Principales estrategias para reforzar su infraestructura de Active Directory

Microsoft Active Directory (AD) es el almacén central de credenciales para el 90% de las organizaciones en todo el mundo. Como guardián de las aplicaciones empresariales y los datos, ¡no solo está en todas partes, es todo! Administrar AD es una tarea interminable y asegurarlo es aún más difícil. En Netwrix, hablamos con muchos clientes que están utilizando nuestras herramientas para manage and secure AD, y a lo largo de los años, han surgido estrategias clave para reforzar la seguridad y endurecer AD para resistir ataques. Aquí hay 10 consejos de endurecimiento de la seguridad de Active Directory security que puedes utilizar en tu entorno:

Consejo #1: Limpie los objetos obsoletos.

Active Directory incluye miles de elementos y muchos componentes dinámicos que proteger. Un método fundamental para aumentar la seguridad es reducir el desorden eliminando usuarios, grupos y máquinas no utilizados. Los objetos obsoletos de AD pueden ser aprovechados por atacantes, así que eliminarlos reduce tu superficie de ataque.

También puede encontrar elementos que se usan raramente. Utilice datos de RRHH y trabaje con los interesados del negocio para determinar su estado; por ejemplo, para las cuentas de usuario, determine el gerente del usuario. Aunque esto lleva tiempo, agradecerá haberlo hecho durante su próxima auditoría o revisión de cumplimiento.

Consejo #2: Facilite a los usuarios la elección de contraseñas seguras.

Para evitar que los adversarios comprometan las credenciales de usuario para ingresar a su red y moverse lateralmente, las contraseñas deben ser difíciles de descifrar. Pero los usuarios simplemente no pueden recordar y gestionar múltiples contraseñas complejas por sí mismos, por lo que recurren a prácticas que debilitan la seguridad, como escribir sus contraseñas en notas adhesivas o simplemente incrementar un número al final cuando necesitan cambiarlas. Eso llevó a los expertos en seguridad a debilitar sus recomendaciones sobre la complejidad de las contraseñas y los reinicios.

Sin embargo, con una solución empresarial de password management, puede facilitar a los usuarios la creación de contraseñas únicas y altamente seguras y gestionarlas de manera efectiva, de modo que no tenga que comprometer los requisitos de contraseñas fuertes. Un usuario solo necesita memorizar una contraseña fuerte, y la herramienta gestiona todas las demás por él.

Consejo #3: No permita que los empleados tengan privilegios de administrador en sus estaciones de trabajo.

Si un atacante toma el control de una cuenta de usuario (lo cual sabemos que ocurre con bastante frecuencia), su siguiente paso a menudo es instalar software de hacking en la estación de trabajo del usuario para ayudarles a moverse lateralmente y tomar control de otras cuentas. Si la cuenta comprometida tiene derechos de administrador local, esa tarea es fácil.

Pero la mayoría de los usuarios empresariales en realidad no necesitan instalar software o cambiar configuraciones muy a menudo, por lo que puedes reducir tu riesgo al no otorgarles permisos de administrador. Si necesitan una aplicación adicional, pueden pedirle al servicio de asistencia que la instale. No olvides use Microsoft LAPS para asegurar que todas las cuentas de administrador local restantes tengan contraseñas fuertes y cambiarlas según un cronograma regular.

Consejo #4: Restrinja las cuentas de servicio.

Las cuentas de servicio son utilizadas por aplicaciones para autenticarse en AD. Son frecuentemente el objetivo de atacantes porque rara vez se les monitorea, tienen privilegios elevados y típicamente tienen contraseñas sin vencimiento. Por lo tanto, examina detenidamente tus cuentas de servicio y restringe sus permisos tanto como sea posible. A veces las cuentas de servicio son miembros del grupo de Domain Admin’s, pero generalmente no necesitan todo ese acceso para funcionar — puede que necesites consultar con el proveedor de la aplicación para averiguar los privilegios exactos que se necesitan.

También es importante cambiar las contraseñas de las cuentas de servicio periódicamente para dificultar aún más su explotación por parte de los atacantes. Hacer esto manualmente es difícil, por lo que considere usar la característica group managed service account (gMSA), introducida en Windows Server 2016. Cuando utiliza gMSAs, el sistema operativo manejará automáticamente la gestión de contraseñas de las cuentas de servicio por usted.

Consejo #5: Elimine la membresía permanente en grupos de seguridad.

Los grupos de seguridad de Enterprise Admin, Schema Admin y Domain Admin son las joyas de la corona de Active Directory, y los atacantes harán todo lo posible por obtener membresía en ellos. Si sus administradores tienen membresía permanente en estos grupos, un atacante que comprometa una de sus cuentas tendrá acceso elevado permanente en su dominio.

Para reducir este riesgo, limite estrictamente la membresía en todos estos grupos altamente privilegiados y, además, haga que la membresía sea temporal. Los grupos de Enterprise Admin y Schema Admin no se utilizan con frecuencia, por lo que para estos, esto no será un problema. Domain Admin se necesita mucho más, por lo que se tendrá que establecer un sistema para otorgar membresía temporal.

Consejo #6: Elimine los permisos elevados siempre que sea posible.

Existen tres permisos bastante comunes que los atacantes necesitan para ejecutar ataques contra AD: Restablecer Contraseña, Cambiar Membresía de Grupo y Replicación. Estos permisos son más difíciles de asegurar ya que se utilizan con frecuencia en las operaciones diarias.

Por lo tanto, debe monitorear todos los cambios en los permisos de grupos de seguridad o membresía que otorgarían estos derechos a usuarios adicionales. Aún mejor, implemente una solución de Privileged Access Management (PAM) que permite la provisión temporal de estos privilegios justo a tiempo.

Consejo #7: Implemente la autenticación multifactor (MFA)

MFA añade una capa adicional de seguridad al requerir que los usuarios verifiquen su identidad proporcionando al menos dos de los siguientes tipos de factores de autenticación:

• Algo que conocen, como una contraseña, PIN o respuesta a una pregunta de seguridad
• Algo que poseen, como un código de un token físico o una tarjeta inteligente
• Algo que son, lo que significa biométricos como huella dactilar, escaneo del iris o reconocimiento facial

Consejo #8: Audite de cerca su Active Directory.

ItEs importante auditar Active Directory tanto para detectar configuraciones no seguras como actividades sospechosas. En particular, se debe realizar risk assessment periódicas para mitigar las brechas de seguridad, monitorear la actividad de usuario anómala e identificar de manera oportuna las configuration drift en los archivos críticos del sistema. Lo ideal es invertir en herramientas que alerten automáticamente sobre eventos sospechosos e incluso respondan de forma automática para bloquear amenazas.

Consejo #9: Asegure DNS.

Asegurar el DNS puede ayudarte a bloquear una variedad de ataques, incluyendo el secuestro de dominio y el spoofing de DNS. Los pasos a seguir incluyen implementar DNSSEC, utilizar un servidor DNS seguro y revisar regularmente la configuración del DNS.

Consejo #10: Realice copias de seguridad de Active Directory regularmente.

Tener una copia de seguridad reciente de su Active Directory es crucial para la recuperación de incidentes cibernéticos, incluidos ataques de ransomware y desastres naturales. Las copias de seguridad deben almacenarse de manera segura, probarse regularmente y estar fácilmente accesibles para asegurar que sus configuraciones críticas de AD settings are recoverable en caso de un desastre.

Conclusión

Active Directory es un sistema increíble para controlar el acceso. Sin embargo, solo es seguro cuando está limpio, comprendido, configurado correctamente, monitoreado de cerca y controlado estrictamente. Estos consejos son formas prácticas en las que puedes reforzar la seguridad y endurecer tu Active Directory.

Preguntas Frecuentes

¿Qué es el endurecimiento en Active Directory?

El endurecimiento en Active Directory es el proceso de asegurar y fortalecer el servicio de directorio para reducir el riesgo de data breaches y tiempos de inactividad. Implica controlar el acceso a datos sensibles, eliminar objetos innecesarios, hacer cumplir las password policies y monitorear actividades sospechosas.

¿Qué es el endurecimiento de controladores de dominio?

El endurecimiento de controladores de dominio es el proceso de fortalecimiento de los servidores que ejecutan Active Directory para reducir el riesgo de acceso no autorizado, violaciones de datos y disrupción del servicio. Incluye la desactivación de servicios superfluos, la implementación de parches de seguridad y actualizaciones, el establecimiento de reglas de firewall y la aplicación de prácticas de contraseñas fuertes.

¿Qué sucede si se compromete un controlador de dominio?

Un adversario que compromete un controlador de dominio puede causar daños significativos, desde acceder a datos sensibles hasta crear, modificar y eliminar cuentas de usuario y otros objetos críticos de AD.

¿Cómo aseguro Active Directory?

Asegurar Active Directory es un proceso continuo que involucra múltiples capas de controles de seguridad. En particular, las organizaciones necesitan implementar políticas de contraseñas fuertes, limitar el acceso de los usuarios, monitorear actividades sospechosas, mantener las máquinas actualizadas y con parches, asegurar los controladores de dominio, usar autenticación multifactor (MFA) para agregar seguridad extra y educar a los empleados sobre las mejores prácticas de ciberseguridad y las amenazas potenciales.