Los siete problemas principales de Active Directory

Microsoft Active Directory (AD) es una solución confiable y escalable para la gestión de usuarios, recursos y autenticación en un entorno Windows. Sin embargo, como cualquier herramienta de software, tiene limitaciones que pueden ser difíciles de superar. Aquí están los siete desafíos principales con Active Directory y algunas opciones para abordarlos:

Desafío #1. Active Directory depende de Windows Server.

Aunque Active Directory es compatible con el protocolo Lightweight Directory Access Protocol (LDAP), existen muchas mejoras, extensiones e interpretaciones de la especificación LDAP. Los proveedores de software a veces eligen implementar aspectos opcionales de LDAP que no son compatibles con Active Directory, por lo que usar sus productos en un entorno de AD es difícil. Por ejemplo, técnicamente es posible implementar Kerberos en Unix y luego establecer confianzas con Active Directory, pero el proceso es complicado y los errores son frecuentes. Como resultado, muchas organizaciones se sienten obligadas a limitarse a sistemas basados en Windows.

Desafío #2. Costo alto de licencia y mantenimiento.

Microsoft utiliza licencias de acceso para clientes (CALs) para el sistema operativo Windows Server que subyace a Active Directory. Desde Windows Server 2016, Microsoft pasó a la licencia por núcleo: Los precios ahora comienzan en $6,156 para servidores con dos procesadores de ocho núcleos cada uno; el costo se duplica si usas procesadores de 16 núcleos. Eso puede ser difícil de asimilar, especialmente dado que Open LDAP y ApacheDS son ambos gratuitos.

Desafío #3. Registro y auditoría inconvenientes.

Muchas cosas en Active Directory requieren un registro, monitoreo y análisis adecuados. Por ejemplo, necesitas poder mantenerte al tanto de errores críticos y cambios en objetos de AD y Group Policy, ya que pueden afectar tanto el rendimiento como la seguridad. Pero los registros de AD son muy técnicos por naturaleza, y encontrar los datos que necesitas requiere una búsqueda y filtrado manual tediosos o habilidades avanzadas de scripting en PowerShell. De manera similar, las alertas y los informes solo son posibles a través de una combinación de complicados scripts de PowerShell y el Programador de Tareas. Cada registro de eventos está limitado a 4GB, lo que puede llevar a una sobreescritura rápida del registro y la pérdida de eventos importantes. Finalmente, el motor de búsqueda de PowerShell está desactualizado, por lo que su rendimiento es deficiente; por ejemplo, cada vez que lees registros filtrados por tiempo, lee el registro de eventos completo secuencialmente, registro por registro, hasta que encuentra el que solicitaste. Esto obliga a las empresas a integrar SIEM y Active Directory auditing solutions para facilitar los procesos de almacenamiento y análisis de registros, gastando dinero en cosas que podrían haber sido incluidas en AD por diseño.

Desafío #4. Los fallos de AD provocan tiempo de inactividad en la red.

Cuando su AD esté fuera de línea, experimentará los siguientes problemas:

• Los usuarios serán desconectados de las comparticiones de archivos tan pronto como su sesión de autenticación expire, normalmente en unas pocas horas.
• El software o hardware que depende de la autenticación de Active Directory (como los sitios IIS y los servidores VPN) no permitirá el inicio de sesión de las personas. Dependiendo de la configuración, o bien expulsará inmediatamente a los usuarios actuales o mantendrá las sesiones existentes hasta que se cierren.
• Los usuarios podrán iniciar sesión en las computadoras que hayan utilizado recientemente, ya que tendrán una contraseña almacenada o un ticket de autenticación. Sin embargo, cualquier persona que no haya utilizado una PC dada anteriormente, o la haya utilizado hace mucho tiempo, no podrá iniciar sesión hasta que se restablezca la conexión con el DC. Eventualmente, nadie podrá iniciar sesión con una cuenta de dominio, porque las autenticaciones almacenadas expirarán en unas pocas horas.
• Los servidores de Active Directory a menudo desempeñan el papel de servidores DNS y DHCP. En ese caso, mientras AD esté fuera de línea, las computadoras tendrán problemas para acceder a internet e incluso a la red local misma.

Para evitar estos problemas, las mejores prácticas recomiendan tener al menos dos DCs de Active Directory con failover configurado. De esta manera, si uno falla, puedes simplemente reinstalar Windows Server en él, configurarlo como un nuevo DC en un dominio existente y replicar todo de nuevo, sin tiempo de inactividad alguno. Sin embargo, esto implica un gasto adicional tanto en hardware como en licencias de AD.

Desafío #5. AD es propenso a ser hackeado.

Debido a que Active Directory es el servicio de directorio más popular, existen muchas técnicas y estrategias para hackearlo. Dado que no se puede ubicar en una DMZ, el servidor de AD generalmente tiene conexión a internet, lo que les da a los atacantes la oportunidad de acceder a las llaves de tu reino de forma remota. Una debilidad particular es que Active Directory utiliza el protocolo de autenticación Kerberos con una arquitectura de criptografía simétrica; Microsoft ya ha parcheado muchas de sus vulnerabilidades, pero continúan descubriéndose y explotándose nuevas.

Desafío #6. AD carece de capacidades de gestión GUI.

Microsoft agrupa varias utilidades con AD, como Active Directory Users and Computers (ADUC) y Group Policy Management Console (GPMC), para ayudar a las organizaciones a gestionar datos y políticas dentro del directorio, pero estas herramientas son bastante limitadas. Por ejemplo, insertar parámetros de objeto en masa requiere scripting de PowerShell; no hay alertas; y la generación de informes se limita a exportar a un archivo .txt. Las capacidades de AD delegation también son limitadas, por lo que las organizaciones a menudo recurren a dividir dominios para crear límites para el acceso administrativo, lo que crea una infraestructura de directorio que es engorrosa de gestionar. Para solucionar estos problemas, las organizaciones a menudo utilizan soluciones de terceros que les permiten administrar AD en masa y controlar quién puede administrar qué de una manera más granular que las herramientas nativas de AD tools. Esto les brinda un mejor control sobre la gestión de acceso de identidad y objetos y la gestión de cuentas. Las herramientas de gestión de AD de Third-party AD management tools pueden automatizar operaciones en torno a la creación, eliminación, modificación de cuentas, grupos y Group Policy, así como ayudar con investigaciones de bloqueo de cuentas.

Desafío #7. AD no proporciona un portal de autoservicio para los usuarios finales.

A menudo tiene sentido permitir que los usuarios realicen ciertas acciones por sí mismos, como editar sus propios perfiles y restablecer sus contraseñas si las olvidan. Sin embargo, Active Directory requiere acceso administrativo para estas operaciones, por lo que los empleados se ven obligados a llamar al servicio de ayuda técnica para resolver sus problemas menores, lo que retrasa los flujos de trabajo empresariales y aumenta los costos del servicio de asistencia. Todos estos problemas se pueden resolver mediante herramientas adicionales de gestión de autoservicio, pero esto es otro elemento en el presupuesto, además de lo que ya ha pagado por AD.

Active Directory es una herramienta excelente y sigue evolucionando, aunque lentamente. Si deseas integrar Active Directory en tu entorno, ten en cuenta que gastarás una gran parte de tu presupuesto en ello, y aún más si quieres mejorar la gestión y las funcionalidades de informes de AD. Obviamente, los administradores de sistemas pueden escribir scripts o programas personalizados para compensar las limitaciones de las herramientas nativas, y automatizar y mejorar la gestión de AD utilizando interfaces de scripting y marcos proporcionados por Microsoft u otras entidades. Sin embargo, se requieren habilidades avanzadas y una cantidad considerable de tiempo para escribir, mantener y ejecutar los scripts, y para trabajar con su salida y obtener inteligencia accionable, lo que puede llevar a una respuesta retrasada a problemas de seguridad graves. Y por supuesto, todavía estás sujeto a limitaciones básicas de AD como la sobreescritura de archivos de registro y la falta de delegación. Rotación.

Como resultado, muchas organizaciones recurren a soluciones de terceros que mejoran y automatizan la auditoría, gestión e informes de AD. Busque una solución que ofrezca visibilidad en toda su infraestructura, incluyendo no solo AD sino también Exchange, servidores de archivos y SharePoint, y que además se integre con SIEMs y sistemas Unix y Linux. Asegúrese de que le permita controlar quién puede administrar qué de una manera más detallada que las herramientas nativas de AD, y que automatice operaciones relacionadas con la creación, eliminación y modificación de cuentas, grupos y Política de Grupo. Suma puntos extra si la solución ofrece capacidades de autoservicio. Y por supuesto, asegúrese de que pueda capturar y almacenar un registro de auditoría completo durante años para apoyar investigaciones de seguridad y cumplir con los requisitos regulatorios.