Usar PasswordIQ

Resuelva vulnerabilidades de contraseña

PasswordIQ analiza los usuarios de Active Directory en busca de 11 tipos de vulnerabilidades en las contraseñas. Después de recibir los resultados del análisis, puede trabajar con sus usuarios para resolver las vulnerabilidades de contraseña que PasswordIQ detecte. Para saber cómo ver los resultados de su análisis, consulte nuestro artículo Cómo utilizar el tablero de PasswordIQ

Para saber cómo puede resolver las vulnerabilidades de las contraseñas de sus usuarios, consulte las siguientes secciones. Para obtener información general sobre PasswordIQ, consulte nuestro Manual del producto PasswordIQ.

Importante: Dado que su organización puede tener necesidades de seguridad únicas, no podemos recomendarle qué cambios realizar en la configuración de su política de grupo y Active Directory. Sin embargo, las siguientes secciones proporcionan instrucciones que pueden ayudarlo a encontrar la configuración relacionada con las vulnerabilidades de las contraseñas de sus usuarios.

Contraseña débil

Cuando PasswordIQ detecta una contraseña débil, consulte nuestras recomendaciones para resolver esta vulnerabilidad a continuación:

  1. Notifique al usuario que su contraseña actual es una contraseña débil.
  2. Pídale al usuario que cambie su contraseña.
  3. Proporcione capacitación que enseñe al usuario cómo crear contraseñas seguras. KnowBe4 ofrece módulos de capacitación en ModStore que puede asignar a sus usuarios, incluidos Crear contraseñas seguras: capacitación en concientización sobre seguridad, Cómo crear contraseñas seguras con cuestionarios y Seguridad de contraseñas. Para obtener más información sobre el contenido de capacitación de ModStore, consulte el artículo Guía de la biblioteca y ModStore.

Contraseña compartida

Si PasswordIQ detecta una contraseña compartida, consulte nuestras recomendaciones para resolver esta vulnerabilidad a continuación:

  1. Notifique al usuario que su contraseña actual es una contraseña compartida.
  2. Pídale al usuario que cambie su contraseña para todas las cuentas para las que utiliza esa contraseña.
  3. Proporcione capacitación que enseñe al usuario cómo crear contraseñas únicas. KnowBe4 ofrece módulos de capacitación en ModStore que puede asignar a sus usuarios, incluidos Crear contraseñas seguras: capacitación en concientización sobre seguridad, Cómo crear contraseñas seguras con cuestionarios y Seguridad de contraseñas. Para obtener más información sobre el contenido de capacitación de ModStore, consulte el artículo Guía de la biblioteca y ModStore

Contraseña no cifrada

Si PasswordIQ detecta una contraseña no cifrada para un usuario o un grupo de usuarios, se puede habilitar la configuración de cifrado reversible para sus cuentas.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

  1. Abra Active Directory.
  2. Vaya a las propiedades de la cuenta del usuario.
  3. Seleccione la pestaña Account (Cuenta).
  4. En la sección Account options (Opciones de cuenta), busque la opción Store password using reversible encryption (Almacenar contraseña mediante cifrado reversible). Asegúrese de que esta opción no esté seleccionada.
  5. Informe a los usuarios que deben cambiar sus contraseñas.

Si PasswordIQ detecta una contraseña no cifrada para todos sus usuarios, la configuración de cifrado reversible puede establecerse en su política de grupo.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

  1. Abra el Editor de administración de políticas de grupo.
  2. Vaya a esta ruta: Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy (Configuración del equipo\Políticas\Configuración de Windows\Configuración de seguridad\Políticas de cuenta\Política de contraseña)s.
  3. Abra la contraseña de la tienda utilizando la política de cifrado reversible. Asegúrese de que esta política esté deshabilitada.
  4. Force una actualización de las políticas de grupo que aplica su compañía.
  5. Informe a los usuarios que deben cambiar sus contraseñas.
Importante: Cuando la configuración Política de grupo esté deshabilitada, las nuevas contraseñas se almacenarán de manera predeterminada con el cifrado unilateral. Las contraseñas existentes se almacenarán con el cifrado reversible hasta que los usuarios las modifiquen.

Contraseña vacía

Si PasswordIQ detecta una contraseña vacía, la configuración de Longitud mínima de contraseña puede establecerse en 0 en su política de grupo. Esta configuración permite que las contraseñas tengan cero caracteres.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

  1. Abra el Editor de administración de políticas de grupo.
  2. Vaya a esta ruta: Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy (Configuración del equipo\Políticas\Configuración de Windows\Configuración de seguridad\Políticas de cuenta\Política de contraseña)s.
  3. Abra la política Longitud mínima de contraseña.

Cifrado solo DES

Si PasswordIQ detecta cifrado solo DES, se puede habilitar la configuración de cifrado DES para la cuenta.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

  1. Abra Active Directory.
  2. Vaya a las propiedades de la cuenta del usuario.
  3. Seleccione la pestaña Account (Cuenta).
  4. En la sección Account options (Opciones de cuenta), busque la opción Use Kerberos DES encryption types for this account (Utilizar tipos de cifrado Kerberos DES) para esta cuenta.
Consejo: Puede habilitar el cifrado del Estándar de cifrado avanzado (Advanced Encryption Standard, AES) como una alternativa segura al cifrado DES. Para obtener más información, consulte la sección Cifrado AES no configurado a continuación.

Contraseña vulnerada

Si PasswordIQ detecta una contraseña vulnerada, consulte nuestras recomendaciones para resolver esta vulnerabilidad a continuación:

  1. Notifique al usuario que se puede acceder a su contraseña actual debido a una violación de seguridad de datos.
  2. Pídale al usuario que cambie su contraseña para todas las cuentas para las que utiliza esa contraseña.
  3. Asigne al usuario la última versión de nuestra Capacitación en concientización sobre seguridad de Kevin Mitnick para prepararlo ante posibles ataques de ingeniería social. Es más probable que los ciberdelincuentes elijan a los usuarios que están involucrados en violaciones de seguridad de datos. 

Contraseña no obligatoria

Si PasswordIQ detecta una contraseña que no es obligatoria, se puede establecer el indicador PASSWD_NOTREQD en el atributo userAccountControl de la cuenta. Para encontrar esta configuración, siga los pasos que se indican a continuación:

  1. Abra Active Directory.
  2. Habilite las características avanzadas (View > Advanced Features avanzadas [Ver > Características avanzadas]).
  3. Vaya a las propiedades de la cuenta del usuario.
  4. Seleccione la pestaña Editor de atributos y busque el atributo userAccountControl.  
Importante: El atributo userAccountControl tiene un valor decimal para todas las señales de alarma habilitadas para los usuarios. Para quitar la señal PASSWD_NOTREQD, reste el valor decimal de 32 del valor decimal del atributo userAccountControl.

La contraseña nunca caduca

Si PasswordIQ detecta una contraseña que nunca caduca para un usuario o un grupo de usuarios, la configuración Password never expires (La contraseña nunca caduca) puede habilitarse para sus cuentas.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

  1. Abra Active Directory.
  2. Vaya a las propiedades de la cuenta del usuario.
  3. Seleccione la pestaña Account (Cuenta).
  4. En la sección Account options (Opciones de cuenta), busque la configuración Password never expires (La contraseña nunca caduca).

Si PasswordIQ detecta una contraseña que nunca caduca para todos sus usuarios, la configuración Minimum password age (Vigencia mínima de la contraseña) puede establecerse en 0 en su política de grupo.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

  1. Abra el Editor de administración de políticas de grupo.
  2. Vaya a Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Security Options (Configuración del equipo\Políticas\Configuración de Windows\Configuración de seguridad\Políticas de cuentas\Opciones de seguridad).
  3. Abra la política Maximum password age (Vigencia máxima de la contraseña).
  4. Force una actualización de las políticas de grupo que aplica su compañía.

También puede verificar si se aplica una política de contraseña detallada relativa a la vigencia máxima de la contraseña a un grupo de usuarios.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

  1. Abra el centro administrativo de Active Directory.
  2. Vaya a “Domain” \System\Password Settings Container (Dominio\Sistema\Contenedor de configuración de contraseñas).
  3. Verifique si las políticas de contraseña detalladas tienen la opción Enforced maximum password age (Vigencia máxima de la contraseña aplicada) deshabilitada.
Importante: PIQ solo verifica las políticas de contraseña de Windows. Si sus políticas se definen y administran mediante aplicaciones externas, puede deshabilitar esta verificación de vulnerabilidades en la sección Optional Vulnerabilities (Vulnerabilidades opcionales) de la configuración Advanced (Avanzada).

Contraseña hash de LM

Si PasswordIQ detecta una contraseña hash de LAN Manager (LM), la configuración hash de LM puede estar habilitada en su política de grupo.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

  1. Abra el Editor de administración de políticas de grupo.
  2. Vaya a Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options (Configuración del equipo\Configuración de Windows\Configuración de seguridad\Políticas locales\Opciones de seguridad).
  3. Abra Seguridad de la red: No almacene el valor hash de LAN Manager en la próxima política de cambio de contraseña.
  4. Force una actualización de las políticas de grupo que aplica su compañía.
  5. Informe a los usuarios que deben cambiar sus contraseñas.

Cifrado AES no configurado

Si PasswordIQ detecta que el cifrado Estándar de cifrado avanzado (AES) no se estableció para un usuario o un grupo de usuarios, es posible que sea necesario habilitar la configuración de cifrado AES para sus cuentas.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

  1. Abra Active Directory.
  2. Vaya a las propiedades de la cuenta del usuario.
  3. Seleccione la pestaña Account (Cuenta).
  4. En la sección Account options (Opciones de la cuenta), busque la configuración This account supports Kerberos AES128 encryption (Esta cuenta es compatible con el cifrado Kerberos AES128 bit) o la configuración This account supports Kerberos AES256 bit encryption (Esta cuenta es compatible con el cifrado Kerberos AES256 bit). Seleccione la opción disponible para usted.

Si PasswordIQ detecta que el cifrado AES no se estableció para todos sus usuarios, es posible que sea necesario seleccionar tipos de cifrado AES en su política de grupo.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

  1. Abra el Editor de administración de políticas de grupo.
  2. Vaya a Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options (Configuración del equipo\Políticas\Configuración de Windows\Configuración de seguridad\Políticas locales\Opciones de seguridad).
  3. Abra Seguridad de la red: Configure los tipos permitidos para la política de Kerberos. Las claves AES son AES128_HMAC_SHA1 y AES256_HMAC_SHA1.
Importante: Si el cifrado AES no se admite en su entorno, puede deshabilitar esta verificación de vulnerabilidades en la sección Optional Vulnerabilities (Vulnerabilidades opcionales) de la configuración Advanced (Avanzada).

Autenticación previa faltante

Si PasswordIQ detecta que falta la autenticación previa, la configuración Do not require Kerberos preauthentication (No requiere autenticación previa de Kerberos) puede estar habilitada para la cuenta.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

  1. Abra Active Directory.
  2. Vaya a las propiedades de la cuenta del usuario.
  3. Seleccione la pestaña Account (Cuenta).
  4. En la sección Account options (Opciones de la cuenta), busque la configuración Do not require Kerberos preauthentication (No requiere autenticación previa de Kerberos)

¿No encuentra lo que busca?

Contacte a soporte