viernes, 30 de agosto de 2013

Active Directory: Granularidad de contraseñas en Windows Server 2012

Introducción

Hace poco recibí la pregunta de un cliente de cómo podía asignar una contraseña en blanco a una cuenta que se utiliza solo para capacitación, como sabrán anteriormente la política de contraseñas de un dominio de Active Directory era global, con Windows Server 2008 se agregó la granularidad a éstas políticas, sin embargo aplicarlas era algo tedioso, ahora con Windows Server 2012 la tarea es sencilla ya que desde la interfaz gráfica es posible realizar el proceso de granularidad en políticas de contraseñas tomando realmente muy poco tiempo.
El escenario mostrado es similar al que mencionó más arriba, pero se me ocurren más aplicaciones, por ejemplo que tal si tenemos algunos usuarios que por la sensibilidad de los datos que manejan requieran mayor seguridad en sus contraseñas que el resto del dominio… ¿No sería excelente poder asignarles contraseñas a estos usuarios sin afectar a los demás? En fin, estoy seguro que de acuerdo al ambiente que manejen podrán encontrar usos para ésta característica.

Escenario

Tenemos una política de contraseñas estándar en la cual las contraseñas deben de cumplir con la complejidad adecuada, adicionalmente de requerir el uso de dos contraseñas diferentes antes de poder asignar la misma, las contraseñas deben restablecerse cada 90 días, después de ser cambiadas no pueden ser cambiadas el mismo día, la contraseña debe tener al menos 8 caracteres; adicional a esto si la contraseña es escrita de manera incorrecta en una cuenta durante tres intentos continuos la cuenta se bloqueará por 30 minutos, tal como se muestra en la siguiente imagen.
 

Tenemos un área de capacitación donde se utiliza una cuenta llamada SalaCapacitacion, en la cual hay recurrentes llamadas por bloqueos de la cuenta, para evitar esto se ha decidido establecer la granularidad de contraseñas y permitir que éste usuario pueda tener una contraseña en blanco, además de no bloquearse.

Solución 

La solución a implementar consta de los siguientes pasos, se generará un grupo llamado “G Relaxed Password Security” del cual se hará miembro a la cuenta de usuario SalaCapacitacion, posteriormente se generara la política granular de contraseña llamada “Relaxed Password Security” y se aplicará al grupo mencionado antes, de tal forma si posteriormente nos vemos en la necesidad de tener más usuarios con ésta configuración solo será necesario agregarlos al grupo adecuado.
Sin más preámbulo, avancemos la configuración, como primer paso mostraré como no es posible de momento hacer el cambio de contraseña al usuario SalaCapacitacion por una contraseña en blanco.
Ahora comenzamos, el primer paso es generar el grupo de seguridad llamado G Relaxed Password Security y agregamos al usuario SalaCapacitacion como miembro, esto desde la consola ADAC (Active Directory Administrative Center).
En la misma consola ahora realizaremos la configuración de la política granular, primero seleccionamos la vista de árbol, posteriormente nos dirigimos a la sección “Password Settings Container”
Una vez ahí procedemos a dar clic derecho y seleccionar “New->Password Policy”, con esto abriremos el cuadro de dialogo de para crear una nueva política granular de contraseña.
Una vez en ésta pantalla, configuraré los parámetros adecuados para el escenario, como se muestra en la imagen primero introducimos el nombre de la política, en este caso usamos “Relaxed Password Security”, posteriormente nos pide la precedencia, el cual es un valor entre 1 y 2147483647, el cual indica que una política con un valor menor se impondrá a una política con un valor mayor, en este caso le deje 1, además de eso estoy removiendo las marcas de las opciones que aplican las restricciones a la contraseña y la opción de bloqueo, por último agrego al grupo “G Relaxed Password Security” para que le sea aplicada ésta política.
Por último, realizaremos la prueba de hacer el cambio de contraseña por una contraseña en blanco.
 

Resumen

Al momento de dar aceptar ya no recibimos el mensaje de error incluso si dejamos la contraseña en blanco, desgraciadamente no se puede mostrar algo que no apareció, pero tienen dos opciones, confiar en mi palabra o realizar la prueba ustedes mismos, lo que más me gustó de esta tarea es que lleva realmente muy poco tiempo realizarla, de no ser por documentar el proceso la tarea realmente me hubiera llevado menos de 10 minutos.
Espero que lo mostrado en éste post les sea de utilidad ¡Gracias por leer!
 

 

Cita: “Aquel que tiene un porqué para vivir se puede enfrentar a todos los cómos” por Friedrich Nietzsche.

No hay comentarios.:

Publicar un comentario