Active Directory: Guía de buenas prácticas en seguridad
La seguridad de Active Directory es importante porque Active Directory (AD) representa las llaves del castillo. Imagina esa caja donde guardas todas las llaves físicas de cada puerta de las oficinas del edificio. AD es igual, pero para cada ordenador o servidor, aplicación de software o servicio que ejecutas en su red entera. Debes mantener esa caja física de llaves protegida y probablemente necesitas más seguridad para proteger a AD de ciberataques.
Índice de contenidos
¿Por qué es crítica la seguridad de Active Directory?
Porque el Directorio Activo es fundamental en todos los pasos de la cadena de ciberataques. Para perpetuar un ataque, sus responsables necesitan robar credenciales o comprometer una cuenta con malware, y luego escalar los privilegios para tener acceso a todos los recursos que necesitan. Si no se dispone de los controles de seguridad y auditoría adecuados, los atacantes podrían ocultar y robar los datos que quisieran, y es posible que esto nunca se sepa.
Riesgos de seguridad comunes de Active Directory
Active Directory existe desde Windows 2000, y eso es tiempo suficiente para que los atacantes hayan descubierto muchas formas diferentes de explotar las vulnerabilidades en el sistema y alrededor de él, incluyendo a los humanos que lo utilizan.
Vulnerabilidades de seguridad comunes de Active Directory
- En la actualidad, AD utiliza la autenticación Kerberos, que a su vez tiene varias vulnerabilidades.
- AD solía usar y todavía soporta la encriptación NTLM, que es muy débil en los estándares de hoy en día.
- Los atacantes pueden usar un ataque de fuerza bruta para entrar en el Directorio Activo.
- El phishing y el malware son métodos muy comunes para robar las credenciales de los usuarios.
Amenazas de seguridad de Active Directory relacionadas con el usuario
- El phishing también entra en esta categoría, porque no siempre ataca directamente a la AD, sino que se aprovecha del deseo del humano de hacer clic en un enlace.
- La ingeniería social es phishing pero más en persona, como cuando alguien te llama y te dice que es del departamento de TI y que tienes que iniciar sesión con tu usuario y contraseña. Sin embargo, no son de TI, y simplemente te roban las credenciales.
- Un elemento de la ingeniería social es el ‘spear phishing‘. Consiste en hacerse pasar por un funcionario de alto rango de una empresa para engañar a otros con el fin de robar dinero o datos.
Mejores prácticas de seguridad de Active Directory
Para contrarrestar las numerosas vulnerabilidades y ataques que se utilizan para entrar en AD, los expertos en seguridad han desarrollado un conjunto de mejores prácticas para asegurar el directorio activo.
Documentar el Directorio Activo
Para mantener un AD limpio y seguro, debes saber todo sobre ese Active Directory. Eso incluye nomenclatura de documentos y políticas de seguridad clave, además de cada usuario, cuenta de servicio, ordenador y grupo de acceso…
- Identifica todos los ordenadores, usuarios, dominios y nomenclatura OU.
- Describe tu jerarquía OU, la configuración del DNS, la numeración de red y la configuración del DHCP.
- Enumera las principales funciones de tus GPO y el proceso de organización.
- Toma nota de las ubicaciones de las funciones de los Roles de AD (FSMO).
- Identifica la política de la organización al agregar nuevas cuentas de usuario o al revocar cuentas de usuario.
- Describe la política de la organización para las restricciones de usuario.
Aplicar prácticas seguras entre los usuarios
Una vez que tengas el resto de tu stack de seguridad reforzada, el eslabón débil serán las propias personas. Harán clic en un enlace de phishing o se dejarán engañar por una estafa de phishing de ballenas o de ingeniería social (esto va a suceder). Es vital que prepares y entrenes a tus usuarios para que reconozcan estas amenazas y que tengan la capacidad de notificar al equipo de soporte o seguridad si sospechan que un atacante ha puesto en peligro su cuenta.
A continuación, se presentan algunos otros aspectos básicos para aplicar con tus usuarios:
- Aplicar una buena política de contraseñas.
- Entrena a los usuarios para que reconozcan los ataques de phishing.
- Evita que los usuarios realicen cambios administrativos en su portátil que puedan comprometer su seguridad.
- Proporciona a los administradores de sistemas dos cuentas. Una será para el uso normal y la otra, una cuenta de administrador para realizar cambios.
- Limita las cuentas administrativas a los sistemas asignados, con redundancias en su lugar, por supuesto. No quieres una sola cuenta de Administrador que pueda abrir todas las ‘puertas’.
Controlador de Dominio Seguro
Puedes configurar tu red para permitir el acceso a los DCs sólo desde un ordenador reforzado y seguro sin acceso a Internet. Al agregar esta capa de seguridad, tu DC estará más seguro ante intrusiones externas o ataques de escalada de privilegios desde el interior de tu red.
Y por último, pero no menos importante…
Modelo de Menor Privilegio
Cada usuario sólo tiene acceso a los recursos que necesita para hacer su trabajo, incluyendo administradores y cuentas de servicio. Si alguna cuenta se ve comprometida, el uso del modelo de privilegios mínimos minimizará el riesgo general de exposición al robo de datos.
Supervisa el Directorio Activo para detectar cualquier compromiso
Por último, y lo más importante, monitorizar el Directorio Activo. Debes conocer cada cambio, cada solicitud de ingreso y cada cambio de GPO que ocurra en tus centros de distribución. Esa es una enorme cantidad de datos y requerirá automatización para analizarlos.
Por ejemplo, un usuario que se conecta después del horario laboral no es necesariamente tan interesante. Sin embargo, otro que se conecta después del horario laboral desde un país diferente y luego accede a datos sensibles de tarjetas de crédito sí lo es.
Hola buen articulo y bastante claro lo que expones. Mira buscaba algo mas relacionado con la seguridad, es que necesito justificar en la defensa de mi tesis la mala practica que incurren unas empresas en el montar los roles de active Directory y el rol de fileserver, de poder se puede pero ando en busca de un articulo que indique eso. no se si tienes algo así.
Desde ya muchas gracias
Hola Edgardo, ante todo gracias por participar.
Con respecto a este tema, aunque no tenemos publicado ningún artículo específico sobre lo que comentas, indicarte que por razones de rendimiento y seguridad, se recomienda que un DC no tenga roles que no sean DNS y DHCP. Por supuesto, si no tiene los recursos necesarios, un DC puede ser “fileserver”, pero nunca es recomendable.
Active Directory (AD) es uno de los componentes más críticos de cualquier infraestructura de TI. En un entorno basado en Windows, casi todas las aplicaciones y herramientas están integradas con Active Directory para autenticación, exploración de directorios e inicio de sesión único. Una interrupción en Active Directory puede paralizar a toda una empresa.
Por tanto, debido a esta importancia crítica, la primera prioridad de un administrador de AD es garantizar la estabilidad, disponibilidad y seguridad del entorno de Active Directory. Hay que pensar más en la alta disponibilidad de nuestros controladores de dominio que en añadirles roles que nos compliquen su administración y mantenimiento.
En internet puedes encontrar numerosos artículos que hablan de las buenas prácticas con los roles de AD así como de recomendaciones al respecto.
Un saludo.