Configuración de políticas
Las políticas de contraseñas se pueden configurar desde la Herramienta de Administración de Dominio o en los Objetos de Política de Grupo (si se ha instalado el complemento de Política de Grupo). El procedimiento a continuación describe el proceso comenzando desde la Herramienta de Administración de Dominio.
Configuración de una política de contraseñas
Este procedimiento describe la configuración de una política de contraseñas completamente nueva vinculada a un GPO recién creado.
Para crear una política para un GPO existente, salte al paso 7.
Para editar políticas existentes, seleccione la política en la lista, luego haga clic en Editar, y salte al paso 9.
- En la herramienta de Administración de Dominio, Políticas de Contraseñas haga clic en Crear nueva Política de Contraseña.
- Elija un GPO existente de la lista y haga clic en OK (salte al paso 8), o haga clic en Nuevo objeto de Política de Grupo....
- Asigne un nombre al nuevo GPO.
- Seleccione la OU de la lista a la izquierda si la política debe aplicarse solo a usuarios en una OU particular.
- Si la política necesita aplicarse solo a usuarios dentro de la OU seleccionada que también son miembros de un grupo de seguridad particular, haga clic en Agregar en la columna de la derecha. Ingrese el nombre del grupo de seguridad y haga clic en OK. Seleccione el grupo de seguridad.
- Haga clic en OK.
- El GPO correcto está seleccionado en la lista. Haga clic en OK.
- Elija de la lista de plantillas (o elija Personalizado para comenzar con una política en blanco), luego haga clic en Siguiente.
- En la sección Inicio, configure la política para usar reglas de contraseñas, frases de contraseña, o ambas.
- Configure los Ajustes Generales.
- Configure cuándo se deben establecer las contraseñas para que expiren y qué notificaciones deben enviarse bajo Expiración de Contraseña.
- Configure a qué reglas deben adherirse las contraseñas (longitud, caracteres requeridos, diccionarios, etc.) bajo Reglas de Contraseña.
- Haga clic en OK.
Nota
Para una descripción más detallada de todos los ajustes disponibles para las políticas, consulte la sección Ajustes de Política a continuación.
Ajustes de Política
Puede crear o editar políticas de contraseñas de dos maneras:
Desde la Herramienta de Administración de Dominio
- Abra la Herramienta de Administración de Dominio
- En la navegación izquierda, haga clic en Políticas de contraseñas
- Haga clic en Crear nueva política de contraseña, o seleccione un GPO en la lista de políticas de contraseñas, luego haga clic en Editar Política.
Desde el Editor de Administración de Políticas de Grupo
Nota
Aunque es posible acceder a las políticas de contraseñas a través de la herramienta de Administración de Políticas de Grupo, se recomienda acceder a ellas a través de la Herramienta de Administración de Dominio.
- Acceda al Editor de Administración de Políticas para el GPO con el que desea asociar una política
- Expanda Configuración de Usuario, Políticas, nodo de Configuración de Windows, y seleccione Specops Password Policy.
- Haga clic en Configurar Política de Contraseña, o Crear Nueva Política de Contraseña (si el GPO aún no tiene una política asociada).
Inicio
Puede configurar una política de contraseñas para usar reglas clásicas de contraseñas y/o frases de contraseña. Una frase de contraseña es un tipo especial de contraseña basada en una oración o una serie de palabras. Los requisitos de una frase de contraseña, por defecto, son que necesita ser larga.
Ajustes Generales
Historial de contraseñas
Nota
Si habilita recordar contraseñas, se crea un objeto hoja para almacenar el historial de contraseñas. Por defecto, el objeto hoja está bloqueado y no es accesible para el usuario. Con "contraseñas recordadas" habilitado, cada contraseña se sala y se cifra con bcrypt antes de almacenarse.
| Configuración | Descripción |
|---|---|
| Número de contraseñas recordadas, incluidas variaciones | Especifique cuántas contraseñas anteriores, incluidas variaciones, recordará el sistema. Por ejemplo, establecer este valor en 4 significa que los usuarios no pueden reutilizar ninguna de sus últimas cuatro contraseñas, incluso con ligeras modificaciones, como agregar un carácter al principio o al final de la contraseña o cambiar la capitalización. |
| Edad mínima de las contraseñas (días) | Especifique el número de días que deben transcurrir antes de que se permita al usuario cambiar su contraseña. |
| Prohibir contraseñas incrementales (obsoleto) | Evite que los usuarios seleccionen nuevas contraseñas que solo difieran de la contraseña anterior por el último carácter. ¡Nota! A partir de Specops Password Policy 7.14, esta regla está obsoleta y su funcionalidad está integrada en la regla "Número de contraseñas recordadas, incluidas variaciones". |
| Número mínimo de caracteres cambiados | Especifique el número de caracteres que deben cambiarse en una contraseña. |
| Prohibir reutilizar parte de la contraseña actual | Especifique el número de caracteres consecutivos de la contraseña anterior que no están permitidos en la nueva contraseña. Nota: Después de habilitar esta configuración, deberá reiniciar su emulador PDC para permitir que la configuración surta efecto. |
Configuración de bloqueo de cuenta
| Configuración | Descripción |
|---|---|
| Desactivar bloqueo de cuenta | Evite que las cuentas se bloqueen en Active Directory. Esta configuración se usa comúnmente para cuentas de Windows que ejecutan servicios críticos. |
Opciones de restablecimiento de contraseña
| Configuración | Descripción |
|---|---|
| Ignorar esta política en el restablecimiento de contraseña | Ignorar la configuración de la política cuando se está restableciendo la contraseña. Nota: No habilite esta configuración si el usuario puede restablecer contraseñas a través de una solución de autoservicio como Specops Password Reset. |
| Requerir que el usuario cambie la contraseña en el próximo inicio de sesión | Requerir que el usuario cambie su contraseña en el próximo inicio de sesión después de que se haya restablecido la contraseña. |
| Desbloquear cuentas bloqueadas automáticamente al restablecer | Desbloquear automáticamente las cuentas de usuario cuando se restablecen sus contraseñas. |
Mensaje del cliente
Esta configuración se utiliza para controlar el contenido del mensaje enviado a los usuarios cuando no cumplen con sus reglas de contraseña:
| Configuración | Descripción |
|---|---|
| Idioma del mensaje del cliente | Especifique la localización del idioma que se utilizará en el mensaje. |
| Comentarios del usuario sobre intento fallido | Mostrar las reglas de la política, las reglas fallidas o un mensaje personalizado después de un intento fallido. |
| Información adicional para los usuarios finales al cambiar la contraseña | Especifique cualquier información adicional que desee proporcionar a los usuarios finales cuando cambien sus contraseñas. |
Valores predeterminados del usuario
En esta sección puede establecer el idioma y el código de país predeterminado para los números móviles.
Idioma del usuario
Esta configuración determinará en qué idioma se presentarán los textos de marcador de posición al usuario. Tenga en cuenta que si esto se establece en (Predeterminado), se utilizará el idioma predeterminado de la computadora del usuario. En caso de que el idioma predeterminado de la computadora no esté incluido en los archivos de idioma, se utilizará el inglés como alternativa.
Código de país predeterminado para números móviles
En caso de que el número móvil en Active Directory (ya sea que esté almacenado en el atributo móvil u otro atributo referenciado a través de los Atributos de Usuario Personalizados en la herramienta de Administración de Dominio) no comience con un + (más), el sistema agrega automáticamente el Código de país predeterminado si esta opción está marcada. Así, 070 123 4567 con una configuración de Código de país predeterminado para números móviles de +46, se convertirá en +46 70 123 4567.
Nota
Tenga en cuenta que en caso de que el formato de teléfono internacional en AD esté escrito con un prefijo internacional, por ejemplo, 00, la conversión no funcionará correctamente. Por ejemplo, si el número de teléfono en el ejemplo anterior se ingresó como 00 46 70 123 4567, y la opción de código de país predeterminado estaba marcada con una configuración de +46, el número resultante sería +46 0 46 70 123 4567, lo cual sería incorrecto.
- Marque la casilla de verificación Código de país predeterminado para números móviles
- Ingrese el código de país que desea usar como predeterminado
Expiración de la contraseña
| Configuración | Descripción |
|---|---|
| Edad máxima de la contraseña (días) | Especifique el tiempo (en días) que puede transcurrir antes de que expire una contraseña. |
| Envejecimiento de contraseña basado en longitud | Active o desactive el envejecimiento de contraseña basado en longitud. El envejecimiento de contraseña basado en longitud recompensa a los usuarios que usan contraseñas más largas con una expiración de contraseña posterior. Más información sobre este tema se puede encontrar en la página de Expiración de Contraseña. |
| Número de niveles de expiración | Establece el número de niveles de expiración. Más niveles permiten más diferenciación y diferentes recompensas de expiración. |
| Caracteres por nivel | Valor que representa el rango de longitud de contraseña para cada nivel de expiración. |
| Días extra por nivel | Días extra recompensados más allá de la expiración predeterminada por cada nivel que el usuario alcanza en su longitud de contraseña. |
| Desactivar expiración para el último nivel | Desactiva la expiración para los usuarios que han cumplido con los criterios para el nivel más alto establecido. |
Notificaciones de expiración de contraseña (Ver También: Notificaciones)
| Configuración | Descripción |
|---|---|
| Notificar al iniciar sesión (días antes de la expiración) | Cuando esta opción está habilitada, se notificará a los usuarios cuando su contraseña esté a punto de expirar al iniciar sesión en Windows |
| Enviar notificación por correo electrónico (días antes de la expiración) | Especifica si el usuario recibe una notificación por correo electrónico de que su contraseña está a punto de expirar. Los usuarios recibirán un correo electrónico una vez al día hasta que cambien su contraseña. El valor numérico determina el número de días antes de la expiración cuando los usuarios deben comenzar a recibir correos electrónicos. |
| Desde correo electrónico | Dirección de correo electrónico del remitente. Establecido en Configuración de Dominio en la Herramienta de Administración de Dominio. |
| Desde nombre | Nombre del remitente del correo electrónico. |
| Para correo electrónico | Dirección de correo electrónico del destinatario. Se debe usar el marcador de posición %UserEmail%. |
| CC | Direcciones de correo electrónico CC opcionales, separadas por comas. |
| Asunto | Línea de asunto del correo electrónico. Se pueden usar marcadores de posición. |
| Cuerpo | Texto del cuerpo del correo electrónico. Se pueden usar marcadores de posición. |
Nota
Para obtener información más detallada sobre cómo gestionar la configuración de expiración de contraseñas, incluido el envejecimiento de contraseñas basado en longitud, visite la página de Expiración de Contraseña.
Reglas de Contraseña
Requisitos de longitud de contraseña
| Configuración | Descripción |
|---|---|
| Longitud mínima de la contraseña | Especifique el número mínimo de caracteres en una contraseña. |
| Longitud máxima de la contraseña | Especifique el número máximo de caracteres en una contraseña. |
Requisitos de grupo de caracteres
| Configuración | Descripción |
|---|---|
| Número de grupos de caracteres requeridos | Especifique el número de grupos de caracteres (mayúsculas, minúsculas, dígitos, caracteres especiales y caracteres Unicode) de los que la contraseña debe tener caracteres. |
| Caracteres alfabéticos requeridos | Especifique el número mínimo de caracteres alfabéticos (A-Z) en una contraseña. |
| Caracteres en mayúsculas requeridos | Especifique el número mínimo de caracteres alfabéticos en mayúsculas en una contraseña. |
| Caracteres en minúsculas requeridos | Especifique el número mínimo de caracteres alfabéticos en minúsculas en una contraseña. |
| Caracteres no alfabéticos requeridos | Especifique el número mínimo de caracteres no alfabéticos (dígitos, caracteres especiales, caracteres Unicode) en una contraseña. |
| Dígitos requeridos | Especifique el número mínimo de dígitos (0-9) en una contraseña. |
| Caracteres especiales requeridos | Especifique el mínimo de caracteres especiales en una contraseña. |
| Caracteres Unicode requeridos | Especifique el número mínimo de caracteres Unicode que deben estar presentes en la contraseña. Nota: Habilite esta función solo si el usuario tiene la capacidad de ingresar caracteres Unicode directamente desde sus teclados. |
Diccionarios
| Configuración | Descripción |
|---|---|
| Usar diccionarios personalizados | Usar un diccionario personalizado le permite agregar, configurar y eliminar listas de contraseñas y listas de hash de contraseñas. La lista se verifica cada vez que hay un cambio de contraseña en Active Directory. Una nueva contraseña será rechazada si se encuentra en el diccionario. |
| Usar diccionarios en línea | |
| Mostrar al usuario la palabra del diccionario fallida | Cuando se utilizan diccionarios y se configuran para usar coincidencia parcial, esta configuración mostrará la parte de la contraseña encontrada en un diccionario después de un intento fallido de cambio de contraseña. |
Nota
Para obtener más información sobre los diccionarios, consulte Configurar diccionarios personalizados y en línea.
Restricciones de contenido de contraseña
| Configuración | Descripción |
|---|---|
| Prohibir nombre de usuario en la contraseña | Evite el uso del nombre de usuario en la contraseña. |
| Prohibir nombre de usuario completo en la contraseña | Evite el uso del nombre completo de la cuenta (nombre, apellido, nombre para mostrar) en la contraseña. |
| Prohibir parte del nombre de usuario en la contraseña | Evite el uso de partes (tres o más caracteres consecutivos) del nombre de la cuenta (nombre, apellido, nombre para mostrar) en la contraseña. |
| Prohibir dígito como primer carácter en una contraseña | Evite el uso de un dígito como primer carácter en una contraseña. |
| Prohibir dígito como último carácter en una contraseña | Evite el uso de un dígito como último carácter en una contraseña. |
| Prohibir caracteres idénticos consecutivos | Especifique el número de caracteres idénticos consecutivos que se pueden usar en una contraseña. |
Expresiones regulares
| Configuración | Descripción |
|---|---|
| Usar expresiones regulares | Permite el uso de coincidencia de cadenas de Expresión Regular (RegEX) contra la contraseña. |
Barra de entropía
La barra de entropía se muestra en el lado izquierdo de la pestaña Reglas de Contraseña. Cambia de acuerdo con la configuración ingresada en esta parte de la herramienta. Es una representación gráfica de la complejidad relativa de la política en un sentido matemático. La altura de la barra corresponde a la complejidad combinatoria de la contraseña más débil posible que la política aceptaría.
Esto no es una medida absoluta de la fortaleza de la política y debería usarse principalmente para comparar cómo diferentes configuraciones en las reglas de contraseña afectan la complejidad.
Frase de contraseña
Requisitos de frase de contraseña
| Configuración | Descripción |
|---|---|
| Longitud mínima de la frase de contraseña | El número mínimo de caracteres en la frase de contraseña. |
| Requerir uno o más caracteres en minúsculas | Uno o más caracteres en minúsculas en la frase de contraseña. |
| Requerir uno o más caracteres en mayúsculas | Uno o más caracteres en mayúsculas en la frase de contraseña. |
| Requerir uno o más dígitos | Uno o más dígitos en la frase de contraseña. |
| Requerir uno o más caracteres especiales | Uno o más caracteres especiales en la frase de contraseña. |
| Mensaje de frase de contraseña | Una descripción de la política que se mostrará a los usuarios finales al cambiar su contraseña. El mensaje debe explicar los requisitos de la política que debe cumplir la frase de contraseña. |
Requisitos personalizados
| Configuración | Descripción |
|---|---|
| Expresiones Regulares Personalizadas | Cree las expresiones regulares que se utilizarán para validar las frases de contraseña. |
| Frase de contraseña de muestra | Escriba una frase de contraseña de muestra para probar contra la expresión regular. |
Breached Password Protection (complemento)
Puede habilitar la validación de Breached Password Protection durante un restablecimiento de contraseña y/o cambio de contraseña.
Obtenga más información sobre los ajustes de Breached Password Protection.