Uso de PasswordIQ

Compartir

¿Le resulta útil este artículo?

Última actualización:

Resolución de vulnerabilidades de contraseñas

PasswordIQ analiza los usuarios que figuran en Active Directory en busca de 11 tipos de vulnerabilidades de contraseñas. Tras recibir los resultados del análisis, puede trabajar junto con los usuarios para resolver las vulnerabilidades que haya detectado PasswordIQ. Para saber cómo acceder a los resultados del análisis, consulte nuestro artículo Cómo utilizar el panel de control de PasswordIQ.

Para aprender a resolver las vulnerabilidades de las contraseñas de sus usuarios, consulte las siguientes secciones. Para obtener información general sobre PasswordIQ, consulte el Manual de producto de PasswordIQ.

Importante: Puede que su organización tenga unas necesidades específicas en materia de seguridad. Por este motivo, no podemos recomendarle qué cambios hacer en la configuración de Active Directory ni de Directiva de grupo. Sin embargo, las siguientes secciones ofrecen instrucciones para ayudarle a encontrar la configuración relacionada con las vulnerabilidades de las contraseñas de sus usuarios.

Contraseña débil

Si PasswordIQ detecta una contraseña débil, siga nuestras recomendaciones para resolver esta vulnerabilidad:

  1. Informe al usuario de que su contraseña actual es débil.
  2. Pídale al usuario que cambie su contraseña.
  3. Ofrezca formación al usuario para que aprenda a crear contraseñas seguras. En ModStore, KnowBe4 dispone de módulos de formación que podrá asignar a sus usuarios. Entre estos, se incluyen los módulos Creación de contraseñas seguras - Formación sobre concienciación en materia de seguridad, Cómo crear una contraseña segura con cuestionario y Seguridad de contraseñas. Para obtener más información sobre el contenido de formación disponible en ModStore, consulte Guía de ModStore y la biblioteca.

Contraseña compartida

Si PasswordIQ detecta que se ha compartido una contraseña, siga nuestras recomendaciones para resolver esta vulnerabilidad:

  1. Informe al usuario de que su contraseña actual se ha compartido.
  2. Pida al usuario que cambie su contraseña en todas las cuentas que compartan contraseña.

Ofrezca formación al usuario para que aprenda a crear contraseñas únicas. En ModStore, KnowBe4 dispone de módulos de formación que podrá asignar a sus usuarios. Entre estos, se incluyen los módulos Creación de contraseñas seguras - Formación sobre concienciación en materia de seguridad, Cómo crear una contraseña segura con cuestionario y Seguridad de contraseñas. Para obtener más información sobre el contenido de formación disponible en ModStore, consulte Guía de ModStore y la biblioteca.

Contraseña no cifrada

Si PasswordIQ detecta una contraseña no cifrada para un usuario o un grupo de usuarios, puede establecer la configuración de cifrado reversible para sus cuentas. Cuando PasswordIQ detecte esta vulnerabilidad, también se evaluarán las directivas de contraseña específicas (FGPP, por sus siglas en inglés). También puede ser útil comprobar si a determinados usuarios se les aplica una directiva de contraseña específica relacionada con el cifrado reversible.

En la siguiente tabla se muestra cómo se determina la vulnerabilidad de texto no cifrado en función de una combinación de ajustes individuales del usuario, la FGPP y los objetos de política de grupo (GPO, por sus siglas en inglés). La política efectiva se evalúa en el siguiente orden:

  • Si la marca Almacenar contraseña utilizando cifrado reversible está habilitada a nivel de usuario, se anularán las demás políticas. PasswordIQ detectará la vulnerabilidad de texto no cifrado.
  • Si se aplica una FGPP y la opción Almacenar contraseña utilizando cifrado reversible está habilitada, esta configuración tendrá prioridad sobre los GPO del dominio. PasswordIQ detectará la vulnerabilidad de texto no cifrado independientemente de la configuración del dominio de la política de grupo.
  • Si no hay ninguna FGPP, solo se aplicará la configuración de los GPO del dominio. Si la política Almacenar contraseña utilizando cifrado reversible está habilitada, PasswordIQ detectará la vulnerabilidad de texto no cifrado.
  Configuración de usuario Directiva de contraseña específica (FGPP) Objetos de política de grupo (GPO) Política efectiva Detección de vulnerabilidad de texto no cifrado
El usuario tiene habilitada la marca Almacenar contraseña utilizando cifrado reversible Habilitada Cualquier FGPP configurada Cualquier GPO configurado Se aplica la configuración del usuario Detectada
El usuario tiene desmarcada la opción Almacenar contraseña utilizando cifrado reversible, pero se aplica una FGPP Deshabilitada La opción Almacenar contraseña utilizando cifrado reversible está habilitada Cualquier GPO configurado Se aplica la FGPP Detectada
El usuario tiene desmarcada la opción Almacenar contraseña utilizando cifrado reversible y solo existen los GPO del dominio Deshabilitada Sin FGPP La opción Almacenar contraseña utilizando cifrado reversible está habilitada Se aplican los GPO del dominio Detectada

Para acceder a esta configuración, siga estos pasos:

  1. Abra Active Directory.
  2. Diríjase a las propiedades de la cuenta del usuario.
  3. Seleccione la pestaña Cuenta.
  4. En la sección Opciones de cuenta, busque la configuración Almacenar contraseña utilizando cifrado reversible. Asegúrese de que esta opción no está seleccionada.
  5. Alerte a sus usuarios para que cambien sus contraseñas.

Si PasswordIQ detecta una contraseña no cifrada para todos los usuarios, puede establecer la configuración de cifrado reversible en su Directiva de grupo.

Para acceder a esta configuración, siga estos pasos:

  1. Abra el Editor de administración de directivas de grupo.
  2. Diríjase a esta ruta: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de contraseñas.
  3. Abra la directiva Almacenar contraseña utilizando cifrado reversible. Asegúrese de que esta política está deshabilitada.
  4. Fuerce una actualización de las directivas de grupo que aplica su empresa.
  5. Alerte a sus usuarios para que cambien sus contraseñas.
Importante: Cuando se deshabilita la configuración de una directiva de grupo, las nuevas contraseñas se almacenarán con cifrado unidireccional de forma predeterminada. Las contraseñas existentes se almacenarán con cifrado reversible hasta que los usuarios las modifiquen.

Si PasswordIQ detecta una contraseña no cifrada, es posible que se habilite la señal STORE_CLEARTEXT para toda su organización.

Para determinar si se ha habilitado dicha señal, lleve a cabo los siguientes pasos:

  1. Desde su controlador de dominio, abra los usuarios y equipos de Active Directory.
  2. Haga clic con el botón derecho en el nombre de dominio y seleccione Propiedades.
  3. Seleccione la pestaña Editor de atributos y busque el atributo pwdProperties. Si dicho atributo contiene la señal STORE_CLEARTEXT, el dominio está configurado para permitir contraseñas no cifradas. Puede deshabilitar esta configuración a través de la política de dominios predeterminados o de otra política de dominios en vigor.

Contraseña vacía

Si PasswordIQ detecta una contraseña vacía, puede establecer la configuración Longitud mínima de contraseña en 0 en su Directiva de grupo. Esta configuración permite que las contraseñas tengan 0 caracteres.

Para acceder a esta configuración, siga estos pasos:

  1. Abra el Editor de administración de directivas de grupo.
  2. Diríjase a esta ruta: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de contraseñas.
  3. Abra la directiva Longitud mínima de contraseña.

Cifrado solo para DES

Si PasswordIQ detecta un cifrado solo para DES, puede habilitar la configuración del cifrado DES para la cuenta.

Para acceder a esta configuración, siga estos pasos:

  1. Abra Active Directory.
  2. Diríjase a las propiedades de la cuenta del usuario.
  3. Seleccione la pestaña Cuenta.
  4. En la sección Opciones de cuenta, busque la configuración Usar tipos de cifrado DES de Kerberos para esta cuenta.
Consejo: Puede habilitar el Estándar de cifrado avanzado (AES) como una alternativa segura a un cifrado DES. Para obtener más información, consulte la sección No se ha establecido el cifrado AES a continuación.

Contraseña descifrada

Si PasswordIQ detecta que se ha descifrado una contraseña, siga nuestras recomendaciones para resolver esta vulnerabilidad:

  1. Informe al usuario de que su contraseña actual se ha hecho pública debido a una violación de seguridad de datos.
  2. Pida al usuario que cambie su contraseña en todas las cuentas en las que use esa misma contraseña.
  3. Asigne la versión más reciente de nuestra Formación sobre concienciación en materia de seguridad de KnowBe4 al usuario para capacitarlo ante posibles ataques de ingeniería social. Los ciberdelincuentes tienden a dirigirse a los usuarios que están implicados en una violación de seguridad de datos.

Contraseña no obligatoria

Si PasswordIQ detecta una contraseña que no es obligatoria, el indicador PASSWD_NOTREQD puede aparecer en el atributo userAccountControl de la cuenta. Para acceder a esta configuración, siga estos pasos:

  1. Abra Active Directory.
  2. Habilite Características avanzadas (Ver > Características avanzadas).
  3. Diríjase a las propiedades de la cuenta del usuario.
  4. Seleccione la pestaña Editor de atributos y busque el atributo userAccountControl.
Importante: El atributo userAccountControl tiene un valor decimal para todas las señales de alerta habilitadas para los usuarios. Para eliminar la señal PASSWD_NOTREQD, reste su valor decimal de 32 del valor decimal del atributo userAccountControl.

Contraseña que no caduca nunca

Si PasswordIQ detecta una contraseña que no caduca nunca para un usuario o para un grupo de usuarios, puede habilitarse la configuración Password never expires (Contraseña que nunca caduca) para sus cuentas.

En la siguiente tabla se muestra cómo se determina la vulnerabilidad Contraseña que no caduca nunca en función de una combinación de ajustes individuales del usuario, las directivas de contraseña específicas (FGPP) y los objetos de política de grupo (GPO). La política efectiva se evalúa en el siguiente orden:

  • Si la marca Contraseña que no caduca nunca está habilitada a nivel de usuario, se anularán las demás directivas y la contraseña no caducará. PasswordIQ detectará la vulnerabilidad de contraseña que no caduca nunca.
  • Si se aplica una FGPP y la opción Aplicar antigüedad máxima de contraseña está deshabilitada, esta configuración tendrá prioridad sobre los GPO del dominio. PasswordIQ detectará la vulnerabilidad de contraseña que no caduca nunca independientemente de la configuración del dominio de la política de grupo.
  • Si no hay ninguna FGPP, se aplicará la configuración de los GPO del dominio. Si la política Antigüedad máxima de la contraseña está configurada en 0, PasswordIQ detectará una vulnerabilidad si la contraseña no caduca nunca.
  Configuración de usuario Directiva de contraseña específica (PSO) Objetos de política de grupo (GPO) Política efectiva Detección de la vulnerabilidad de contraseña que no caduca nunca
El usuario tiene desmarcada la opción Contraseña que no caduca nunca Habilitada Cualquier FGPP configurada Cualquier GPO configurado Se aplica la configuración del usuario Detectada
El usuario tiene desmarcada la opción Contraseña que no caduca nunca, pero se aplica una FGPP Deshabilitada La opción Aplicar antigüedad máxima está deshabilitada Cualquier GPO configurado Se aplica la FGPP Detectada
El usuario tiene desmarcada la opción Contraseña que no caduca nunca y solo existen los GPO del dominio Deshabilitada Sin FGPP La opción Aplicar antigüedad máxima está establecida en 0 Se aplican los GPO del dominio Detectada

Para acceder a esta configuración, siga estos pasos:

  1. Abra Active Directory.
  2. Diríjase a las propiedades de la cuenta del usuario.
  3. Seleccione la pestaña Cuenta.
  4. En la sección Opciones de cuenta, busque la configuración Contraseña que no caduca nunca.

Si PasswordIQ detecta una contraseña que no caduca nunca para todos los usuarios, puede establecer la configuración Maximum password age (Antigüedad máxima de contraseña) en 0 en su Directiva de grupo.

Para acceder a esta configuración, siga estos pasos:

  1. Abra el Editor de administración de directivas de grupo.
  2. Diríjase a Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Opciones de seguridad.
  3. Abra la directiva Maximum password age (Antigüedad máxima de contraseña).
  4. Fuerce una actualización de las directivas de grupo que aplica su empresa.

También es posible que quiera comprobar si se aplica una directiva de contraseña específica a la antigüedad máxima de contraseña para un grupo de usuarios.

Para acceder a esta configuración, siga estos pasos:

  1. Abra el centro de administración de Active Directory.
  2. Diríjase a «Dominio»\Sistema\Contenedor de la configuración de contraseña.
  3. Compruebe si las políticas de contraseña que aparecen tienen deshabilitada la opción Enforced maximum password age (Antigüedad máxima de contraseña obligatoria).
Importante: PIQ solo comprueba las políticas de contraseña de Windows. Si sus políticas las definen y gestionan aplicaciones de terceros, puede deshabilitar esta comprobación de vulnerabilidad en la sección Vulnerabilidades opcionales de la configuración Avanzado.

Contraseña de hash LM

Si PasswordIQ detecta una contraseña de hash de LAN Manager (LM), puede establecer la configuración de hash de LM en su Directiva de grupo.

Para acceder a esta configuración, siga estos pasos:

  1. Abra el Editor de administración de directivas de grupo.
  2. Diríjase a Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad.
  3. Abra la directiva Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña.
  4. Fuerce una actualización de las directivas de grupo que aplica su empresa.
  5. Alerte a sus usuarios para que cambien sus contraseñas.

Cifrado AES sin establecer

Si PasswordIQ detecta que no se había establecido el estándar de cifrado avanzado (AES) para un usuario o un grupo de usuarios, es posible que tenga que activar el cifrado AES para sus cuentas.

Nota: La detección precisa de esta vulnerabilidad está relacionada con la cuenta de servicio de Windows configurada para los análisis de PasswordIQ. Si el usuario no es administrador del dominio, la verificación de las políticas de grupo es limitada. Si no se pueden verificar las políticas de grupo, la vulnerabilidad no se detectará.

Para acceder a esta configuración, siga estos pasos:

  1. Abra Active Directory.
  2. Diríjase a las propiedades de la cuenta del usuario.
  3. Seleccione la pestaña Cuenta.
  4. En la sección Opciones de cuenta, busque las opciones Esta cuenta admite cifrado AES de Kerberos de 128 bits o Esta cuenta admite cifrado AES de Kerberos de 256 bits. Seleccione la opción disponible.

Si PasswordIQ detecta que no se había establecido el cifrado AES para todos los usuarios, es posible que tenga que seleccionar los tipos de cifrado AES en su Directiva de grupo.

Para acceder a esta configuración, siga estos pasos:

  1. Abra el Editor de administración de directivas de grupo.
  2. Diríjase a Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad.
  3. Abra la directiva Seguridad de red: configure los tipos permitidos para Kerberos. Las claves de AES son AES128_HMAC_SHA1 y AES256_HMAC_SHA1.
Importante: Si el cifrado AES no es compatible con su entorno, puede deshabilitar esta comprobación de vulnerabilidad en la sección Vulnerabilidades opcionales de la configuración Avanzado.

Falta la autenticación previa

Si PasswordIQ detecta que falta la autenticación previa, puede habilitar la configuración Do not require Kerberos preauthentication (No pedir la autenticación Kerberos previa) para la cuenta.

Para acceder a esta configuración, siga estos pasos:

  1. Abra Active Directory.
  2. Diríjase a las propiedades de la cuenta del usuario.
  3. Seleccione la pestaña Cuenta.
  4. En la sección Opciones de cuenta, busque la configuración No pedir la autenticación Kerberos previa.

¿Le ha resultado útil este artículo?

Usuarios a los que les pareció útil: 8 de 10

¿No encuentra lo que busca?

Hablar con asistencia técnica