Me gustaría comprender más a fondo los riesgos para explicárselo a alguien que tiene una política de contraseña que no está configurada en absoluto.
Supongo que de su pregunta tiene un nuevo dominio de Active Directory que se ha configurado con la política de contraseña predeterminada. Es de suponer que también tiene una política de bloqueo de cuenta predeterminada.
De forma predeterminada, las contraseñas tienen una caducidad de 42 días, una duración mínima de 7, y deben cumplir con las reglas de complejidad de las contraseñas (por ejemplo, no puede contener el nombre de usuario, debe contener 3 mayúsculas, minúsculas, dígitos, caracteres especiales o símbolos ). Estas reglas no parecen terribles, por lo que dejarlas en sus valores predeterminados no presenta un riesgo intolerable.
Sin embargo, la política de bloqueo de la cuenta por defecto está deshabilitada . Esto abre su dominio a ataques de fuerza bruta, ya que un usuario puede probar tantas contraseñas como desee durante el tiempo que desee. Como mínimo, debe activar esto, incluso a un número algo alto (por ejemplo, 20).
Lea otras preguntas en las etiquetas password-policy account-security