Introducción a la evaluación a petición de Active Directory Security
Esta evaluación de Active Directory Security se diseñó para proporcionarle instrucciones accionables concretas para mitigar los riesgos de seguridad en el entorno de Active Directory y en la organización. Esta solución también le proporciona el estado del progreso en relación con el mapa de ruta recomendado de Microsoft para Protección del acceso con privilegios (SPA), del cual Active Directory es un componente crítico.
La evaluación de Active Directory Security se centra en varios elementos clave, entre los que se incluyen los siguientes:
- Revisión de los procesos operativos
- Revisión de la pertenencia a cuentas o grupos con privilegios, así como el estado de una cuenta normal
- Revisión de la confianza de bosques y dominios
- Revisión de la configuración del sistema operativo, las revisiones de seguridad y los niveles de actualización
- Revisión de la configuración de dominios y del controlador de dominio en comparación con las instrucciones recomendadas de Microsoft
- Revisión de la delegación de permisos de objetos clave de Active Directory
Ejecución de la evaluación de Active Directory Security
Requisitos previos
Para sacar el máximo partido a las evaluaciones a petición disponibles en el Centro de servicios, debe cumplir los siguientes requisitos:
- Haber vinculado una suscripción de Azure activa al Centro de servicios y haber agregado la evaluación de AD Security. Para obtener más información, consulte Introducción a las evaluaciones a petición o vea el vídeo sobre vinculación.
- Una cuenta de dominio (usuario o cuenta de servicio administrada) con los siguientes derechos:
- Pertenencia al grupo de administradores empresariales O
- Pertenencia al grupo de administradores integrado para cada dominio del bosque.
- Pertenencia al grupo de administradores locales en la máquina de recopilación de datos.
- Acceso de administrador a todos los servidores del sistema de nombres de dominio (DNS) de Microsoft en los que participan los controladores de dominio.
- Revise el documento de requisitos previos para la evaluación de AD Security. En este documento, se explica la documentación técnica detallada de la evaluación de AD Security y la preparación del servidor que se requiere para ejecutar la evaluación. También se describen los diferentes tipos de datos que recopila la evaluación.
Nota: De media, se tarda dos horas en completar la configuración inicial del entorno para ejecutar una evaluación a petición. Tras la ejecución de una evaluación, puede consultar los datos en Azure Log Analytics. De este modo, se obtiene una lista de recomendaciones ordenada por prioridades y dividida en seis áreas principales. Esto ayuda a que usted y su equipo comprendan rápidamente los niveles de riesgo y el estado del entorno, y a que tomen acciones para reducir los riesgos y mejorar la integridad de TI.
Configurar la evaluación de AD Security
Nota: Solo podrá configurar correctamente la evaluación una vez que haya vinculado su suscripción a Azure con Services Hub y haya agregado la evaluación de seguridad de AD desde Mantenimiento de la TI:> evaluaciones a petición en Services Hub.
En el equipo de colección de datos, cree la siguiente carpeta: C:
C:\OMS\ADS(o cualquier otra carpeta que no seaC:\ODA, que está reservada por el sistema).Abra la versión regular de PowerShell (no ISE) en modo Administrador y ejecute el siguiente comando cmdlet:
Add-ADSecurityAssessmentTask -WorkingDirectory <workingdirectorypath> command,WorkingDirectoryes la ruta de acceso a un directorio existente que se usa para almacenar los archivos creados durante la recolección y el análisis de datos desde el entorno.Workspace Idproporciona el Id. del área de trabajo de Log Analytics que se usará para almacenar los datos cargados.Proporcione las credenciales de la cuenta de usuario necesarias que cumplen con los requisitos que se mencionan anteriormente en este artículo.
La recopilación de datos se activa mediante la tarea programada denominada ADSecurityAssessment dentro de una hora después de ejecutar el script anterior y, luego, cada 7 días. La tarea se puede modificar para que se ejecute en una fecha u hora diferentes, o incluso se puede forzar para que se ejecute inmediatamente desde la Biblioteca del Programador de tareas -> Microsoft -> Operations Management Suite > AOI*** > Evaluaciones > ADSecurityAssessment.
Durante la recopilación y el análisis, los datos se almacenan temporalmente en la carpeta Directorio de trabajo que se estableció durante la configuración.
Después de algunas horas, los resultados de su evaluación estarán disponibles en el panel de Azure Log Analytics y el Centro de servicios. Para ver los resultados, vaya a Centro de servicios > Mantenimiento > Evaluaciones y, luego, haga clic en Ver todas las recomendaciones en la evaluación activa.
Si deseas que un ingeniero acreditado de Microsoft repase contigo los problemas de tu entorno de AD, puedes ponerte en contacto con tu representante de Microsoft y preguntarle sobre la entrega remota o in situ dirigida por CE.
| contrato | Ingeniero remoto | Ingeniero in situ |
|---|---|---|
| Premier | Hoja de datos remota de ADS | Hoja de datos in situ de ADS |
| Unificado | Hoja de datos remota de ADS | Hoja de datos in situ de ADS |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de