Contraseñas y frases de contraseña de Windows LAPS
Obtenga información sobre cómo se crean contraseñas y frases de contraseña para Solución de contraseñas de administrador local de Windows (Windows LAPS).
Información general
El propósito principal de Windows LAPS es rotar regularmente la contraseña de una cuenta local de Windows. Es importante comprender cómo Windows LAPS genera contraseñas aleatorias (o frases de contraseña aleatorias).
Conjuntos de caracteres de contraseña
Windows LAPS admite cinco configuraciones de complejidad diferentes que se pueden usar para generar contraseñas aleatorias. La configuración de la directiva PasswordComplexity se usa para elegir qué juegos de caracteres se usan al crear una contraseña.
| Configuración de PasswordComplexity | Descripción | Juegos de caracteres |
|---|---|---|
| 1 | Letras mayúsculas | ABCDEFGHIJKLMNOPQRSTUVWXYZ |
| 2 | Letras mayúsculas + letras minúsculas | ABCDEFGHIJKLMNOPQRSTUVWXYZ abcdefghijklmnopqrstuvwxyz |
| 3 | Letras mayúsculas + letras minúsculas + números | ABCDEFGHIJKLMNOPQRSTUVWXYZ abcdefghijklmnopqrstuvwxyz 0123456789 |
| 4 | Letras mayúsculas + letras minúsculas + números + caracteres especiales | ABCDEFGHIJKLMNOPQRSTUVWXYZ abcdefghijklmnopqrstuvwxyz 0123456789 ",.-+;!#&@{}[]$/()%" |
| 5 | Letras mayúsculas + minúsculas + números + (legibilidad mejorada) | "ABCDEFGHJKLMNPRSTUVWXYZ" "abcdefghijkmnpqrstuvwxyz" "23456789" "!#%+@:=?*" |
Cuando se elige una configuración de complejidad con varios juegos de caracteres, Windows LAPS garantiza que la contraseña resultante contenga al menos un carácter elegido aleatoriamente de cada juego de caracteres.
La longitud de las contraseñas se controla mediante la configuración de directiva PasswordLength. Las contraseñas creadas por Windows LAPS tienen de forma predeterminada 14 caracteres de longitud y se pueden configurar para que tengan de 8 a 64 caracteres de longitud.
La configuración de complejidad de la contraseña cinco equivale a la configuración de complejidad de la contraseña cuatro, con las siguientes modificaciones realizadas para mejorar la legibilidad y evitar confusiones. Las diferencias entre la configuración cuatro y la configuración cinco son las siguientes:
- Quita las letras "I', 'O', 'Q', 'l' y 'o'
- Quita los números '0' y '1'
- Quita los símbolos ',', '.', '&', '{', '}', '[', ']', '(', ')' y ';'
- Agrega los símbolos ':', '=', '?' y '*'
Importante
La configuración de PasswordComplexity de '5' solo se admite en Windows 11 24H2, Windows Server 2025 y versiones posteriores. No es necesario implementar ningún controlador de dominio de Windows Server 2025 para poder usar esta nueva configuración.
Listas de palabras de frase de contraseña
Windows LAPS admite tres configuraciones de complejidad diferentes que se pueden usar para generar frases de contraseña aleatorias. La configuración de directiva PasswordComplexity se usa para elegir qué listas de palabras se usan al crear una frase de contraseña:
| Configuración de PasswordComplexity | Descripción | Número de palabras de la lista |
|---|---|---|
| 6 | Palabras largas | 7776 |
| 7 | Palabras cortas | 1276 |
| 8 | Palabras cortas con prefijos únicos | 1276 |
La longitud de las frases de contraseña se controla mediante la configuración de directiva PassphraseLength. Las frases de contraseña creadas por Windows LAPS de forma predeterminada son seis palabras de longitud y se pueden configurar para que sean de tres a 10 términos de longitud. El primer carácter de cada palabra siempre está en mayúsculas para mejorar la legibilidad. No se usan signos de puntuación ni otros caracteres de división entre palabras.
Ejemplo de frase de contraseña creada con seis palabras tomadas de la lista "Palabras largas":
SkiingProduceIdentifyStarlitOctaneDistress
Las listas de palabras de frase de contraseña se tomaron de "Deep Dive: EFF's New Wordlists for Random Passphrases" de Electronic Frontier Foundation, y se usan bajo una licencia de atribución CC-BY-3.0. El contenido específico de todas las listas de palabras de frase de contraseña de Windows LAPS se puede descargar desde Listas de palabras de frase de contraseña de Windows LAPS. Microsoft realizó pequeñas modificaciones en las listas de palabras originales; todos los cambios se detallan en las listas descargables.
Importante
La compatibilidad con la frase de contraseña de Windows LAPS solo se admite en Windows 11 24H2, Windows Server 2025 y versiones posteriores. No es necesario implementar ningún controlador de dominio de Windows Server 2025 para poder usar esta nueva configuración.
Consideraciones de entropía
Windows LAPS crea contraseñas y frases de contraseña verdaderamente aleatorias (no es posible ningún sesgo humano). Por lo tanto, es fácil calcular los bits resultantes de entropía para una contraseña/frase de contraseña de una longitud determinada. En la tabla siguiente se enumeran los bits resultantes de entropía en un conjunto de muestra de longitudes de contraseña/frase de contraseña.
La configuración de complejidad de contraseña admitida se muestra en la parte superior de la tabla y las longitudes de contraseña/frase de contraseña se enumeran en el lado izquierdo. Los valores de entropía para la configuración de longitud de directiva predeterminada se muestran en negrita:
| Configuración de PasswordComplexity: > Contraseña o frase de contraseña V |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
|---|---|---|---|---|---|---|---|---|
| 3 | 39 | 31 | 31 | |||||
| 4 | 52 | 41 | 41 | |||||
| 5 | 65 | 52 | 52 | |||||
| 6 | 78 | 62 | 62 | |||||
| 7 | 90 | 72 | 72 | |||||
| 8 | 38 | 46 | 48 | 51 | 48 | 103 | 83 | 83 |
| 9 | 42 | 51 | 54 | 57 | 54 | 116 | 93 | 93 |
| 10 | 47 | 57 | 60 | 63 | 60 | 129 | 103 | 103 |
| 11 | 52 | 63 | 65 | 70 | 66 | |||
| 12 | 56 | 68 | 71 | 76 | 72 | |||
| 13 | 61 | 74 | 77 | 82 | 78 | |||
| 14 | 66 | 80 | 83 | 89 | 84 | |||
| 20 | 94 | 114 | 119 | 126 | 120 | |||
| 40 | 188 | 228 | 238 | 253 | 240 | |||
| 60 | 282 | 342 | 357 | 379 | 360 |
En el extremo superior de los intervalos de longitud permitidos, los niveles de entropía podrían considerarse excesivos para la mayoría de los entornos de TI normales. Tenga en cuenta que normalmente hay un equilibrio entre la seguridad y la facilidad de uso. Por ejemplo, es difícil que los seres humanos lean y escriban contraseñas largas y complejas. Cambiar a frases de contraseña es una manera útil de mejorar estos problemas mientras se conserva una cantidad razonable de entropía. Si maximizar la seguridad es una preocupación primordial, puede considerar protecciones alternativas, por ejemplo, mantener la cuenta administrada en un estado deshabilitado de forma predeterminada.
Consulte también
Pasos siguientes
Ahora que comprende cómo se crean las contraseñas y las frases de contraseña, eche un vistazo a estas otras secciones.