árbitro.
Nota
El Árbitro en el Seleccionar Árbitro preseleccionado con el Árbitro cuyo botón de Acción hizo clic. También puede elegir un Árbitro diferente en el menú desplegable.
-
Haga clic en Guardar
Nota
- Si no se configuran sitios como preferidos, los Árbitros se accederán de manera circular en un bucle.
- Si se configuran múltiples Árbitros para el mismo sitio, estos Árbitros (y no los Árbitros configurados para otros sitios) se accederán de manera circular en un bucle para ese sitio en particular.
Anulando el registro de un Árbitro
- Haga clic en el botón Acciones para el Árbitro.
- Elija Anular registro de Árbitro del menú desplegable.
- Haga clic en Sí en la ventana Anular registro de Árbitro. El Árbitro desaparecerá de la lista de Árbitros.
Registrando un nuevo Árbitro
Puede tener múltiples Árbitros instalados en su estructura. Si bien un Árbitro para todo el dominio de AD es suficiente en muchos casos, es posible instalar múltiples Árbitros (por ejemplo, para tener uno o dos Árbitros por sitio en Active Directory) para minimizar los viajes de ida y vuelta. Consulte también la sección sobre Configuración de sitios arriba.
- Asegúrese de que el MSI del Árbitro que desea agregar esté instalado en el servidor adecuado.
- Haga clic en el botón Registrar nuevo Árbitro.
- En la ventana Seleccionar computadora, escriba el nombre del servidor donde está instalado el Árbitro. Use el botón Verificar nombres para identificar la computadora correcta.
- Haga clic en OK.
Escaneo Periódico
El Escaneo Periódico está programado para realizarse una vez al día por el controlador de dominio seleccionado. Verifica la información de la licencia, así como marca cuentas para algunos eventos importantes de política, como la expiración de contraseñas y la protección de contraseñas comprometidas. Por defecto, el escaneo periódico se realizará a las 00:05 en el emulador PDC. La opción de guardar la lista de usuarios con contraseñas comprometidas está desactivada por defecto.
Configuraciones
En la sección de Configuraciones, puede configurar cuándo se debe ejecutar el escaneo periódico todos los días, así como cuántos informes se guardan de estos escaneos periódicos. Tenga en cuenta que la hora indicada es la zona horaria local del controlador de dominio seleccionado.
Editando el controlador de dominio del escaneo periódico, la hora y los informes guardados
- En la sección Escaneo periódico, haga clic en el botón Editar.
- Haga clic en el botón Seleccionar Controlador de Dominio en la sección de controlador de dominio seleccionado.
- Usando el botón de opción, seleccione cualquiera de las siguientes opciones:
- Seleccionar Emulador PDC
- Seleccionar de Controladores de Dominio escribibles
- Si se seleccionó Seleccionar de Controladores de Dominio escribibles, seleccione su controlador de dominio preferido en la lista.
- Haga clic en OK.
- Usando el botón de opción, seleccione cualquiera de las siguientes opciones:
-
En la sección Hora seleccionada, seleccione a qué hora debe ejecutarse el escaneo periódico.
Nota
La hora predeterminada para el escaneo periódico está configurada a las 12:05 AM.
-
Haga clic en OK.
-
Configure el menú desplegable Guardar lista de cuentas con contraseñas comprometidas en Sí si desea guardar una lista de esas cuentas (solo para clientes que usan Breached Password Protection).
Nota
Si Guardar lista de cuentas con contraseñas comprometidas está configurado en Sí, el Resultado del Escaneo Periódico mostrará un enlace Mostrar cuentas, que abre la ventana Cuentas con contraseñas comprometidas para Breached Password Protection Express y Breached Password Protection Completa.
-
Configure el Número de informes para guardar.
Se puede encontrar más información sobre los informes de Escaneo Periódico en la página de Informes.
Escaneo Periódico en progreso
Esta sección indica si un escaneo periódico está actualmente en progreso. Cuando un escaneo periódico está en progreso, se puede detener haciendo clic en el botón Abortar. Dependiendo del tamaño de Active Directory y el rendimiento del controlador de dominio, el escaneo puede tardar desde unos pocos segundos hasta horas.
Siempre que un escaneo periódico esté en ejecución, será visible una barra de progreso que indica cuánto del escaneo se ha realizado.
Resultado del Último Escaneo Periódico
Los resultados del último escaneo periódico realizado se pueden ver aquí.
Principal
Esta sección muestra cuándo y en qué dominio se realizó el escaneo periódico. También enumera el número de cuentas procesadas y si fue un escaneo programado o manual.
Trabajo de Validación de Licencia
Muestra el número total de cuentas de usuario y cuántas de ellas están afectadas por un GPO de Specops Password Policy.
Trabajo de Expiración de Contraseña
Esta sección muestra el número de cuentas marcadas para requerir el cambio de sus contraseñas, así como las notificaciones asociadas con esos eventos de expiración de contraseñas.
Tarea de Breached Password Protection Express
Esta sección enumera información sobre las cuentas que están afectadas por la Breached Password Protection Express.
Tarea de Breached Password Protection Complete
Esta sección enumera información sobre las cuentas que están afectadas por la Breached Password Protection Complete.
Iniciando un escaneo periódico manual
Nota
No se puede iniciar un escaneo periódico manual si un escaneo periódico (programado) ya está en progreso. Para iniciar un escaneo periódico manual en tales casos, detenga primero el escaneo en progreso.
- Haga clic en el botón Iniciar Nuevo.
-
Seleccione al menos un trabajo:
- Trabajo de Validación de Licencia
- Trabajo de Expiración de Contraseña
- Tarea de Breached Password Protection Express
- Tarea de Breached Password Protection Complete
-
Haga clic en el botón Iniciar escaneo.
-
Haga clic en Cerrar.
Nota
El escaneo continuará incluso cuando cierre esta ventana.
Archivos de idioma
Puede usar el menú de Archivos de idioma para actualizar a nuevas versiones de archivos de idioma. Esto solo se actualizará si hay nuevas versiones de archivos de idioma disponibles en la computadora donde está instalada la herramienta de Administración de Dominio después de una actualización.
Uso
Los archivos de idioma se utilizan para mostrar todo el texto a los usuarios cuando intentan cambiar su contraseña. Si se detecta un archivo de idioma que coincida con el idioma de la configuración de idioma del usuario (sistema), se utilizará ese idioma para fines de visualización. Si no existe un archivo de idioma coincidente, se utilizará el idioma predeterminado, inglés.
Los archivos de idioma se almacenan en los controladores de dominio.
Idiomas disponibles
Los siguientes idiomas están disponibles:
- Inglés (predeterminado)
- Azerbaiyano
- Chino (simplificado)
- Chino (tradicional)
- Checo
- Danés
- Holandés
- Finés
- Francés
- Alemán
- Hindi
- Húngaro
- Italiano
- Japonés
- Coreano
- Noruego
- Polaco
- Portugués
- Rumano
- Ruso
- Serbio
- Eslovaco
- Esloveno
- Español
- Sueco
- Tailandés
- Turco
- Ucraniano
- Galés
Plantillas de política de contraseñas
Puede utilizar el nodo de plantillas de política de contraseñas para crear una nueva plantilla de política de contraseñas o ver una plantilla existente con recomendaciones de NIST, NCSC, Microsoft y NSA. Una plantilla de política de contraseñas le ayudará a mantener sus configuraciones de política consistentes en todo su dominio.
Visualización de plantillas existentes
- Expanda el menú Plantilla de política de contraseñas haciendo clic en el icono de más.
- Seleccione una plantilla existente en la lista para ver sus configuraciones.
Creación de una nueva plantilla de política de contraseñas
- Haga clic en Nueva plantilla de política de contraseñas.
- En el campo Nombre de la plantilla, ingrese un nombre para la plantilla.
- En el campo Descripción, ingrese una descripción para la plantilla.
- Especifique las configuraciones y haga clic en Guardar.
Uso de una plantilla de política de contraseñas existente
- En el Editor de Administración de Políticas de Grupo, expanda Configuración de Usuario, Políticas, nodo Configuraciones de Windows y seleccione Specops Password Policy.
- Haga clic en Crear nueva política de contraseñas desde plantilla. Seleccione una plantilla de política de contraseñas para usar en la política de grupo.
- Si se seleccionan las plantillas de Microsoft o NSA, se le llevará a la página de configuraciones de política para opciones de configuración adicionales. Si se seleccionan las plantillas de NIST y NCSC, se le pedirá que:
- Cree una lista de palabras no permitidas.
- Descargue el diccionario de contraseñas para la plantilla. El diccionario es una combinación de listas de contraseñas diseñadas para pruebas de penetración.
- Establezca una edad máxima de contraseña para los usuarios afectados por la política para verificar proactivamente contra diccionarios de contraseñas y prevenir la creación de contraseñas vulnerables. Esta es una recomendación de Specops que puede ayudarle a mantenerse protegido contra las últimas listas de diccionarios.
- Si se selecciona la plantilla de NCSC, se le pedirá que establezca una longitud mínima de contraseña para los usuarios afectados por la política.
- Se le llevará a la página de configuraciones de política para opciones de configuración adicionales. Haga clic en Aceptar cuando haya terminado.
Specops Password Auditor
Puede utilizar Specops Password Auditor para escanear su Active Directory y detectar debilidades relacionadas con la seguridad, específicamente relacionadas con las políticas de contraseñas.
Haga clic en Iniciar Specops Password Auditor para comenzar.
Vea más información sobre Specops Password Auditor.
Breached Password Protection
Breached Password Protection Complete
Con Specops Breached Password Protection Complete puede asegurarse de que los usuarios no puedan usar contraseñas que se sabe que están comprometidas.
Tenga en cuenta que Specops Breached Password Protection Complete es manejado por el Árbitro. Acceda al menú Árbitros de política de contraseñas para ver información e importar claves API.
En el menú Árbitros de política de contraseñas en la Herramienta de Administración de Dominio puede:
- Importar clave API
- Probar conexión a la nube
- Anular registro
- Registrar un nuevo Árbitro
Breached Password Protection Express
La lista de Breached Password Express es una gran colección de contraseñas comprometidas que puede descargar para evitar que los usuarios utilicen cualquier contraseña de la lista. En la Herramienta de Administración de Dominio puede:
- Descargar la última versión de la lista