Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Descripción de las políticas de contraseñas AWS administradas de Microsoft AD
AWS Microsoft AD administrado le permite definir y asignar diferentes políticas de bloqueo de cuentas y contraseñas (también denominadas políticas de [contraseñas específicas) para los](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-#fine_grained_pswd_policy_mgmt) grupos de usuarios que administra en su dominio de AWS Microsoft AD administrado. Al crear un directorio de Microsoft AD AWS administrado, se crea una política de dominio predeterminada y se aplica a Active Directory. Esta política incluye las siguientes opciones:
****
| Política | Opción |
| --- | --- |
| Aplicar el historial de contraseñas | Se recuerdan 24 contraseñas |
| Antigüedad máxima de la contraseña | 42 días \$1 |
| Antigüedad mínima de la contraseña | 1 día |
| Longitud mínima de la contraseña | 7 caracteres |
| La contraseña debe cumplir los requisitos de complejidad | Habilitado |
| Almacenamiento de contraseña mediante cifrado reversible | Deshabilitado |
**nota**
\$1 El valor de 42 días de la antigüedad máxima de la contraseña también se aplica a la contraseña del administrador.
Por ejemplo, puede asignar una configuración de las políticas menos estricta para aquellos empleados con acceso solo a información de baja confidencialidad. Para los administradores sénior que obtienen acceso con frecuencia a información confidencial, puede aplicar una configuración más estricta.
Los siguientes recursos proporcionan más información sobre las políticas de contraseñas y políticas de seguridad detalladas de Microsoft Active Directory:
+ [Establecimiento de la configuración de seguridad](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/how-to-configure-security-policy-settings)
+ [Requisitos de complejidad de las contraseñas](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
+ [Consideraciones de seguridad sobre la complejidad de las contraseñas](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements#security-considerations)
AWS proporciona un conjunto de políticas de contraseñas detalladas en AWS Microsoft AD administrado que puede configurar y asignar a sus grupos. Para configurar las políticas, puede usar herramientas de política de Microsoftestándar como [Centro de administración de Active Directory](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/active-directory-administrative-center). Para empezar a utilizar las herramientas de política de Microsoft, consulte [Instalación de herramientas de administración de Active Directory para Microsoft AD AWS administrado](ms_ad_install_ad_tools.md).
## Cómo se aplican las políticas de contraseñas
Existen diferencias en la forma en que se aplican las políticas de contraseñas detalladas en función de si la contraseña se ha restablecido o cambiado. Los usuarios del dominio pueden cambiar su propia contraseña. Un administrador del Active Directory o un usuario con los permisos necesarios puede[ restablecer las contraseñas de los usuarios](ms_ad_manage_users_groups_reset_password.md). Consulte el siguiente cuadro para obtener más información.
****
| Política | Restablecimiento de la contraseña | Cambio de la contraseña |
| --- | --- | --- |
| Aplicar el historial de contraseñas | ![\[No\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/icon-no.png) No | ![\[Yes\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/icon-yes.png) Sí |
| Antigüedad máxima de la contraseña | ![\[Yes\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/icon-yes.png) Sí | ![\[Yes\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/icon-yes.png) Sí |
| Antigüedad mínima de la contraseña | ![\[No\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/icon-no.png) No | ![\[Yes\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/icon-yes.png) Sí |
| Longitud mínima de la contraseña | ![\[Yes\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/icon-yes.png) Sí | ![\[Yes\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/icon-yes.png) Sí |
| La contraseña debe cumplir los requisitos de complejidad | ![\[Yes\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/icon-yes.png) Sí | ![\[Yes\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/icon-yes.png) Sí |
Estas diferencias tienen implicaciones de seguridad. Por ejemplo, cada vez que se restablece la contraseña de un usuario, no se aplican las políticas de historial de contraseñas y de antigüedad mínima de la contraseña. Para obtener más información, consulte la documentación de Microsoft sobre las consideraciones de seguridad relacionadas con la [aplicación del historial de contraseñas](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/enforce-password-history#security-considerations) y las políticas de [antigüedad mínima de la contraseña](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/minimum-password-age#security-considerations).
## Configuración de políticas admitida
AWS Microsoft AD administrado incluye cinco políticas detalladas con un valor de prioridad no editable. Las políticas tienen una serie de propiedades que puede configurar para forzar la seguridad de las contraseñas y acciones de bloqueo de cuentas en caso de producirse errores de inicio de sesión. Puede asignar las políticas a cero o más grupos de Active Directory. Si un usuario final es miembro de varios grupos y recibe más de una política de contraseñas, Active Directory fuerza la política con el valor de prioridad más bajo.
### AWS políticas de contraseñas predefinidas
En la siguiente tabla se enumeran las cinco políticas incluidas en el directorio de Microsoft AD AWS administrado y su valor de prioridad asignado. Para obtener más información, consulte [Prioridad](#precedence).
****
| Nombre de la política | Prioridad |
| --- | --- |
| CustomerPSO-01 | 10 |
| CustomerPSO-02 | 20 |
| CustomerPSO-03 | 30 |
| CustomerPSO-04 | 40 |
| CustomerPSO-05 | 50 |
#### Propiedades de las políticas de contraseñas
Puede editar las siguientes propiedades en sus políticas de contraseñas para ajustarlas a los estándares de conformidad que satisfagan las necesidades de su negocio.
+ Nombre de la política
+ [Aplicar el historial de contraseñas](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/enforce-password-history)
+ [Longitud mínima de la contraseña](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-length)
+ [Antigüedad mínima de la contraseña](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-age)
+ [Antigüedad máxima de la contraseña](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-password-age)
+ [Almacenamiento de contraseña mediante cifrado reversible](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/store-passwords-using-reversible-encryption)
+ [La contraseña debe cumplir los requisitos de complejidad](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
No puede modificar los valores de prioridad de estas políticas. *Para obtener más información sobre cómo afectan estas configuraciones a la aplicación de contraseñas, consulte [AD DS: políticas de contraseñas detalladas](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) en el sitio web de Microsoft. TechNet* Para obtener información general acerca de estas políticas, consulte la [Política de contraseñas](https://technet.microsoft.com/en-us/library/hh994572(v=ws.11).aspx) en el TechNet sitio web de *Microsoft*.
### Políticas de bloqueo de cuentas
También puede modificar las siguientes propiedades de sus políticas de contraseñas para especificar si Active Directory debería bloquear una cuenta tras producirse errores de inicio de sesión y cómo hacerlo:
+ Número de intentos de inicio de sesión con error permitidos
+ Duración de bloqueo de cuentas
+ Restablecimiento de intentos de inicio de sesión con error tras una duración determinada
Para obtener información general acerca de estas políticas, consulte la [Política de bloqueo de cuentas](https://technet.microsoft.com/en-us/library/hh994563(v=ws.11).aspx) en el sitio TechNet web de *Microsoft*.
### Prioridad
Las políticas con un valor de prioridad más bajo tienen mayor prioridad. Puede asignar políticas de contraseñas a grupos de seguridad de Active Directory. Aunque debe aplicar una sola política a un grupo de seguridad, un solo usuario puede recibir más de una política de contraseñas. Por ejemplo, supongamos que `jsmith` es miembro del grupo HR y también del grupo MANAGERS. Si asigna **CustomerPSO-05** (que tiene una prioridad de 50) al grupo HR y **CustomerPSO-04** (que tiene una prioridad de 40) a MANAGERS, **CustomerPSO-04** tiene la prioridad más alta y Active Directory aplica esa política a `jsmith`.
Si asigna varias políticas a un usuario o grupo, Active Directory determina la política obtenida del modo siguiente:
1. Se aplica una política que asigna directamente al objeto de usuario.
1. Si no se asigna ninguna política directamente al objeto de usuario, se aplica la política con el valor de prioridad más bajo de todas las políticas recibidas por el usuario como resultado de la pertenencia a un grupo.
*Para obtener más información, consulte [AD DS: políticas de contraseñas detalladas en](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) el sitio web de Microsoft. TechNet*
**Topics**
+ [Cómo se aplican las políticas de contraseñas](#how_password_policies_applied)
+ [Configuración de políticas admitida](#supportedpolicysettings)
+ [Asignación de políticas de contraseñas a los usuarios AWS gestionados de Microsoft AD](assignpasswordpolicies.md)
+ [Delegar quién puede administrar sus políticas de contraseñas AWS administradas de Microsoft AD](delegatepasswordpolicies.md)
**Artículo de blog de seguridad relacionado AWS **
+ [Cómo configurar políticas de contraseñas aún más sólidas para ayudar a cumplir sus estándares de seguridad mediante el uso Directory Service de Microsoft AD AWS administrado](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)
# Asignación de políticas de contraseñas a los usuarios AWS gestionados de Microsoft AD
Las cuentas de usuario que son miembros del grupo de seguridad **AWS Delegated Fine Grained Password Policy Administrators** pueden utilizar el siguiente procedimiento para asignar políticas a usuarios y grupos de seguridad.
**Para asignar políticas de contraseñas a sus usuarios**
1. Inicie el [centro de administración de Active Directory (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx) desde cualquier instancia de EC2 administrada que haya unido a su dominio de AWS Microsoft AD administrado.
1. Cambie a **vista de árbol** y vaya a **System\$1Password Settings Container**.
1. Haga doble clic en la política detallada que desee editar. Haga clic en **Add** (Agregar) para editar las propiedades de las políticas y añada usuarios o grupos de seguridad a la política. Para obtener más información acerca de las políticas detalladas predeterminadas proporcionadas con AWS Managed Microsoft AD, consulte [AWS políticas de contraseñas predefinidas](ms_ad_password_policies.md#supportedpwdpolicies).
1. Para comprobar que se ha aplicado la política de contraseñas, ejecute el siguiente comando: PowerShell
```
[Get-ADUserResultantPasswordPolicy](https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-aduserresultantpasswordpolicy?view=windowsserver2022-ps) -Identity 'username'
```
**nota**
Evite utilizar el comando `net user`, ya que los resultados que obtenga podrían ser inexactos.
Si no configura ninguna de las cinco políticas de contraseñas del directorio AWS administrado de Microsoft AD, Active Directory utilizará la política de grupo de dominios predeterminada. Para obtener detalles adicionales acerca del uso del **contenedor de configuraciones de contraseña**, consulte esta [entrada de blog de Microsoft](https://blogs.technet.microsoft.com/canitpro/2013/05/29/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad/).
# Delegar quién puede administrar sus políticas de contraseñas AWS administradas de Microsoft AD
Puede delegar permisos para administrar las políticas de contraseñas en cuentas de usuario específicas que haya creado en su Microsoft AD AWS administrado agregando las cuentas al **grupo de seguridad de administradores de políticas de contraseñas específicas AWS delegadas**. Cuando una cuenta pasa a ser un miembro de este grupo, la cuenta tiene permisos para editar y configurar cualquiera de las políticas de contraseñas indicadas [anteriormente](ms_ad_password_policies.md#supportedpwdpolicies).
**Para delegar quién puede administrar políticas de contraseñas**
1. Inicie el [centro de administración de Active Directory (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx) desde cualquier instancia de EC2 administrada que haya unido a su dominio de AWS Microsoft AD administrado.
1. Cambie a la **Vista de árbol** y vaya a la unidad organizativa **AWS Delegated Groups**. Para obtener más información acerca de esta unidad organizativa, consulte [Qué se crea con su Microsoft AD AWS administrado](ms_ad_getting_started_what_gets_created.md).
1. Busque el grupo de usuarios **AWS Delegated Fine Grained Password Policy Administrators**. Añada cualquier usuario o grupo de su dominio a este grupo.