Consideraciones de diseño para la delegación de administración de Active Directory (es-ES)

 

Lograr autonomía y aislamiento con bosques, dominios y unidades organizativas

 

En Active Directory, los administradores pueden delegar la gestión de servicio y gestión de datos. Gestión puede delegarse a lograr autonomía entre organizaciones, o el aislamiento entre las organizaciones. Este white paper analiza consideraciones de diseño de Active Directory y consecuencias para la seguridad cuando se utilizan los bosques, dominios o unidades organizativas para la delegación de la administración.

Tabla de Contenidos

• Introducción
• Conceptos de delegación
• Razones para delegar la administración
• Gestión de servicios y gestión de datos
• Autonomía y aislamiento
• Delegar la administración de los bosques, dominios y unidades organizativas
• Bosques, dominios y unidades organizativas
• Hechos sobre estructuras de directorios y los propietarios de estructuras de directorio
• Confiando en los administradores de servicios
• Selección de una estructura basada en los requerimientos de la delegación
• Mejores prácticas para los administradores de servicios y restrinjan el acceso físico a los controladores de dominio
• Conclusión
• Apéndice – fondo para requisitos de servicio administrador fiduciario y dominio regulador acceso físico
• Implicaciones para la seguridad de acceso de administrador de servicio y acceso físico
• Vulnerabilidades de modificación del sistema
• Otros idiomas

 

Introducción

Una capacidad clave del servicio de directorio Active Directory en Microsoft ® Windows ® 2000 es la delegación de la administración. A través de la delegación de la administración, se puede diseñar una infraestructura de directorio para abarcar múltiples organizaciones que tienen requerimientos de administración única. En particular, delegación de administración de Active Directory puede ayudar a las organizaciones a cumplir requisitos específicos para la independencia estructural y operacional.

En Active Directory, los administradores pueden delegar la gestión de servicio y gestión de datos. Gestión puede delegarse a lograr autonomía entre organizaciones, o el aislamiento entre las organizaciones. Este documento aborda consideraciones de diseño de Active Directory y las implicaciones de seguridad cuando se utilizan los bosques, dominios o unidades organizativas para la delegación de la administración.

La discusión asume que el lector sepa los conceptos y procedimientos asociados a la planificación e implementación de Active Directory. Para obtener más información acerca de Active Directory de planificación e implementación, vea la serie de documentos de mejores prácticas de implementación en: http://technet.microsoft.com/en-us/library/bb727085 (impresora) .aspx [http://technet.microsoft.com/en-us/library/bb727085.aspx].

Zum Seitenanfang

Conceptos de delegación

Para entender cómo delegar la administración de Active Directory, primero debemos entender por qué organizaciones pueden delegar la administración y los diferentes tipos de responsabilidad administrativa que se pueden delegar.

Razones para delegar la administración

Organizaciones suelen delegan la administración de tres tipos de razones:

• Estructura organizacional — las partes de una organización pueden participar en una infraestructura compartida para ahorrar costes, pero requieren la capacidad de operar independientemente del resto de la organización.

• Los requisitos operacionales — una parte de una organización o una aplicación que utiliza Active Directory puede colocar restricciones unique en la configuración del servicio de directorio, la disponibilidad o seguridad. Los ejemplos se encuentran en:

  • Organizaciones militares

  • Escenarios de alojamiento

  • Escenarios de directorio Extranet o exteriores

• Requisitos legales — algunas organizaciones tienen requisitos legales que obligan a operar de una manera específica, como la restricción del acceso a cierta información. Estos requisitos se aplican comúnmente a los siguientes tipos de organizaciones:

  • Instituciones financieras

  • Contratistas de defensa

  • Organizaciones gubernamentales

Por tales razones, una organización deba delegar el control sobre la gestión de servicios, gestión de datoso ambos. Dependiendo de las necesidades específicas de la organización, podría ser el objeto de dicha delegación lograr aislamiento, autonomía o ambos. Un primer paso importante en el diseño de Active Directory es definir con precisión las necesidades de una organización basada en los conceptos de gestión de servicios, gestión de datos, la autonomía y aislamiento. Estos conceptos se definen a continuación.

Gestión de servicios y gestión de datos

Las responsabilidades administrativas que se delegan en Active Directory pueden dividirse en dos clases: responsabilidad de la prestación del servicio de directorio (gestión de servicios) y responsable de contenidos almacenados en o protegidos por el servicio de directorio (gestión de datos). Los administradores de estas responsabilidades son los administradores de servicios o administradores de datos.

• Los administradores de servicios — los administradores de servicios de Active Directory son responsables de la configuración y prestación del servicio de directorio. Por ejemplo, los administradores de servicios mantienen los servidores controladores de dominio, controlan todo el directorio de configuración y son responsables de garantizar la disponibilidad del servicio.

• Los administradores de datos , administradores de datos de Active Directory son responsables de administrar los datos almacenados en el directorio activo o en computadoras se unió a Active Directory y no tienen control sobre la configuración o prestación del servicio de directorio. Los administradores de datos incluyen:

  • Administradores que controlan un subconjunto de objetos en el directorio. A través de control de acceso se puede heredar, nivel de atributo, administradores de datos pueden otorgar control de secciones muy específicas del directorio, pero no tienen control sobre la configuración del propio servicio.

  • Administradores de equipos de miembros que se unen al directorio y datos que están almacenados en dichos equipos.

  • En muchos casos, la configuración del servicio del directorio es determinada por los valores de atributo en objetos almacenados en el directorio. En consecuencia, los administradores de servicios de Active Directory también son administradores de datos.

Autonomía y aislamiento

Los requisitos de la delegación de una organización generalmente se dividen en dos categorías: autonomía y aislamiento.

• Autonomía : la autonomía es la capacidad de los administradores de una organización para administrar independientemente:

  • Todo o parte de la gestión del servicio (autonomía de servicio).

  • Todo o parte de los datos almacenados en el directorio o en los equipos miembro que se unió al directorio (autonomía de datos).

• Aislamiento : aislamiento es la capacidad de los administradores de una organización para evitar que otros administradores de:

  • Controlar o interferir con la gestión del servicio (aislamiento de servicio).

  • Controlar o visualización de un subconjunto de datos en el directorio o en los equipos miembro que se unió al directorio (aislamiento de datos).

La autonomía es menos restringida que el aislamiento. Los administradores que requieren autonomía sólo aceptan que otros administradores de igual o mayor privilegio en el sistema de control equivalente o primordial. Los administradores que requieren aislamiento específicamente buscan bloquear otros administradores de visualización o controlar su porción de servicio o datos. Porque la autonomía es menos restringida que el aislamiento, es generalmente menos costosa y más eficiente para delegar autonomía en Active Directory.

La combinación de gestión de servicios, gestión de datos, la autonomía y los requisitos de aislamiento determina qué estructura de Active Directory para delegar el control de una organización.

Nota: En muchos pequeños para organizaciones de tamaño mediano, no es inusual para todos los servicios y administración de datos en Active Directory para ser bajo el control de un solo grupo. Esas organizaciones que tienen no hay requisitos específicos de autonomía o el aislamiento pueden utilizar solo bosque, solo dominio Active Directory diseños y tratar los procedimientos en este documento como referencia solamente.

Zum Seitenanfang

Delegar la administración de los bosques, dominios y unidades organizativas

Tres estructuras diferentes pueden utilizarse para delegar la administración de Active Directory: bosques, dominios y unidades organizativas (ou). La siguiente sección describe brevemente las características de cada estructura, y cuando es apropiado seleccionar una estructura basada en los requerimientos específicos de la delegación.

Para obtener más información sobre diseño de Active Directory, vea la serie de documentos de mejores prácticas de implementación en: http://technet.microsoft.com/en-us/library/bb727085 (impresora) .aspx [http://technet.microsoft.com/en-us/library/bb727085.aspx].

Bosques, dominios y unidades organizativas

Para entender la discusión de la delegación que sigue, es útil repasar brevemente las definiciones y características de manejo de bosques, dominios y unidades organizativas de Active Directory.

Un bosque es una colección de dominios con una configuración compartida y esquema, representado por un único Catálogo global lógico y conectado por un árbol de expansión de las confianzas transitivas. Un bosque está representado por un dominio raíz del bosque. El propietario administrativo predeterminado de un bosque es el grupo administradores de dominio del dominio raíz del bosque. El grupo administradores de dominio de la raíz del bosque controla la composición de los grupos Administradores y administradores de esquema, que por defecto tiene control sobre la configuración de todo el bosque. Porque el dueño del bosque controla los controladores de dominio, el propietario del bosque es un Administrador de servicio.

Un dominio es una partición en un bosque de Active Directory. El propietario administrativo predeterminado de un dominio es el grupo administradores de dominio del dominio. Porque el dueño del dominio controla los controladores de dominio, el propietario del dominio es un Administrador del servicio. Todos los propietarios de dominio no-root en un bosque son iguales, independientemente de la posición de su dominio en la jerarquía de nombres; el propietario de un dominio padre no-root no tiene defecto administrativo control sobre un dominio secundario.

Una unidad organizativa (OU) es un contenedor dentro de un dominio. Control de una unidad organizativa y los objetos en una unidad organizativa se determina por completo el Control de listas de acceso (ACL) en la unidad organizativa y en los objetos en la unidad organizativa. Usuarios y grupos que tienen control sobre los objetos en las unidades organizativas son administradores de datos.

Cuanto mayor sea el número de organizaciones que pueden participar en un bosque, el mayor es los posibles beneficios de la colaboración y el ahorro. Por esta razón, es una mejor práctica para reducir al mínimo el número de los bosques en una implementación de Active Directory. Sin embargo, hay situaciones en que delegación requisitos hacen despliegue de varios bosques completamente apropiada.

Por ejemplo, en las organizaciones donde se distribuye gran control administrativo, puede ser poco práctico esperar que todas las organizaciones a participar en la misma infraestructura. En estas situaciones, el costo de administrar un bosque adicional se cotiza fuera para satisfacer este requisito práctico.

Hechos sobre estructuras de directorios y los propietarios de estructuras de directorio

Los siguientes hechos acerca de las estructuras de Active Directory y sus administradores son importantes a la hora de elegir una estructura de directorios de una delegación. Para una aplicación de estos hechos en una vea procedimiento de recolección de estructura simple, "Seleccionar una estructura basada en delegación requisitos", más adelante en este documento.

1. **Los propietarios de dominio no pueden evitar que los propietarios forestales de control de sus servicios y acceder a sus datos.**Aunque es posible que tenga acceso a un dominio para administradores de empresa, es generalmente imposible impedir que el dueño del bosque para acceder a objetos en dominios no-root. Por ejemplo, los miembros del grupo administradores de esquema (que es controlada por el grupo administradores de dominio del dominio raíz del bosque) pueden modificar el descriptor de seguridad predeterminado en una clase de objeto de conceder el control completo del grupo de administradores de empresa sobre los objetos recién creados de esa clase. En consecuencia, las organizaciones que participan en un bosque deben confiar en el dueño del bosque.

2. **Los propietarios de dominio siempre mantienen el derecho a acceder a los datos almacenados en un dominio o alojados en computadoras Unidos a un dominio.**Los administradores de servicio de un dominio pueden impedirse ver o manipular los datos almacenados en un dominio o en equipos Unidos a un dominio. Esto es una consecuencia de las siguientes características de Active Directory:

   • Del grupo Builtin\Administrators en un controlador de dominio puede tomar posesión de cualquier objeto en el dominio y luego leer, modificar o eliminar, sin importar la ACL anterior en el objeto. Esta característica permite a los administradores de servicios una forma de corregir errores en las ACL de objetos. Por lo tanto, las organizaciones que almacenan datos en unidades organizativas de un dominio deben confiar en el dueño del dominio.

   • Un administrador del servicio puede modificar maliciosamente el software del sistema en un controlador de dominio para eludir controles de seguridad normales. Un administrador del servicio puede utilizar este procedimiento para ver o manipular cualquier objeto en el dominio, independientemente de la ACL en el objeto. En consecuencia, las organizaciones que almacenan datos en unidades organizativas de un dominio deben confiar en el dueño del dominio.

   • Un administrador del servicio puede utilizar la política de seguridad de grupos restringidos para conceder cualquier usuario o grupo acceso administrativo a cualquier ordenador unido al dominio. Esta característica asegura que un administrador puede controlar siempre un equipo unido al dominio, independientemente de las intenciones del propietario del ordenador. Por lo tanto, las organizaciones que se unen los equipos a un dominio deben confiar en el dueño del dominio.

   • Si un usuario o grupo en un dominio se concede el acceso a los datos almacenados en una computadora se unió a la selva, el propietario de dominio del dominio del usuario o de grupo puede restablecer la contraseña del usuario o manipular la membresía del grupo y de esta manera lograr acceso a los datos. En consecuencia, las organizaciones que se unen los equipos a un bosque deben confiar en todos los propietarios de dominio en el bosque.

3. Los propietarios de dominio no pueden impedir que otros propietarios de dominio malicioso del control de sus servicios y acceder a sus datos. Debido a la naturaleza fuertemente acoplada de un bosque de Active Directory, es posible para los propietarios de dominio para utilizar métodos maliciosos para acceder a otros dominios en el bosque. Por ejemplo, es posible que un propietario de dominio malicioso modificar el software del sistema de un controlador de dominio y de esta manera interferir con el funcionamiento de cualquier dominio del bosque, ver o manipular datos de configuración de bosque, ver o manipular los datos almacenados en cualquier dominio, o ver o manipular los datos almacenados en cualquier equipo se unió al bosque. Por lo tanto, el dueño del bosque debe confiar en todos los propietarios de dominio en un bosque y todos los propietarios de dominio en un bosque deben confiar en los demás.

4. **Los controladores de dominio en un bosque no puede ser aislados de uno al otro.**Debido a la naturaleza distribuida de Active Directory, el incumplimiento de un único controlador de dominio puede tener efectos a través de un bosque. Por ejemplo, es posible que un atacante que tiene acceso físico a un único controlador de dominio para hacer cambios sin conexión a la base de datos del directorio y así va interferir con el funcionamiento de cualquier dominio del bosque, ver o manipular los datos almacenados en cualquier lugar en el bosque o ver o manipular los datos almacenados en cualquier equipo que se unió al bosque. En consecuencia, el acceso físico a los controladores de dominio debe ser restringido al personal de confianza.

Confiando en los administradores de servicios

Para resumir las consecuencias de los hechos sobre estructuras de directorios y los propietarios de estructuras de directorio, para una organización para unirse a un dominio o bosque de infraestructura, debe elegir confiar en todos los administradores de servicio en el bosque y en todos los ámbitos. En este contexto, para confiar en los administradores de servicios significa que:

• Razones para creer que los administradores de servicios cuidado para el mejor interés de la organización. Organizaciones no deben elegir a un bosque o dominio si los dueños del bosque o dominio podrían tener razones legítimas para actuar maliciosamente en contra de la organización.

• Razones para creer que los administradores de servicios sigan las mejores prácticas para los administradores de servicios y la restricción de acceso físico a los controladores de dominio. Para más información sobre estas prácticas, consulte "Mejores prácticas para servicio administradores y restringir acceso a dominio controladores físicos" más adelante en este documento.

• Entender y aceptar los riesgos asociados con administradores de pícaro y coaccionado a los administradores de la organización.

  • **Rogue administradores —**Siempre es posible que los administradores normalmente confiables convertido en administradores de pícaro y abusar del poder que tienen en el sistema.

  • **Coaccionado administradores —**Normalmente los administradores pueden ser coaccionados u obligados a realizar operaciones que alteran la seguridad del sistema.

Algunas organizaciones podrían aceptar el riesgo de brechas de seguridad pícaro o coacción a los administradores de servicios de otras partes de la organización. Dichas organizaciones podrían determinar que el beneficio de ahorro de costes y de colaboración de participar en una infraestructura compartida supera el riesgo. Sin embargo, otras organizaciones no pueden aceptar este riesgo porque las consecuencias de una brecha de seguridad son demasiado severas.

Nota: Previamente publicados Active Directory documentación indica que un dominio es un límite de seguridad, pero no proporciona detalles específicos sobre el nivel de autonomía y aislamiento posible entre dominios en un bosque. Aunque un dominio es de hecho un límite de seguridad al considerar los aspectos de administración de Active Directory, no proporciona aislamiento completo frente a posibles ataques por los administradores del servicio que maliciosamente modificar el comportamiento del sistema. Para obtener más información, vea el apéndice de este documento.

Selección de una estructura basada en los requerimientos de la delegación

La figura 1 ilustra el proceso de decisión para determinar si los requisitos de delegación específica de una organización justifican delegar el control de un bosque separado, dominio o unidad organizativa para esa organización. Para utilizar el proceso, realice el siguiente ejercicio conceptual:

1. Comience por colocar todas las organizaciones en un bosque único dominio.

2. Para cada organización con únicos requisitos administrativos, utilice el proceso de decisión para determinar el curso de acción apropiado.

3. Cuando grabe la justificación para cada decisión, asegúrese de observar:

   • Si el requisito de la delegación es impulsado por uno o más requisitos organizacionales, operacionales, legales u otros.

   • Si el requisito es para la delegación de gestión de servicios, gestión de datos o ambos.

   • Si el requisito es que la autonomía, el aislamiento o ambos.

El proceso de decisión para la delegación de la administración es ilustrado en la figura 1 y discutido en detalle en una serie de escenarios de la figura siguiente.

http://i.technet.microsoft.com/Bb727032.addldm01(en-us,TechNet.10).gif

Figura 1: Proceso para determinar los requisitos de la delegación para su organización

Escenario 1: Creación de bosques para el aislamiento del servicio

Una organización que necesita aislamiento servicio requiere que ningún administrador fuera de la organización puede interferir con el funcionamiento del directorio. Aislamiento de servicio normalmente es impulsado por requerimientos operacionales o legales. Para proporcionar aislamiento frente al servicio, crear un nuevo bosque para la organización.

Los requisitos operacionales que impulsan aislamiento servicio podrían incluir lo siguiente:

• Una empresa de fabricación podría tener una aplicación habilitada para Active Directory misión crítica que controla el equipo en el piso de la fábrica. Si esta empresa considera la operación de equipos de fábrica para ser su máxima prioridad, podría optar por crear un bosque único de toda la empresa para funciones administrativas normales y un bosque separado para cada fábrica de la crítica. Esto permite fábricas críticas continuar la operación sin importar el estado de los bosques de toda la empresa y el estado de otras fábricas.

• Marina podría requerir que la captura de una sola nave no tienen la posibilidad de poner en peligro la prestación de servicios para todo un grupo de batalla o la Marina de guerra entera. Para contener el impacto de la captura de una sola nave a la nave, la armada podría crear un bosque separado para cada nave.

• Una empresa de hosting querer colocar los controladores de dominio en las instalaciones del cliente de un cliente. Debido a la violación de un único controlador de dominio puede afectar la prestación de servicios en el resto de un bosque, podría crear un bosque separado para cada cliente que requiere de controladores de dominio de los locales. De lo contrario, un cliente malintencionado con acceso físico a un controlador de dominio en sus locales podría ser capaz de interferir con el funcionamiento del directorio para otros clientes en el mismo bosque.

Consideraciones especiales para los bosques de aislamiento de servicio incluyen los siguientes:

• Los bosques creados para el aislamiento del servicio pueden confiar en los dominios de otros bosques, pero no deben incluir a los usuarios de otros bosques en grupos administrativos. Si los usuarios de otros bosques incluidos en los grupos administrativos del bosque aislado, entonces una brecha del otro bosque podría conducir a una violación del bosque aislado.

• Aunque crear un bosque separado puede proporcionar aislamiento de servicio, es importante señalar que mientras los controladores de dominio son accesibles en una red, son objeto de ataques (por ejemplo, ataques de denegación de servicio) de computadoras en la red. Las organizaciones que decidan que el riesgo de ataque es demasiado alto, o que la consecuencia de un ataque o brecha es demasiado grande, pueden hacer lo siguiente:

  • Considerar cuidadosamente la confiabilidad de las redes los controladores de dominio host.

  • Limitar el acceso a las redes hosting los controladores de dominio.

  Acceso puede limitarse mediante tecnologías tales como cortafuegos y IPSEC. Para obtener más información acerca de limitar el acceso mediante el uso de firewall e IPSEC, consulte el Kit de recursos de Windows 2000 Server en http://www.microsoft.com/technet/prodtechnol/comm/comm2000/reskit/default.mspx [http://www.microsoft.com/technet/prodtechnol/comm/comm2000/reskit/default.mspx].

Escenario 2: Creación de bosques por la autonomía del servicio forestal-Level

Un bosque consiste en un conjunto de dominios con un compartido contenedor de esquema y configuración envase. Estos contenedores son controlados por el propietario del bosque.

• **Horario:**El esquema del bosque determina qué clases de objetos pueden ser creado en el directorio y qué atributos se asocian a esos objetos. Las aplicaciones que aprovechan Active Directory pueden ampliar el esquema para incluir datos específicos de aplicación.

• **Configuración:**Los datos almacenados en el contenedor configuración incluyen:

  • Datos que define la topología de sitio y topología de replicación de la selva.

  • Diversos parámetros de la política de todo el bosque, como política basado en el sitio y todo el bosque LDAP (para los controladores de dominio).

  • Información que identifica el conjunto de dominios en el bosque y la jerarquía de confianza. Cada dominio del bosque confía en todos los otros dominios del bosque. A través del control de los datos de esta configuración, el dueño del bosque controla la creación de nuevos dominios en el bosque.

  • Aplicaciones habilitadas para directorio activas pueden almacenar los datos de configuración de todo el bosque en el contenedor configuración. Un ejemplo de una aplicación es Microsoft ® Exchange 2000 Server.

Si una organización requiere la habilidad de manipular independientemente del esquema o configuración del contenedor, se requiere su propio bosque. Este requisito es típicamente impulsado por estructura organizacional o los requisitos operacionales.

Un requisito de estructura organizativa que impulsa la autonomía del servicio forestal nivel podría ser el siguiente:

• Una división de una empresa de querer instalar las aplicaciones habilitadas para directorios que extienden el esquema, sin consultar a otras divisiones de la empresa. Creando un bosque separado cotiza el costo adicional de administrar un bosque separado por la autonomía en el nivel del bosque.

Una necesidad operacional que impulsa la autonomía del servicio forestal nivel podría ser el siguiente:

• Una empresa de hosting convendría a sus clientes para poder instalar las aplicaciones habilitadas para directorio a medida que extienden el esquema, pero no están certificadas bajo el programa Windows Logo de software para satisfacer las mejores prácticas de esquema. Porque otros clientes están probable que acepte aplicaciones no certificadas, este cliente necesita control autónomo sobre el esquema. Para ello, la empresa de hosting debe asignarles un bosque separado.

Una consideración especial para la creación de bosques para la autonomía del servicio forestal-level es el siguiente:

• Las organizaciones que justifican la creación de un bosque separado mediante el uso de los requisitos de la estructura organizativa deben ser conscientes que las implementaciones de varios bosques implican equilibrar los costos y beneficios. Aunque una organización podría preferir las operaciones de servicio autónomo, podría ser más rentable a admitir responsabilidad por prestación de servicios a un grupo central, confianza. De esta manera, la organización de grupo puede participar en la gestión de datos en el bosque, pero eliminar el costo de la obtención de experiencia en gestión de servicio directorio especializado. Para obtener más información acerca de equilibrar los costos y beneficios en este escenario, ver la serie de mejor práctica Active Directory despliegue en http://technet.microsoft.com/en-us/library/bb727085 (impresora) .aspx [http://technet.microsoft.com/en-us/library/bb727085.aspx].

Escenario 3: Delegación de dominios de nivel de dominio servicio autonomía

Una organización podría estar de acuerdo permitir la configuración de todo el bosque será determinado por el dueño del bosque, pero todavía podría querer tener autonomía de servicio de nivel de dominio. Los siguientes elementos del servicio son controlados independientemente en el nivel de dominio:

• **La disponibilidad de servicio —**El propietario del dominio tiene la capacidad de crear, eliminar, copia de seguridad y restaurar los controladores de dominio con el fin de conseguir un nivel deseado de la disponibilidad del servicio.

• **Confianza externa —**El propietario de dominio puede determinar qué dominios en otros bosques a confiar.

• **Directiva de cuentas de usuario de dominio —**Ciertas políticas que rigen las cuentas de usuario de dominio sólo pueden ser controladas en el nivel de dominio. Esas políticas son:

  • Política de contraseñas

  • Directiva de bloqueo de cuenta

  • Política de toda la vida de ticket Kerberos

Para delegar la capacidad de controlar autónomamente estos aspectos del servicio, el propietario de un bosque puede delegar un dominio para la organización. Consideraciones especiales para la delegación de un dominio son los siguientes:

• Como consecuencia de los hechos acerca de Active Directory discutido en anteriormente en este documento (véase "Hechos sobre directorio de estructuras y directorio estructura propietarios"), dueño de un bosque sólo deberá delegar un dominio a una organización si el propietario del bosque y todos los propietarios de dominio confiar en el dueño del dominio en la organización delegada. Basado en este requisito, es una mejor práctica de centralizar la propiedad de los servicios forestales y dominio en una única organización que se encarga del bosque y utilizar dominios sólo para repartir geográfica de replicación. Porque todos los administradores de servicio son de confianza, delegación puede realizarse con seguridad enteramente en el nivel OU.

• Dominios proporcionan autonomía de servicio de nivel de dominio, pero no proporcionan aislamiento de datos de dueño del bosque o de otros propietarios de dominio. Crear bosques separados si una organización requiere aislamiento de datos de los propietarios de servicio. Para obtener más información, vea "Escenario 4: creación de bosques para datos de aislamiento de servicio dueños", más adelante en este documento.

• En una gran organización, es posible que la organización que posee el bosque para diferenciarse de la organización que gestiona todas las demás operaciones de directorio. En esta situación es una mejor práctica para crear un dominio raíz del bosque dedicado. Dueño de dominio raíz del bosque controla el dominio raíz del bosque dedicado, y la organización operacional se concede la propiedad de uno o más dominios de niño. Esto permite que la organización operativa gestionar autónomamente la disponibilidad del servicio, pero no controlan la composición de los grupos Administradores y administradores de esquema en el dominio raíz del bosque. Tenga en cuenta que a raíz del bosque dedicado sólo proporciona protección contra el uso indebido accidental o involuntario de privilegio; los propietarios de dominios no-root pueden usar métodos maliciosos para intentar manipular grupos del dominio raíz.

Para obtener más información sobre el dominio geográfico de partición y bosque dedicado raíz dominio diseño las mejores prácticas, vea la serie de implementación de mejores prácticas en http://technet.microsoft.com/en-us/library/bb727085 (impresora) .aspx [http://technet.microsoft.com/en-us/library/bb727085.aspx].

Escenario 4: Creación de bosques para aislamiento de datos de los propietarios de servicio

Porque los datos almacenados en Active Directory y en ordenadores que se unió a Active Directory no pueden ser aislados de los administradores del servicio del directorio, es la única manera para que una organización lograr el aislamiento de datos completa crear un bosque separado. Esta situación puede ocurrir en una organización donde los administradores de servicios son normalmente confiables, pero las consecuencias de un ataque por un pícaro o un administrador forzada pueden tener un impacto grave sobre la organización. Este tipo de requisito para el aislamiento de datos normalmente es conducida por los requisitos legales.

Los requisitos legales que impulsan la necesidad de aislamiento de datos de los propietarios de servicio incluyen los siguientes:

• Una institución financiera podría ser necesario por la ley para limitar el acceso a los datos pertenezcan a clientes en una jurisdicción especial para los usuarios, equipos y administradores ubicados en esa jurisdicción. Aunque la institución normalmente puede confiar en los administradores de servicios que trabajan fuera de la jurisdicción protegida, incumpliendo la limitación de acceso podría causar la institución a perder su capacidad de hacer negocios en esa jurisdicción.

• Un contratista de defensa podría ser necesario por la ley para limitar el acceso a los datos de proyecto de defensa a un conjunto especificado de usuarios. Aunque el contratista normalmente puede confiar en los administradores de servicios que controlan sistemas informáticos relacionados con otros proyectos, la consecuencia de una violación por los administradores de estos servicios puede ser pérdida de la capacidad de hacer negocios con el gobierno.

Consideraciones especiales para la creación de los bosques para aislamiento de datos de los propietarios de servicio incluyen los siguientes:

• Los bosques creados para aislamiento de datos pueden confiar en los dominios de otros bosques, pero los usuarios de otros bosques no deberían incluirse en cualquiera de los siguientes grupos:

  • Grupos responsables de gestión de servicios, o grupos que pueden administrar la pertenencia a grupos de servicio Administrador

  • Los grupos con control administrativo sobre los equipos que almacenan datos protegidos

  • Los grupos que tienen acceso a datos protección, o grupos responsables de la gestión de usuario o grupo de objetos que tienen acceso a datos protegidos

  Si los usuarios de otro bosque están incluidos en ninguno de estos grupos, una violación del otro bosque llevaría a una violación del bosque aislado y a la divulgación de datos protegidos.

• Aunque la creación de un bosque separado permite aislamiento de datos, es importante señalar que mientras los controladores de dominio del bosque aislado y computadoras esa información del host protegida son accesibles en una red, son objeto de ataques lanzados desde ordenadores de la red. Las organizaciones que decidan que el riesgo de ataque es demasiado alto, o que la consecuencia de un ataque o brecha es demasiado grande, deben hacer lo siguiente:

  • Considerar cuidadosamente la confiabilidad de las redes que albergan los controladores de dominio o equipos que contengan datos protegidos

  • Limitar el acceso a las redes que albergan los controladores de dominio y computadoras hosting datos protegidos mediante el uso de tecnologías tales como cortafuegos y IPSEC

Escenario 5: Delegar las unidades organizativas para datos de autonomía y aislamiento de los dueños no son de servicio

Una organización puede permitir la propiedad de los servicios a nivel de bosque y dominio para ser controlado por una organización separada, confianza, pero conservan autónoma control sobre sus datos colocándolo en una unidad organizativa. Los permisos pueden colocarse en los datos así es visible sólo a usuarios específicos. Esto permite que una organización aislar sus datos de organizaciones de otros, no son de servicio propietario que controlan las unidades organizativas en el mismo dominio o en el mismo bosque.

Un requisito de estructura organizativa que justifica el uso de unidades organizativas para la delegación es la siguiente:

• Una unidad de negocio de una empresa puede requerir la capacidad de crear, modificar y eliminar cuentas de usuario para sus empleados independientemente. Si la unidad de negocio tiene ningún requisito para aislar a estas cuentas de usuario de los propietarios de servicio, entonces es seguro para esta unidad de negocio aceptar un delegado OU.

Una necesidad operacional que justifica el uso de unidades organizativas para la delegación es la siguiente:

• Una empresa de hosting que mantiene la propiedad de todos los servicios en un bosque y limita el acceso físico a personal de la empresa de hosting puede delegar las unidades organizativas a los clientes. Estos clientes pueden gestionar sus datos de directorio autónomamente y también podrían optar por tener sus datos ocultos de otros clientes que comparten la misma infraestructura.

Una consideración especial para delegar las unidades organizativas es el siguiente:

• Un delegado OU es apropiado solamente si la organización está satisfecho de que todos los propietarios de servicio en el bosque son dignos de confianza, y todos los controladores de dominio en el bosque son físicamente seguros.

Zum Seitenanfang

Mejores prácticas para los administradores de servicios y restrinjan el acceso físico a los controladores de dominio

Porque los administradores de servicios deben ser altamente confiables, es importante entender que grupos administrativos en Active Directory son los administradores de servicios, y lo mejor las prácticas de estos grupos deben seguir.

Los administradores de servicios de Active Directory incluyen:

• Cualquier grupo que legítimamente puede cambiar los ajustes de configuración de directorio

• Cualquier grupo que puede instalar los controladores de dominio

• Cualquier grupo que puede instalar o modificar software en controladores de dominio

• Cualquier grupo que puede modificar la pertenencia de otro grupo administrador de servicio

Para la versión de Active Directory de Windows 2000, estos grupos incluyen:

• Grupos controlados por el propietario de un bosque

  • Administrador de dominio (dominio raíz del bosque)

  • Administradores de empresa

  • Administradores de esquema

• Grupos controlados por el propietario de un dominio

  • Administradores de dominio

  • BUILTIN\Administrators

  • Operadores Builtin\Server

  • Operadores Builtin\Backup

Para reducir el riesgo de ataque por los administradores del servicio o a través de acceso físico a los controladores de dominio, se recomiendan las siguientes prácticas recomendadas:

• Minimizar el número de miembros de grupos de administración de servicio

• Permitir sólo otros grupos administrador servicio a modificar la composición de grupos de administración de servicio

• No incluyen los usuarios o grupos de bosques confianza externos en grupos de administración de servicio en el bosque a menos que los administradores del servicio del bosque externo son tan confiables como los administradores de servicios del bosque

• Los cambios en la pertenencia a grupos servicio Administrador de auditoría

• Inicie sesión con credenciales de administrador de servicio sólo cuando sea absolutamente necesario; proporcionar cuentas de usuario alternativo a los administradores para el trabajo diario

• Permitir sólo grupos de administrador de servicios administrar estaciones de trabajo utilizadas por los administradores de servicios

• Restringir el acceso físico a los controladores de dominio a los administradores de servicio; No coloque los controladores de dominio en ubicaciones que no pueden ser aseguradas

• Restringir el acceso físico a los backups de estado de sistema dominio regulador a los administradores de servicio; No guarde copias de seguridad de sistema estatal en lugares donde no se podrá fijar

• Minimizar el software que se ejecuta en los controladores de dominio

• Preparar y practicar un plan de recuperación de negocios todo el bosque

• Educar a los administradores de servicios sobre la importancia de observar las mejores prácticas

Zum Seitenanfang

Conclusión

Active Directory proporciona una infraestructura que permite la colaboración entre personas y organizaciones. Cuando se diseña para la delegación de la administración, los planificadores deben precisamente definir sus necesidades de delegación, entender las implicaciones de seguridad de la delegación y ser conscientes de los intercambios entre la colaboración, autonomía y aislamiento en una infraestructura de directorio.

Para permitir la máxima colaboración con la administración por lo menos costo, una organización puede implementar un diseño único bosque con una sola organización poseyendo todos bosque y dominio de gestión de servicios y delegar autonomía datos o aislamiento a otras organizaciones mediante el uso de unidades organizativas. Cada organización participante debe confiar en el dueño del servicio antes de unirse a la selva.

Algunas organizaciones tienen autonomía específico o los requisitos de aislamiento que hacen confiar en el dueño de un servicio central poco práctico o imprudente. Estas organizaciones pueden desplegar múltiples diseños de bosque y permitir la colaboración entre bosque a través de sistemas de gestión adicionales tales como Microsoft Metadirectory Services (MMS).

Para obtener más información acerca de MMS, consulte http://www.microsoft.com/windows2000/technologies/directory/MMS/default.asp [http://www.microsoft.com/windows2000/technologies/directory/mms/default.asp].

Zum Seitenanfang

Apéndice – fondo para requisitos de servicio administrador fiduciario y dominio regulador acceso físico

Los procedimientos de diseño de este documento asumen que cualquier organización que participa en un bosque confía en todos los administradores de servicio en el bosque (el dueño del bosque y los propietarios de dominio) y está satisfecho con la seguridad física de los controladores de dominio. La discusión siguiente describe por qué esto es necesariamente el caso.

Implicaciones para la seguridad de acceso de administrador de servicio y acceso físico

Active Directory incluye características de seguridad que son definidas por los siguientes componentes del sistema dos base:

• **El software del sistema que compone un controlador de dominio de Active Directory:**Este software encarga de los procesos de autenticación, construye y transmite las estructuras de datos que definen la identidad de un usuario (también llamada datos de autorización), aplica las políticas y restringe el acceso a los objetos en el directorio basado en objetos, permisos por atributos.

• **La base de datos del directorio almacenado en los controladores de dominio —**La base de datos de Active Directory almacena información como las contraseñas de usuario, la pertenencia a grupos y acceso a listas de Control que rigen el acceso a los objetos.

Si un atacante modifica la base de software o directorio de sistema de un controlador de dominio, es posible que el atacante desactivar funciones de seguridad en Active Directory, o modificarlos a comportarse de una manera que de lo contrario es una ventaja para el atacante. Las siguientes personas tienen la capacidad de lanzar este tipo de ataques:

• **Administradores de servicio —**Los administradores de servicios necesitan la capacidad de modificar el software de sistema en controladores de dominio. Por ejemplo, los administradores de servicios deben ser capaces de aplicar los parches de software, instalar los service packs, instalar actualizaciones del sistema operativo y conectar a los depuradores, todos los cuales son las acciones que pueden modificar el software del sistema. A través de este acceso legítimo, un administrador del servicio puede instalar el software que hace maliciosas modificaciones en el comportamiento del sistema.

• **Personas con acceso físico a los controladores de dominio —**Una persona con acceso físico a un controlador de dominio puede atacar el sistema de las siguientes maneras:

  • Modificando o reemplazando archivos binarios del sistema en el disco físico que aloja el software del sistema del controlador de dominio.

  • Mediante el uso de acceso sin conexión a la base de datos del directorio. Un atacante que puede tener acceso sin conexión a la base de datos del directorio puede leer datos sin ACL se aplican, podría ser capaces de descifrar contraseñas almacenadas en la base de datos y podría ser capaces de realizar cambios en la base de datos que cambian el comportamiento de este o potencialmente otros controladores de dominio si la línea base de datos se devuelve al sistema.

  Estos ataques pueden lograrse mediante:

  • Acceder a los discos físicos arrancando un controlador de dominio para un sistema operativo alternativo.

  • Extracción (y posiblemente sustitución) discos físicos en un controlador de dominio.

  • Obtención y manipulación de una copia de un backup de dominio regulador sistema estatal.

Nota: La característica SYSKEY de Active Directory puede proporcionar protección adicional para las contraseñas almacenadas en la base de datos de Active Directory con cifrarlas con una clave de sistema almacenada en un disquete. Para descifrar contraseñas en la base de datos, el atacante necesita acceso físico a la base de datos de Active Directory y el disquete con la clave del sistema.

Es importante señalar que SYSKEY no cifrar la base de datos. Un atacante puede obtener una copia física de la base de datos todavía puede leer o modificar los datos sin cifrar en la base de datos sin ACL se aplican. Para más información sobre la característica SYSKEY, consulte el Kit de recursos de Windows 2000 Server en http://www.microsoft.com/technet/prodtechnol/comm/comm2000/reskit/default.mspx [http://www.microsoft.com/technet/prodtechnol/comm/comm2000/reskit/default.mspx].

Los ataques que modificar el software del sistema no se limitan a cambiar el comportamiento de elementos de seguridad. Por ejemplo, el sistema normalmente impone un requisito que las actualizaciones del esquema sólo escribirse en el controlador de dominio con la función de maestro de esquema. Utilizando una modificación del software malicioso sistema, es posible que un atacante derrotar a la comprobación de la función de maestro de esquema y actualizar el esquema en el controlador de dominio modificado.

Aunque los ataques de software de sistema y modificaciones físicas a la base de datos de directorio aparecen difíciles, único atacante altamente sofisticado necesita construir las herramientas para el ataque. Una vez que se crean las herramientas, ellos pueden ser distribuidos a cualquier administrador.

Vulnerabilidades de modificación del sistema

En un sistema distribuido, el incumplimiento de una sola computadora puede afectar a muchos ordenadores o incluso todo el sistema. Un bosque de Active Directory es un sistema distribuido firmemente acoplado. Un atacante que puede modificar el sistema software en un controlador de dominio o ganar acceso físico a un controlador de dominio puede explotar el acoplamiento apretado del sistema con el fin de extender el ataque a otros equipos en el bosque. En particular, el ataque podría aprovechar las siguientes características de Active Directory:

• Todos centros de distribución de claves Kerberos (KDC) se consideran igualmente digno de confianza.

  Cuando un usuario inicia una sesión, el software KDC en un controlador de dominio construye los datos de autorización que describe la identidad del usuario. Esta autorización datos contienen los identificadores de seguridad (SID) para el usuario y para los grupos de los cuales el usuario es un miembro. Cuando un usuario accede a un recurso en otro dominio, KDC del usuario envía datos de autorización el KDC en ese dominio como una representación de la identidad del usuario.

  En orden para funciones como SID History y grupos universales para operar, KDC en cada dominio debe aceptar la validez de los datos de autorización de usuario que incluye SIDs desde fuera dominio casa del usuario.

  Un atacante puede aprovechar esta característica modificando el directorio base de datos para insertar los PEID en datos de autorización de un usuario o software KDC. De esta forma, un atacante puede autenticar a un controlador de dominio modificado y utilizar los PEID insertado para disfrazarse como cualquier usuario en el bosque, o para ser miembro de cualquier grupo en el bosque (incluyendo grupos administrativos). Este ataque es conocida como una autorización datos "spoofing" o suplantación de SID ataque.

• Los datos almacenados en las particiones de esquema y configuración compartidas en todos los controladores de dominio y los datos almacenados en particiones de dominio parcial en todos los servidores de catálogo global se consideran igualmente digno de confianza.

  Cuando los controladores de dominio replican cambios en el esquema compartido y configuración particiones, consideran que todas las copias de la partición de todos los controladores de dominio a ser igualmente digno de confianza. Un controlador de dominio acepta actualizaciones replicadas a estas particiones desde cualquier controlador de dominio en el bosque. Además, software de Active Directory habilitado en los equipos cliente asume que las particiones de esquema y configuración de todos los controladores de dominio son igualmente dignos de confianza y acepta las respuestas de la consulta para obtener esta información desde cualquier controlador de dominio en el bosque.

  Cuando se configuran los controladores de dominio como servidores de catálogo global replicar cambios en las particiones de dominio parcial, pueden seleccionar como un asociado de replicación o un controlador de dominio con una copia completa de la partición u otro servidor de catálogo global de cualquier dominio del bosque. Además, software de cliente de Active Directory habilitado trata a todos los servidores de catálogo global en un bosque como igualmente dignas de confianza y acepta las respuestas consulta desde cualquier servidor de catálogo global en el bosque.

  Estos supuestos permiten optimizar el flujo de replicación entre controladores de dominio basados en topología de sitio de un bosque los controladores de dominio. Esto evita replicar los mismos datos de más de una vez sobre un enlace de red de baja velocidad. Estos supuestos también permitan a los clientes a un servidor de catálogo global o a los contenedores de un controlador de dominio en el mismo sitio que el cliente, independientemente de la calidad de miembro de dominio del servidor de configuración o de esquema de consulta. Esto evita limitando los clientes servidores de catálogo global y los controladores de dominio del mismo dominio que el cliente, que no puede estar ubicado en el mismo sitio que el cliente.

  Vulnerabilidad es introducido porque, ya sea a través de la modificación del software de sistema o el acceso físico a la base de datos del directorio, un atacante puede modificar respecto a la seguridad datos almacenados en la partición de esquema, la partición de configuración o cualquier partición de dominio parcial en un controlador de dominio incumplida y causar uno o ambos de los siguientes:

  • Los controladores de dominio abajo aceptan estos cambios como versiones replicadas legales

  • Software de cliente habilitadas para directorio acepta estos datos como datos legales

  Software de seguridad sensible almacenada en estas particiones incluye lo siguiente:

  • Esquema — el descriptor de seguridad predeterminado para una clase de objeto. Un atacante podría cambiar el descriptor de seguridad predeterminado para una clase de objeto otorgar acceso a usuarios o grupos bajo su control. Esto daría el acceso del atacante al recién creados objetos de esa clase.

  • **Configuración —**Políticas basadas en el sitio. Un atacante podría alterar políticas basadas en sitio para causar usuarios en dominios remotos para ejecutar secuencias de comandos de inicio de sesión definida por el atacante.

  • **Particiones dominio parcial —**Membresía de grupos universales. Un atacante podría alterar la composición de un grupo universal administrativo altamente privilegiado, como administradores de la empresa, para incluir los usuarios especificados por el atacante.

Mediante la explotación de estas características en la forma descrita, un atacante puede extender el impacto de un ataque de controlador de dominio único incluir uno o más de las siguientes:

• La configuración del bosque

• La configuración de cualquier dominio del bosque

• Cualquier aplicación que se basa en los datos almacenados en cualquier dominio del bosque o en el contenedor configuración del bosque

• Cualquier equipo que se une a la selva, incluyendo los datos almacenados en los equipos o servicios que se ejecutan en esos equipos

• Cualquier recurso de cualquier dominio fuera del bosque atacado que confía en un dominio dentro del bosque atacado, y para que los usuarios del bosque atacado se han otorgado acceso

Por las razones discutidas aquí, las organizaciones que participan en un bosque no pueden ser aisladas de cualquier administrador de servicio en el bosque y deben confiar en todo el personal que tenga acceso físico a los controladores de dominio. Como resultado, estas organizaciones deben tomar medidas para mitigar o limitar las vulnerabilidades que resultan de la exigencia a los administradores de servicios de confianza y la posibilidad de acceso no autorizado a los controladores de dominio.

Nota: Las dos características anteriores de Active Directory no pueden utilizarse para lanzar ataques entre dominios en diferentes bosques si se observan las precauciones apropiadas:

• Para protegerse contra ataques de suplantación de datos de autorización, utilice la función de filtrado de SID en vínculos de confianza externa entre dominios en diferentes bosques. Para obtener más información sobre el filtrado de SID, consulte el artículo 309172 de Microsoft Knowledge Base en http://search.support.microsoft.com/ [http://search.support.microsoft.com/default.aspx].

• Sin particiones de datos son compartidas o replicadas entre controladores de dominio en diferentes bosques. Los usuarios y administradores de dominios de confianza externamente en remotos bosques sólo pueden actualizar datos sensibles a la seguridad en un bosque si específicamente se les concede acceso de escritura a esos datos. No otorgue acceso a datos sensibles a la seguridad a los usuarios de dominios de confianza desde el exterior a menos que los usuarios y los administradores del servicio del dominio remoto son tan confiables como los administradores de servicio de su bosque.

Otros idiomas

Este artículo está disponible en otros idiomas, como a italiano.

• Active Directory: Passaggi fondamentali per l'upgrade di Active Directory (it-IT)
• Considerazioni sulla progettazione della delega dell'amministrazione in Active Directory (it-IT)
• Design Considerations for Delegation of Administration in Active Directory (en-US)