Umbral de bloqueo de cuenta
Se aplica a
- Windows 11
- Windows 10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para la configuración de directiva de seguridad Umbral de bloqueo de cuenta.
Referencia
La configuración de directiva Umbral de bloqueo de cuenta determina el número de intentos de inicio de sesión con errores que harán que se bloquee una cuenta de usuario. No se puede usar una cuenta bloqueada hasta que se restablezca o hasta que expire el número de minutos especificado por la configuración de la directiva Duración del bloqueo de la cuenta. Puede establecer un valor entre 1 y 999 intentos de inicio de sesión erróneos, o bien puede especificar que la cuenta nunca se bloqueará estableciendo el valor en 0. Si el umbral de bloqueo de cuenta se establece en un número mayor que cero, la duración del bloqueo de la cuenta debe ser mayor o igual que el valor del contador Restablecer bloqueo de cuenta después.
Los ataques por contraseña por fuerza bruta se pueden automatizar para probar miles o incluso millones de combinaciones de contraseñas para cualquiera o todas las cuentas de usuario. Limitar el número de inicios de sesión con errores que se pueden realizar casi elimina la eficacia de estos ataques. Sin embargo, es importante tener en cuenta que se podría realizar un ataque de denegación de servicio (DoS) en un dominio que tenga configurado un umbral de bloqueo de cuenta. Un usuario malintencionado podría intentar mediante programación una serie de ataques de contraseña contra todos los usuarios de la organización. Si el número de intentos es mayor que el valor del umbral de bloqueo de cuenta, el atacante podría bloquear cada cuenta.
Los intentos erróneos de desbloquear una estación de trabajo pueden provocar el bloqueo de la cuenta incluso si la opción Inicio de sesión interactivo: Requerir autenticación del controlador de dominio para desbloquear la seguridad de la estación de trabajo está deshabilitada. Windows no necesita ponerse en contacto con un controlador de dominio para obtener un desbloqueo si escribe la misma contraseña con la que ha iniciado sesión, pero si escribe una contraseña diferente, Windows tiene que ponerse en contacto con un controlador de dominio en caso de que haya cambiado la contraseña de otra máquina.
Posibles valores
Es posible configurar los siguientes valores para la configuración de directiva Umbral de bloqueo de cuenta:
- Un número definido por el usuario de 0 a 999
- No definido
Dado que las vulnerabilidades pueden existir cuando se configura este valor y cuando no es así, las organizaciones deben sopesar sus amenazas identificadas y los riesgos que intentan mitigar. Para obtener información sobre esta configuración, consulte Countermeasure en este artículo.
Procedimientos recomendados
El umbral que seleccione es un equilibrio entre la eficacia operativa y la seguridad, y depende del nivel de riesgo de su organización. Para permitir errores de usuario y frustrar ataques por fuerza bruta, las líneas base de seguridad de Windows recomiendan un valor de 10 podría ser un punto de partida aceptable para su organización.
Al igual que con otras configuraciones de bloqueo de cuenta, este valor es más una guía que una regla o un procedimiento recomendado porque no hay "un solo tamaño que se ajuste a todos". Para obtener más información, consulte Configuración del bloqueo de cuenta.
La implementación de esta configuración de directiva depende del entorno operativo; vectores de amenazas, sistemas operativos implementados y aplicaciones implementadas. Para obtener más información, consulte Consideraciones de implementación en este artículo.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de bloqueo de cuenta
Valores predeterminados
En la siguiente tabla se enumeran los valores reales y eficaces de la directiva predeterminada. Los valores predeterminados también aparecen en la página de propiedades de la configuración de directiva.
| Tipo de servidor u objeto de directiva de grupo (GPO) | Valor predeterminado |
|---|---|
| Directiva de dominio predeterminada | 0 intentos de inicio de sesión no válidos |
| Directiva de controlador de dominio predeterminada | No definido |
| Configuración predeterminada del servidor independiente | 0 intentos de inicio de sesión no válidos |
| Configuración predeterminada eficaz del controlador de dominio | 0 intentos de inicio de sesión no válidos |
| Configuración predeterminada eficaz del servidor miembro | 0 intentos de inicio de sesión no válidos |
| Configuración predeterminada del GPO eficaz en los equipos cliente | 0 intentos de inicio de sesión no válidos |
Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar esta configuración de directiva.
Requisitos de reinicio
Ninguna. Los cambios en esta configuración de directiva se hacen efectivos sin reiniciar el equipo cuando se guardan localmente o se distribuyen a través de directiva de grupo.
Consideraciones de implementación
La implementación de esta configuración de directiva depende del entorno operativo. Tenga en cuenta los vectores de amenazas, los sistemas operativos implementados y las aplicaciones implementadas. Por ejemplo:
La probabilidad de un robo de cuenta o un ataque DoS se basa en el diseño de seguridad de los sistemas y el entorno. Establezca el umbral de bloqueo de cuenta en consideración del riesgo conocido y percibido de esas amenazas.
Cuando hay una negociación de tipos de cifrado entre clientes, servidores y controladores de dominio, el protocolo Kerberos puede reintentar automáticamente los intentos de inicio de sesión de cuenta que cuentan para los límites de umbral establecidos en esta configuración de directiva. En entornos donde se implementan diferentes versiones del sistema operativo, aumenta la negociación del tipo de cifrado.
No todas las aplicaciones que se usan en su entorno administran eficazmente cuántas veces un usuario puede intentar iniciar sesión. Por ejemplo, si una conexión se quita repetidamente cuando un usuario ejecuta la aplicación, todos los intentos de inicio de sesión con errores posteriores cuentan para el umbral de bloqueo de la cuenta.
Para obtener más información sobre las recomendaciones de línea de base de seguridad de Windows para el bloqueo de cuentas, consulte Configuración del bloqueo de cuenta.
Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Nota
Una directiva de umbral de bloqueo se aplicará tanto a los usuarios de equipos miembros locales como a los usuarios de dominio, con el fin de permitir la mitigación de problemas como se describe en "Vulnerabilidad". Sin embargo, la cuenta de administrador integrada, mientras que una cuenta con privilegios elevados, tiene un perfil de riesgo diferente y se excluye de esta directiva. Esto garantiza que no haya ningún escenario en el que un administrador no pueda iniciar sesión para corregir un problema. Como administrador, hay estrategias de mitigación adicionales disponibles, como una contraseña segura. Consulte también Apéndice D: Protección de cuentas de administrador de Built-In en Active Directory.
Vulnerabilidad
Los ataques por contraseña por fuerza bruta pueden usar métodos automatizados para probar millones de combinaciones de contraseñas para cualquier cuenta de usuario. La eficacia de estos ataques se puede eliminar casi si se limita el número de intentos de inicio de sesión con errores que se pueden realizar. Sin embargo, se podría realizar un ataque DoS en un dominio que tenga configurado un umbral de bloqueo de cuenta. Un atacante podría intentar mediante programación una serie de ataques con contraseña contra todos los usuarios de la organización. Si el número de intentos es mayor que el umbral de bloqueo de la cuenta, es posible que el atacante pueda bloquear todas las cuentas sin necesidad de privilegios especiales ni autenticarse en la red.
Nota
Esta configuración de directiva no compensa los ataques de contraseña sin conexión.
Contramedida
Dado que pueden existir vulnerabilidades cuando se configura este valor y cuando no está configurado, se definen dos contramedidas distintas. Las organizaciones deben sopesar la elección entre las dos, en función de sus amenazas identificadas y de los riesgos que quieren mitigar. Las dos opciones de contramedidas son:
Configure el umbral de bloqueo de cuenta en 0. Esta configuración garantiza que las cuentas no se bloquearán y evitará un ataque DoS que intente bloquear las cuentas de forma intencionada. Esta configuración también ayuda a reducir las llamadas del Departamento de soporte técnico porque los usuarios no pueden bloquearse accidentalmente fuera de sus cuentas. Dado que no impide un ataque por fuerza bruta, esta configuración solo se debe elegir si se cumplen explícitamente los dos criterios siguientes:
- La configuración de directiva de contraseñas requiere que todos los usuarios tengan contraseñas complejas de ocho o más caracteres.
- Existe un mecanismo de auditoría sólido para alertar a los administradores cuando se produce una serie de inicios de sesión con errores en el entorno.
Configure la configuración de directiva umbral de bloqueo de cuenta en un valor suficientemente alto para proporcionar a los usuarios la capacidad de escribir accidentalmente su contraseña varias veces antes de que se bloquee la cuenta, pero asegúrese de que un ataque de contraseña por fuerza bruta sigue bloqueando la cuenta.
Las líneas base de seguridad de Windows recomiendan configurar un umbral de 10 intentos de inicio de sesión no válidos, lo que evita bloqueos accidentales de cuentas y reduce el número de llamadas al Departamento de Soporte técnico, pero no impide un ataque DoS.
El uso de este tipo de directiva debe ir acompañado de un proceso para desbloquear cuentas bloqueadas. Debe ser posible implementar esta directiva siempre que sea necesario para ayudar a mitigar los bloqueos masivos causados por un ataque en los sistemas.
Posible efecto
Si esta configuración de directiva está habilitada, no se puede usar una cuenta bloqueada hasta que un administrador la restablezca o hasta que expire la duración del bloqueo de la cuenta. La habilitación de esta configuración probablemente generará muchas más llamadas al departamento de soporte técnico.
Si configura la configuración de directiva Umbral de bloqueo de cuenta en 0, existe la posibilidad de que el intento de un usuario malintencionado de detectar contraseñas con un ataque de contraseña por fuerza bruta no se detecte si no existe un mecanismo de auditoría sólido.
Si configura esta configuración de directiva en un número mayor que 0, un atacante puede bloquear fácilmente las cuentas para las que se conoce el nombre de la cuenta. Esta situación es especialmente peligrosa teniendo en cuenta que no son necesarias credenciales que no sean el acceso a la red para bloquear las cuentas.