Protección con contraseña no habilitada para entornos locales

Este IoE se ejecuta solo para inquilinos con una licencia de Entra ID P1 o P2, ya que estas licencias Premium son obligatorias para esta funcionalidad de seguridad.

Entra ID aprovecha Protección con contraseña de Microsoft Entra para mitigar el riesgo de que los usuarios establezcan contraseñas que puedan adivinarse fácilmente y sean susceptibles a ataques de fuerza bruta. Esta funcionalidad utiliza una lista global de contraseñas prohibidas ― habilitada de manera predeterminada y que no se puede deshabilitar, que contiene contraseñas débiles de uso común ― que Microsoft mantiene y actualiza periódicamente.

Aunque Protección con contraseña de Microsoft Entra es una funcionalidad basada en la nube, las organizaciones pueden ampliarla a la instancia local clásica de Active Directory (también conocida como “Windows Server Active Directory”) como se describe en “Aplicación de Protección con contraseña de Microsoft Entra local en Active Directory Domain Services”. Para facilitar esta integración, se instala un agente de Microsoft dedicado en los controladores de dominio de Active Directory locales mientras se configuran las políticas de protección con contraseña a través del portal de Entra basado en la nube.

Este indicador de exposición evalúa dos opciones de Protección con contraseña de Microsoft Entra que determinan su aplicación en el entorno local:

• Se espera que “Habilitar protección con contraseña en Windows Server Active Directory” esté establecido en “Sí”.
• Se espera que “Modo” esté definido en “Forzado”.

Nota:

1. Este IoE se ejecuta solo para inquilinos sincronizados con una instancia local de Active Directory (es decir, Microsoft Entra Connect o Microsoft Entra Cloud Sync). Su análisis se basa en la propiedad onPremisesSyncEnabled de organization.
2. Para habilitar Protección con contraseña de Microsoft Entra para el dominio de Active Directory local (como se describe en la sección de recomendaciones), es necesario que las organizaciones implementen un agente en todos los controladores de dominio dentro del entorno local. Este IoE comprueba las opciones pertinentes dentro del portal de Entra ID, pero no puede validar el estado real de implementación del agente en los controladores de dominio de Active Directory locales. Como consecuencia, existe la posibilidad de que se produzcan falsos negativos, en los que la configuración parezca compatible con Entra a pesar de que el agente no se haya implementado por completo o no funcione correctamente en todos los controladores de dominio de Active Directory.

Habilitar Protección con contraseña de Microsoft Entra, incluida su ampliación a los dominios locales de Active Directory, ayuda a las organizaciones a eliminar el uso de contraseñas débiles, lo que reduce la probabilidad de que los atacantes logren adivinar estas credenciales y obtengan acceso no autorizado a la infraestructura de la organización.

Aunque esta funcionalidad está habilitada de forma predeterminada para Entra ID en la nube, no se amplía automáticamente a los controladores de dominio de Active Directory en el entorno local. Ampliar esta funcionalidad a Active Directory permite a las organizaciones proteger también sus usuarios de AD local, siempre que el inquilino se beneficie de una licencia Premium: Entra ID P1 o P2.

Tenable recomienda:

1. Comprender el concepto.
2. Seguir el procedimiento para implementar un agente de Microsoft dedicado que implemente una DLL de filtro de contraseñas en los controladores de dominio locales.
3. Habilitar la protección con contraseña local al establecer “Habilitar protección con contraseña en Windows Server Active Directory” en “Sí” y “Modo” primero en “Auditoría” y, finalmente, después de la evaluación, en “Forzado”.

Nombre: Protección con contraseña no habilitada para entornos locales

Nombre en clave: PASSWORD-PROTECTION-NOT-ENABLED-FOR-ON-PREMISES-ENVIRONMENTS

Gravedad: Medium

Tipo: Microsoft Entra ID Indicator of Exposure