Abril 19

Laboratorio #2
2022
Active Directory
Domain Estudiante
Estudiante
Services ::
Profesora
Profesora
::
Edzon Gaitan
Edzon Gaitan
1-733-838
Mgtr. 1-733-838
Mgtr.
Mildred
Mildred
Echezano
Echezano
 LABORATORIO 2

El siguiente laboratorio deberá ser realizado de forma individual.

1. Realizar instalación de servidor Windows con rol AD (Directorio activo).

2. Realizar las configuraciones indicadas a continuación, asociadas a políticas de

autenticación, para ello ejecutar el comando msc en la barra de búsqueda del menú
de Windows, para abrir la consola de configuración.

Deberá ser entregado reporte con las vistas de las configuraciones realizadas, indicando
los casos en los que fue necesario cambiar el parámetro o el mismo ya estaba configurado
de acuerdo con lo indicado en este documento.

Tomar en cuenta que, dependiendo de la versión del sistema operativo, el valor del
siguiente parámetro podría cambiar:
Enabled = 1
Disabled = 0

Para configurar el rol de Active Directory daremos clic en el boton de Add Roles and
Features

2
Posteriormente daremos clic en el botón Next para continuar con la instalación

Seleccionaremos la opcion Role-based or feature instalation y daremos clic en Next:

2
Para habilitar este rol daremos clic en las casillas Active Directory Domain Server y las
servicios de Almacenamiento y archivo.

Asi mismo seleccionaremos las casillas de con los complementarios Net Framework 4.8 y
el Group Policy Management, posteriormente daremos clic en el boton de Next:

2
En esta ventana podemos ver algunas recomendaciones que se deben configurar a la hora
de instalar un dominio:

Daremos clic en siguiente y verificaremos en las caracteristcas que se van a instalar a

continuacion:

2
Instalación de los principales roles del Active Directory completada

Posteriormente deberemos agregar diferentes complementos que son necesarios para el

correcto funcionamiento del mismo, daremos clic en Promover este servidor a un
controlador de dominio:

2
Nos desplegara la opción de añadir un nuevo bosque con el nombre del dominio principal:

Una vez agregado y verificado el nombre de nuestro dominio daremos clic en Next:

2
Verificaremos la ruta donde se instalaran los archivos de base de datos de nuestro
dominio:

Posteriormente nos dara la opcion de ver el script de las configuraciones que se van a
realizar:

2
Una vez todos los prerequisitos se hallan completado correctamente procederemos a la
instalación:

Reiniciaremos el equipos para apliar los cabios en las configuraciones:

2
Ventana principal del Active Directory Domain Controller completado:

2
Parámetro / Valor o cambio a implantar Procedimiento para su
Componente implantación
Configure 'Domain Esta configuración de seguridad determina si los Para implementar la
controller: Refuse controladores de dominio rechazarán las configuración
machine account solicitudes de los equipos miembros del dominio recomendada, configure
password changes' en para cambiar las contraseñas de cuenta de el siguiente Group Polity
'Disabled' equipo. De forma predeterminada, los equipos en 0
miembros cambian sus contraseñas de cuenta de
equipo cada 30 días. Si está habilitado, el Computer Configuration\
controlador de dominio rechazará las solicitudes Windows Settings\
de cambio de contraseña. Si está habilitada, esta Security Settings\Local
configuración no permite que un controlador de Policies\Security
dominio acepte cualquier cambio en la contraseña Options\Domain
de una cuenta de equipo. Por defecto: Esta política controller: Refuse
no está definida, lo que significa que el sistema lo machine account
trata como Desactivado. password changes

Como se puede visualizar en las

capturas de imagen, esta política se
mantiene Deshabilitada por defecto en
el Editor de Políticas de Grupo.

Configure 'User Account Esta configuración de directiva controla el Para implementar la

2
Control: Run all comportamiento de toda la política de User configuración
administrators in Admin Account Control (UAC) en el servidor. Si cambia recomendada, configure
Approval Mode' en esta directiva, debe reiniciar el equipo. Esta es la el siguiente Group Polity
'Enabled' configuración que activa o desactiva el UAC. Si en 1: Computer
esta opción está desactivada, UAC no se utilizará Configuration\Windows
y los beneficios de seguridad y medidas de Settings\Security
mitigación de riesgo que dependen de UAC no Settings\Local Policies\
estarán presentes en el sistema. Security Options\User
Account Control: Run all
administrators in Admin
Approval Mode

Como se puede visualizar en las

capturas de imagen, esta política se
mantiene No definida por defecto en el
Editor de Políticas de Grupo, al hacer
doble clic en la política nos aparecerá
el cuadro de dialogo de la izquierda y
seleccionaremos en Enable para
habilitarla.

Configure 'User Account Esta configuración de directiva controla el Para implementar la

Control: Admin Approval comportamiento del modo Admin Approval de la configuración

2
Mode for the Built-in cuenta de administrador integrada. Las opciones recomendada, configure
Administrator account' en son: Activado: La cuenta de administrador el siguiente Group Polity
'Enabled' integrada utiliza el modo de aprobación de en 1:
administrador. Por defecto, cualquier operación
que requiera la elevación de privilegios le pedirá al Computer Configuration\
usuario que apruebe la operación. Deshabilitado: Windows Settings\
(Predeterminado) La cuenta de administrador Security Settings\Local
integrada se ejecuta todas las aplicaciones con Policies\Security
privilegios de administrador completo. Options\User Account
Control: Admin Approval
Mode for the Built-in
Administrator account

Como se puede visualizar en las

capturas de imagen superior, esta
política se mantiene No definida por
defecto en el Editor de Políticas de
Grupo, al hacer doble clic en la política
nos aparecerá el cuadro de dialogo de
la izquierda y seleccionaremos en
Enable para habilitarla.

Configure 'Domain La configuración por defecto para los equipos Para implementar la
member: Disable machine basados en Windows Server que pertenecen a un configuración
account password dominio obliga automáticamente a cambiar las recomendada, configure

2
changes' en 'Disabled' contraseñas cada 30 días. Si deshabilita esta el siguiente Group Polity
configuración, los equipos que basados en en 0:
Windows Server conservarán las mismas Computer Configuration\
contraseñas que sus cuentas de equipo. Los Windows Settings\
equipos donde no se cambia la contraseña de Security Settings\Local
forma automática corren el riesgo de que un Policies\Security
atacante pueda determinar la contraseña de Options\Domain
cuenta de dominio del equipo. member: Disable
machine account
password changes

Como se puede visualizar en las

capturas de imagen superior, esta
política se mantiene Deshabilitada por
defecto en el Editor de Políticas de
Grupo, por ende, se deja tal cual para
cumplir la medida de seguridad.

Configure 'Network Si esta directiva está habilitada, un usuario con Para implementar la
access: Allow anonymous acceso local podría usar el SID del administrador configuración
SID/Name translation' en estándar para aprender el verdadero nombre de la recomendada, configure
'Disabled' cuenta de administrador, incluso si se ha el siguiente Group Polity

2
 cambiado el nombre. Esta persona podría usar el en False: Computer
nombre de cuenta para iniciar un ataque para Configuration\Windows
adivinar la contraseña. Settings\Security
Settings\Local Policies\
Security Options\
Network access: Allow
anonymous SID/Name
translation

Como se puede visualizar en la

captura de imagen superior, esta
política se mantiene No definida
por defecto en el Editor de
Políticas de Grupo, daremos clic
en definir esta política como
deshabilitada aceptando la
advertencia de compatibilidad
con otros clientes, servicios o
aplicaciones.

Configure 'System Puede habilitar esta directiva para garantizar que Para implementar la
cryptography: Use FIPS el equipo utilizará los algoritmos más poderosos configuración
compliant algorithms for que están disponibles para el cifrado digital, hash recomendada, configure
encryption, hashing, and y firmado. El uso de estos algoritmos minimizará el el siguiente Group Polity

2
signing' en 'Enabled' riesgo de compromiso de los datos cifrados o en 1: Computer
firmados digitalmente por un usuario no Configuration\Windows
autorizado. Settings\Security
Settings\Local Policies\
Security Options\System
cryptography: Use FIPS
compliant algorithms for
encryption, hashing, and
signing.

Como se puede visualizar en las

capturas de imagen superior, esta
política se mantiene No definida por
defecto en el Editor de Políticas de
Grupo, al hacer doble clic en la política
nos aparecerá el cuadro de dialogo de
la izquierda y seleccionaremos en
Enable para habilitarla.

Configure 'Network Puede habilitar esta opción de directiva para evitar Para implementar la
security: Minimum que el tráfico de red que usa NTLM Security configuración
session security for NTLM Support Provider (NTLM SSP) sea expuesto o recomendada, configure
SSP based (including escuchado por un atacante que haya obtenido el siguiente Group Polity
secure RPC) servers' en acceso a la red. Esto es, esta opción aumenta la en 537395200:

2
'Require NTLMv2 session protección contra ataques man-in-themiddle. Computer Configuration\
security, Require 128-bit Windows Settings\
encryption' Security Settings\Local
Policies\Security
Options\Network
security: Minimum
session security for
NTLM SSP based
(including secure RPC)
servers

Como se puede visualizar en las

capturas de imagen superior, esta
política se mantiene No definida por
defecto en el Editor de Políticas de
Grupo, al hacer doble clic en la política
nos aparecerá el cuadro de dialogo de
la izquierda y seleccionaremos las
casillas correspondientes al nivel de
cifrado de 128 bits y el inicio de sesión
mejorado NTLMv2 para cumplir con
este parámetro de seguridad.

Configure 'Network Esta configuración de directiva determina cómo se Para implementar la

access: Sharing and autentican los inicios de sesión de red que utilizan configuración
security model for local cuentas locales. La opción Classic permite un recomendada, configure
accounts' en 'Classic - control preciso sobre el acceso a los recursos, el siguiente Group Polity
local users authenticate incluida la posibilidad de asignar diferentes tipos en 0: Computer

2
as themselves' de acceso a diferentes usuarios para el mismo Configuration\Windows
recurso. Settings\Security
La opción Guest only le permite tratar todos los Settings\Local Policies\
usuarios por igual. En este contexto, todos los Security Options\
usuarios autenticados como Guest only recibirán Network access: Sharing
el mismo nivel de acceso a un recurso and security model for
determinado. local accounts

2
 Como se puede visualizar en las
capturas de imagen superior, esta
política se mantiene No definida por
defecto en el Editor de Políticas de
Grupo, al hacer doble clic en la política
nos aparecerá el cuadro de dialogo de
la izquierda y seleccionaremos la
casilla para definir como activa cumplir
con este parámetro de seguridad, así
como el modo clásico de autenticación
por parte de los propios usuarios para
el acceso a los recursos del dominio.

Configure 'Accounts: Limit Esta configuración de directiva determina si las Para implementar la
local account use of blank cuentas locales que no están protegidos con configuración
passwords en console contraseña se pueden utilizar para iniciar sesión recomendada, configure
logon only' to 'Enabled' desde ubicaciones distintas a la consola del el siguiente Group Polity
equipo físico. Si habilita esta configuración de en 1: Computer
directiva, las cuentas locales con contraseñas en Configuration\Windows
blanco no podrán iniciar sesión en la red de los Settings\Security
equipos cliente remoto. Estas cuentas sólo podrán Settings\Local Policies\
iniciar sesión en el teclado de la computadora. Security Options\

2
 Accounts: Limit local
account use of blank
passwords to console
logon only

Como se puede visualizar en las

capturas de imagen superior, esta
política se mantiene No definida por
defecto en el Editor de Políticas de
Grupo, al hacer doble clic en la
política nos aparecerá el cuadro de
dialogo de la izquierda y
seleccionaremos la casilla para
definir como Enable y cumplir con
este parámetro de seguridad.

Configure 'Microsoft Si su organización usa tiempo de sesión para Para implementar la

network server: usuarios, entonces tiene sentido habilitar esta configuración
Disconnect clients when directiva de configuración. De lo contrario, los recomendada, configure
logon hours expire' en usuarios que no deben tener acceso a recursos de el siguiente Group Polity
'Enabled' la red fuera de sus horas de inicio de sesión en 1: Computer
pueden seguir utilizando esos recursos con Configuration\Windows
sesiones que se establecieron durante las horas Settings\Security
permitidas. Settings\Local Policies\
Security Options\

2
 Microsoft network
server: Disconnect
clients when logon hours
expire

Como se puede visualizar en las

capturas de imagen superior, esta
política se mantiene No definida por
defecto en el Editor de Políticas de
Grupo, al hacer doble clic en la
política nos aparecerá el cuadro de
dialogo de la izquierda y
seleccionaremos la casilla para
definir como Enable y cumplir con
este parámetro de seguridad.

Configure 'Domain Esta configuración de directiva determina la edad Para implementar la

member: Maximum máxima permitida para una contraseña. De forma configuración
machine account predeterminada, los miembros de dominio recomendada, configure
password age' en '30' cambian automáticamente sus contraseñas de el siguiente Group Polity
dominio cada 30 días. Si aumenta este intervalo en 30: Computer
de forma significativa o se establece en 0 para que Configuration\Windows
los equipos no cambien sus contraseñas, un Settings\Security
atacante tendría más tiempo para llevar a cabo un Settings\Local Policies\
ataque de fuerza bruta contra una de las cuentas Security Options\Domain

2
 de equipo. member: Maximum
machine account
password age

Como se puede visualizar en las

capturas de imagen superior, esta
política se mantiene No definida por
defecto en el Editor de Políticas de
Grupo, al hacer doble clic en la
política nos aparecerá el cuadro de
dialogo de la izquierda y
seleccionaremos la casilla para
definir esta política con el valor de
30 días como mínimo de una
organización.

Configure 'Network Las sesiones nulas son una debilidad que puede Para implementar la
access: Restrict ser explotada a través de recursos compartidos configuración
anonymous access to (incluyendo los recursos compartidos por defecto) recomendada, configure
Named Pipes and Shares' en los equipos de su entorno. el siguiente Group Polity
en 'Enabled' en 1: Computer
Configuration\Windows
Settings\Security
Settings\Local Policies\
Security Options\
Network access: Restrict

2
 anonymous access to
Named Pipes and
Shares

Como se puede visualizar en las

capturas de imagen superior, esta
política se mantiene No definida por
defecto en el Editor de Políticas de
Grupo, al hacer doble clic en la
política nos aparecerá el cuadro de
dialogo de la izquierda y
seleccionaremos la casilla para
definir esta política como Enable y
cumplir con este parámetro de
seguridad.

Configure 'User Account Los cuadros de diálogo de elevación de privilegios Para implementar la
Control: Switch to the pueden ser falsificados, haciendo que los usuarios configuración
secure desktop when revelen sus contraseñas a un software malicioso. recomendada, configure
prompting for elevation' el siguiente Group Polity
en 'Enabled' en 1 Computer
Configuration\Windows
Settings\Security
Settings\Local Policies\
Security Options\User
Account Control: Switch

2
 to the secure desktop
when prompting for
elevation

Como se puede visualizar en las

capturas de imagen, esta política se
mantiene No definida por defecto en el
Editor de Políticas de Grupo, al hacer
doble clic en la política nos aparecerá
el cuadro de dialogo de la izquierda y
seleccionaremos en Enable para
habilitarla.

Configure 'User Account La propiedad intelectual, la información de Para implementar la

Control: Only elevate identificación personal, y otros datos configuración
executables that are confidenciales son normalmente manipulados por recomendada, configure
signed and validated' en aplicaciones en el equipo y requieren credenciales el siguiente Group Polity
'Disabled' elevadas para conseguir el acceso a la en 0 Computer
información. Los usuarios y administradores Configuration\Windows
intrínsecamente confían en aplicaciones que usan Settings\Security
estas fuentes de información y proporcionan sus Settings\Local Policies\
credenciales. Si una de estas aplicaciones, se Security Options\User
sustituye por una aplicación falsa que parece Account Control: Only

2
 idéntica a la aplicación de confianza podrían verse elevate executables that
comprometidas las credenciales administrativas are signed and validated
del usuario

Como se puede visualizar en las

capturas de imagen, esta política se
mantiene No definida por defecto en el
Editor de Políticas de Grupo, al hacer
doble clic en la política nos aparecerá
el cuadro de dialogo de la izquierda y
seleccionaremos en Disable para
deshabilitar esta opción de seguridad.

Configure 'Microsoft Si habilita esta directiva, el servidor puede Para implementar la

network client: Send transmitir las contraseñas en texto plano a través configuración
unencrypted password en de la red a otros equipos que ofrecen servicios recomendada, configure
third-party SMB servers' SMB. Estos otros equipos podrían no utilizar el siguiente Group Polity
to 'Disabled' cualquiera de los mecanismos de seguridad SMB en 0: Computer
que se incluyen con Windows Server Configuration\Windows
Settings\Security
Settings\Local Policies\
Security Options\
Microsoft network client:

2
 Send unencrypted
password to third-party
SMB servers

Como se puede visualizar en las

capturas de imagen, esta política se
mantiene No definida por defecto en el
Editor de Políticas de Grupo, al hacer
doble clic en la política nos aparecerá
el cuadro de dialogo de la izquierda y
seleccionaremos en Disable para
deshabilitar esta opción de seguridad.

Configure 'Network Un usuario no autorizado podría listar Para implementar la

access: Do not allow anónimamente los nombres de cuenta y los configuración
anonymous enumeration recursos compartidos y utilizar la información para recomendada, configure
of SAM accounts and tratar de adivinar las contraseñas o realizar el siguiente Group Polity
shares' en 'Enabled' ataques de ingeniería social. en 1: Computer
Configuration\Windows
Settings\Security
Settings\Local Policies\
Security Options\
Network access: Do not

2
 allow anonymous
enumeration of SAM
accounts and shares

Como se puede visualizar en las capturas de

imagen, esta política se mantiene
deshabilitada en el Editor de Políticas de
Grupo, al hacer doble clic en la política nos
aparecerá el cuadro de dialogo de la izquierda
y seleccionaremos en Enable y se enviará un
mensaje de advertencia para la confirmación
de cambios, seleccionaremos la opción Si y
aplicaremos dicha opción de seguridad.

Configure 'Domain Esta configuración de directiva determina la edad Para implementar la

member: Maximum máxima permitida para una contraseña. De forma configuración
machine account predeterminada, los miembros de dominio recomendada, configure
password age' en '30' cambian automáticamente sus contraseñas de el siguiente Group Polity
dominio cada 30 días. Si aumenta este intervalo en 30: Computer
de forma significativa o se establece en 0 para que Configuration\Windows
los equipos no cambien sus contraseñas, un Settings\Security
atacante tendría más tiempo para llevar a cabo un Settings\Local Policies\
ataque de fuerza bruta contra una de las cuentas Security Options\Domain
de equipo. member: Maximum

2
 machine account
password age

Como se puede visualizar en las

capturas de imagen superior, esta
política se mantiene No definida por
defecto en el Editor de Políticas de
Grupo, al hacer doble clic en la
política nos aparecerá el cuadro de
dialogo de la izquierda y
seleccionaremos la casilla para
definir esta política con el valor de
30 días como mínimo de una
organización.

Configure 'Network El archivo SAM puede ser objetivo de los Para implementar la
security: Do not store LAN atacantes que buscan acceso a los nombres de configuración
Manager hash value on usuario y los hashes de contraseñas. Estos recomendada, configure
next password change' en ataques utilizan herramientas especiales para el siguiente Group Polity
'Enabled descifrar contraseñas, que luego se pueden utilizar en 1: Computer
para suplantar a los usuarios y tener acceso a Configuration\Windows
recursos de la red. Estos tipos de ataques no Settings\Security
serán prevenidos si se habilita esta directiva, pero Settings\Local Policies\
será mucho más difícil que este tipo de ataques Security Options\
tengan éxito. Network security: Do not
store LAN Manager

2
 hash value on next
password change

Como se puede visualizar en las

capturas de imagen superior, esta
política se mantiene No definida por
defecto en el Editor de Políticas de
Grupo, al hacer doble clic en la
política nos aparecerá el cuadro de
dialogo de la izquierda y
seleccionaremos la casilla Enable
para definir esta política que nos
permite salvaguardar un poco más la
información de las credenciales de
una organización.

Configure 'Interactive Se recomienda que las contraseñas de usuario Para implementar la

logon: Prompt user to sean configuradas para expirar periódicamente. configuración
change password before Los usuarios tendrán que ser advertidos de que recomendada, configure
expiration' en '30' sus contraseñas van a expirar o de lo contrario el siguiente Group Polity
inadvertidamente se cerrará la sesión del equipo en 30:
cuando expiren sus contraseñas. Computer Configuration\
Windows Settings\
Security Settings\Local
Policies\Security
Options\Interactive
logon: Prompt user to
change password before

2
 expiration.

Como se puede visualizar en las

capturas de imagen superior, esta
política se mantiene No definida por
defecto en el Editor de Políticas de
Grupo, al hacer doble clic en la
política nos aparecerá el cuadro de
dialogo de la izquierda y
seleccionaremos la casilla: Define
this Policy setting y se definirá 30
días de periodo de tiempo de
expiración de contraseña.

Configure 'Store Esta directiva determina si el sistema operativo Para implementar la

passwords using almacenará las contraseñas en un formato que configuración
reversible encryption' en utiliza cifrado reversible, el cual proporciona recomendada, configure
'Disabled' soporte para los protocolos de aplicación que el siguiente Group Polity
requieren conocer la contraseña del usuario con en Disabled. Computer
fines de autenticación. Las contraseñas que se Configuration\Windows
almacenan con cifrado reversibles son Settings\Security
esencialmente las mismas que se almacenarían Settings\Account
en versiones de texto claro de las contraseñas. Policies\Password
Policy\Store passwords
using reversible
encryption

2
 Como se puede visualizar en las
capturas de imagen superior, esta
política se mantiene No definida por
defecto en el Editor de Políticas de
Usuario, al hacer doble clic en la
política nos aparecerá el cuadro de
dialogo de la izquierda donde
seleccionaremos la casilla para
definir la política y la opción Disable
para cumplir con la medida de
seguridad.

Configure 'Minimum Esta directiva determina el número mínimo de Para implementar la

password length' en '14' caracteres que componen una contraseña para configuración
or greater una cuenta de usuario. Los tipos de ataques a recomendada, configure
contraseñas incluyen ataques de diccionario (que el siguiente Group Polity
tratan de usar palabras y frases corrientes) y los en 14 o superior:
ataques de fuerza bruta (que tratan todas las Computer Configuration\
combinaciones posibles de caracteres). Además, Windows Settings\
los atacantes a veces tratan de obtener la base de Security Settings\
datos de cuentas de usuario para utilizar Account Policies\
herramientas para descubrir las cuentas y Password Policy\
contraseñas. Minimum password
length

2
 Como se puede visualizar en las
capturas de imagen superior, esta
política se mantiene No definida por
defecto en el Editor de Políticas de
Usuario, al hacer doble clic en la
política nos aparecerá el cuadro de
dialogo de la izquierda y
seleccionaremos la casilla: Define
this Policy setting y se definirá 14
caracteres como mínimo de longitud
de contraseña.

Configure 'Maximum Esta directiva define el tiempo que un usuario Para implementar la
password age' en '60' or puede utilizar su contraseña antes de que configuración
less caduque. Los valores posibles para esta política recomendada, configure
son entre 0 a 999 días. Si se establece el valor en el siguiente Group Polity
0, la contraseña nunca caduca. El valor en 60 o menos:
predeterminado para esta configuración de Computer Configuration\
directiva es de 42 días. Cuanto más tiempo sea Windows Settings\
vigente una contraseña más alta es la probabilidad Security Settings\
de que se vea comprometida por un ataque de Account Policies\
fuerza bruta, que un atacante la obtenga por Password Policy\
conocimientos generales sobre el usuario, o que el Maximum password age
usuario comparta la contraseña.

2
 Como se puede visualizar en las
capturas de imagen superior, esta
política se mantiene No definida por
defecto en el Editor de Políticas de
Usuario, al hacer doble clic en la
política nos aparecerá el cuadro de
dialogo de la izquierda y
seleccionaremos la casilla: Define
this Policy setting y se definirá 30
días como periodo de tiempo
máximo para que el sistema indique
al usuario el cambio de contraseña.

Configure 'Enforce Esta directiva determina el número de contraseñas Para implementar la

password history' en '24' únicas que pueden ser asociadas con una cuenta configuración
or greater de usuario antes de poder volver a utilizar una recomendada, configure
contraseña antigua. El valor de esta configuración el siguiente Group Polity
de directiva debe estar entre 0 y 24 contraseñas. en 24 o superior:
Para mantener la eficacia de esta configuración de Computer Configuration\
directiva, utilice el ajuste de la edad mínima de la Windows Settings\
contraseña para evitar que los usuarios cambien Security Settings\
sus contraseñas en varias ocasiones Account Policies\
Password Policy\Enforce
password history

2
 Como se puede visualizar en las
capturas de imagen superior, esta
política se mantiene No definida por
defecto en el Editor de Políticas de
Usuario, al hacer doble clic en la
política nos aparecerá el cuadro de
dialogo de la izquierda y
seleccionaremos la casilla: Define
this Policy setting y se definirá 24
registros de historial máximo de
contraseñas.

Configure 'Minimum Esta directiva determina el número de días que Para implementar la
password age' en '1' or debe utilizar una contraseña antes de poder configuración
greater cambiarla. El rango de valores para esta recomendada, configure
configuración de directiva se encuentra entre 1 y el siguiente Group Polity
999 días. (También puede establecer el valor en 0 en 1 o superior:
para permitir cambios de contraseña inmediatos.) Computer Configuration\
El valor predeterminado para este parámetro es de Windows Settings\
0 días. Security Settings\
Account Policies\
Password Policy\
Minimum password age

2
 Como se puede visualizar en las
capturas de imagen superior, esta
política se mantiene No definida por
defecto en el Editor de Políticas de
Usuario, al hacer doble clic en la
política nos aparecerá el cuadro de
dialogo de la izquierda y
seleccionaremos la casilla: Define
this Policy setting y como 1 el
número de días que debe utilizar una
contraseña antes de poder cambiarla
por parte del usuario.

Configure 'Password must Esta configuración de directiva comprueba todas Para implementar la
meet complexity las contraseñas nuevas para garantizar que configuración
requirements' en cumplen los requisitos básicos de la política de recomendada, configure
'Enabled' contraseñas seguras. Cuando se habilita esta el siguiente Group Polity
directiva, las contraseñas deben cumplir los en Enabled: Computer
siguientes requisitos mínimos: • No contener el Configuration\Windows
nombre o parte del nombre completo del usuario y Settings\Security
que tengan más de dos caracteres consecutivos Settings\Account
de la cuenta del usuario • Tener por lo menos seis Policies\Password
caracteres de longitud • Contener caracteres de Policy\Password must
tres de las siguientes cuatro categorías: • Los meet complexity
caracteres en mayúsculas en inglés (A Z) • requirements.

2
 minúsculas Inglés (A Z) • Base 10 dígitos (del 0 al
9) • Los caracteres no alfabéticos (por ejemplo,!, $,
#,%) • Una categoría catch-all de cualquier
carácter Unicode que no cae bajo las cuatro
categorías anteriores. Esta quinta categoría puede
ser específico a nivel regional

Como se puede visualizar en las

capturas de imagen superior, esta
política se mantiene No definida por
defecto en el Editor de Políticas de
Usuario, al hacer doble clic en la
política nos aparecerá el cuadro de
dialogo de la izquierda y
seleccionaremos la casilla: Define
this Policy setting y como Enable
para añadir las directrices de
complejidad de caracteres a la hora
de crear las contraseñas por parte
del usuario.

CONCLUSIONES

Los objetos de directiva de grupo (GPO) proporcionan una infraestructura bastante

completa para la administración de configuración centralizada de un dominio empresarial
en el sistema operativo Windows y son ahorro de tiempo y costos, mayor productividad,
seguridad mejorada y la estandarización. Por ello la correcta implementación de una lista

2
de chequeo de configuraciones de seguridad permitirá el riesgo de amenazas baje a la
hora de ser sometido a diversos ataques, ya sean de manera ética o real.