Mejores prácticas de seguridad de Active Directory
Los atacantes son persistentes en su intento de comprometer los servicios de Active Directory debido a su papel en la autorización de acceso a datos críticos y confidenciales.
A medida que las organizaciones se expanden, su infraestructura se vuelve cada vez más compleja, lo que las hace mucho más vulnerables a los ataques, ya que es más difícil hacer un seguimiento de los cambios, eventos y permisos importantes del sistema.
También se está volviendo mucho más difícil para las organizaciones determinar dónde se encuentran sus datos sensibles, y el tipo de política de seguridad que es más adecuada para proteger estos datos.
En este blog, vamos a repasar algunas de las mejores prácticas de Active Directory que le ayudarán a mejorar la seguridad general de su entorno de Active Directory.
- ¿Por qué debería preocuparse por la seguridad de Active Directory?
- Amenazas comunes a la seguridad de Active Directory
- Vulnerabilidades del sistema de Active Directory
- Amenazas internas en Active Directory
- Permisos excesivos
- Mejores prácticas para la seguridad de Active Directory
- Administre los grupos de seguridad de Active Directory
- Limpie las cuentas de usuario inactivas en AD
- Supervisar a los administradores locales
- No utilice GPO para establecer contraseñas
- Auditar los inicios de sesión del controlador de dominio (DC)
- Asegurar la protección de LSASS
- Tener una política de contraseñas estricta
- Cuidado con los grupos anidados
- Eliminar el acceso abierto
- Derechos de inicio de sesión del servidor de auditoría
- Adopte el principio de mínimo privilegio para la seguridad de AD
- Haga una copia de seguridad de su Directorio Activo y tenga un método de recuperación
- Habilite la supervisión de seguridad de Active Directory en busca de señales de compromiso
- Auditar los cambios de Active Directory
- Cómo asegurar el Directorio Activo con Lepide
¿Por qué debería preocuparse por la seguridad de Active Directory?
Active Directory es esencialmente el corazón de su entorno de TI. La mayoría de los ataques o amenazas a la seguridad a los que se enfrentará involucrarán a su Directorio Activo de alguna manera o forma.
Una persona ajena que busque acceder a sus datos, por ejemplo, puede buscar robar credenciales o instalar malware para comprometer una cuenta. Una vez dentro de su AD, pueden escalar sus privilegios y moverse lateralmente a través del sistema, obteniendo acceso a sus datos sensibles.
Por eso es vital tener una buena seguridad de Active Directory y asegurarse de que está supervisando y auditando constantemente los cambios en AD para que pueda detectar posibles ataques y reaccionar de manera oportuna.
Amenazas comunes a la seguridad de Active Directory
Debido a que Active Directory existe desde hace mucho tiempo, los atacantes han encontrado múltiples formas de explotar las vulnerabilidades de seguridad.
Microsoft ha sido proactivo a la hora de tapar las brechas en la seguridad de Active Directory, pero los atacantes siempre encontrarán diferentes formas de explotar el sistema y a los seres humanos que los utilizan.
Las amenazas a la seguridad de Active Directory caen ampliamente dentro de dos categorías; las vulnerabilidades del sistema y las amenazas internas.
Vulnerabilidades del sistema de Active Directory
Active Directory utiliza la autenticación Kerberos que tiene numerosas vulnerabilidades, como Pass the Hash, Pass the Ticket, Golden Ticket y Silver Ticket. AD también es compatible con el cifrado NTLM, un remanente de cuando el cifrado NTLM se utilizaba realmente en AD, a pesar de que la seguridad es insuficiente. Los ataques de fuerza bruta son también un método común para los atacantes para forzar su entrada en AD.
Amenazas internas en Active Directory
La forma más común en que su seguridad de Active Directory es probable que sea burlada es a través de amenazas internas. Los ataques de phishing, ingeniería social y spear-phishing a menudo tienen éxito con sus usuarios que no son conscientes de la seguridad, lo que permite a los atacantes obtener acceso a su AD con credenciales robadas.
Permisos excesivos
Los permisos excesivos son también una amenaza común para la seguridad de Active Directory, con usuarios que son descuidados o intencionalmente maliciosos con los datos a los que ni siquiera deberían haber tenido acceso en primer lugar.
Mejores prácticas para la seguridad de Active Directory
Para contrarrestar eficazmente algunas de las vulnerabilidades y riesgos de seguridad de Active Directory que hemos comentado en la sección anterior, los expertos en AD de Lepide han recopilado una lista de mejores prácticas que puede adoptar.
A continuación se presenta un resumen de nuestra lista de mejores prácticas de seguridad de Active Directory:
- Administrar los grupos de seguridad de Active Directory
- LimpiarCuentas de usuario inactivas en AD
- Supervisar a los administradores locales
- No utilizar GPOs para establecer contraseñas
- Auditar los inicios de sesión del controlador de dominio (DC)
- Asegurar la protección de LSASS Protección
- Tenga una política de contraseñas estricta
- Cuidado con los grupos anidados
- Elimine el acceso abierto
- Audite los derechos de inicio de sesión del servidor
- Adopte el principio de mínimo privilegio para la seguridad de AD
- Haga una copia de seguridad de su Active Directory y disponga de un método de recuperación
- Active la supervisión de seguridad de Active Directory en busca de signos de compromiso
- Audite los cambios de Active Directory
Administre los grupos de seguridad de Active Directory
Los miembros asignados a los grupos de seguridad de Active Directory, como los administradores de dominio, Enterprise y Schema Administrators tienen el máximo nivel de privilegios dentro de un entorno de Active Directory. Como tal, un atacante, o un insider malicioso, asignado a uno de estos grupos, tendrá rienda suelta sobre su entorno de AD junto con sus datos críticos.
Adherirse a las mejores prácticas para los grupos de seguridad de Active Directory, como limitar el acceso siempre que sea posible a sólo aquellos usuarios que lo requieran, añadirá otra capa de seguridad a su AD.
Para obtener una lista completa de las mejores prácticas para los grupos de seguridad de Active Directory, haga clic aquí.
Limpie las cuentas de usuario inactivas en AD
Las cuentas de usuario inactivas suponen un grave riesgo para la seguridad de su entorno de Active Directory, ya que suelen ser utilizadas por administradores deshonestos y piratas informáticos para acceder a datos críticos sin levantar sospechas.
Siempre es una buena idea gestionar las cuentas de usuario inactivas. Probablemente podría encontrar una manera de hacer un seguimiento de las cuentas de usuario inactivas usando PowerShell o utilizando una solución como Lepide Active Directory Cleanup.
Supervisar a los administradores locales
Es muy importante para las organizaciones saber qué hacen los administradores locales y cómo se ha concedido su acceso. Al conceder acceso a los administradores locales, es importante seguir la regla del «principio del menor privilegio».
No utilice GPO para establecer contraseñas
Usando objetos de directiva de grupo (GPO), es posible crear cuentas de usuario y establecer contraseñas, incluidas las de administrador local, dentro de Active Directory.
Los atacantes o las personas con información privilegiada malintencionada pueden aprovechar estos GPO para obtener y descifrar los datos de las contraseñas sin derechos de acceso elevados. Estas eventualidades pueden tener amplias repercusiones en toda la red.
Esto pone de manifiesto la importancia de garantizar que los administradores de sistemas tengan un medio para detectar e informar de las posibles vulnerabilidades de las contraseñas.
Auditar los inicios de sesión del controlador de dominio (DC)
Es muy importante que los administradores de sistemas tengan la capacidad de auditar quién inicia sesión en un controlador de dominio para proteger a los usuarios privilegiados y cualquier activo al que tengan acceso.
Este es un punto ciego común para las organizaciones, ya que tienden a centrarse en los administradores de empresa y de dominio y se olvidan de que otros grupos pueden tener derechos de acceso inapropiados a los controladores de dominio.
Asegurar la protección de LSASS
Usando herramientas de hacking como Mimikatz, los atacantes pueden explotar el Servicio de Subsistema de Autoridad de Seguridad Local (LSASS) para extraer las credenciales de los usuarios, que luego pueden ser usadas para acceder a los activos que están asociados con esas credenciales.
Tener una política de contraseñas estricta
Tener una política de contraseñas efectiva es crucial para la seguridad de su organización. Es importante que los usuarios cambien sus contraseñas periódicamente. Las contraseñas que rara vez se cambian, o que no se cambian nunca, son menos seguras, ya que crean una mayor oportunidad para que sean robadas.
En realidad, su organización debería tener un sistema automatizado que permita que las contraseñas caduquen después de un periodo de tiempo determinado. Además, Lepide User Password Expiration Reminder es una herramienta útil que recuerda automáticamente a los usuarios de Active Directory cuando sus contraseñas están cerca de su fecha de caducidad.
Un problema que muchos parecen incapaces de superar es que las contraseñas complejas no se pueden recordar fácilmente. Esto hace que los usuarios escriban la contraseña o la almacenen en su máquina. Para superar esto, las organizaciones están utilizando frases de contraseña en lugar de contraseñas para aumentar la complejidad sin hacer que las contraseñas sean imposibles de recordar.
Cuidado con los grupos anidados
Es común que los administradores aniden grupos dentro de otros grupos como una forma de organizar rápidamente la pertenencia a un grupo. Sin embargo, este tipo de anidación de grupos supone un reto para los administradores, ya que les resulta más difícil averiguar quién tiene acceso a qué grupo y por qué.
Es importante que puedas identificar qué grupos tienen el mayor número de grupos anidados y cuántos niveles de anidación tiene un grupo. También es importante saber quién, qué, dónde y cuándo se producen los cambios en la directiva de grupo.
Eliminar el acceso abierto
Es común que los identificadores de seguridad conocidos, como Todos, Usuarios autenticados y Usuarios de dominio, se utilicen para conceder privilegios de usuario inapropiados a los recursos de red, como los recursos compartidos de archivos. El uso de estos identificadores de seguridad puede permitir a los hackers explotar la red de la organización, ya que tendrán acceso a un gran número de cuentas de usuario.
Derechos de inicio de sesión del servidor de auditoría
Las políticas de seguridad locales están controladas por la directiva de grupo a través de una serie de asignaciones de derechos de usuario, entre las que se incluyen:
- Permitir el inicio de sesión localmente
- Iniciar sesión como trabajo por lotes
- Permitir el inicio de sesión a través de los servicios de escritorio remoto
- Iniciar sesión como servicio, etc.
Estas asignaciones permiten a los no administradores realizar funciones que normalmente están restringidas a los administradores. Si estas funciones no se analizan, restringen y auditan cuidadosamente, los atacantes podrían utilizarlas para comprometer el sistema robando credenciales y otra información sensible.
Adopte el principio de mínimo privilegio para la seguridad de AD
El principio de mínimo privilegio es la idea de que los usuarios sólo deben tener los derechos de acceso mínimos requeridos para realizar sus funciones de trabajo – cualquier cosa más que esto se considera excesiva.
Debe auditar su Directorio Activo para determinar quién tiene acceso a sus datos más sensibles y cuáles de sus usuarios tienen privilegios elevados. Debe procurar restringir los permisos a todos aquellos que no lo necesiten.
Haga una copia de seguridad de su Directorio Activo y tenga un método de recuperación
Se recomienda hacer una copia de seguridad de su Directorio Activo de forma regular, con intervalos que no superen los 60 días. Esto se debe a que el tiempo de vida de los objetos de la lápida de AD es, por defecto, de 60 días. Debería incluir su copia de seguridad de AD dentro de su plan de recuperación de desastres para ayudarle a prepararse para cualquier evento desastroso. Como regla general, se debe realizar una copia de seguridad de al menos un controlador de dominio.
Es posible que desee considerar el uso de una solución de recuperación más sofisticada que le ayude a realizar una copia de seguridad y restaurar los objetos de AD a su estado original. El uso de soluciones en lugar de confiar en los métodos de recuperación nativos terminará por ahorrarle cubos de tiempo.
Habilite la supervisión de seguridad de Active Directory en busca de señales de compromiso
Ser capaz de auditar y supervisar su Active Directory de forma proactiva y continua le permitirá detectar las señales de una violación o compromiso. En la mayoría de los casos, se pueden evitar graves violaciones de seguridad mediante el uso de soluciones de monitorización.
Encuestas recientes han sugerido que, a pesar de la evidencia de que la monitorización ayuda a mejorar la seguridad, más del 80% de las organizaciones todavía no lo hacen de forma activa.
Auditar los cambios de Active Directory
Es crucial que se mantenga un seguimiento de todos los cambios realizados en Active Directory. Cualquier cambio no deseado o no autorizado puede causar graves daños a la seguridad de su Directorio Activo.
Cómo asegurar el Directorio Activo con Lepide
En Lepide, nuestra solución de auditoría y monitorización del Directorio Activo le permite obtener una visión procesable y en tiempo real de los cambios que se realizan en su Directorio Activo. Podrá detectar los signos de compromiso en tiempo real y tomar medidas más rápidamente para evitar incidentes potencialmente desastrosos.
Si está buscando una solución de auditoría de Active Directory que proporcione alertas en tiempo real e informes predefinidos, merece la pena echar un vistazo a Lepide Active Directory Auditor. Viene con una prueba gratuita de 15 días para ayudarle a evaluar la solución.