Cómo configurar el bloqueo de cuentas

Por: Aaron Margosis

 

Podemos recomendar una configuración ideal para la mayoría de las existentes en nuestra guía de seguridad. Por ejemplo, el privilegio de los “Programas de depuración” debe otorgarse a los Administradores, y a nadie más. Sin embargo, para el bloqueo de cuentas, no hay una configuración “única”, y los ánimos se caldean cuando alguien trata de elegir una. En última instancia, cada organización debe determinar lo mejor para sus propias necesidades. Este blog post intenta ser de ayuda al analizar los pros y las contras de habilitar bloqueos de cuentas y qué tan estrictos deben ser. Teníamos que escoger algo como base, así que analizamos las configuraciones que seleccionamos y por qué las cambiamos de lo seleccionado en otras bases recientes. De nuevo, aquí es donde usted debe ver con detalle las amenazas y ventajas en su ambiente, antes de aplicar las configuraciones que elegimos.

Aspectos básicos del Bloqueo de cuentas

El propósito del bloqueo de cuentas es dificultar el éxito de los ataques que intentan adivinar una contraseña. Si no se configura un bloqueo de cuenta, un atacante puede automatizar un intento para iniciar sesión con diferentes cuentas de usuario, intentando contraseñas comunes, así como toda combinación posible de ocho o menos caracteres en muy poco tiempo, hasta que uno finalmente funciona. Cuando se configura el bloqueo de cuenta, Windows bloquea la cuenta después de varios intentos fallidos de inicio de sesión, y bloquea intentos posteriores de inicio de sesión aún cuando se proporcione la contraseña correcta.

El bloqueo de cuentas de Windows se puede configurar en tres formas:

    • Umbral del bloqueo de la cuenta: el número de intentos fallidos de inicio de sesión que activan el bloqueo de la cuenta. Si se configura en 0, el bloqueo se desactiva y nunca se bloquean las cuentas.
    • Duración del bloqueo de la cuenta: el número de minutos que una cuenta permanece bloqueada antes de desbloquearse automáticamente. Si se configura en 0, la cuenta permanece bloqueada hasta que un  administrador la desbloquea explícitamente.
    • Reiniciar el contador de bloqueo de cuenta después de: el número de minutos después de un intento de inicio de sesión fallido, antes de que el contador de inicios de sesión fallidos se reinicie a 0. El contador también se reinicia después de un inicio de sesión exitoso.

Pros y contras del bloqueo de cuenta

Si bien el bloqueo de cuentas puede ayudar a evitar una entrada indebida, también puede exponer a su organización a bloqueos accidentales, así como a ataques que provocan la negación de servicio.

No todos los inicios de sesión fallidos reflejan un intento de obtener un acceso no autorizado. Algunas veces, los usuarios olvidan sus contraseñas. Además, las aplicaciones, particularmente aquellas que usan contraseñas guardadas, con frecuencia no registran un cambio de contraseña y continúan usando la anterior, algunas veces intentando de nuevo de manera automática la misma contraseña muchas veces en un período de tiempo corto. Esto es más común al tener los usuarios más dispositivos como teléfonos y tabletas que inician sesión para obtener el correo electrónico u otro tipo de acceso a una red corporativa. Si el umbral del bloqueo de cuenta se configura muy bajo, es probable que experimente muchos bloqueos accidentales. Además de que los usuarios no podrán realizar su trabajo, los bloqueos pueden provocar llamadas costosas al helpdesk, especialmente cuando se requiere la intervención del administrador para desbloquear la cuenta. Encontrar la causa raíz de los bloqueos accidentales también puede ser un proceso tardado. Por lo tanto, es bueno configurar un umbral que evite bloqueos accidentales, pero que la configuración del umbral no sea tan alta que le permita a un atacante tener muchas oportunidades. Configurar duración del bloqueo a un valor “razonable” que no sea cero también puede reducir las llamadas al helpdesk. La combinación de umbral, duración del bloqueo y reprogramar las configuraciones determina las oportunidades que tendrán los atacantes por día; idealmente, usted las reduce al punto que sea impráctico o al menos no valga la pena realizar este tipo de ataque.

Al mismo tiempo, cuando no se configura el bloqueo de cuenta, es fácil para un atacante realizar un ataque que provoque la negación de servicio y bloquear las cuentas de manera deliberada. No importa si usted programa el umbral a 5 o 50 – un ataque automatizado puede realizar muchos intentos de inicio de sesión fallidos de manera deliberada en un gran número de cuentas muy rápido y bloquearlas. Si la duración del bloqueo es corta, un atacante puede de todas formas realizar un ataque sostenido, bloqueando las cuentas tan pronto como se desbloquean. Si la duración del bloqueo es indefinida (0), entonces este puede ser un ataque paralizante.

Cómo reducir o eliminar la necesidad de un bloqueo de cuentas

Si usted emplea otras mitigaciones contra ataques que intentan adivinar la contraseña, vale la pena programar un umbral de bloqueo más alto o hasta desactivar todo el bloqueo de cuentas. Algunas de estas mitigaciones son:

    • Supervisar proactivamente eventos de inicio de sesión fallidos y tener instalado un mecanismo robusto de respuesta cuando se detecte el intento de adivinar una contraseña.
    • Configurar “Se requiere una tarjeta inteligente para un inicio de sesión interactivo” (SCRIL), y no establecer de manera manual una contraseña para la cuenta después de hacer esto. Cuando se configura SCRIL, el hash de la contraseña de la cuenta se reemplaza con un valor aleatorio, haciendo que un inicio de sesión con contraseña sea prácticamente imposible. Por lo tanto, cuando se configura SCRIL, se debe desactivar el bloqueo de cuenta para evitar la negación de servicio.
    • Requerir contraseñas largas. El conjunto completo de contraseñas de ocho caracteres puede probarse en muy poco tiempo. Las políticas de Windows le permiten establecer una longitud mínima de hasta 14 caracteres, que es la configuración recomendada. Las contraseñas pueden tener hasta 256 caracteres, pero Windows no le permitirá demandar más de 14 sin un filtro personalizado de contraseñas.
    • Requerir contraseñas complejas. Requerir varios tipos de caracteres aumenta la posibilidad de que los usuarios elijan contraseñas sólidas. Observe, sin embargo, que no lo garantiza: por ejemplo, “Contraseña!” cumple el requisito de complejidad, pero se puede adivinar fácilmente.

Selecciones básicas

Como dijimos al inicio, no existe una configuración única de bloqueo de cuentas que funcione para todas las organizaciones. Nuestra recomendación al respecto es considerar los pros y contras y elegir la mejor para su situación. Sin embargo, nuestra guía de seguridad incluye GPOs y plantillas de seguridad que usted puede aplicar de manera directa, y no es posible configurar el umbral de bloqueo de cuentas en las mismas de “manera correcta”. Así que, tendremos que elegir alguna.

Las configuraciones en nuestras bases tienen la intención de llegar a grandes audiencias. Reconocemos que muchas organizaciones aplicarán estas configuraciones sin entrar en gran detalle ni considerar los pros y contras. Debemos tratar de encontrar el balance exacto entre seguridad y “bloquear todo”, que funcione razonablemente bien para la mayoría de las organizaciones.

Hemos seleccionado un umbral de 10 intentos fallidos, una duración de bloqueo de 15 minutos y el reinicio del contador después de 15 minutos (10/15/15). Ese valor de umbral es diferente a la guía beta de Windows 8.1 / Windows Server 2012 R2, así como las bases pasadas.

El umbral que publicamos con la guía de Windows 7 / Windows Server 2008 R2 era de 50 intentos fallidos. Con la duración de 15 minutos y el reinicio del contador a los 15 minutos, eso brindaba a los atacantes hasta 200 adivinanzas por hora. Para Windows 8 / Server 2012 lo cambiamos a 5, después de mucho análisis con la comunidad de seguridad externa, incluyendo el Centro de Seguridad en Internet (CIS), la Agencia de Seguridad Nacional (NSA) de EEUU, la Agencia de Sistemas de Información para la Defensa (DISA) de EEUU, y otros. El pensamiento en ese tiempo era que un usuario típico no escribirá mal su contraseña cinco veces a menos que en verdad no la recuerde, en cuyo caso probablemente tendrán que llamar al helpdesk de todas formas. Hemos aumentado ese umbral a 10 porque nuestros ingenieros de soporte han visto muchos bloqueos accidentales, particularmente con el aumento de dispositivos por usuario. Aumentar el umbral a 10 debe reducir el número de bloqueos accidentales y, al mismo tiempo, evitar dar de nuevo a los atacantes 200 adivinanzas por hora.

Errores técnicos del bloqueo de cuentas

La documentación pública puede no ser clara en estos puntos, y vale la pena saber que:

No se aceptará un intento de inicio de sesión que use una de las dos contraseñas más recientes de la cuenta, pero tampoco aumentará el contador de inicios de sesión fallidos. En otras palabras, el uso repetido de contraseñas guardadas activará el bloqueo de cuentas sólo después del tercer cambio de contraseña.

Los intentos fallidos de desbloquear una estación de trabajo pueden causar su bloqueo aún cuando esté desactivada la opción de seguridad “Inicio de sesión interactivo: Se requiere la autenticación del controlador de dominio (DC) para desbloquear la estación de trabajo”. Windows no necesita contactar a un DC para desbloquear si usted ingresa la misma contraseña con la que inició sesión, pero si ingresó una contraseña diferente, Windows debe contactar a DC en caso de que haya cambiado su contraseña desde otra máquina. De hecho, es fácil desbloquear una cuenta en una estación de trabajo bloqueada en segundos, con tan sólo presionar Ctrl+Alt+Del y luego sostener la tecla de Intro.