martes, 2 de junio de 2026

La Guía de Identidad, Seguridad y las contraseñas

 

La decisión de implementar Active Directory (AD) se resume en una palabra: Control.

  • En redes pequeñas (pocos equipos): La gestión de contraseñas se realiza de forma individual en cada máquina. Si un usuario cambia de oficina, hay que crear su perfil manualmente en el nuevo PC. Es un proceso descentralizado y podría ser propenso a errores.

  • En redes profesionales: El AD se utiliza para centralizar todo el sistema de identidades. El servidor es el único que "conoce" las contraseñas; los equipos de la red simplemente le consultan al servidor para dejar pasar al usuario. Un solo cambio en el servidor afecta a toda la  infraestructura de inmediato.

     


     

1. El Duelo de las Bases de Datos: SAM vs. NTDS.dit

Para entender la diferencia, debemos mirar qué base de datos gestiona el acceso:

  • SAM (Security Accounts Manager): Es un archivo local en cada Windows 11. Es una base de datos pequeña que solo conoce a los usuarios de ese equipo físico.

  • NTDS.dit: Es la base de datos de Active Directory. Vive exclusivamente en el Servidor (Domain Controller). Es el "cerebro" que contiene a todos los usuarios, grupos y permisos de la empresa.


     

2. Protocolos de Guerra: NTLM vs. Kerberos

¿Cómo se comunica tu PC con el servidor para decir "Soy yo"?

  1. NTLM (New Technology LAN Manager): Basado en un desafío de tres pasos. Es el protocolo por defecto en redes sin AD. Windows Server 2025 ya lo marca como obsoleto por ser vulnerable a ataques de relevo.

  2. Kerberos: Es el estándar de AD. Utiliza un sistema de "tickets" con sellos de tiempo. Es mucho más rápido, seguro y permite el Single Sign-On (SSO).

     



     

    3. Gestión de Contraseñas: Métodos y Ejemplos Reales

    A. Desde la interfaz de Windows 11 (Usuario final)

    1. Ctrl + Alt + Del > "Cambiar una contraseña".

    2. Configuración > Cuentas > Opciones de inicio de sesión > Contraseña > Cambiar.

       

    B. Desde Herramientas Administrativas (Para el Técnico en Local)

    Si estás sentado frente al equipo (o por RDP) y necesitas resetear la clave de un usuario local:

    • Ruta: Clic derecho en el botón de Inicio > Administración de equipos > Usuarios y grupos locales > Usuarios > Clic derecho sobre el usuario > Establecer contraseña

    C. El rincón del Admin: PowerShell

    Para un equipo Win11 Pro en Workgroup (Remoto): Requiere conocer la IP o Nombre del equipo y tener permisos de red.

    PowerShell

    Invoke-Command -ComputerName "192.168.1.50" -ScriptBlock {
    $user = [adsi]"WinNT://localhost/UsuarioVentas"
    $user.SetPassword("NuevaClave2026!")
}

    Cambio masivo en Active Directory (Se ejecuta desde el Servidor o PC con RSAT): (Este comando se aplica en el controlador de dominio o desde una estación de gestión con herramientas de AD instaladas).

    PowerShell

    # Reseteo masivo para toda una oficina (OU)
Get-ADUser -Filter * -SearchBase "OU=Marketing,DC=tuempresa,DC=com" | 
Set-ADAccountPassword -NewPassword (ConvertTo-SecureString "TempPass2026!" -AsPlainText -Force) -Reset

     

    4. Seguridad Crítica: Credential Guard y Hiren's Boot

    El Factor Hiren's Boot / NTPWEdit

    1. En Local: Son muy efectivas. Pueden "blanquear" la clave del SAM en segundos si el disco no está cifrado.

    2. En Dominio (AD): Inútiles. No pueden tocar el ntds.dit del servidor desde un equipo cliente.

    3. Windows Server 2025: Refuerza el Credential Guard. Mediante virtualización, aísla los secretos de identidad en la RAM para que, incluso si usas herramientas tipo Hiren's, no puedas extraer hashes de cuentas de dominio.


       

    5. Auditoría Forense: ¿Quién cambió qué?

    En una red sin AD, la auditoría es limitada. Aunque puedes activar la "Auditoría de gestión de cuentas" en las directivas locales (secpol.msc), los eventos quedan atrapados en el "Visor de Eventos" de ese PC específico. Si el PC se rompe o el disco se borra, pierdes la evidencia.

    Lo más cercano en Workgroup: Tendrías que configurar un servidor de registros (Syslog) centralizado para que cada Windows 11 envíe sus eventos de seguridad allí, lo cual es complejo de mantener.

    En Windows Server 2025: La auditoría es nativa y centralizada. El servidor registra el Evento ID 4723 (Intento de cambio de clave) o 4724 (Reseteo por parte del admin). No importa desde qué PC se haga, el rastro queda en el Servidor.


     

     Sugerencias Pro de Administrador (Windows Server 2025):

    • Delegación de Permisos: En AD puedes permitir que un "Jefe de Grupo" cambie contraseñas de su equipo sin que sea Administrador total. En local, o eres admin o no haces nada.

    • Silo de Usuarios: Nueva función de 2025 que permite restringir que usuarios VIP solo puedan loguearse en PCs específicos, bloqueando ataques de movimiento lateral.

    • Políticas de Contraseña Granulares (FGPP): Puedes exigir que los jefes tengan claves de 20 caracteres y los empleados normales de 12. En un Workgroup, la política es igual para todos en el PC.

    Glosario Final:

    • CALs: Licencias necesarias para que cada usuario tenga derecho legal a usar los servicios del servidor (incluyendo el cambio de clave en AD).

    • MFA: Autenticación de múltiples factores (clave + código al móvil).

    • Self-Service: Portal para que el usuario recupere su clave solo, sin llamar a soporte.

       

      Saludos DevicePC 


Publicado por en
Etiquetas: , , , , , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)