¿Qué es el FGPP o cómo aplicar una política de contraseñas refinada?

El FGPP, o estrategia refinada de contraseñas, se integra con las políticas de contraseñas aplicadas en Active Directory.

¿Qué tiene de particular? Autoriza diferentes protocolos dentro de un mismo dominio.

Esto supone una gran ventaja en un entorno empresarial en el que las organizaciones son cada vez más complejas y en el que los distintos departamentos acceden a cada vez más datos y aplicaciones... con distintos niveles de sensibilidad y criticidad. Además, la seguridad informática es cada vez más importante para las empresas.

Entonces, ¿qué es exactamente el FGPP y cuáles son sus ventajas? ¿Existen diferencias con una estrategia de contraseñas desplegada mediante GPO? ¿Cómo configurar una Política de Contraseñas de Granularidad Fina en su sistema de información y qué herramientas existen para ayudarle en esta tarea?

Echemos un vistazo.

Ver todos los software Gestión de TI

¿Qué es FGPP?

FGPP es el acrónimo de Fine Grained Password Policy (Política de Contraseñas de Granularidad Fina ). Se ejecuta como parte de una política de contraseñas desplegada a través del Directorio Activo.

Como recordatorio, Active Directory, o AD, se define como un directorio de servicios LDAP (Lightweight Directory Access Protocol) creado por Microsoft. ¿Su objetivo? Centralizar los elementos de identificación y autenticación en un único sistema de información en un entorno Windows.

Para ello, Active Directory se estructura en varios objetos de distintos tipos (recursos, usuarios y servicios).

Durante mucho tiempo, AD no permitía aplicar varias estrategias de contraseña a un mismo dominio. Por eso Microsoft desarrolló el FGPP, con la llegada de Windows Server 2008. Como resultado, las empresas pueden ahora establecer diferentes políticas sin tener que crear nuevos dominios.

☝️ Nota: una Fine Grained Password Policy puede referirse a un usuario o a un grupo, pero no a una unidad organizativa (contenedor administrativo creado en un dominio).

¿Cuál es la diferencia con las GPO?

Los GPO ( objetos de directiva de grupo ) son un conjunto de parámetros de directiva de grupo que definen un sistema y su comportamiento para los usuarios asociados.

Determinar una política de contraseñas mediante GPO sigue siendo el método más extendido, ya que se permite desde la introducción de Active Directory en 1999.

¿Qué la hace especial?

Se configura por defecto en la política de dominio. De este modo, la configuración de la política de contraseñas aplicada a los usuarios de un dominio es la caracterizada por sus GPO.

En otras palabras, se aplica una única política de contraseñas a todos los usuarios de un mismo dominio.

¿Cuáles son las ventajas y los inconvenientes?

FGPP y GPO tienen la misma lista de restricciones (longitud mínima requerida, por ejemplo). Sin embargo, como acabamos de ver, su aplicación difiere.

Por tanto, GPO y contraseña compleja pueden ir de la mano... pero sólo se autoriza una estrategia por dominio. Esta limitación obliga a las empresas a multiplicar sus dominios si desean aplicar una política diferente a distintos usuarios o grupos de usuarios.

En cambio, con una Política de Contraseñas de Granularidad Fina, las organizaciones disfrutan de una mayor flexibilidad. Pueden, por ejemplo, exigir diferentes longitudes de contraseña en función de los servicios o de la sensibilidad de los datos a los que tiene acceso un determinado grupo de empleados.

Veamos con más detalle cómo implantar una FGPP.

¿Cómo implantar estrategias de contraseñas refinadas?

Requisitos previos del FGPP

Existen varios requisitos previos para implantar un FGPP.

En primer lugar, es necesario tener al menos un nivel de trabajo de Windows Server 2008, ya que Fine Grained Password Policy se introdujo con esta versión.

En segundo lugar, la persona que realice la configuración debe ser un administrador del dominio en cuestión. Para asegurarse de que este es el caso, la siguiente nota se coloca bajo el nombre del dominio en el Centro Administrativo de Active Directory (ADAC): "system\Password Settings Container".

Órdenes de aplicación

Active Directory implica una jerarquía en el directorio, representada en forma de estructura de árbol, para organizar los equipos y los usuarios en grupos y subgrupos.

Por consiguiente, es necesario comprender cómo actúan los órdenes de aplicación de un FGPP.

1. Como recordatorio, la estrategia de contraseñas definida se aplica a un usuario o a un grupo. Sin embargo, recomendamos la primera opción. De este modo, la política elegida será automáticamente efectiva para cualquier grupo que incluya al usuario en cuestión.
   
   
2. Si se aplican varias políticas al mismo usuario o grupo, el sistema dará prioridad a la que contenga el valor más bajo en el atributo "Precedencia".
   Si los valores introducidos son idénticos, tendrá prioridad la estrategia con el GUID (Globally Unique IDentifier) más pequeño.
   
   
3. Por último, cuando un grupo contiene otros grupos (grupos anidados), el protocolo se aplica a todos los usuarios de estos grupos.

Parámetros que deben introducirse

Longitud de la contraseña, complejidad, fecha de caducidad, etc. Active Directory le permite gestionar varios parámetros. He aquí cómo hacerlo.

Inicie la consola de Active Directory (en las herramientas de administración de Windows) y haga clic en Contenedor de configuración de contraseñas > Nuevo > Parámetros.

Una vez iniciada la interfaz de configuración, especifique las distintas características de su política de contraseñas. Para ello, deberá introducir valores en los campos o marcar/desmarcar casillas según sus preferencias.

He aquí los distintos parámetros en cuestión:

• " Nombre: es el nombre de la estrategia de contraseñas. Lo ideal es que refleje el grupo o la persona en cuestión.
  
  
• " Precedencia: la Precedencia FGPP indica el valor utilizado para priorizar, en particular en los casos en que varias Políticas de Contraseñas de Granularidad Fina se aplican a un usuario o grupo. En este caso, los números más pequeños tienen prioridad.
  
  
• " Aplicar longitud mínima de contraseña", en número de caracteres.
  
  
• " Aplicar un historial de contraseñas", para evitar que se reciclen las contraseñas.
  
  
• "La contraseña debe cumplir los requisitos de complejidad ": este atributo permite elegir si se cumple o no el nivel de complejidad exigido. Los requisitos de seguridad aplicados por defecto operan a dos niveles:
  • la contraseña no debe contener el nombre del usuario (el valor amAccountName) ni el valor completo de Full Name (displayName) ;
  • debe contener caracteres de al menos 3 de las 5 categorías siguientes:
    • letras mayúsculas
    • letras minúsculas
    • números
    • caracteres especiales y caracteres Unicode clasificados como caracteres alfabéticos (caracteres de idiomas asiáticos, por ejemplo).
      
      
• "Almacenar contraseña mediante cifrado reversible": por razones de seguridad, no se recomienda esta opción.
  
  
• "Proteger de borrado accidental".
  
  
• "Aplicar la antigüedad mínima de la contraseña": Este parámetro controla la duración mínima de validez de la contraseña, para evitar que se cambie con demasiada frecuencia. Puede definir un valor entre 1 y 998 días, o autorizar los cambios inmediatamente especificando 0.
  
  
• "Aplicar la antigüedad máxima de la contraseña": Esta función determina cuándo debe renovarse la contraseña, ya que una renovación suficientemente frecuente es una de las condiciones para una seguridad óptima en una política de contraseñas. Defina un valor entre 1 y 999 días, o introduzca 0 si no desea que caduquen las contraseñas.
  
  
• "Aplicar política de bloqueo de cuentas": esta configuración incluye :
  • "Número de intentos de inicio de sesión fallidospermitidos",
  • "Restablecer el recuento deintentos de inicio de sesión fallidos después de",
  • "La cuenta se bloqueará": la cuenta se bloqueará durante un periodo de tantos minutos, o hasta que un administrador la desbloquee manualmente.
    
    
• " Descripción": puede añadir una descripción si es necesario. Especifique, por ejemplo, la persona a la que van dirigidas las restricciones, sus funciones y responsabilidades en la empresa, etc.
  
  
• "Se aplica directamente a ": especifique a quién se aplica esta política (grupo o usuario).

Una vez validados todos estos parámetros, la política aparece en la interfaz Contenedor de configuración de contraseñas (en una carpeta que contiene el nombre introducido en "Nombre").

Ver todos los software Gestión de TI

¿Qué herramientas puede utilizar para gestionar su FGPP?

Acabamos de ver cómo desarrollar una política de contraseñas (o incluso varias políticas de contraseñas) utilizando una estrategia refinada.

Sin embargo, el nivel de granularidad permitido puede no ser suficiente. Recuerde que para el atributo "La contraseña debe cumplir los requisitos de seguridad", puede marcar o desmarcar la casilla.

Para ir más allá de las reglas por defecto incluidas en Active Directory, y también para facilitar el despliegue de su política de contraseñas, le recomendamos que utilice un software dedicado, como Specops Password Policy.

Con esta herramienta, puede :

• asegurar sus políticas de contraseñas respetando ciertas normas (NCSC, NIST, ANSSI): tipo de caracteres, longitud de las contraseñas, bloqueo de ciertas expresiones mediante un diccionario personalizado, etc. ;
• beneficiarse de funciones adicionales, como el cálculo del tiempo de validez de una contraseña;
• filtrar las contraseñas comprometidas o que aparecen en las listas de contraseñas filtradas, utilizando una base de datos.
  
  

Si su empresa opera en un entorno Active Directory, los FGPP son esenciales para garantizar un cierto grado de granularidad en función de los grupos o usuarios.

Sin embargo, el uso de una solución específica adicional sigue siendo muy recomendable para ofrecerle más opciones a la hora de definir su política de contraseñas, simplificar la gestión y, sobre todo, ajustarse a las normas más recientes... ¡una garantía de nivel de seguridad óptimo frente a un número cada vez mayor de ciberataques!