Procedimientos recomendados para proteger Active Directory

Los ataques contra infraestructuras informáticas han aumentado durante la última década en todo el mundo. Vivimos en una época de guerra y delincuencia cibernéticas y hacktivismo. Como resultado, organizaciones de todos los tamaños de todo el mundo han tenido que tratar con fugas de información, robo de propiedad intelectual (IP), ataques por denegación de servicio (DDoS) o incluso destrucción de sus infraestructuras.

Sin embargo, a medida que el panorama de amenazas ha ido cambiando a lo largo de los años, el panorama de seguridad también se ha ido adaptando para contrarrestar estas amenazas. Si bien ninguna organización con una infraestructura de tecnología de la información (TI) es totalmente inmune a los ataques, el objetivo final de la seguridad no es prevenir plenamente los intentos de ataque, sino proteger la infraestructura de TI frente a estos. Con las directivas, los procesos y los controles adecuados, puede proteger las partes clave de la infraestructura de TI frente a riesgos.

En este artículo, se describen los tipos de vulnerabilidades más comunes que hemos observado en las implementaciones de Active Directory (AD). A continuación, le proporcionaremos recomendaciones sobre cómo proteger estos puntos débiles frente a riesgos. Hemos diseñado estas recomendaciones en función de la experiencia de nuestras organizaciones de Microsoft IT (MSIT) y Microsoft Information Security and Risk Management (ISRM). También le mostramos los pasos que puede seguir para reducir la cantidad de infraestructura vulnerable o la superficie expuesta a ataques de su implementación de AD frente al mundo exterior. Además, se incluyen sugerencias sobre cómo recuperar datos esenciales y el funcionamiento de la infraestructura en caso de producirse un riesgo de seguridad.

Vulnerabilidades de seguridad comunes

Para saber la mejor forma de proteger su infraestructura, primero debe comprender dónde es más probable que se produzcan los ataques y cómo funcionan. En este artículo solo se abordan recomendaciones generales, pero si quiere obtener más detalles, hemos incluido vínculos a artículos más exhaustivos.

Ahora, vamos a echar un vistazo a las vulnerabilidades de seguridad más comunes.

Puntos de entrada comunes

Los objetivos de infracción iniciales, o puntos de entrada, son aquellas áreas de la infraestructura de TI en las que los atacantes pueden entrar con mayor facilidad. Los puntos de entrada suelen ser brechas de seguridad o actualizaciones que los atacantes pueden aprovechar para obtener acceso a un sistema dentro de la infraestructura. Los atacantes suelen empezar con uno o dos sistemas a la vez y, después, escalan su ataque a medida que propagan su influencia en más sistemas sin ser detectados.

Las vulnerabilidades más comunes son:

  • Lagunas en la implementación de antivirus y antimalware

  • Aplicación de revisiones incompleta

  • Aplicaciones y sistemas operativos obsoletos

  • Error de configuración

  • Falta de prácticas seguras de desarrollo de aplicaciones

Robo de credenciales

Los ataques de robo de credenciales se producen cuando un atacante obtiene acceso con privilegios a un equipo de una red con herramientas para extraer las credenciales de las sesiones de las cuentas que tienen una sesión iniciada en ese momento. Los atacantes suelen dirigirse a cuentas específicas que ya tienen privilegios elevados. El atacante roba las credenciales de esa cuenta para imitar su identidad a fin de obtener acceso al sistema.

Los ladrones de credenciales suelen tener como objetivo estos tipos de cuentas:

  • Cuentas con privilegios permanentes

  • Cuentas VIP

  • Cuentas de Active Directory conectadas con privilegios

  • Controladores de dominios

  • Otros servicios de infraestructura que afectan a la administración de identidades, del acceso y de la configuración, como servidores de administración de sistemas o servidores de infraestructura de clave pública (PKI)

Los usuarios que tienen cuentas con privilegios elevados corren mayor riesgo de robo de sus credenciales si participan en los comportamientos siguientes:

  • Inicio de sesión en sus cuentas con privilegios en equipos no protegidos

  • Exploración de Internet mientras tienen una sesión iniciada en una cuenta con privilegios

También debe evitar configuraciones deficientes y de riesgo para proteger la seguridad de las credenciales de su sistema, como:

  • Configuración de cuentas con privilegios locales con las mismas credenciales en todos los sistemas.

  • Asignación de demasiados usuarios a grupos de dominio con privilegios, lo que fomenta el uso excesivo.

  • Administración insuficiente de la seguridad del controlador de dominio.

Para obtener más información sobre las cuentas vulnerables, consulte Cuentas atractivas para el robo de credenciales.

Reducción de la superficie expuesta a ataques de Active Directory

Para evitar ataques, reduzca la superficie expuesta a ataques en su implementación de Active Directory. En otras palabras, si cierra las brechas de la seguridad que hemos mencionado en la sección anterior, hace que su implementación sea más segura.

Evitar conceder privilegios excesivos

Los ataques de robo de credenciales dependen de que los administradores concedan privilegios excesivos a determinadas cuentas. Para evitar estos ataques, haga lo siguiente:

  • Recuerde que en Active Directory hay tres grupos integrados con los privilegios más altos de forma predeterminada: Administradores de empresas, Admins. del dominio y Administradores. Asegúrese de seguir los pasos necesarios para proteger esos tres grupos, junto con el resto de grupos a los que su organización haya concedido privilegios elevados.

  • Implemente modelos administrativos con privilegios mínimos. Si puede evitarlo, no use cuentas con privilegios elevados para las tareas administrativas cotidianas. Además, asegúrese de que sus cuentas de administrador solo tengan los privilegios de línea base requeridos para realizar sus trabajos, sin privilegios adicionales innecesarios. Evite conceder privilegios excesivos a las cuentas de usuario que no los necesiten. Asegúrese de no asignar accidentalmente a una cuenta los mismos privilegios en todos los sistemas, a menos que los necesite absolutamente.

  • Compruebe las siguientes áreas de su infraestructura para asegurarse de no conceder privilegios excesivos a las cuentas de usuario:

    • Active Directory

    • Servidores miembro

    • Estaciones de trabajo

    • APLICACIONES

    • Repositorios de datos

Para obtener más información, consulte Implementación de modelos administrativos de privilegios mínimos.

Use hosts administrativos seguros

Los hosts administrativos seguros son equipos configurados para admitir la administración de instancias de Active Directory y otros sistemas conectados. Estos hosts no ejecutan software no administrativo, como aplicaciones de correo electrónico, exploradores web o software de productividad como Microsoft Office.

Al configurar un host administrativo seguro, debe seguir estos principios generales:

  • Nunca administre un sistema de confianza desde un host de confianza menor.

  • Requiera autenticación multifactor al usar cuentas con privilegios o realizar tareas administrativas.

  • La seguridad física de sus hosts administrativos es tan importante como la seguridad del sistema y de la red.

Para obtener más información, consulte Implementación de hosts administrativos seguros.

Mantener la seguridad de los controladores de dominio

Si un atacante obtiene acceso con privilegios a un controlador de dominio, puede modificar, dañar y destruir la base de datos de AD. Un ataque al controlador de dominio amenaza potencialmente todos los sistemas y cuentas administrados por AD dentro de la organización. Por lo tanto, es importante que tome las medidas siguientes para mantener la seguridad de los controladores de dominio:

  • Mantenga la seguridad física de los controladores de dominio en sus centros de datos, sucursales y ubicaciones remotas.

  • Familiarícese con el sistema operativo del controlador de dominio.

  • Configure los controladores de dominio con herramientas de configuración integradas y disponibles de forma gratuita para crear líneas base de configuración de seguridad que puedan aplicarse con objetos de directiva de grupo (GPO).

Para obtener más información, consulte Protección de los controladores de dominio frente a ataques.

Supervisión de Active Directory en busca de indicios de ataque o riesgo

Otra forma de proteger la implementación de AD es supervisarla para detectar signos de ataques malintencionados o riesgos de seguridad. Puede usar categorías de auditoría heredadas y subcategorías de directivas de auditoría, o bien usar una directiva de auditoría avanzada. Para obtener más información, consulte Recomendaciones de la directiva de auditoría.

Planeamiento para riesgos de seguridad

Aunque puede proteger su implementación de AD frente a los ataques externos, no existe la defensa perfecta. Es importante que, además de adoptar medidas preventivas, también se elaboren planes para el peor de los escenarios. Al planificar para abordar infracciones de seguridad, debe seguir las directrices propuestas en Planeación del compromiso, sobre todo la sección Replanteamiento del enfoque. También debe leer Mantenimiento de un entorno más seguro.

Este es un breve resumen de lo que debe hacer al elaborar planes frente a los riesgos de seguridad, como se describe en mayor detalle en Mantenimiento de un entorno más seguro:

  • Mantenimiento de un entorno más seguro

  • Creación de procedimientos de seguridad centrados en la empresa para AD

  • Asignación de la propiedad empresarial a los datos de AD

  • Implementación de la administración del ciclo de vida controlado por la empresa

  • Clasificación de todos los datos de AD como sistemas, aplicaciones o usuarios

Para seguir leyendo más detalles sobre estos procedimientos, consulte Mantenimiento de un entorno más seguro.

Tabla de resumen de las medidas de seguridad

En la tabla siguiente se resumen las recomendaciones enumeradas en este artículo, en orden de prioridad. Las más cercanas a la parte inferior de la tabla son las que usted y su organización deben priorizar al configurar Active Directory. Sin embargo, también puede ajustar libremente el orden de prioridad y la forma de implementar cada medida en función de las necesidades exclusivas de su organización.

Cada una de las medidas se clasifica también por categoría, en función de si es táctica, estratégica, preventiva o de detección. Las medidas tácticas se centran en componentes específicos de AD y cualquier infraestructura relacionada. Las medidas estratégicas son más exhaustivas y, por lo tanto, requieren una mayor planificación para implementarlas. Las medidas preventivas previenen los ataques de usuarios malintencionados. Las medidas de detección le ayudan a detectar las vulneraciones de seguridad tan pronto como se producen, antes de que puedan extenderse a otros sistemas.

Medida de seguridad Estratégica o táctica De naturaleza preventiva o detectivesca
Aplique parches en las aplicaciones. Táctica Prevención
Aplique parches en los sistemas operativos. Táctica Prevención
Implemente y actualice rápidamente el software antivirus y antimalware en todos los sistemas, y supervise los intentos de quitarlos o deshabilitarlos. Táctica Ambos
Supervise los objetos confidenciales de Active Directory en busca de intentos de modificación y los de Windows en busca de eventos que puedan indicar intentos de ataque. Táctica Detección
Protección y supervisión de cuentas para usuarios que tienen acceso a datos confidenciales. Táctica Ambos
Impida que se usen cuentas eficaces en sistemas no autorizados. Táctica Prevención
Elimine la pertenencia permanente en grupos con privilegios elevados. Táctica Prevención
Implemente controles para conceder pertenencia temporal a grupos con privilegios cuando sea necesario. Táctica Prevención
Implemente hosts administrativos seguros. Táctica Prevención
Use las listas de aplicaciones permitidas en los controladores de dominio, los hosts administrativos y otros sistemas confidenciales. Táctica Prevención
Identifique los recursos críticos y dé prioridad a su seguridad y supervisión. Táctica Ambos
Implemente controles de acceso con privilegios mínimos basados en roles para administrar el directorio, su infraestructura auxiliar y los sistemas unidos a un dominio. Estratégico Prevención
Aísle las aplicaciones y los sistemas heredados. Táctica Prevención
Retire los sistemas y aplicaciones heredados. Estratégico Prevención
Implemente programas de ciclo de vida de desarrollo seguros en las aplicaciones personalizadas. Estratégico Prevención
Implemente la administración de la configuración, revise su cumplimiento periódicamente y evalúe la configuración con cada nueva versión de hardware o software. Estratégico Prevención
Migre recursos críticos a bosques prístinos con estrictos requisitos de seguridad y supervisión. Estratégico Ambos
Simplifique la seguridad para los usuarios finales. Estratégico Prevención
Use firewalls basados en host para controlar y proteger las comunicaciones. Táctica Prevención
Aplique parches a los dispositivos. Táctica Prevención
Implemente la administración del ciclo de vida centrado en el negocio para los recursos de TI. Estratégico N/D
Cree o actualice planes de recuperación ante incidentes. Estratégico N/D