Protección de contraseñas comprometidas de Specops

Specops Password Policy es compatible con Specops Breached Password Protection. La lista de Breached Password Protection es una lista de contraseñas comprometidas y filtradas. Si eres un administrador, puedes evitar que los usuarios utilicen contraseñas que están en esta lista. También es posible verificar continuamente contra la lista para que los usuarios puedan ser alertados tan pronto como se agreguen contraseñas comprometidas a la lista (Escaneo Continuo).

La lista de más de cinco mil millones de contraseñas comprometidas es gestionada por Specops Software y combina miles de fuentes, incluidas contraseñas utilizadas en ataques reales actuales y contraseñas encontradas en listas conocidas de contraseñas comprometidas, como HaveIBeenPwned. Esto puede ayudar a las organizaciones a respaldar el cumplimiento de directrices del sector, como las de NIST y NCSC.

El servicio se actualiza diariamente mediante los sistemas de monitorización de ataques y recopilación de datos de nuestro equipo de investigación para ayudar a proteger las redes frente a los ataques reales de contraseñas que se producen actualmente.

Breached Password Protection Complete:

Contiene la lista maestra de contraseñas filtradas, almacenada en la nube, por lo que siempre está actualizada.

Nota

Esto no es protección de día cero ya que la lista de contraseñas filtradas deberá ser agregada a la base de datos en nuestro formato reconocido.
Si un usuario cambia su contraseña a una que está en la lista de contraseñas filtradas, Breached Password Protection Complete notifica al usuario por correo electrónico o SMS. Su cuenta también es marcada, obligando al usuario a cambiar su contraseña la próxima vez que inicie sesión.
Si el Escaneo Continuo está activado, los usuarios serán alertados de contraseñas comprometidas tan pronto como se agreguen a la lista (si las notificaciones están configuradas), o se verán obligados a cambiar su contraseña en el próximo inicio de sesión.
Requiere más infraestructura en Active Directory, incluye la instalación de Specops Password Arbiter y la descarga de una clave API. Esto requiere un servidor adicional, en el cual instalas el Specops Password Arbiter, que se comunicará con la Breached Password Protection Cloud API.

Breached Password Protection Express:

Utiliza un subconjunto de la lista de contraseñas filtradas que normalmente se actualiza cada 3-4 meses.
La lista se descarga en Active Directory (afectará la replicación entre los Controladores de Dominio).
Los administradores deben verificar manualmente si hay actualizaciones en la lista de contraseñas filtradas, y luego descargar la lista actualizada.
Detiene inmediatamente a un usuario de cambiar a una contraseña filtrada.
Verifica continuamente contraseñas comprometidas.

Breached Password Protection checks explained

Hay tres diferencias principales entre Breached Password Protection Express y Breached Password Protection Complete:

El tamaño de la base de datos: Breached Password Protection Complete tiene un conjunto mucho más grande de contraseñas comprometidas.
El contenido de la base de datos: Breached Password Protection Complete se actualiza continuamente, mientras que Breached Password Protection Express se actualiza cada 3 o 4 meses.
El punto en el que se realiza la verificación:
- Breached Password Protection Express realiza verificaciones al cambiar la contraseña, así como verificaciones continuas (por ejemplo, nocturnas).
- Breached Password Protection Complete realiza su verificación inmediatamente después del cambio de contraseña.

Breached Password Protection Complete flow example (Password Change)

El siguiente es un ejemplo de cómo se realiza la verificación de Breached Password Protection Complete.

El usuario cambia su contraseña.
Si la nueva contraseña cumple con todas las demás reglas de la política de contraseñas, se envía la nueva contraseña (el usuario puede usar su nueva contraseña).
La contraseña se verifica contra la base de datos de Breached Password Protection Complete.
Si se encuentra que la contraseña está comprometida, la cuenta del usuario es marcada, y necesitan cambiar su contraseña en el próximo inicio de sesión.
La contraseña no se verifica contra la base de datos de Breached Password Protection Complete hasta el próximo cambio de contraseña.

Breached Password Protection Express flow example

El siguiente es un ejemplo de cómo se realiza la verificación de Breached Password Protection Express.

El usuario cambia su contraseña.
La nueva contraseña se verifica contra la base de datos de Breached Password Protection Express al cambiar la contraseña.
Si se encuentra que la contraseña está comprometida, no se permitirá al usuario enviar el cambio. Si no, se envía la nueva contraseña.
Breached Password Protection Express verifica la contraseña contra la base de datos continuamente (por ejemplo, nocturnamente).
Si se encuentra que la contraseña está comprometida en verificaciones posteriores (siempre que la base de datos de Breached Password Protection Express haya sido actualizada en el ínterin), la cuenta del usuario será marcada y necesitarán cambiar su contraseña en el próximo inicio de sesión.

Breached Password Protection flow example (Continuous Scan)

El siguiente es un ejemplo de cómo se realiza la verificación de Breached Password Protection para el escaneo continuo.

Se realiza un escaneo continuo de la lista (ya sea Breached Password Protection Express o Breached Password Protection Complete).
Se encuentra que la contraseña del usuario está comprometida.
El usuario es alertado vía mensaje de texto o correo electrónico (si está configurado) y/o se le obliga a cambiar su contraseña en el próximo inicio de sesión (si está configurado).

Using Breached Password Protection Express together with Breached Password Protection Complete

Puedes configurar y habilitar Breached Password Protection Complete y Breached Password Protection Express al mismo tiempo, seleccionando las casillas de verificación Prevent passwords from the local Express list y Enable checking passwords via the Complete API en el menú de Cambio de Contraseña. La ventaja de usar ambos es que las contraseñas se verifican contra la base de datos más grande de Complete, mientras que también se proporciona retroalimentación directa al cambiar la contraseña si la nueva contraseña se encuentra en la lista Express. Cuando los usuarios cambian su contraseña, Breached Password Protection Express verificará si la contraseña está en la lista de contraseñas filtradas que se ha descargado. Si la contraseña se encuentra en la lista Express almacenada en tu entorno local, la regla de Breached Password Protection Express evitará que el usuario cambie a esa contraseña. Si no se encuentra en la lista que está almacenada localmente, la contraseña se verificará contra la lista encontrada en Breached Password Protection Complete al enviar la nueva contraseña. Si se encuentra en la lista Complete, la cuenta del usuario será marcada con una notificación de “debe cambiar la contraseña” y se le requerirá cambiar su contraseña en el próximo inicio de sesión.

Components

Specops Password Policy con Breached Password Protection consta de los siguientes componentes.

Specops Password Policy Sentinel

El Specops Password Policy Sentinel es un paquete de instalación que debe instalarse en todos los controladores de dominio escribibles en un dominio. Para los requisitos de instalación, consulta Requisitos.

El Specops Sentinel consta del Sentinel Password Filter y el Sentinel Service.

Sentinel Password Filter

El Sentinel Password Filter es un filtro de contraseñas de Windows que verifica si una nueva contraseña coincide con la configuración de Specops Password Policy asignada al usuario.

Cuando la validación con Specops Breached Password Protection está configurada, el Sentinel Password Filter escribe un archivo de solicitud de validación de Breached Password Protection para cada nueva contraseña (cambio/restablecimiento de contraseña), según lo configurado en la configuración de GPO de Specops Password Policy.

Sentinel Service

El Sentinel Service (Servicio de Windows) es un componente de Specops Password Policy. El Sentinel Service siempre se instala como parte del Specops Password Policy Sentinel, pero es efectivo solo si la validación de Breached Password Protection está configurada.

El Sentinel Service toma las solicitudes de validación de Breached Password Protection de la carpeta de cola y las pasa al Specops Password Arbiter, que determinará si la contraseña está permitida o ha sido comprometida. Dependiendo de la configuración de GPO de Specops Password Policy, el Breached Password Protection Service puede imponer que el usuario debe cambiar la contraseña en el próximo inicio de sesión para contraseñas comprometidas.

El Sentinel Service se ejecuta como sistema local y, por defecto, se le permite establecer que el usuario debe cambiar la contraseña en el próximo inicio de sesión en los usuarios afectados.

Specops Password Arbiter

El Specops Password Arbiter es un componente de Specops Password Policy, y debe instalarse en un servidor con conexión a internet. Para los requisitos de instalación, consulta Requisitos.

Un solo Arbiter es suficiente para la mayoría de las organizaciones. Si tu organización requiere redundancia, se recomiendan Arbiters adicionales.

El Specops Password Arbiter actúa como un gateway entre el Breached Password Protection Service y la Specops Breached Password Protection Cloud API, donde se encuentra la lista de contraseñas filtradas. El Specops Password Arbiter utiliza una clave API para comunicarse con la Breached Password Protection Cloud API.

El Arbiter se ejecuta como servicio de red y, por defecto, tiene acceso de solo lectura a Active Directory. Al leer la configuración de Specops Password Policy, el Arbiter puede determinar las acciones requeridas si se encuentra un hash de contraseña en la lista de Breached Password Protection.

Para usar la validación de Breached Password Protection, al menos un Arbiter debe estar instalado en el dominio. Las organizaciones que utilizan Specops Password Policy sin validación de Breached Password Protection no necesitan instalar el Arbiter.

Nota

La configuración de Breached Password Protection Express no requiere el componente Specops Password Arbiter.

Breached Password Protection Cloud API

La Breached Password Protection Cloud API, alojada por Specops en la nube, es un componente de Specops Password Policy.

La Breached Password Protection Cloud API aloja una extensa lista de contraseñas filtradas.

Nota

La configuración de Breached Password Protection Express no requiere el componente Specops Password Arbiter.

Configuring Breached Password Protection Complete (Complete API)

Para configurar Breached Password Protection Complete, necesitarás:

Instalar Specops Password Policy Sentinel en todos los controladores de dominio. Debe instalarse la misma versión en todos los controladores de dominio. Instrucciones.

Nota

Los clientes de Specops Password Policy que ejecutan la versión 6.8.18106.1 o anterior requerirán una nueva clave de licencia.
Instalar uno (o más) Arbiters en el(los) dominio(s) Instrucciones.
Registrar el(los) Arbiter(s) en la herramienta de Administración de Dominio de Specops Password Policy, y agregar la clave API que recibiste de un Especialista de Producto de Specops:
1. Desde la herramienta de Administración de Dominio, selecciona Breached Password Protection, y haz clic en Register new Arbiter.
2. Selecciona, o escribe el nombre de tu computadora Arbiter, y haz clic en OK. La computadora Arbiter ahora se agrega a la tabla que contiene todos los Specops Password Arbiters.
  
  Nota
  
  También puedes buscar tu computadora Arbiter haciendo clic en el botón Advanced y luego Find now.
3. Haz clic en el botón Import API key y pega la clave API que recibiste de Specops en el campo de texto que aparece. Haz clic en OK. Debería aparecer una marca de verificación verde en la columna API key en la tabla.
  
  Nota
  
  Pega solo la clave API real en el campo de texto, excluyendo cualquier comentario que pueda estar presente.
4. Haz clic en Test cloud connection para probar la conexión.
  
  Nota
  
  Recibirás un error que te pedirá ingresar una clave de licencia válida una vez que la instalación esté completa.

Para habilitar la validación de Breached Password Protection usando Breached Password Protection Complete para nuevas contraseñas (cambio/restablecimiento de contraseña), debes configurar los GPO de Specops Password Policy para los usuarios que se verán afectados.

Configuring Breached Password Protection Complete for Password Change

Abre la herramienta de Administración de Dominio de Password Policy.
Selecciona el menú Password policies.
Accede a la política para el GPO que deseas alterar (Edit)
Haz clic en la pestaña Breached Password Protection, luego selecciona el menú Password Change.
Marca la casilla Enable checking passwords via the Complete API checkbox.
[Opcional] Marca la casilla Force users to change compromised passwords.

Nota

Esto marcará la cuenta del usuario para requerir un cambio de contraseña la próxima vez que inicien sesión.

Nota

Cuando la política del usuario está configurada en "la contraseña nunca expira", y se encuentra que su contraseña está comprometida, se borrará la bandera de la contraseña nunca expira. Luego se le pedirá al usuario que cambie su contraseña en el próximo inicio de sesión.
[Opcional] Marca la casilla Check passwords when being reset in addition to change.

Nota

Si esta opción está deshabilitada, la función de Breached Password Protection Complete no se utilizará cuando se restablezcan las contraseñas, solo cuando se cambien.

Nota

Si tus usuarios tienen acceso a un sistema de restablecimiento de contraseña de autoservicio, esta opción debe estar configurada.
[Opcional] Habilita las opciones de notificación por correo electrónico y/o mensaje de texto. Para más información sobre notificaciones, por favor visita la página de Notificaciones.
Haz clic en Apply.
Haz clic en OK.

Configuring Breached Password Protection Complete for Continuous Scanning

Nota

Para habilitar el Escaneo Continuo, los clientes existentes requieren un nuevo archivo de licencia. Contacta a licensing@specopssoft.com para más información.

Abre la herramienta de Administración de Dominio de Password Policy.
Selecciona el menú Password policies.
Accede a la política para el GPO que deseas alterar (Edit)
Haz clic en la pestaña Breached Password Protection, luego selecciona el menú Continuous.
En el desplegable Check for compromised passwords continuously, elige Using the online Complete API.
[Opcional] Marca la casilla Force users to change compromised passwords

Nota

Esto marcará la cuenta del usuario para requerir un cambio de contraseña en el próximo inicio de sesión.
[Opcional] Habilita las opciones de notificación por correo electrónico y/o mensaje de texto. Para más información sobre notificaciones, por favor visita la página de Notificaciones.
Haz clic en Apply.
Haz clic en OK.

Configuring Breached Password Protection Express (Express List)

Si eres un administrador, puedes descargar una lista de contraseñas filtradas y almacenarlas en tu entorno local. Cada vez que un usuario en tu organización restablezca o cambie su contraseña, su contraseña recién elegida se verificará contra esta lista de contraseñas filtradas. Si la contraseña elegida por el usuario está en la lista de contraseñas filtradas, deben elegir una diferente.

Breached Password Protection Express difiere de Breached Password Protection Complete de las siguientes maneras:

Validación instantánea de contraseñas: como la lista de contraseñas filtradas se almacena localmente, Breached Password Protection Express puede confirmar inmediatamente si la nueva contraseña elegida por el usuario es aceptable o no. Los usuarios obtendrán validación instantánea independientemente de dónde cambien su contraseña, incluso si tienen ambas versiones de Breached Password Protection configuradas y habilitadas.
Notificaciones: no necesitas configurar notificaciones de mensaje de texto y correo electrónico de Breached Password Protection para Breached Password Protection Express, porque las contraseñas se validan instantáneamente.
Escaneo de contraseñas filtradas: Breached Password Protection Express puede escanear las contraseñas de todos los usuarios que se vean afectados por la política. Las contraseñas se compararán con la lista descargada de Breached Password Protection Express. A los usuarios con contraseñas filtradas se les pedirá que cambien su contraseña en el próximo inicio de sesión.
Actualizaciones: la lista de contraseñas filtradas debe actualizarse manualmente. Si se ha publicado una nueva versión de la lista, debes descargarla desde la herramienta de Administración de Dominio de Password Policy.

Downloading the list of leaked passwords

Debes descargar la lista de contraseñas filtradas a tu entorno local, para que tu(s) Objeto(s) de Política de Grupo elegido(s) puedan hacer referencia a la lista de contraseñas filtradas.

Nota

Solo necesitas descargar la lista una vez. Una vez descargada, la lista se almacenará en SYSVOL. La lista se descarga y aplica a nivel de dominio.

Para descargar la lista de Breached Password Protection, sigue estos pasos:

Inicia la herramienta de Administración de Dominio de Password Policy.
Navega a la página de Breached Password Protection.
Haz clic en la pestaña Breached Password Protection Express (Express List).
Si hay una nueva versión de la lista disponible, haz clic en el botón Download latest version.
Se abrirá la ventana Download Breached Password Protection. Durante la descarga, los archivos se descargan primero a un directorio temporal. Por defecto, se utiliza el directorio “temp” del usuario actual para almacenar temporalmente los archivos antes de que se transfieran automáticamente a una ubicación permanente en SYSVOL. Para seleccionar otro directorio temporal, haz clic en el botón Browse.
Cuando la descarga se haya completado, los archivos se copian a la siguiente ubicación en SYSVOL: \\<yourdomain.com>\SYSVOL\<yourdomain>\Policies\SpecopsPassword\Dictionaries
Haz clic en OK, y los archivos comenzarán a descargarse. Dependiendo del tamaño del paquete, esto puede tomar algún tiempo.
Cuando la descarga se haya completado, verás un mensaje confirmando que la lista se ha descargado exitosamente y está actualizada. Este mensaje muestra el número de versión del paquete que se ha descargado, la fecha de publicación de la versión y el tamaño del paquete.

Si la descarga tiene éxito, normalmente no hay necesidad de realizar una validación de los archivos descargados. Sin embargo, si es deseable dentro de la organización validar la integridad de los archivos descargados, se puede usar el cmdlet Get-PasswordPolicyBppExpressList. Hará una validación de checksum de todos los archivos en sysvol y los comparará con el archivo de metadatos que contiene los checksums esperados de la descarga. Consulta la página de cmdlets de powershell para más información.

Enabling Breached Password Protection Express

Una vez que hayas descargado la lista de Breached Password Protection, debes habilitar Breached Password Protection Express, para que se aplique a los Objetos de Política de Grupo relevantes.

Para hacer esto, sigue estos pasos:

Abre la herramienta de Administración de Dominio de Password Policy.
Selecciona el menú Password policies.
Accede a la política para el GPO que deseas alterar (Edit)
Haz clic en la pestaña Breached Password Protection, luego selecciona el menú Password Change.
Marca la casilla Prevent passwords from the local Express list.

Nota

Las notificaciones no están disponibles para Breached Password Protection Express en el Cambio de Contraseña ya que los usuarios recibirán retroalimentación inmediata cuando la contraseña que intentan cambiar haya sido comprometida.
Haz clic en Apply.
Haz clic en OK.

Configuring Breached Password Protection Express for Continuous Scanning

Abre la herramienta de Administración de Dominio de Password Policy.
Selecciona el menú Password policies.
Accede a la política para el GPO que deseas alterar (Edit)
Haz clic en la pestaña Breached Password Protection, luego selecciona el menú Continuous.
En el desplegable Check for compromised passwords continuously, elige Using the local Express list.
[Opcional] Marca la casilla Force users to change compromised passwords

Nota

Esto marcará la cuenta del usuario para requerir un cambio de contraseña en el próximo inicio de sesión.
[Opcional] Habilite las opciones de notificación por correo electrónico. Para obtener más información sobre las notificaciones, visite la página de Notificaciones.

Nota

Las notificaciones por mensaje de texto no están disponibles para Breached Password Protection Express.
Haga clic en Aplicar.
Haga clic en Aceptar.

Actualizando Breached Password Protection Express

La lista de contraseñas filtradas se actualizará a intervalos regulares. Luego, la actualización se publicará para que esté disponible para su descarga.

Para verificar si hay una nueva versión disponible para descargar, siga estos pasos:

Inicie la herramienta Password Policy Domain Admin.
Navegue a la sección Breached Password Protection.
Haga clic en la pestaña Breached Password Protection Express (Lista Express).

Si hay una nueva versión de la lista disponible, verá una notificación que dice: “Hay una versión actualizada de la lista de contraseñas filtradas lista para descargar”.

También verá una comparación entre la versión actual que tiene almacenada localmente y la versión en línea que ha sido publicada.
Haga clic en Descargar la última versión y se aplicarán los cambios.

Configurando tanto Breached Password Protection Complete como Breached Password Protection Express

Puede configurar y habilitar Breached Password Protection Complete y Breached Password Protection Express al mismo tiempo, seleccionando las casillas Habilitar Breached Password Protection Complete y Habilitar Breached Password Protection Express. Si ha habilitado ambos, y sus usuarios cambian su contraseña, Breached Password Protection Express verificará si la contraseña está en la lista de contraseñas filtradas que se ha descargado. Si la contraseña se encuentra en la lista Express almacenada en su entorno local, la regla de Breached Password Protection Express evitará que el usuario cambie a esa contraseña. Si no se encuentra en la lista que se almacena localmente, la contraseña se verificará contra la lista encontrada en Breached Password Protection Complete. Si se encuentra en la lista en línea, la cuenta del usuario será marcada con una notificación de “debe cambiar la contraseña” y se le requerirá cambiar a una diferente.

Preguntas Frecuentes

¿Se envían contraseñas externamente con Specops Breached Password Protection?

No. El filtro de contraseñas de Sentinel genera un hash bcrypt de la nueva contraseña del usuario. Ni la contraseña ni el hash bcrypt se exponen. Los primeros bytes del hash bcrypt se utilizan para consultar un conjunto de hashes coincidentes. La coincidencia de Breached Password Protection se realiza dentro de la red de la organización.

¿Cuáles son los beneficios de múltiples Árbitros? ¿Cómo selecciona el DC (que maneja el cambio de contraseña) un Árbitro?

Tener más de un Árbitro agrega redundancia, en caso de que un Árbitro esté temporalmente inactivo. Árbitros adicionales no afectan el rendimiento. El número de cambios de contraseña concurrentes, para una organización con muchos DCs, no debería causar problemas de latencia.

Si hay múltiples Árbitros, el Servicio de Breached Password Protection usará round robin durante la selección.

¿Cómo maneja la API de Breached Password Protection Cloud los números móviles y las direcciones de correo electrónico al enviar notificaciones por SMS y correo electrónico a los usuarios?

La API de Breached Password Protection Cloud utiliza SendGrid para notificaciones por correo electrónico y Twilio para notificaciones por SMS. Las solicitudes de notificaciones por correo electrónico y SMS del Árbitro a la API de Breached Password Protection Cloud están cifradas con TLS. El ID del cliente y la marca de tiempo del mensaje se almacenan en Graylog. Ni la contraseña ni el hash se revelan en la notificación al usuario.

¿Hay ventajas en usar Breached Password Protection Complete junto con Breached Password Protection Express?

Sí. Dado que las verificaciones se realizan en diferentes momentos, es beneficioso ejecutar ambos. Consulte también la sección Explicación de las verificaciones de Breached Password Protection en esta página.