Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Recuperación de objetos de Active Directory utilizando la Papelera de reciclaje

Recuperación de objetos de Active Directory utilizando la Papelera de reciclaje

Nov 30, 2021

La Papelera de reciclaje de Active Directory permite a los usuarios recuperar objetos eliminados de Active Directory sin tener que restaurarlos desde una copia de seguridad, reiniciar los Servicios de Dominio de Active Directory o reiniciar los controladores de dominio (DCs).

Exploremos exactamente cómo funciona la recuperación de objetos con la Papelera de reciclaje y luego discutamos sus limitaciones.

Contenido relacionado seleccionado:

Recuperación de objetos de Active Directory con la Papelera de reciclaje de AD

Si la Papelera de reciclaje de AD está habilitada, cuando se elimina un objeto, la mayoría de sus atributos se conservan durante un período de tiempo para facilitar la restauración del objeto si es necesario. Durante este período, el objeto se encuentra en el estado de deleted object. (Este período de tiempo está definido en el atributo msDS-DeletedObjectLifetime. Por defecto, su valor es el valor del atributo tombstoneLifetime. Si el valor del atributo msDS-deletedObjectLifetime es nulo o el atributo simplemente no existe, su valor se interpreta como el valor del atributo tombstoneLifetime. Si tampoco hay un valor de tombstoneLifetime, ambos valores se establecen por defecto en 60 días.)

Contenido relacionado seleccionado:

Una vez que el tiempo del objeto en estado de objeto eliminado se agota, el objeto se convierte en un recycled object. Un recycled object parece sospechosamente como una tumba con un atributo isRecycled añadido y establecido en TRUE. Al igual que una tumba, la mayoría de sus atributos se eliminan y persiste en Active Directory por el período de tiempo especificado por el atributo tombstoneLifetime. Luego, es limpiado por la recolección de basura de Active Directory.

El ciclo de vida de un objeto eliminado con la Papelera de reciclaje activada se ve así:

Image

Cómo cambia un objeto cuando entra en la Papelera de reciclaje

Aunque la Papelera de reciclaje conserva más atributos del objeto que una tumba, un objeto restaurado no es idéntico al objeto original. Veamos cómo.Aquí hay una cuenta de usuario que estoy planeando eliminar:

Image

Aquí está el objeto en el estado de objeto eliminado en la Papelera de reciclaje:

Image

Aunque se retienen la mayoría de los atributos del objeto, hay algunas diferencias importantes:

  • El objeto ha sido trasladado.El objeto ha sido trasladado al contenedor de Objetos Eliminados de la partición.
  • El objeto ha sido renombrado.El nombre del objeto ha sido actualizado usando el Common-Name DEL:Object-Guid.
  • El objeto posee algunos atributos nuevos. El atributo isDeleted tiene un valor de VERDADERO y el atributo lastKnownParent está poblado. Un nuevo atributo, msDS-LastKnownRDN, está poblado con el nombre distinguido relativo conocido más reciente del objeto (este atributo permite que la Papelera de reciclaje restablezca correctamente el RDN de un objeto durante su restauración, incluso si el cambio de nombre del objeto resultó en la truncación del RDN original).
  • Se han eliminado dos atributos. Los atributos objectCategory y sAMAccountType siempre se eliminan de un objeto cuando este se borra. Si el objeto se recupera, el valor de objectCategory se restablece automáticamente al valor más específico dentro del atributo objectClass, y el valor de sAMAccountType se calcula a partir del valor del atributo userAccountControl (para objetos de usuario) o del atributo groupType (para objetos de grupo)..

Los lectores atentos también podrían notar que los atributos manager y memberOf también faltan en mi captura de pantalla. En realidad, solo están ocultos. Ambos atributos son link-valued (es decir, contienen referencias a otros objetos) y la herramienta que utilicé (LDP) no devuelve enlaces desactivados a menos que se haya establecido el control ingeniosamente nombrado Return Deactivated Links. Si hubiera activado ese control, entonces los atributos y sus valores habrían sido visibles en mi captura de pantalla, pero me habría perdido este momento de enseñanza.

Cómo recuperar un objeto de la Papelera de reciclaje de AD

Antes de Windows Server 2012, restaurar un objeto de la AD Recycle Bin requería usar una herramienta LDAP o PowerShell para listar todos los objetos eliminados, buscar en una larga lista para encontrar el objeto deseado y utilizar otro comando de PowerShell para restaurarlo. ¡Era bueno que la AD Recycle Bin fuera tan útil porque no era precisamente divertido de usar!

Ahora, la funcionalidad de la Papelera de reciclaje está disponible en el Active Directory Administrative Center:

Image

Como puede ver, puede encontrar rápidamente el objeto eliminado que le interesa utilizando los filtros de búsqueda.

Para restaurar un objeto, simplemente haga clic en Restore en la lista de Tareas en el lado derecho de la ventana. Así es como se ve el objeto restaurado:

Image

Desventajas del Recycle Bin de Active Directory

Aunque la Papelera de reciclaje simplifica enormemente la recuperación de objetos, hemos observado un par de limitaciones: Los objetos se mantienen solo por un período de tiempo relativamente corto y algunos de sus atributos se pierden. Hay un par de inconvenientes adicionales con la Papelera de reciclaje:

  • Habilitar la Papelera de reciclaje de Active Directory implica un cambio de esquema. Por lo tanto, una vez que activas la Papelera de reciclaje, no puedes desactivarla sin una recuperación completa del bosque.
  • Active Directory va a ser un poco más grande. Después de habilitar la Papelera de reciclaje de AD, los objetos eliminados conservarán muchos más de sus atributos y persistirán más tiempo que los tombstones. Como resultado, Active Directory probablemente utilizará un poco más de espacio que antes.
  • Habilitar la Papelera de reciclaje elimina todos los marcadores de posición de eliminación. La consecuencia más impactante de habilitar la Papelera de reciclaje es que todos los objetos marcadores de posición de eliminación en el bosque dejarán de existir inmediatamente. Muchos administradores han aprendido sobre esta consecuencia de la manera difícil.

Sin embargo, estos problemas no superan los beneficios de habilitar la Papelera de reciclaje de AD.

Recuperación de objetos de Active Directory sin la Papelera de reciclaje de AD

Para ilustrar el valor de habilitar la Papelera de reciclaje de AD, revisemos lo que implica recuperar un objeto de AD cuando la Papelera de reciclaje de AD no está habilitada.

En un dominio sin la Papelera de reciclaje de AD habilitada, cuando se elimina un objeto de Active Directory, se convierte en un tombstone. Este objeto, despojado de la mayoría de sus atributos, se mantiene en el contenedor de Objetos eliminados de la partición por el período de tiempo especificado en la tombstoneLifetime del dominio. Durante este período, el objeto es técnicamente recuperable, pero sus atributos perdidos generalmente se consideran irrecuperables. Una vez que se alcanza el valor de tombstoneLifetime, el objeto es recogido por el recolector de basura hasta su inexistencia. Este ciclo de vida se ilustra a continuación:

Image

Veamos cómo podemos reanimar esta lápida utilizando la función Modify de la utilidad LDP:

Image
  1. Haga clic derecho en la tumba y seleccione la opción de Modify.
  2. En la sección Edit Entry, ingrese el valor “isDeleted” en el campo Attribute, seleccione el botón de opción Delete bajo Operation, y haga clic en el botón Enter para añadir la entrada a la Lista de Entradas.
  3. En la sección Edit Entry, ingrese el valor “distinguishedName” en el campo Attribute, ingrese el nombre distinguido del objeto antes de su eliminación en el campo Values, seleccione el botón de opción Replace bajo Operation, y haga clic en el botón Enter para añadir la entrada a la lista de entradas.
    ¿Recuerdas cuando mencioné que el atributo lastKnownParent podría resultar útil? Bueno, si no sabes cuál era el dn del objeto antes de su eliminación, puedes probar este truco: Toma el dn actual y reemplaza el carácter terminado en NULL (“A”) y todo lo que esté a su derecha con el valor actual del atributo lastKnownParent.
  4. Seleccione la opción Extended en la parte inferior izquierda del panel.
  5. Haga clic en el botón de Run.

Entonces podemos encontrar el objeto reanimado de nuevo y ver cómo luce:

Image

Como puede ver, técnicamente recuperamos el objeto de usuario eliminado. Sin embargo, le falta la mayoría de la información que poseía antes de su eliminación.

Puedes (en teoría) evitar este problema tomando instantáneas VSS regulares de Active Directory. Entonces, si necesitas recuperar un objeto eliminado, puedes “simplemente” encontrar una copia de seguridad que se realizó antes de la eliminación del objeto, montar la instantánea usando NTDSUTIL, conectarte a la instantánea montada usando una utilidad LDAP, localizar el objeto, exportarlo a… olvídalo.

Pero espera, se pone peor.

El contenedor de Objetos Eliminados no es algo permanente. La propiedad apropiadamente llamada tombstoneLifetime en el CN=Directory Service,CN=Windows NT,CN-Services,CN=Configuration,ForestDistinguishedName define el número de días antes de que un objeto eliminado sea removido permanentemente de Active Directory.

El valor de tombstoneLifetime se basa en la versión de Windows Server que intervino en la creación del bosque del dominio. Se establece por defecto en 180 días (la configuración recomendada actual de Microsoft) en bosques creados con una versión de Windows Server más reciente que 2003. Las implementaciones más antiguas se establecen por defecto en 60 días. El comportamiento de la propiedad tombstoneLifetime realmente merece atención y es bastante interesante. Si el valor existe, la duración del tombstone es el valor especificado. A menos que el valor sea menor de 2; entonces la duración del tombstone se establece por defecto en 60 días (Windows 2000 Server hasta Windows Server 2008) o 2 días (Windows Server 2008 R2 o posterior). Si no se especifica ningún valor, el valor es de 60 días.

Si tienes curiosidad sobre el valor de tombstoneLifetime en tu entorno, este script de PowerShell te lo devolverá (requiere herramientas de AD DS y AD LDS):

      (Get-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,$((Get-ADRootDSE).configurationNamingContext)" -Properties *).tombstoneLifetime

Una vez que un objeto ha pasado un tombstoneLifetime en el contenedor de Objetos Eliminados, es eliminado lógicamente por la recolección de basura de Active Directory. En ese momento, se ha ido y nunca volverá.

Cómo puede ayudar Netwrix

La Papelera de reciclaje de AD es una herramienta útil para recuperar objetos eliminados recientemente. Para una solución más completa, considere Netwrix Recovery for Active Directory. Le permite restaurar objetos respaldados que han excedido el tiempo de vida de objeto eliminado de su bosque mdDS-DeletedObjectLifetime y por lo tanto ya no son recuperables usando la Papelera de reciclaje de AD

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Kevin Joyce

Director de Product Management

Director de Product Management en Netwrix. Kevin tiene una pasión por la ciberseguridad, específicamente en comprender las tácticas y técnicas que los atacantes utilizan para explotar los entornos de las organizaciones. Con ocho años de experiencia en product management, enfocándose en Active Directory y la seguridad de Windows, ha llevado esa pasión a ayudar a construir soluciones para que las organizaciones protejan sus identidades, infraestructura y datos.

Aprende más sobre este tema

Crear usuarios de AD en masa y enviar sus credenciales por correo electrónico usando PowerShell

Cómo crear, cambiar y probar contraseñas usando PowerShell

Cómo agregar y eliminar grupos de AD y objetos en grupos con PowerShell

Atributos de Active Directory: Último inicio de sesión

Confianzas en Active Directory

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad