Directory Management: Los 7 errores más comunes

Los errores en la gestión de Active Directory pueden generar riesgos de seguridad, tiempo de inactividad y problemas de cumplimiento. Entre los fallos más comunes se incluyen utilizar cuentas de administrador para tareas diarias, abusar de los Domain Admins en lugar de delegar permisos y no contar con planes de recuperación. Otros errores consisten en administrar AD directamente desde los controladores de dominio, mantener cuentas obsoletas activas, aplicar políticas de contraseñas débiles y no auditar los cambios. Seguir el principio de privilegios mínimos, aplicar políticas sólidas y realizar una supervisión continua fortalece la seguridad y optimiza la gestión de Active Directory.

Gestionar Active Directory no es una tarea fácil, pero alguien tiene que hacerlo. Si ese “alguien” eres tú, entonces siempre debes tener en cuenta que los seres humanos cometen errores, incluso si son gurús de AD.

Para minimizar el riesgo de que tales errores ocurran bajo su supervisión, le guiaré a través de los más comunes y ayudaré a asegurar que nunca los cometa de nuevo.

Error #1. Usar cuentas con derechos de administrador para uso diario

No utilice cuentas de administrador de dominio o incluso cuentas de dominio locales para iniciar sesión si no necesita tales privilegios. Utilice una cuenta normal para acceder a una máquina y una cuenta de administrador/privilegiada para acceso elevado. La razón de esta separación es evitar brechas de seguridad como un ataque de spear phishing o inyección de malware mientras está conectado a la cuenta con credenciales elevadas.

Error #2. Agregar usuarios al grupo Domain Admins en lugar de delegar acceso

Ignorar el concepto del privilegio mínimo es un problema de seguridad importante. Considere un modelo de seguridad de Active Directory delegado, especialmente para tareas administrativas comunes como desbloquear cuentas y restablecer contraseñas. Necesita evaluar cuidadosamente las responsabilidades laborales de todos los que necesitan trabajar con AD. Piense en procesos específicos que se puedan automatizar. Por ejemplo, el rol de la mesa de ayuda puede incluir permisos para restablecer contraseñas de usuarios, conectar computadoras al dominio y modificar ciertos grupos de seguridad. Utilice las AD Delegation Best Practices para una gestión más eficiente de la delegación de AD.

Error #3. Tener planes de respaldo/recuperación deficientes

Si alguien elimina un objeto de Active Directory, ¿con qué rapidez puede recuperarse de este cambio no autorizado? Planificar y probar opciones de recuperación es imprescindible para todas las organizaciones para recuperarse rápidamente de los errores. Configure y use una papelera de reciclaje o un AD tombstone para recover AD objects. Considere un modelo de seguridad de Active Directory delegado, especialmente para tareas administrativas comunes, como desbloquear cuentas y restablecer contraseñas

Error #4. Gestionar Active Directory desde tus controladores de dominio

Esto significa que el administrador inicia sesión físicamente en un controlador de dominio y lanza las herramientas de gestión desde el servidor. Esta mala práctica no se limita solo a la gestión de objetos de AD regular—también puede ocurrir con Group Policy Management, DHCP y consolas DNS. Como sugieren las mejores prácticas, los controladores de dominio solo deben ejecutar los roles requeridos para los servicios de dominio (que incluyen el rol de DNS, pero nunca use DC para DNS; siempre diríjalo a otro DC), y toda la administración diaria debe realizarse en máquinas administrativas protegidas.

Error #5. No dar de baja cuentas obsoletas

Las cuentas obsoletas deben ser deshabilitadas y luego eliminadas, porque si se dejan sin tocar, un ex empleado o un usuario malicioso pueden utilizarlas para la exfiltración de datos. Un entorno de AD saludable es un entorno de AD limpio. Cuando un administrador deja usuarios, computadoras, grupos o incluso GPOs obsoletos, también complica innecesariamente su entorno.

Error #6. Tener políticas de contraseñas deficientes

Antes de atribuir la vulnerabilidad de las contraseñas a los malos hábitos de los usuarios, quizás quieras examinar tus políticas en comparación con el cumplimiento y las mejores prácticas de contraseñas. Aquí tienes solo algunos consejos:

• Nunca configure la contraseña de un usuario para que nunca expire.
• Establezca que la contraseña de una cuenta de servicio no expire y luego programe un reinicio regular.
• Usar la misma contraseña para varias cuentas significa que un atacante tiene la llave maestra en cuanto compromete un servicio.
• Utilice contraseñas diferentes para su trabajo, correo electrónico personal, cuenta de Facebook, etc.
• Siga las Password Best Practices para gestionar mejor las contraseñas.

Error #7. Sin auditoría y monitoreo de Active Directory

Monitoree la salud de su AD y solucione rápidamente las interrupciones. Extienda el Tamaño del Registro de Eventos en su controlador de dominio al máximo. Siempre realice un seguimiento de los cambios en su Active Directory, especialmente los cambios en el grupo de Domain Admins. Para realizar un seguimiento de los cambios necesita habilitar la audit policy; siga las best practices to configure it properly. Realizar un seguimiento de los cambios definitivamente facilitará su proceso de investigación y solución de problemas.

¿Ha encontrado que alguno de los errores listados es común para su dominio? Manténgalo en secreto, corríjalos rápidamente y finja que siempre ha estado gestionando Active Directory como un profesional!