Directivas de Grupo o GPOs (Group Policy Objects)
- Objeto de Directiva de Grupo (GPO)
- Longitud mínima
- Bloqueo de cuenta
- Historial de contraseñas
- Antigüedad Mínima
- Antigüedad Máxima
- Examen MTA
Objetivo de Directiva de Grupo – GPO
Un Objeto de Directiva de Grupo (GPO) es un conjunto de reglas que permiten a un administrador tener un control detallado de la configuración de objetos en el Directorio activo (DA), incluyendo cuentas de usuarios, sistemas operativos, aplicaciones y otros objetos. Los GPO se utilizan para la administración y configuración centralizadas del ambiente del DA.
En otras palabras, la Directiva de Grupo, en parte, controla lo que los usuarios pueden y no pueden hacer en un sistema informático. Directiva de grupo a menudo se utiliza para restringir ciertas acciones que pueden presentar riesgos de seguridad potenciales, por ejemplo: Bloquear el acceso al Administrador de tareas, restringir el acceso a determinadas carpetas, deshabilitar la descarga de archivos ejecutables, etc.
Windows Server 2008 le permite almacenar lo que Microsoft denomina directivas de grupo de contraseñas, las cuales le permiten establecer distintas directivas de contraseñas en diferentes contenedores en el Directorio activo. Con el fin de soportar esta nueva funcionalidad, Windows Server 2008 incluye dos nuevas clases de objetos:
- Contenedor de Configuraciones de Contraseñas
- Objeto de Configuraciones de Contraseñas
La nueva funcionalidad de Windows Server 2008 brinda beneficios significativos a administradores experimentados del Directorio activo, pero puede crear una complejidad importante para una persona no familiarizada con DA. Realice los cambios con precaución.
Longitud Mínima de contraseña
La fortaleza de una contraseña puede determinarse observando su longitud, complejidad y aleatoriedad. Una contraseña compleja utiliza caracteres de por lo menos tres de las siguientes categorías: mayúscula, minúscula, caracteres numéricos y caracteres especiales (no alfanuméricos). Microsoft le permite establecer una longitud mínima de contraseña de entre 1 y 14 caracteres. La longitud mínima de contraseña generalmente aceptada es de ocho caracteres.
Bloqueo de cuenta
Bloqueo de cuenta se refiere al número de intentos de ingreso incorrectos antes de que un sistema bloquee una cuenta. Generalmente las configuraciones de bloqueo de cuenta varían entre tres y diez intentos, con una duración del bloqueo de cuenta y una restauración del contador del bloqueo de cuenta de entre 30 y 60 minutos.
Historial de contraseña
Microsoft le permite establecer el valor del historial de contraseñas entre 0 y 24. 10 es una configuración bastante común en ambientes estándar, aunque la configuración predeterminada de Windows Server 2008 es 24 en controladores de dominio.
Antiguedad Mínima
La Antigüedad Mínima de la Contraseña controla cuántos días deben esperar los usuarios antes de poder restaurar su contraseña. Esta configuración puede ser un valor de entre 1 y 998 días. Si establece este valor en 0 y su historial de contraseñas se establece en 10, lo único que los usuarios tienen que hacer es restablecer sus contraseñas 10 veces seguidas y posteriormente volver a su contraseña original. Debe establecerse a un valor menor que la antigüedad máxima de la contraseña, salvo que esta se establece en 0, lo que significa que las contraseñas nunca expiran. 10 días o más es generalmente una buena configuración.
Antiguedad Máxima
La Antigüedad Máxima de la Contraseña controla el periodo máximo que puede transcurrir antes de que los usuarios estén obligados a restaurar su contraseña. Esta configuración puede variar entre 1 y 999 días o se puede establecer en 0 si no desea que sus contraseñas expiren nunca. Una regla general para esta configuración es 90 días para cuentas de usuarios; aunque para cuentas administrativas generalmente es una buena idea restablecer contraseñas de manera más frecuente. En áreas de alta seguridad, se acostumbra una configuración de 30 días.
Examen MTA
Referencia: MTASecurityFundamentals
Te leo en los comentarios.
