Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Por qué se debe considerar
La directiva de bloqueo de cuenta no establece actualmente el umbral de bloqueo de cuenta en el valor recomendado. El umbral de bloqueo de la cuenta debe establecerse en 0, para que las cuentas no se bloqueen —y se eviten los ataques por denegación de servicio (DoS)—, o en un valor suficientemente alto para que los usuarios puedan escribir incorrectamente su contraseña varias veces antes de que su cuenta sea bloqueada, pero aun así asegúrese de que un ataque de contraseña por fuerza bruta bloqueará la cuenta.
Vea a un ingeniero de clientes explicando el problema
Contexto y prácticas recomendadas
Los ataques de contraseña pueden usar métodos automatizados para probar millones de combinaciones para cualquier cuenta de usuario. Limitar el número de intentos de inicio de sesión erróneos puede reducir significativamente el riesgo de que estos ataques tengan éxito. Sin embargo, es importante tener en cuenta que si un dominio tiene establecido un umbral de bloqueo de cuenta, una serie de intentos de inicio de sesión automatizados en todas las cuentas de usuario podría alcanzar ese umbral, lo que provocaría que todas las cuentas se bloqueasen.
Dado que pueden existir vulnerabilidades cuando se configura el valor del umbral de bloqueo de la cuenta y cuando no está configurado, se definen dos contramedidas distintas. Toda organización debe sopesar la elección entre ambas en función de sus amenazas identificadas y los riesgos que desea mitigar. Las dos opciones de medidas correctivas son:
- Configure la opción Umbral de bloqueo de cuenta en 0. Esta configuración garantiza que las cuentas no se bloquearán e impedirá un ataque DoS que intencionalmente intente bloquear cuentas. Esta configuración también ayuda a reducir las llamadas al departamento de soporte técnico, ya que los usuarios no pueden bloquear accidentalmente sus cuentas. Como no evitará un ataque por fuerza bruta, esta configuración solo debe seleccionarse si se cumplen explícitamente los dos criterios que encontrará a continuación:
-
- La directiva de contraseñas requiere que todos los usuarios tengan contraseñas complejas de 8 o más caracteres.
- Existe un mecanismo de auditoría sólido para alertar a los administradores cuando se produce una serie de inicios de sesión fallidos en el entorno. Por ejemplo, la solución de auditoría debe supervisar el evento de seguridad 539, que es un error de inicio de sesión. Este evento identifica que ha habido un bloqueo en la cuenta en el momento del intento de inicio de sesión.
- Establezca el umbral de bloqueo de cuenta en un nivel que permita a los usuarios escribir mal su contraseña varias veces antes de bloquear la cuenta, al tiempo que garantiza que se evitan ataques por contraseñas por fuerza bruta. Esta configuración evitará bloqueos accidentales de cuentas y reducirá las llamadas al departamento de soporte técnico, pero no evitará un ataque DoS.
Si esta configuración de directiva está activada, una cuenta bloqueada no se podrá usar hasta que un administrador la restablezca o hasta que expire la duración del bloqueo. Esta configuración puede provocar un aumento en las llamadas al departamento de soporte técnico, ya que las cuentas bloqueadas son una fuente común de consultas en muchas organizaciones. Además, un ciberdelincuente podría desencadenar intencionadamente varios inicios de sesión erróneos para bloquear usuarios e interrumpir el servicio. Para reducir el impacto potencial, es aconsejable establecer la duración del bloqueo de la cuenta en un intervalo más corto, como 15 minutos.
Acciones recomendadas
Use el Editor de administración de políticas de grupo (GPME) para abrir el Objeto de directiva de grupo (GPO) que contiene la directiva de contraseñas efectiva para el dominio; este GPO podría ser la directiva de dominio predeterminada o un GPO personalizado vinculado anteriormente (es decir, con mayor prioridad que) la directiva de dominio predeterminada.
En GPME, vaya a Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de bloqueo de cuenta.
Configure la opción Umbral de bloqueo de cuenta en 0, de modo que las cuentas nunca se bloqueen, o en n, donde n es un valor suficientemente alto para proporcionar a los usuarios la posibilidad de escribir erróneamente su contraseña varias veces antes de que la cuenta se bloquee. No obstante, asegúrese de que un ataque por contraseña por fuerza bruta bloquea la cuenta. El valor recomendado de referencia actual de Microsoft Security Compliance Toolkit (SCT) para n es 10.
Tenga en cuenta que si se usan directivas de contraseñas muy específicas, es posible que la directiva de dominio predeterminada no afecte a todas las cuentas; en tales casos, también debe comprobar la configuración de cifrado reversible en estas directivas de contraseña muy específicas.
Más información
Para obtener más información sobre la configuración de bloqueo de cuenta, consulte Configuración del bloqueo de cuentas.