Índice

1. Xestión de accesos e credenciais.............................................................................2

1.1 Contas de usuario locais................................................................................................2
1.2 Grupos predefinidos.......................................................................................................3
1.3 Contrasinais................................................................................................................... 4
1.3.1 Boas prácticas................................................................................................................................................... 4
1.4 Contrasinais en sistemas Windows................................................................................6
1.4.1 Almacenamento e formato................................................................................................................................ 6
1.4.1.1 LM Hash (Lan manager hash)........................................................................................................... 6
1.4.1.2 NT Hash o NTLM (New Technology Lan Manager)..........................................................................6
1.5 Políticas de contrasinais................................................................................................7
1.5.1 Parámetros de xestión de contrasinais en sistemas operativos........................................................................8

Páxina 0
1. Xestión de accesos e credenciais
Unha vez concluído o proceso de arranque do sistema, o seguinte elo a asegurar será o re-
lativo ao acceso ao mesmo por parte de usuarios autorizados.
Xa comentamos na unidade anterior aspectos relacionados co proceso de autenticación
e como, na medida que nos sexa posible, debemos de optar sempre por mecanismos de do-
bre factor de autenticación (2FA). Seguiremos agora profundando máis neste tema vendo
algunhas características de Windows relacionadas co proceso de autenticación de usuarios
e a xestión das súas credenciais, así como algunhas recomendacións que compre ter en
conta.

1.1 Contas de usuario locais

Para poder aplicar unha correcta xestión de usuarios compre primeiro coñecer os diferen-
tes tipos de usuarios que nos podemos atopar nun sistema Windows así como as súas ca-
racterísticas. Para o caso das contas locais, existen unha serie de contas predeterminadas
que se crean automaticamente ao instalar Windows. Estas contas almacénanse localmente
en cada equipo e son as seguintes:
 Administrador. Ten control absoluto sobre o sistema e non pode ser borrada. A partir
de Windows Vista vén desactivada por defecto e así debe quedar. Aínda así debe ser
protexida por un contrasinal forte xa que, por exemplo, cando o equipo inicia a modo
de proba de fallos habilitarase para poder ser utilizada.
Pode ser unha boa práctica de seguridade renombrar esta conta, aínda que sempre
será delatada polo seu Identificador de usuario ou SID (S-1-5-21-….-500). (Comando
para ver o SID: wmic useraccount get name, sid)
 Invitado. Conta con moi poucos privilexios sobre o sistema. Con ela os usuarios poden
acceder ao equipo sen ter nome nin contrasinal definidos. Atópase desactivada por
defecto.
 Initial User. É o usuario que se crea durante a instalación do sistema operativo. Inclúe-
se directamente no grupo de Administradores. Recoméndase non usala habitualmen-
te e utilizar unha nova conta con permisos normais. No caso de necesitar permisos
superiores débese utilizar “Executar como administrador”.
Outras contas especiais de sistema que Microsoft Windows utiliza para executar os seus
propios servizos son:
 LocalSystem (ou SYSTEM). É unha conta integrada no sistema para manexar tarefas a
nivel baixo do sistema. Posúe todos os privilexios do sistema. Ten máis permisos que a
propia conta de administrador. Se algún servizo que corra baixo esta conta é vulnerado,
obtéñense todos os privilexios sobre a máquina.
 LocalService. Ten poucos privilexios sobre o sistema e presenta credenciais anónimas
na rede. Non adoita presentar problemas de seguridade polos seus baixos privilexios.
 NetworkService (servizo de rede): Encárgase de actuar como o sistema na rede.

Páxina 1
1.2 Grupos predefinidos
Os seguintes grupos de usuarios veñen predefinidos nos sistemas Microsoft Windows.
Imos repasalos brevemente:
 Administradores. A este grupo só debería de pertencer o usuario Administrador local
(desactivado) e un usuario creado para labores administrativas. Se o sistema se atopa
unido a un dominio, por defecto o grupo Administradores do Dominio tamén perten -
cerá a el (xa veremos na próxima unidade que ista é algo que é recomendable cambiar).
É un grupo que se debe vixiar ante a aparición de novos usuarios membro.
 Operadores de copia. Ten permisos para facer copias de seguridade e restauralas. Non é
un grupo destinado a usuarios senón a programas ou tarefas que se executan de forma
periódica.
 Invitados: O grupo Invitados ten acceso limitado ao sistema. En xeral pode obviarse e,
como xa se dixo, preferiblemente manter desactivada a súa conta por defecto “Invita-
do”.
 Operadores de Configuración: teñen certos privilexios para manexar a configuración
TCP/IP do equipo.
 Usuarios Avanzados: Un grupo con privilexios entre os administradores e os usuarios
normais. Pode resultar perigoso xa que pode ter un fácil acceso aos privilexios de admi-
nistrador. Recoméndase non usalo.
 Usuarios: É o grupo por defecto, con acceso limitado ao sistema, ideal para usuarios
habituais. Nalgúns casos é necesario restrinxir aínda máis os seus permisos xa que,
executar aplicacións pode ser suficientemente perigoso.
Existen unha serie de grupos especiais que son utilizados de forma interna polo propio sis-
tema operativo. Perténcese a estes grupos de forma automática baixo certas circunstan-
cias.
 Creator Owner: É un grupo ao que pertence a conta que creou ou tomou posesión dun
obxecto.
 Todos: É o grupo que inclúe a calquera que ten acceso ao computador, desde rede ou
consola con ou sen contrasinal.
 Interactive: É o grupo que inclúe a todos os usuarios que se autenticaron a través da in-
trodución interactiva das súas credenciais no sistema local (os usuarios que se conectan
a través da rede non pertencerán a el).
 Network: É o grupo que inclúe aos usuarios que tiveron acceso ao equipo a través da
rede.
 Usuarios autenticados: Todos os usuarios que accederon ao sistema introducindo un lo-
gin e passwords válidos.
 Anonymous login. Usuarios que accederon ao sistema a través de accesos anónimos.
Utilízase cando se accede a servizos remotos instalados no sistema. Por exemplo, un
usuario que está a visitar páxinas web nun IIS.
 Terminal server users. Grupo ao que pertencen os usuarios que accederon a través de
Terminal Server.

Páxina 2
1.3 Contrasinais
Aínda que cada vez vemos máis iniciativas para conseguir desfacernos definitivamente
dos contrasinais, o certo é que a día de hoxe o elemento principal que vincula a un usuario
- administrador ou non - coa seguridade dun sistema, segue a ser a clave ou contrasinal
coa que o usuario accede ao sistema.

1.3.1 Boas prácticas

Aínda que moitas das recomendacións referidas ao correcto uso de contrasinais son sobra-
damente coñecidas, nunca esta de máis repasalas:
Lonxitude e formato
 Débense utilizar polo menos 10 caracteres de lonxitude de contrasinal. Este é un valor
que vai aumentando no tempo debido ao aumento da potencia de cálculo dos equipos
informáticos. É un valor que, ademais, pode variar segundo o formato de almacena-
mento da contrasinal pero, a día de hoxe, un contrasinal por baixo de 9 caracteres pode
ser revelada no espazo dunhas horas ou uns poucos días.
– Nota: Véxase “Las nuevas RTX 4090 de Nvidia pueden romper una contraseña
de 8 caracteres en menos de 1 hora (48 minutos) con herramienta HashCat”
 Recoméndase utilizar nunha mesma contrasinal díxitos, letras (maiúsculas e minúscu-
las) e caracteres especiais.
 Non se debe utilizar información persoal no contrasinal: nome do usuario ou dos seus
familiares, nin os seus apelidos, nin a súa data de nacemento ou datos relacionados co
usuario que sexan facilmente deducibles (alcume, lugar de residencia, etc). E, por su-
posto, en ningunha ocasión utilizar datos como o DNI ou o número de teléfono.
 Hai que evitar utilizar secuencias básicas de teclado (por exemplo: ”qwerty”, “asdf” ou
as típicas en numeración: “1234” ó “98765”) ou repetir os mesmos caracteres no mes-
mo contrasinal. (ex.: “111222”).
 Non se deben utilizar palabras presentes en dicionarios en ningún idioma. Hoxe en día
existen programas de ruptura de claves que basean o seu ataque en probar unha a unha
as palabras que extraen de dicionarios (“ataque por dicionario”).
– Suxerencia: Podes comprobar a fortaleza dos teus contrasinais en servizos como
How secure is my password?
Reutilización
 Os contrasinais hai que cambialos cunha certa regularidade e sen utilizar regras secuen-
ciais de cambio. Por exemplo, non se debe crear un novo contrasinal mediante un incre-
mento secuencial do valor en relación ao último contrasinal. P. ex.: pasar de “01Juitnx”
a “02Juitnx”.
 Débense utilizar distintos contrasinais para distintos servizos ou sistemas.
 Débense de cambiar os contrasinais por defecto proporcionados polos desenvolvedores
ou fabricantes.
Outras recomendacións
 Non escribir nin reflectir o contrasinal nun papel ou documento onde quede constancia
do mesmo. Tampouco se deben gardar en documentos de texto dentro do propio com-

Páxina 3
 putador ou dispositivo (ex: non gardar os contrasinais das tarxetas de débito/crédito no
móbil ou os contrasinais dos correos en documentos de texto dentro do computador),
 Non enviar nunca o contrasinal por correo electrónico, whatsapp ou sms. Tampouco se
debe facilitar nin mencionar nunha conversación ou comunicación de calquera tipo.
 Non escribir os contrasinais en computadores dos que se descoñeza o seu nivel de segu-
ridade e poidan estar monitorizados, ou en computadores de uso público (bibliotecas,
cibercafés, telecentros, etc.).
 Existen algúns trucos para crear un contrasinal que non sexa débil e se poida lembrar
máis facilmente. Por exemplo, pódense elixir palabras sen sentido pero que sexan pro-
nunciables. Podémonos axudar combinando esta selección con números ou letras e in-
troducir algunha letra maiúscula. Outro método sinxelo de creación de contrasinais
consiste en elixir a primeira letra de cada unha das palabras que compoñen unha frase
coñecida, dunha canción, película, etc. Con iso, mediante esta sinxela mnemotecnia é
máis sinxelo lembrala.
– Exemplo: da frase “Comín moito chocolate o domingo 3, pola tarde”, resultaría o
contrasinal: “cmCoD3-:xLt”. Nela, ademais, introduciuse algunha maiúscula, cam-
biouse o “por” nunha “x” e, se o sistema o permite, colocouse algún signo de pun-
tuación (-).
 Comprobar se o contrasinal que imos utilizar xa foi revelada nalgunha das filtracións
(leaks) de sitios da internet, xa que moitas das listas utilizadas para ataques de diciona-
rio baséanse nelas.
– Pódese usar para as devanditas comprobacións https://haveibeenpwned.com/Pa-
sswords. Este sitio, ademais, ten a súa propia API, polo que é posible xerar facil-
mente un script para automatizar as consultas.
 Para facilitar o labor de xerar e lembrar os contrasinais utilizados, pódese recorrer á uti-
lización de Xestores de Contrasinais.
 En contornos corporativos pode ser unha boa práctica realizar periodicamente audi-
torías de contrasinais mediante ferramentas especializadas, analizando as claves exis-
tentes e a súa complexidade. Algúns exemplos de ferramentas son:
– L0phtCrack
– John the Ripper
– HashCat
– THC-Hydra

E, por suposto. ...non dicilas na TV!!!! (vídeo) ;-)

– Suxerencia: Conferencia “I know your P4$$w0rd (and if i don´t, I will guess

it)" (J. Sánchez y P. Caro, Telefónica).

Páxina 4
1.4 Contrasinais en sistemas Windows

1.4.1 Almacenamento e formato

En sistemas Windows os contrasinais das contas de usuario e de equipo poden estar alma-
cenadas en dúas localizacións diferentes:
 A base de datos SAM (Security Account Manager) para as contas locais
 A base de datos do directorio activo NTDS.DIT (NT Directory Services) para contas
de dominio de Active Directory.
Os formatos de almacenamento utilizados son LM (versións antigas de Windows) e
NTLM para as versións máis actuais. Non hai que confundilos cos mecanismos de auten-
ticación ou os hashes que se xeneran neles e que levan o mesmo nome (deles falaremos na
seguinte unidade) e que, baixo certas circunstancias, tamén poden aparecer almacenados
en memoria ou en caché.

1.4.1.1 LM Hash (Lan manager hash)1

Usado en sistemas Windows 2000/2003 e Windows 9x e XP, aínda que por compatibilida-
de cara atrás poden ser usados en versións posteriores de Windows.
Tendo en conta a potencia de cálculo dos equipos actuais e as debilidades no seu de-
seño, LM está considerado a día de hoxe virtualmente inútil independentemente da clave
utilizada. Algunhas das súas debilidades son:
 Converte todo a maiúsculas, reducindo por tanto o número de combinacións posibles.
 Se o contrasinal é inferior a 7 caracteres énchese con caracteres nulos.
 Os contrasinais non poden ser superiores a 14 caracteres.
 Se o contrasinal ten máis de 7 caracteres divídese en dous bloques independentes, polo
que, en caso de estar a usar un contrasinal de 14 caracteres (o máximo posible) os ata-
ques de forza bruta terían que atopar 2 contrasinais de 7 caracteres no canto dun contra-
sinal de 14, o que reduce exponencialmente o tempo de cálculo.
– Proba: Podes probar a xerar un hash LM dun contrasinal e despois crackealo,
usando as seguintes ferramentas online:
– Xerador de Hashes LM, NTLM: https://www.tobtu.com/lmntlm.php
– LM cracking hash: http://rainbowtables.it64.com/

1.4.1.2 NT Hash o NTLM (New Technology Lan Manager)

A partir de sistemas Windows 2008/Vista úsase por defecto NTLM (aínda que por compa-
tibilidade pódese seguir facendo uso de LM). NTLM introduce varias melloras respecto a
LM:
 Diferenza entre maiúsculas e minúsculas.
 Aumenta a lonxitude máxima de contrasinal a 127 caracteres.
 Non separa o contrasinal en dous bloques distintos.
 Calcula o hash cifrando co estándar MD4.
1Fonte: https://en.wikipedia.org/wiki/LAN_Manager#LM_hash_details
Páxina 5
 A pesar destas melloras, se seguimos usando contrasinais débiles, NTLM segue sendo vul-
nerable a ataques de dicionario e de forza bruta (mellorados mediante o uso de rainbow ta-
bles). E existen múltiples bases de datos dispoñibles na internet con hashes NTLM resol-
tos.
– Recomendación: Unha boa práctica antes de utilizar un novo contrasinal nun sis-
tema Windows é comprobar se o seu hash NTLM xa existe nalgunha das bases de
datos NTLM que existen na internet.
– Xerador de Hashes LM, NTLM: https://www.tobtu.com/lmntlm.php
– NTLM database hashes:
 https://hashes.com/en/decrypt/hash
 https://crackstation.net
 https://md5decrypt.net/en/Ntlm/
– NTLM crack hashes
 https://gpuhash.me/
 https://www.onlinehashcrack.com/

Como dixemos anteriormente, os sistemas Windows a partir de Windows 2008/Vista xa

non almacenan por defecto os contrasinais en formato LM, aínda que segue existindo a
posibilidade de facelo. Isto contrólase na seguinte directiva:
Directiva de seguridad local/Configuración de seguridad/Directivas locales/Opciones de
seguridad/Seguridad de red: no almacenar valor de hash de LAN manager en el próximo
cambio de contraseña (valor por defecto: Habilitado)
– Nota.- No apartado de Documentación complementaria tedes o Caso práctico. Au-
ditoria de contrasinais en sistemas Windows, onde podedes ver algunhas técnicas
e ferramentas para poder acceder á base de datos SAM dunha máquina Windows e
comprobar a fortaleza dos hashes NTLM almacenados nela.

1.5 Políticas de contrasinais

Dentro da política de seguridade da nosa empresa, a política de contrasinais ocupa un
lugar central. Esta política variará en función da esixencia de seguridade da organización e
poden ser distintas en función dos sistemas ou as áreas ás que se apliquen. De calquera
forma, en todos os casos débense de contemplar aspectos relevantes como:
 Períodos de validez para os cantrasinais
 Posibilidade de reutilización de contrasinais xa usados
 Formato do contrasinal:
– Lonxitude mínima
– Tipos de caracteres que deben incluír
– Cumprimento de regras semánticas
 Posibilidade de elección e modificación do contrasinal por parte do usuario
 Almacenamento das claves:
– Tamaño do histórico de claves a almacenar para cada usuario
– Método de cifrado das claves.
 Número de intentos de autenticación permitidos.

Páxina 6
 – Suxerencia: Véxase Apartado 9.1. “Autenticación mediante contrasinais” do
CCN-STIC-822 Procedimientos de Seguridad (ANEXO I) que recolle distintos
procedimentos de seguridade do ENS (Esquema nacional de seguridade).

1.5.1 Parámetros de xestión de contrasinais en sistemas operativos

Para facilitar a correcta implantación dunha política de contrasinais xa definida, os siste-

mas operativos incorporan funcionalidades que permiten establecer certos parámetros que
afectan á política de contrasinais. Entre eles podemos citar as seguintes:
 Lonxitude mínima.
 Restricións de formato.
 Número de intentos limitado.
 Envellecemento e expiración.
 Historial de contrasinais.
En caso de non ser suficiente coas funcionalidades ofrecidas polo propio sistema, sempre
se pode recorrer a ferramentas de terceiros como poden ser ADSelfService, JumpCloud e
Keeper, entre outras.

Páxina 7