Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Descripción de las políticas de contraseñas del AWS Managed Microsoft AD
El AWS Managed Microsoft AD le permite definir y asignar diferentes políticas de bloqueo de cuentas y contraseñas (también conocidas como políticas de contraseñas detalladas
| Política | Opción |
|---|---|
| Aplicar el historial de contraseñas | Se recuerdan 24 contraseñas |
| Antigüedad máxima de la contraseña | 42 días * |
| Antigüedad mínima de la contraseña | 1 día |
| Longitud mínima de la contraseña | 7 caracteres |
| La contraseña debe cumplir los requisitos de complejidad | Habilitado |
| Almacenamiento de contraseña mediante cifrado reversible | Deshabilitad |
nota
* El valor de 42 días de la antigüedad máxima de la contraseña también se aplica a la contraseña del administrador.
Por ejemplo, puede asignar una configuración de las políticas menos estricta para aquellos empleados con acceso solo a información de baja confidencialidad. Para los administradores sénior que obtienen acceso con frecuencia a información confidencial, puede aplicar una configuración más estricta.
Los siguientes recursos proporcionan más información sobre las políticas de contraseñas y políticas de seguridad detalladas del Microsoft Active Directory:
AWS proporciona un conjunto de políticas de contraseñas detalladas en AWS Managed Microsoft AD que puede configurar y asignar a sus grupos. Para configurar las políticas, puede usar herramientas de política de Microsoft estándar como el Centro de administración del Active Directory
Cómo se aplican las políticas de contraseñas
Existen diferencias en la forma en que se aplican las políticas de contraseñas detalladas en función de si la contraseña se ha restablecido o cambiado. Los usuarios del dominio pueden cambiar su propia contraseña. Un administrador del Active Directory o un usuario con los permisos necesarios puede restablecer las contraseñas de los usuarios. Consulte el siguiente cuadro para obtener más información.
| Política | Restablecimiento de la contraseña | Cambio de la contraseña |
|---|---|---|
| Aplicar el historial de contraseñas | ||
| Antigüedad máxima de la contraseña | ||
| Antigüedad mínima de la contraseña | ||
| Longitud mínima de la contraseña | ||
| La contraseña debe cumplir los requisitos de complejidad |
Estas diferencias tienen implicaciones de seguridad. Por ejemplo, cada vez que se restablece la contraseña de un usuario, no se aplican las políticas de historial de contraseñas y de antigüedad mínima de la contraseña. Para obtener más información, consulte la documentación de Microsoft sobre las consideraciones de seguridad relacionadas con la aplicación del historial de contraseñas
Configuración de políticas admitida
AWS Managed Microsoft AD incluye cinco políticas detalladas con un valor de prioridad no editable. Las políticas tienen una serie de propiedades que puede configurar para forzar la seguridad de las contraseñas y acciones de bloqueo de cuentas en caso de producirse errores de inicio de sesión. Puede asignar las políticas a cero o más grupos de Active Directory. Si un usuario final es miembro de varios grupos y recibe más de una política de contraseñas, Active Directory fuerza la política con el valor de prioridad más bajo.
Políticas de contraseñas predefinidas de AWS
En la siguiente tabla se muestran las cinco políticas incluidas en su directorio de AWS Managed Microsoft AD y su valor de prioridad asignado. Para obtener más información, consulte Prioridad.
| Nombre de la política | Prioridad |
|---|---|
| CustomerPSO-01 | 10 |
| CustomerPSO-02 | 20 |
| CustomerPSO-03 | 30 |
| CustomerPSO-04 | 40 |
| CustomerPSO-05 | 50 |
Propiedades de las políticas de contraseñas
Puede editar las siguientes propiedades en sus políticas de contraseñas para ajustarlas a los estándares de conformidad que satisfagan las necesidades de su negocio.
No puede modificar los valores de prioridad de estas políticas. Para obtener más detalles acerca de cómo afecta esta configuración a la aplicación de la contraseña, consulte AD DS: Fine-Grained Password Policies
Políticas de bloqueo de cuentas
También puede modificar las siguientes propiedades de sus políticas de contraseñas para especificar si Active Directory debería bloquear una cuenta tras producirse errores de inicio de sesión y cómo hacerlo:
-
Número de intentos de inicio de sesión con error permitidos
-
Duración de bloqueo de cuentas
-
Restablecimiento de intentos de inicio de sesión con error tras una duración determinada
Para obtener información general acerca de estas políticas, consulte Directiva de bloqueo de cuentas
Prioridad
Las políticas con un valor de prioridad más bajo tienen mayor prioridad. Puede asignar políticas de contraseñas a grupos de seguridad de Active Directory. Aunque debe aplicar una sola política a un grupo de seguridad, un solo usuario puede recibir más de una política de contraseñas. Por ejemplo, supongamos que jsmith es miembro del grupo HR y también del grupo MANAGERS. Si asigna CustomerPSO-05 (que tiene una prioridad de 50) al grupo HR y CustomerPSO-04 (que tiene una prioridad de 40) a MANAGERS, CustomerPSO-04 tiene la prioridad más alta y Active Directory aplica esa política a jsmith.
Si asigna varias políticas a un usuario o grupo, Active Directory determina la política obtenida del modo siguiente:
-
Se aplica una política que asigna directamente al objeto de usuario.
-
Si no se asigna ninguna política directamente al objeto de usuario, se aplica la política con el valor de prioridad más bajo de todas las políticas recibidas por el usuario como resultado de la pertenencia a un grupo.
Para obtener detalles adicionales, consulte AD DS: Fine-Grained Password Policies
Temas
Artículo relacionado del blog de seguridad de AWS
