MENU
  1. Inicio
  2. Windows
  3. Windows Server
  4. Cómo aumentar la longitud mínima de contraseña a 15 caracteres en Windows Server 2016/2019

Cómo aumentar la longitud mínima de contraseña a 15 caracteres en Windows Server 2016/2019

Windows Server

Dentro de muchos entornos de Active Directory todavía persiste la creencia de que Windows Server “no permite” exigir contraseñas de quince caracteres o más. La realidad es que, desde Windows Server 2016 / 2019, Microsoft ofrece varios caminos —algunos heredados y otros de nueva generación— para romper el techo histórico de 14 caracteres y elevar así la seguridad sin sacrificar funcionalidad. Este artículo profundiza en el porqué de esa limitación, describe tres métodos probados para superarla y comparte recomendaciones prácticas para una adopción sin sobresaltos.

Índice

Por qué existe un límite histórico de 14 caracteres

La restricción proviene de los antiguos algoritmos LM Hash y NTLMv1, que cortaban las contraseñas más allá de 14 caracteres para compararlas. Aunque LM está deshabilitado por defecto desde Windows Vista y Server 2008, algunos procesos de compatibilidad legada seguían asumiendo la misma longitud máxima, por lo que Microsoft dejó el cuadro Minimum password length topado en 14 hasta la actualización de octubre 2020 (versión 2004) de Windows 10 / Server.

A partir de esa build se añadieron dos nuevas configuraciones de directiva:

  • Relax minimum password length limits
  • Minimum password length audit

Con ellas, el tope sube de 14 a 128 caracteres —el máximo histórico de Active Directory— y además puede auditarse de forma inofensiva antes de forzar la nueva regla.

Comparativa de métodos

OpciónCuándo usarlaPasos esenciales
Nueva configuración de GPO (recomendada)Todos los controladores de dominio ya ejecutan Windows Server v2004 + y han recibido los patch Tuesday de seguridad más recientes.Copiar las plantillas ADMX/ADML actualizadas al Central Store. Editar la GPO desde un equipo con Windows 10/11 v2004 +. Ruta: Computer Configuration → Windows Settings → Security Settings → Account Policies → Password Policy. Habilitar Relax minimum password length limits. Introducir “15” (o más) en Minimum password length. (Opcional) Activar Minimum password length audit durante 3‑6 meses y revisar los eventos 16978 para detectar software incompatible.
Fine‑Grained Password Policies (PSO)El dominio debe admitir excepciones puntuales (por ejemplo, cuentas de servicio) o aún existen DC antiguos imposibles de actualizar.Nivel funcional mínimo: Windows Server 2008. Crear un PSO: New‑ADFineGrainedPasswordPolicy ‑Name "Contraseña+15" ‑MinPasswordLength 15 ‑Precedence 1 Vincularlo a los grupos/usuarios pertinentes: Add‑ADFineGrainedPasswordPolicySubject "Contraseña+15" -Subjects "Servidores‑Legacy" Comprobar con Get‑ADUserResultantPasswordPolicy.
Solución de registro/comando localLaboratorios, entornos aislados o dominios extremadamente antiguos donde no se aplican GPOs modernas.Registrar HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Network\MinPwdLen con valor 0x0F. O bien usar: net accounts /minpwlen:15. Advertencia: se sobrescribe en el próximo Group Policy refresh y Microsoft no lo considera método soportado.

Despliegue paso a paso de la directiva recomendada

1. Preparar el entorno

Verifica con Get‑ADForest | Select‑Object ForestMode que todo el bosque esté en modo funcional por lo menos Windows Server 2016. A continuación, ejecuta Get‑ADDomainController ‑Filter * y comprueba que cada DC informe la OperatingSystemVersion “10.0.19041” o superior.

2. Actualizar el Central Store con las ADMX más recientes

Descarga el paquete “Windows 10 ADMX templates” del Centro de descarga de Microsoft y copia el contenido de C:\PolicyDefinitions a \\FQDN\SYSVOL\FQDN\Policies\PolicyDefinitions. Asegúrate de reemplazar tanto los archivos .admx (neutrales) como las carpetas de lenguaje (.adml).

3. Crear o editar la GPO

Usa Group Policy Management Console en un puesto actualizado y edita la GPO de dominio predeterminada —o una nueva GPO enlazada a la raíz— siguiendo la ruta mencionada. Activa la casilla Relax minimum password length limits; al hacerlo, el selector numérico cambia inmediatamente de «0‑14» a «0‑128». Introduce “15” y aplica.

4. Activar la fase de auditoría

Antes de imponer el umbral, habilita Minimum password length audit. Cada vez que algún equipo o servicio intente establecer una clave de menos de 15 caracteres, el DC registrará un evento 16977 (rechazo) o 16978 (aceptación bajo auditoría). Con Get‑WinEvent puedes extractar solo esos IDs y exportarlos a CSV para diagnóstico:

Get‑WinEvent ‑FilterHashtable @{LogName='Security';Id=16978} |
  Select‑Object TimeCreated,UserId,MachineName |
  Export‑Csv c:\auditoria\pwdlen.csv

5. Revisar compatibilidades

Los fallos más comunes detectados en fase de auditoría son:

  • Sistemas integrados (IoT/embedded) con firmware antiguo.
  • Aplicaciones internas que almacenan contraseñas en web.config cifradas mediante APIs obsoletas.
  • Scripts heredados de PowerShell que emplean ConvertTo‑SecureString ‑AsPlainText y transmiten la contraseña en texto claro.

Actualiza o parchea antes de pasar al modo de imposición (enforcement).

6. Pasar del modo auditoría a imposición

Cuando el recuento de eventos 16978 descienda a cero durante al menos dos ciclos de cambio de contraseña (30‑60 días en la mayoría de empresas), deshabilita Minimum password length audit. A partir de ese momento, los DC rechazarán cualquier clave inferior a 15 caracteres con el evento 16977 y el usuario verá el mensaje estándar de “La contraseña no cumple los requisitos de la política.”

Escenarios de uso de PSO

Los Password Settings Objects resultan ideales cuando:

  • Necesitas que solo «Usuarios VIP» o «Cuentas privilegiadas» usen 20 caracteres, mientras el resto del dominio se mantiene en 12 caracteres.
  • Debes conservar un DC Windows Server 2008 R2 sin parchear por dependencia de un sistema ERP antiguo.
  • Quieres aplicar un límite aún más estricto (por ejemplo, 64 caracteres). Un PSO admite hasta 255 caracteres frente a los 128 de la GPO estándar.

Recuerda que, en caso de conflicto, se aplica el PSO con menor valor de Precedence. Utiliza Get‑ADUserResultantPasswordPolicy para verificar qué política final afectará a cada cuenta.

Preguntas frecuentes

¿Existe impacto en la base de datos de Active Directory? No. AD almacena el hash resultante y su longitud no varía significativamente entre 8 o 64 caracteres, salvo un crecimiento negligible en el atributo unicodePwd. ¿Romperé compatibilidad con NTLMv1 o LM? Valdría la pena desactivarlos por completo (Network security: LAN Manager authentication level = Send NTLMv2 response only) antes de elevar la longitud. En ese escenario toda la autenticación usa NTLMv2 o Kerberos, ambos plenamente compatibles. ¿Qué pasa con servidores Linux que montan recursos CIFS? Los clientes cifs-utils de kernel 4.11+ negocian NTLMv2 sin problema; versiones más antiguas deben parchearse o compilarse con soporte SPNEGO. ¿Y si un usuario pierde su contraseña de 20 caracteres? Los flujos de Self‑Service Password Reset de Entra ID Connect (antiguamente AAD) permiten registrar métodos secundarios (SMS, app, FIDO2) para evitar llamadas al help‑desk.

Errores comunes y cómo evitarlos

  • No sincronizar tiempos de expiración: define el ciclo de expiración (Maximum Password Age) a 75‑90 días y avisa al usuario con 14 días de antelación. Contraseñas largas suelen cambiarse con menos ganas.
  • Aplicar la GPO primero y auditar después: el bloqueo simultáneo de decenas de cuentas de servicio puede tumbar procesos críticos. Empieza siempre con auditoría.
  • Olvidar contraseñas en scripts: refactoriza a Managed Service Accounts o secretos en Azure Key Vault/HashiCorp Vault antes de forzar la longitud.

Buenas prácticas complementarias

  1. Usa passphrases fáciles de recordar pero largas: “Río‑Naranja‑Planeta‑42”.
  2. Activa Password History = 24 para evitar rotaciones triviales.
  3. Combínalo con Account Lockout Threshold = 5 e Observation Window = 10 minutos.
  4. Implementa MFA en logons privilegiados; la longitud de contraseña no sustituye la autenticación múltiple.
  5. Documenta los cambios en un Runbook de ITIL y comunica al usuario final con ejemplos de creación de frases largas.

Conclusiones

Romper la barrera de 14 caracteres es hoy un paso de higiene básica en cualquier dominio que pretenda alinearse con los estándares NIST SP‑800‑63 B o ISO/IEC 27001. Escoge el método que mejor encaje en tu realidad —GPO, PSO o solución puntual—, dedica un tiempo prudente a auditar, comunica con claridad y actualiza toda pieza heredada. Al finalizar, tu directorio será más resistente frente a ataques de password‑spraying y tu área de seguridad habrá ganado un aliado silencioso pero poderoso: la entropía.

Fuentes consultadas:
[1] Documentación oficial de Microsoft sobre Minimum Password Length auditing and enforcement.
[2] Discusión técnica en ServerFault sobre métodos para imponer longitud mínima superior a 14 caracteres.

Windows Server
seguridad Windows Server GPO contraseñas PSO
Índice