Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Protegiendo credenciales en Windows Server 2016

Protegiendo credenciales en Windows Server 2016

Aug 9, 2018

Windows Server 2016 incluye múltiples herramientas para reducir el riesgo de robo y mal uso de credenciales. El grupo de Usuarios Protegidos restringe los métodos de autenticación inseguros, mientras que las políticas de cuenta y las cuentas de servicio administradas refuerzan la seguridad de usuarios, computadoras y cuentas de servicio. Windows Defender Credential Guard aísla los secretos con seguridad basada en virtualización, y Microsoft LAPS garantiza contraseñas únicas de administrador local que se rotan automáticamente. Juntos, estas medidas ayudan a prevenir la privilege escalation y el movimiento lateral.

Las credenciales son las llaves de una cuenta. Al recolectar credenciales, los atacantes pueden ingresar a su red, moverse lateralmente y escalar sus privilegios para robar sus datos. Windows Server 2016 tiene varias características para minimizar la posibilidad de que los atacantes puedan recolectar credenciales.

Contenido relacionado seleccionado:

Usando el grupo de Protected Users

Incluir a los usuarios, especialmente a los usuarios con altos privilegios, en el grupo “Protected Users” te ayuda a proteger contra el compromiso de sus credenciales al deshabilitar opciones de autenticación que son menos seguras. Por ejemplo, Windows no almacena en caché las credenciales de los miembros de este grupo localmente, por lo que nunca se dejan en estaciones de trabajo para que los atacantes las recolecten. Además, las cuentas de usuario que son miembros de este grupo no pueden:

  • Utilice la delegación de credenciales predeterminadas
  • Usar Windows Digest
  • Utilice NTLM
  • Utilice claves a largo plazo de Kerberos
  • Iniciar sesión sin conexión
  • Utilice NT LAN Manager (NTLM) para la autenticación
  • Utilice DES para la pre-autenticación de Kerberos
  • Utilice conjuntos de cifrado RC4 para la pre-autenticación de Kerberos
  • Sea delegado privilegios utilizando delegación restringida
  • Sea delegado privilegios utilizando delegación sin restricciones
  • Renueve los tickets de concesión de usuario (TGTs) más allá de la vida útil inicial de 240 minutos

Usando las preferencias de cuenta

Cuentas de usuario

Para cuentas de usuario que necesitan menos protección estricta, puede utilizar las siguientes opciones de seguridad, que están disponibles para cualquier cuenta de AD:

  • Horas de inicio de sesión — Le permite especificar cuándo los usuarios pueden utilizar una cuenta.
  • Estaciones de inicio de sesión — Le permite limitar los ordenadores en los que la cuenta puede iniciar sesión.
  • La contraseña nunca expira — Exime a la cuenta de la configuración de política de “edad máxima de la contraseña”; no configure esta opción para cuentas privilegiadas.
  • Se requiere tarjeta inteligente para el inicio de sesión interactivo — Requiere que se presente una tarjeta inteligente para que la cuenta inicie sesión.
  • La cuenta es sensible y no se puede delegar — Asegura que las aplicaciones de confianza no puedan reenviar las credenciales de la cuenta a otros servicios o computadoras en la red.
  • Esta cuenta admite la encriptación Kerberos AES de 128 bits — Permite la encriptación Kerberos AES de 128 bits.
  • Esta cuenta admite la encriptación Kerberos AES de 256 bits — Permite la encriptación Kerberos AES de 256 bits. Utilice esta opción para cuentas privilegiadas.
  • Caducidad de la cuenta — Le permite especificar una fecha de finalización para la cuenta.

Cuentas de computadora

Además de controlar las cuentas de usuario, también necesita comprender y gestionar el alcance de las cuentas de computadora y servicio. Cuando une una computadora al dominio por primera vez, Windows crea una cuenta de computadora en Active Directory en el contenedor “Computers” y automáticamente le asigna una contraseña. AD gestiona estas contraseñas y las actualiza automáticamente cada 30 días.

Para gestionar los permisos de las cuentas de computadora y controlar qué Políticas de Grupo se les aplican, puedes agregarlas a grupos y trasladarlas a diferentes UO. También puedes deshabilitar y restablecer las cuentas de computadora:

  • Deshabilitar una cuenta de computadora significa que la computadora ya no puede conectarse al dominio. Si eliminas una cuenta de computadora y la computadora sigue operativa, necesitarás volver a unir la computadora al dominio si quieres que recupere la membresía del dominio.
  • Restablecer una cuenta de computadora elimina la conexión entre la computadora y el dominio.

Cuentas de servicio

Las cuentas de servicio son un tipo especial de cuenta que los servicios de Windows utilizan para interactuar con el sistema operativo y los recursos en la red. (También es posible crear cuentas de usuario y configurarlas para que funcionen como cuentas de servicio, pero eso no es conveniente.)

Hay tres tipos de cuentas de servicio integradas:

  • Sistema local — La cuenta NT AUTHORITYSYSTEM tiene privilegios equivalentes al grupo de Administradores locales en el ordenador.
  • Servicio local — La cuenta NT AUTHORITYLocalService tiene privilegios equivalentes al grupo de Usuarios locales en el ordenador.
  • Servicio de red — La cuenta NT AUTHORITYNetworkService tiene privilegios equivalentes al grupo de Usuarios locales en el ordenador.

Para proteger estas cuentas, asegúrese de que un sysadmin actualice sus contraseñas regularmente. Este es un proceso manual si utiliza herramientas nativas.

Cuentas de servicio administradas por grupo y cuentas virtuales

Una Group Managed Service Account es un tipo especial de cuenta de servicio; AD actualiza automáticamente las contraseñas de estas cuentas. Una cuenta virtual es el equivalente local específico de una computadora de una Group Managed Service Account.

Contenido relacionado seleccionado:

Usando Windows Defender Credential Guard

Windows Defender Credential Guard es una tecnología nueva en Windows 10 y Windows Server 2016 que ayuda a proteger las credenciales de atacantes que intentan obtenerlas mediante el uso de malware. Windows Defender Credential Guard utiliza seguridad basada en virtualización que permite aislar secretos, como credenciales en caché, de modo que solo el software privilegiado pueda acceder a ellos.

En la seguridad basada en virtualización, los procesos específicos que utilizan credenciales o datos, y la memoria asociada con esos procesos, se ejecutan en un sistema operativo separado en paralelo con, pero independiente del, sistema operativo anfitrión. Este sistema operativo virtual protege los procesos de intentos por cualquier software externo de leer los datos que esos procesos almacenan y utilizan. Windows Defender Credential Guard aprovecha la seguridad del hardware, incluyendo el arranque seguro y la virtualización.

Puede administrar Windows Defender Credential Guard utilizando Group Policy, Windows Management Instrumentation (WMI) o Windows PowerShell.

Windows Defender Credential Guard no permite el uso de:

  • Delegación de Kerberos sin restricciones
  • NT LAN Manager versión 1 (NTLMv1)
  • Protocolo de autenticación de desafío de Microsoft (MS-CHAPv2)
  • Resumen
  • Credential Security Support Provider (CredSSP)
  • Cifrado DES de Kerberos

Usando la Local Administrator Password Solution

La solución Local Administrator Password Solution (LAPS) de Microsoft ofrece un repositorio central seguro para las contraseñas de todas las cuentas de Administrador local integradas y automatiza la gestión adecuada de esas contraseñas. En particular, LAPS:

  • Asegura que las contraseñas de administrador local sean únicas en cada computadora
  • Cambia automáticamente todas las contraseñas de administrador local cada 30 días
  • Proporciona permisos configurables para controlar el acceso a las contraseñas
  • Transmite contraseñas al cliente de manera segura y cifrada

Usando el Active Directory Administrative Center

El Active Directory Administrative Center le permite buscar en su Active Directory cuentas que están listas para ser tomadas por atacantes. En particular, debe buscar regularmente los siguientes tipos de cuentas:

  • Cuentas de usuario cuyas contraseñas nunca expiran — Debería evitar configurar cuentas con contraseñas fijas porque son menos seguras que las cuentas con contraseñas que los usuarios deben actualizar periódicamente.
  • Cuentas de usuario inactivas — Las cuentas de usuario inactivas generalmente pertenecen a una persona que ha dejado la organización. La consola del Centro Administrativo de Active Directory le permite encontrar cuentas que no han iniciado sesión durante un número especificado de días.

Eliminar o deshabilitar estas cuentas de usuario evita que sean mal utilizadas por atacantes externos o internos malintencionados.

Contenido relacionado seleccionado:

Resumen

Como puede ver, Windows Server 2016 ofrece muchas herramientas para ayudarlo a proteger las credenciales en su entorno. Puede usar algunas o todas ellas. En particular, es inteligente aprovechar las Cuentas de Servicio Administradas por Grupo, Windows Defender Credential Guard y LAPS porque pueden mejorar la seguridad de TI drásticamente con relativamente poco esfuerzo.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Jeff Melnick

Director de Ingeniería de Sistemas

Jeff es un ex Director de Ingeniería de Soluciones Globales en Netwrix. Es un bloguero, orador y presentador de Netwrix desde hace mucho tiempo. En el blog de Netwrix, Jeff comparte lifehacks, consejos y trucos que pueden mejorar drásticamente tu experiencia en la administración de sistemas.

Aprende más sobre este tema

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Crear usuarios de AD en masa y enviar sus credenciales por correo electrónico usando PowerShell

Cómo agregar y eliminar grupos de AD y objetos en grupos con PowerShell

Atributos de Active Directory: Último inicio de sesión

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad