Creacin de cuentas de usuario para un Dominio

Iniciar el Administrador de usuarios para dominios. Men Usuario Seleccionar Usuario nuevo... Rellenar los siguientes campos.

Nombre de usuario: Escribir un nombre nico basado en la convencin de nombres adoptada. Este campo es obligatorio. Nombre completo: El nombre completo del usuario es til para determinar la persona a la que pertenece una cuenta. Es opcional. Descripcin: Una descripcin que nos sea til para identificar a los usuarios. Puede ser el cargo, el departamento o la ubicacin en la oficina. Es opcional. Contrasea: Una contrasea, si vamos a controlar la contrasea de la cuenta. No hay por qu asignar una contrasea a una cuenta; sin embargo, para mayor seguridad nos aseguraremos siempre de que el usuario cambie su contrasea en su primer inicio de sesin. La contrasea no se presenta. Est representada por una serie de catorce asteriscos una vez escrita, cualquiera que sea su longitud. Para proteger el acceso al dominio o al equipo, cada cuenta de usuario requiere una contrasea. Como administradores deberemos decidir si la contrasea de la cuenta de usuario la determina el administrador o el usuario adems de tener en cuenta los siguientes puntos: o Asignar siempre una contrasea a la cuenta Administrador. o Determinar quin controlar la contrasea. o Decidir si una contrasea tiene que caducar. o Educar a los usuarios sobre las maneras de proteger y escribir sus contraseas. o Evitar utilizar asociaciones obvias, como el nombre de algn familiar. o Utilizar una contrasea larga. Las contraseas pueden tener una longitud de hasta 14 caracteres. o Utilizar letras maysculas y minsculas. Las contraseas distinguen entre maysculas y minsculas. Por ejemplo, la contrasea SECRETA es diferente de secreta. Repetir contrasea: Escriba la contrasea una segunda vez para asegurarse de que ha escrito correctamente la contrasea. Es obligatorio si se ha introducido una contrasea.

Hacer clic para activar o desactivar las siguientes casillas de verificacin.

El usuario debe cambiar la contrasea en el siguiente inicio: Quiere que los usuarios cambien su contrasea la primera vez que inicien sesin (activada de forma predeterminada). Esto asegura que el usuario es la nica persona que sabe su contrasea. El usuario se est haciendo cargo de su contrasea. El usuario no puede cambiar la contrasea: Cuando hay ms de una persona que utiliza la misma cuenta de usuario, como la del Invitado, o porque el Administrador quiere mantener el control sobre las contraseas de usuario. La contrasea nunca caduca: Se trata de una cuenta de usuario para la que deseamos que la contrasea no cambie nunca. Por ejemplo, cuentas de usuario utilizadas para tareas de administracin, como puede ser el propio Administrador. Esta opcin ignora la seleccin de El usuario debe cambiar la contrasea en el siguiente inicio de sesin. Cuenta desactivada: Con esta opcin se consigue evitar temporalmente el uso de una cuenta; por ejemplo, si un empleado toma unas vacaciones, podemos desactivar su cuenta.

Seleccin de las opciones de cuenta

Para modificar la informacin de la cuenta en el cuadro de dilogo "Usuario nuevo", hacer clic en el botn "Cuenta". Aparecer la siguiente ventana: En Informacin de la cuenta pueden establecerse las dos opciones siguientes:

La cuenta caduca: Utilizaremos estas opciones para establecer una fecha en la que la cuenta quedar automticamente deshabilitada. Esto es til para las cuentas temporales de personal contratado o empleados a tiempo parcial. Para establecer la fecha de caducidad basta con hacer clic en "Final de" y escribir una fecha para especificar la fecha de caducidad. Tipo de cuenta: Utilizar estas opciones para crear una cuenta global o local. Cuenta global es el tipo predeterminado y es el tipo de cuenta estndar para participar en un dominio. A las cuentas locales slo se puede tener acceso conectando con un controlador de dominio a travs de la red.

mbitos de los grupos

Grupos Locales

Los grupos locales se utilizan para conceder a los usuarios permisos de acceso a un recurso de la red. Recordemos que los permisos son normas que regulan qu usuarios pueden emplear un recurso como, por ejemplo, una carpeta, un archivo o una impresora. Los grupos locales tambin se utilizan para proporcionar a los usuarios los derechos para realizar tareas del sistema tales como el cambio de hora de un equipo o la copia de seguridad y la restauracin de archivos. Los grupos locales estn formados por usuarios y grupos que pueden proceder tanto del dominio en que se crearon y residen las cuentas, como de otros dominios, si tenemos establecidas relaciones de confianza. No pueden incluir ningn grupo local y slo se les puede asignar permisos y derecho sobre recursos del Domino local. Windows NT incluye varios grupos locales ya creados, diseados especialmente para asignar derechos a los usuarios. Los grupos incorporados con Windows NT son grupos "predefinidos" que tienen un conjunto predeterminado de derechos de usuario.
Grupos Globales

Los grupos globales se utilizan para organizar cuentas de usuario del dominio, normalmente por funcin o ubicacin geogrfica. Se suelen usar, en redes con mltiples dominios. Cuando los usuarios de un dominio necesitan tener acceso a los recursos existentes en otro dominio, se agregarn a un grupo local del otro dominio para conceder derechos a sus miembros. Se tienen que crear en un controlador del dominio en el que residen las cuentas de los usuarios. Los grupos globales estn formados slo por usuarios de un mismo dominio (del mismo en que reside el grupo) y no pueden contener ningn tipo de grupos.

Administracin de cuentas
Existen procedimientos y herramientas que un administrador puede utilizar para realizar sus tareas diarias de forma eficiente y mantener la red en perfecto funcionamiento. Estos son algunos de esos procedimientos y herramientas:

Crear plantillas para agregar nuevas cuentas de usuario. Realizar cambios simultneamente en varias cuentas de usuario. Disear e implementar un plan de cuentas para proteger la red. Mantener los controladores de dominio de forma que las cuentas de usuario se puedan validar siempre y sin problemas. Solucionar los problemas que puedan tener los usuarios con sus cuentas, suelen ser problemas de inicio de sesin. Distribuir algunas de las tareas administrativas mediante la creacin de un Administrador adicional o un Operador de cuentas:

Los miembros del grupo Administradores tienen todas las capacidades administrativas. Son responsables del diseo y el mantenimiento de la seguridad de la red. Los miembros del grupo Operadores de cuentas pueden crear, eliminar y modificar cuentas de usuario, grupos globales y grupos locales. No obstante, no pueden modificar los grupos Administradores y Operadores de servidores.

6.1.2. Contraseas
Si el nombre de usuario responde a la pregunta "Quin es usted?", la contrasea es la respuesta a la pregunta que inevitablemente sigue: "Demustralo!" En trminos ms prcticos, una contrasea proporciona una forma de probar la autenticidad de la persona que dice ser el usuario con ese nombre de usuario. La efectividad de un esquema basado en contraseas recae en gran parte sobre varios aspectos de la contrasea:

La confidencialidad de la contrasea La resistencia de adivinar la contrasea La resistencia de la contrasea ante un ataque de fuerza bruta

Las contraseas que efectivamente toman en cuenta estos problemas se conocen como contraseas robustas, mientras que aquellas que no, se les llama dbiles. Es importante para la seguridad de la organizacin crear contraseas robustas, mientras ms robustas sean las contraseas, hay menos chances de que estas sean descubiertas o que se adivinen. Hay dos opciones disponibles para reforzar el uso de contraseas robustas:

El administrador del sistema puede crear contraseas para todos los usuarios. El administrador del sistema puede dejar que los usuarios creen sus propias contraseas, a la vez que se verifica que las contraseas sean lo suficientemente robustas.

Al crear contraseas para todos los usuarios asegura que estas sean robustas, pero se vuelve una tarea pesada a medida que crece la organizacin. Tambin incrementa el riesgo de que los usuarios escriban sus contraseas. Por estas razones, la mayora de los administradores de sistemas prefieren dejar que los usuarios mismos creen sus contraseas. Sin embargo, un buen administrador de sistemas tomar los pasos adecuados para verificar que las contraseas sean robustas.

Para leer sobre las pautas para la creacin de contraseas robustas, vea el captulo llamado Seguridad de las Estaciones de trabajo en el Manual de seguridad de Red Hat Enterprise Linux. La necesidad de mantener secretas las contraseas debera ser una parte arraigada en la mente de un administrador de sistemas. Sin embargo, este punto se pierde con frecuencia en muchos usuarios. De hecho, muchos usuarios ni siquiera entienden la diferencia entre nombres de usuarios y contraseas. Dado este hecho, es de vital importancia proporcionar cierta cantidad de educacin para los usuarios, para que as estos puedan entender que sus contraseas se deberan mantener tan secretas como su sueldo. Las contraseas deberan ser tan difciles de adivinar como sea posible. Una contrasea robusta es aquella que un atacante no podr adivinar, an si el atacante conoce bien al usuario. Un ataque de fuerza bruta sobre una contrasea implica el intento metdico (usualmente a travs de un programa conocido como password-cracker) de cada combinacin de caracteres posible con la esperanza de que se encontrar la contrasea correcta eventualmente. Una contrasea robusta se debera construir de manera tal que el nmero de contraseas potenciales a probar sea muy grande, forzando al atacante a tomarse un largo tiempo buscando la contrasea. Las contraseas dbiles y robustas se exploran con ms detalles en las secciones siguientes.

6.1.2.1. Contraseas dbiles

Como se estableci anteriormente, una contrasea dbil es una que no pasa alguna de estas tres pruebas:

Es secreta Es resistente a ser adivinada Es resistente a un ataque de fuerza bruta

Las secciones siguientes muestran cmo pueden ser dbiles las contraseas. 6.1.2.1.1. Contraseas cortas Una contrasea corta es dbil porque es mucho ms susceptible a un ataque de fuerza bruta. Para ilustrar esto, considere la tabla siguiente, en el que se muestran el nmero de contraseas potenciales que deben ser evaluadas en un ataque de fuerza bruta. (Se asume que las contraseas consisten solamente de letras en minsculas.) Largo de la contrasea 1 Contraseas potenciales 26

Largo de la contrasea 2 3 4 5 6

Contraseas potenciales 676 17,576 456,976 11,881,376 308,915,776

Tabla 6-1. El largo de la contrasea contra el nmero de contraseas potenciales Como puede ver, el nmero de contraseas posibles incrementa dramticamente a medida que se incrementa el largo.

Nota

An cuando esta tabla termina en seis caracteres, esto no se debera tomar como que se recomienda contraseas de seis caracteres de largo como lo suficientemente largas para una buena seguridad. En general, mientras ms larga la contrasea mejor. 6.1.2.1.2. Conjunto de carcteres limitado El nmero de carcteres diferentes que comprenden una contrasea tiene un gran impacto en la habilidad de un atacante de conducir un ataque de fuerza bruta. Por ejemplo, en vez de 26 carcteres diferentes que se pueden utilizar en una contrasea de solamente minsculas, que tal si usamos nmeros? Esto significa que cada carcter en una contrasea es uno de 36 en vez de uno de 26. En el caso de contraseas de seis caracteres de largo, esto representa un incremento de contraseas posibles de 308,915,776 a 2,176,782,336. An hay ms que se puede hacer. Si tambin inclumos contraseas alfanumricas con maysculas y minsculas (para aquellos sistemas operativos que lo soporten), el nmero posible de contraseas de seis carcteres se incrementa a 56,800,235,584. Aadiendo otros caracteres (tales como smbolos de puntuacin) aumenta an ms los nmeros posibles, haciendo un ataque de fuerza bruta mucho ms difcil.

Sin embargo, un punto a tener en mente es que no todos los ataques contra una contrasea son de fuerza bruta. Las secciones siguientes describen otros atributos que pueden hacer una contrasea dbil. 6.1.2.1.3. Palabras reconocibles Muchos ataques contra contraseas estn basados en el hecho de que la gente generalmente se siente ms cmoda con contraseas que pueden recordar. Y para la mayora de la gente, las contraseas ms fciles de recordar son las que contienen palabras. Por lo tanto, muchos ataques a contraseas estn basados en el diccionario. En otras palabras, el atacante utiliza diccionarios de palabras en un intento de encontrar la palabra o palabras que forman la contrasea.

Nota

Muchos programas de ataque a contraseas basados en diccionario utilizan diccionarios de diferentes idiomas. Por lo tanto, no piense que su contrasea es ms robusta simplemente porque est utilizando una palabra que no es en Espaol. 6.1.2.1.4. Informacin personal Las contraseas que contienen informacin personal (el nombre o fecha de nacimiento de un ser querido, una mascota o un nmero de identificacin personal) puede o puede que no sean encontradas a travs de un ataque basado en contraseas de diccionario. Sin embargo, si el atacante lo conoce personalmente (o est lo suficientemente motivado para investigar su vida personal), puede ser capaz de adivinar su contrasea con poca o ninguna dificultad. Adems de los diccionarios, muchos descifradores de contraseas tambin incluyen nombres comunes, fechas y otro tipo de informacin en su bsqueda de contraseas. Por lo tanto, an si el atacante no conoce que el nombre de su perro es Howard, todava pueden descubrir que su contrasea es "MiperrosellamaHoward", con un buen descifrador de contraseas. 6.1.2.1.5. Trucos simples de palabras Usando cualquiera de la informacin discutida anteriormente como la base para una contrasea, pero invirtiendo el orden de las letras, tampoco hace una contrasea dbil en una robusta. La mayora de los descifradores de contraseas hacen estos trucos en todas las contraseas posibles. Esto incluye sustituir cierto nmeros por letras en palabras comunes. He aqu algunos ejemplos:

drowssaPdaB1 R3allyP00r

6.1.2.1.6. La misma palabra para mltiples sistemas An si su contrasea es robusta, no es una buena idea utilizar la misma contrasea en ms de un sistema. Obviamente se puede hacer muy poco si los sistemas son configurados para utilizar un servidor central de algn tipo, pero en cualquier otro caso, se deben utilizar contraseas diferentes para sistemas diferentes. 6.1.2.1.7. Contraseas en papel Otra forma de hacer una contrasea robusta en una dbil es escribindola. Al colocar su contrasea en papel, ya usted no tiene un problema de confidencialidad, pero de seguridad fsica - ahora usted debe mantener seguro ese pedazo de papel. Esto obviamente no es una buena idea. Sin embargo, algunas organizaciones tienen una necesidad legtima para escribir contraseas. Por ejemplo, algunas organizaciones tienen contraseas escritas como parte de un procedimiento para recuperarse de la prdida de un empleado clave (tales como un administrador de sistemas). En estos casos, el papel conteniendo las contraseas es almacenado en una ubicacin fsicamente segura que requiere la cooperacin de varias personas para tener acceso al papel. Usualmente se utilizan cajas de seguridad acorazadas y con mtiples cerrojos. Cualquier organizacin que explore este mtodo de almacenar contraseas para propsitos de emergencia debe estar consciente de que la existencia de contraseas escritas aade un elemento de riesgo a la seguridad de sus sistemas, no importa cuan seguro sea el almacenamiento de las contraseas. Esto es particularmente cierto si es de conocimiento general que las contraseas se encuentran escritas (y donde se encuentran). Lamentablemente, a menudo las contraseas escritas no forman parte de un plan de recuperacin y no son almacenadas en una bveda, y estas son las contraseas de los usuarios comunes y son almacenadas en sitios como:

En la gaveta (cerrada con llave o no) Bajo el teclado En la cartera Pegada al lado del monitor

Ninguna de estas ubicaciones son lugares apropiados para una contrasea escrita.

6.1.2.2. Contraseas robustas

Hemos visto cmo son las contraseas dbiles; las secciones siguientes describen funcionalidades que todas las contraseas robustas tienen. 6.1.2.2.1. Contraseas largas

Mientras ms larga la contrasea, menos es la probabilidad de que tenga xito un ataque de fuerza bruta. Por lo tanto, si su sistema operativo lo soporta, establezca un largo mnimo para las contraseas de sus usuarios relativamente largo. 6.1.2.2.2. Conjunto de caracteres expandido Promocione el uso de contraseas alfanumricas que combinen el uso de maysculas y minsculas y ms an, anime la adicin de un carcter noalfanumrico a todas las contraseas:

t1Te-Bf,te Lb@lbhom

6.1.2.2.3. Memorizables Una contrasea es robusta solamente si se puede recordar. Sin embargo, usualmente el ser fcil de memorizar y fcil de adivinar a menudo van juntos. Por lo tanto, dele a su comunidad de usuarios algunos consejos sobre la creacin de contraseas fciles de recordar pero que no sean fciles de adivinar. Por ejemplo, tome una frase favorita o dicho y utilice las primeras letras de cada palabra como el punto de comienzo para la creacin de la nueva contrasea. El resultado es fcil de memorizar (pues la frase en la cual est basado es, en s misma, recordable), sin embargo el resultado no contiene ninguna palabra.

Nota

Tenga en cuenta que el usar las primeras letras de cada palabra en una frase no es suficiente para crear una contrasea robusta. Siempre asegrese de incrementar el conjunto de caracteres incluyendo la combinacin de carcteres alfanumricos y tambin al menos un carcter especial.

6.1.2.3. Caducidad de las contraseas

Si es posible implemente perodos de vigencia para las contraseas. La caducidad de las contraseas es una funcionalidad (disponible en muchos sistemas operativos) que coloca lmites en el tiempo que una contrasea dada es considerada vlida. Al final del tiempo de vida de la contrasea, se le pide al usuario que introduzca una nueva contrasea, que se puede utilizar hasta que, igualmente, expire. La pregunta clave con respecto a la caducidad de las contraseas con la que se enfrentan muchos administradores de sistemas es sobre el tiempo de vida de una contrasea: Cul es el ms adecuado?

Hay dos problemas diametricalmente opuestos con respecto al tiempo de vida de las contraseas:

Conveniencia del usuario Seguridad

Por un lado, un tiempo de vida de una contrasea de 99 aos presentar muy pocos problemas (si es que llega a presentar alguno). Sin embargo, proporcionar muy poco en trminos de mejorar la seguridad. En el otro extremo, un tiempo de vida de una contrasea de 99 minutos ser un gran inconveniente para los usuarios. Sin embargo, la seguridad mejorar en extremo. La idea es encontrar un balance entre la conveniencia para sus usuarios y la necesidad de seguridad de su organizacin. Para la mayora de las organizaciones, los tiempos de vida de las contraseas dentro del rango de semanas - meses, son los ms comunes.