Umbral de bloqueo de cuenta

Se aplica a

  • Windows 10

Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para la configuración de directiva de seguridad de umbral de bloqueo de cuenta.

Referencia

La configuración de directiva de umbral de bloqueo de cuenta determina el número de intentos de inicio de sesión fallidos que provocarán que una cuenta de usuario se bloquee. Una cuenta bloqueada no se puede usar hasta que la restablezca o hasta que expire el número de minutos especificado por la configuración de la directiva de duración de bloqueo de cuenta. Puede establecer un valor de 1 a 999 intentos de inicio de sesión con errores o puede especificar que la cuenta nunca se bloqueará estableciendo el valor en 0. Si el umbral de bloqueo de cuenta se establece en un número mayor que cero, la duración del bloqueo de la cuenta debe ser mayor o igual que el valor del contador de bloqueo de cuenta restablecer después de. ****

Los ataques de contraseña de fuerza bruta se pueden automatizar para probar miles o incluso millones de combinaciones de contraseñas para cualquiera o todas las cuentas de usuario. Limitar el número de inicios de sesión con errores que se pueden realizar casi elimina la eficacia de estos ataques. Sin embargo, es importante tener en cuenta que un ataque de denegación de servicio (DoS) podría realizarse en un dominio que tenga configurado un umbral de bloqueo de cuenta. Un usuario malintencionado podría intentar mediante programación una serie de ataques de contraseña contra todos los usuarios de la organización. Si el número de intentos es mayor que el valor del umbral de bloqueo de cuenta, el atacante podría bloquear potencialmente todas las cuentas.

Los intentos fallidos de desbloquear una estación de trabajo pueden provocar bloqueo de cuentas incluso si la opción De inicio de sesión interactivo: Requerir autenticación de controlador de dominio para desbloquear la opción de seguridad de la estación de trabajo está deshabilitada. Windows necesita ponerse en contacto con un controlador de dominio para obtener un desbloqueo si escribe la misma contraseña con la que inició sesión, pero si escribe una contraseña diferente, Windows debe ponerse en contacto con un controlador de dominio en caso de que haya cambiado la contraseña de otro equipo.

Posibles valores

Es posible configurar los siguientes valores para la configuración de directiva de umbral de bloqueo de cuenta:

  • Un número definido por el usuario del 0 al 999
  • No definido

Dado que las vulnerabilidades pueden existir cuando se configura este valor y cuando no lo es, las organizaciones deben sopesar sus amenazas identificadas y los riesgos que intentan mitigar. Para obtener información sobre esta configuración, vea Countermeasure en este artículo.

Procedimientos recomendados

El umbral que seleccione es un equilibrio entre la eficacia operativa y la seguridad, y depende del nivel de riesgo de su organización. Para permitir errores de usuario y frustrar ataques de fuerza bruta, Windows líneas base de seguridad recomiendan un valor de 10 podría ser un punto de partida aceptable para su organización.

Al igual que con otras opciones de configuración de bloqueo de cuentas, este valor es más una directriz que una regla o procedimiento recomendado porque no hay "un tamaño que se ajuste a todos". Para obtener más información, vea Configuring Account Lockout.

La implementación de esta configuración de directiva depende del entorno operativo; vectores de amenazas, sistemas operativos implementados y aplicaciones implementadas. Para obtener más información, vea Consideraciones de implementación en este artículo.

Ubicación

Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas de cuenta\Directiva de bloqueo de cuentas

Valores predeterminados

En la siguiente tabla se enumeran los valores reales y eficaces de la directiva predeterminada. Los valores predeterminados también se enumeran en la página de propiedades de la configuración de directiva.

Tipo de servidor u objeto de directiva de grupo (GPO) Valor predeterminado
Directiva de dominio predeterminada 0 intentos de inicio de sesión no válidos
Directiva de controlador de dominio predeterminada No definido
Configuración predeterminada del servidor independiente 0 intentos de inicio de sesión no válidos
Configuración predeterminada eficaz del controlador de dominio 0 intentos de inicio de sesión no válidos
Configuración predeterminada eficaz del servidor miembro 0 intentos de inicio de sesión no válidos
Configuración predeterminada del GPO eficaz en los equipos cliente 0 intentos de inicio de sesión no válidos

Administración de directivas

En esta sección se describen las características y herramientas disponibles para ayudarle a administrar esta configuración de directiva.

Requisitos de reinicio

Ninguna. Los cambios en esta configuración de directiva se hacen efectivos sin reiniciar el equipo cuando se guardan localmente o se distribuyen a través de la directiva de grupo.

Consideraciones de implementación

La implementación de esta configuración de directiva depende del entorno operativo. Considera vectores de amenazas, sistemas operativos implementados y aplicaciones implementadas. Por ejemplo:

  • La probabilidad de que se produzca un robo de cuentas o un ataque doS se basa en el diseño de seguridad de los sistemas y el entorno. Establezca el umbral de bloqueo de cuenta en consideración del riesgo conocido y percibido de dichas amenazas.

  • Al negociar tipos de cifrado entre clientes, servidores y controladores de dominio, el protocolo Kerberos puede reintentar automáticamente los intentos de inicio de sesión de cuenta que se cuentan para los límites de umbral que se establecen en esta configuración de directiva. En entornos donde se implementan diferentes versiones del sistema operativo, aumenta la negociación de tipo de cifrado.

  • No todas las aplicaciones que se usan en el entorno administran eficazmente el número de veces que un usuario puede intentar iniciar sesión. Por ejemplo, si una conexión cae repetidamente cuando un usuario ejecuta la aplicación, todos los intentos de inicio de sesión con errores posteriores cuentan hacia el umbral de bloqueo de la cuenta.

Para obtener más información sobre Windows de línea base de seguridad para el bloqueo de cuentas, vea Configuring Account Lockout.

Consideraciones de seguridad

En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.

Nota

Se aplicará una directiva de umbral de bloqueo tanto a usuarios de equipos miembros locales como a usuarios de dominio, a fin de permitir la mitigación de problemas tal como se describe en "Vulnerabilidad". Sin embargo, la cuenta de administrador integrada, aunque es una cuenta con privilegios elevados, tiene un perfil de riesgo diferente y se excluye de esta directiva. Esto garantiza que no hay ningún escenario en el que un administrador no pueda iniciar sesión para corregir un problema. Como administrador, hay estrategias de mitigación adicionales disponibles, como una contraseña segura. Vea también apéndice D: Proteger Built-In cuentas de administrador en Active Directory.

Vulnerabilidad

Los ataques de contraseña de fuerza bruta pueden usar métodos automatizados para probar millones de combinaciones de contraseñas para cualquier cuenta de usuario. La eficacia de estos ataques puede eliminarse casi si se limita el número de intentos de inicio de sesión fallidos que se pueden realizar. Sin embargo, un ataque DoS podría realizarse en un dominio que tenga configurado un umbral de bloqueo de cuenta. Un atacante podría intentar mediante programación una serie de ataques de contraseña contra todos los usuarios de la organización. Si el número de intentos es mayor que el umbral de bloqueo de cuenta, es posible que el atacante pueda bloquear todas las cuentas sin necesidad de privilegios especiales ni autenticarse en la red.

Nota

Esta configuración de directiva no contrarreste los ataques de contraseña sin conexión.

Contramedida

Dado que pueden existir vulnerabilidades cuando se configura este valor y cuando no está configurado, se definen dos contramedidas distintas. Las organizaciones deben sopesar la elección entre ambos, en función de sus amenazas identificadas y los riesgos que desean mitigar. Las dos opciones de contramedidas son:

  • Configure la configuración del umbral de bloqueo de cuenta en 0. Esta configuración garantiza que las cuentas no se bloquearán y evitará un ataque DoS que intente bloquear cuentas intencionadamente. Esta configuración también ayuda a reducir las llamadas de Help Desk porque los usuarios no pueden bloquearse accidentalmente de sus cuentas. Dado que no evita un ataque de fuerza bruta, esta configuración solo debe elegirse si se cumplen explícitamente los dos criterios siguientes:

    • La configuración de directiva de contraseña requiere que todos los usuarios tengan contraseñas complejas de ocho o más caracteres.
    • Existe un mecanismo de auditoría sólido para alertar a los administradores cuando se produce una serie de inicios de sesión con errores en el entorno.
  • Configure la configuración de directiva de umbral de bloqueo de cuenta en un valor lo suficientemente alto para proporcionar a los usuarios la capacidad de escribir erróneamente su contraseña varias veces antes de bloquear la cuenta, pero asegúrese de que un ataque de contraseña de fuerza bruta aún bloquea la cuenta.

    Windows líneas base de seguridad recomiendan configurar un umbral de 10 intentos de inicio de sesión no válidos, lo que evita bloqueos accidentales de cuentas y reduce el número de llamadas al Servicio de ayuda, pero no evita un ataque doS.

    El uso de este tipo de directiva debe ir acompañado de un proceso para desbloquear cuentas bloqueadas. Debe ser posible implementar esta directiva siempre que sea necesario para ayudar a mitigar bloqueos masivos causados por un ataque a los sistemas.

Posible efecto

Si esta configuración de directiva está habilitada, una cuenta bloqueada no puede ser usable hasta que un administrador la restablezca o hasta que expire la duración del bloqueo de la cuenta. Si se habilita esta configuración, es probable que se generen varias llamadas adicionales al Servicio de ayuda.

Si configura **** la configuración de directiva de umbral de bloqueo de cuenta en 0, existe la posibilidad de que el intento de un usuario malintencionado de detectar contraseñas con un ataque de contraseña de fuerza bruta no se detecte si no hay un mecanismo de auditoría sólido.

Si configura esta configuración de directiva en un número mayor que 0, un atacante puede bloquear fácilmente las cuentas para las que se conoce el nombre de cuenta. Esta situación es especialmente peligrosa teniendo en cuenta que no son necesarias credenciales que no sean el acceso a la red para bloquear las cuentas.

Temas relacionados

Directiva de bloqueo de cuentas