Especificación de los requisitos para proteger Active Directory Domain Services (AD DS)
En la tabla siguiente se proporciona un resumen de las recomendaciones proporcionadas en este documento para proteger una instalación de AD DS. Algunos procedimientos recomendados son estratégicos por naturaleza y requieren proyectos integrales de planificación e implementación; otros son tácticos y se centran en componentes específicos de Active Directory y la infraestructura relacionada.
Las prácticas se enumeran en un orden aproximado de prioridad, es decir, los números más bajos indican una prioridad más alta. Cuando procede, las mejores prácticas se identifican como de naturaleza preventiva o detectivesca. Todas estas recomendaciones deben probarse y modificarse exhaustivamente según sea necesario para las características y requisitos de su organización.
| Procedimiento recomendado | Estratégica o táctica | De naturaleza preventiva o detectivesca |
|---|---|---|
| Aplique parches en las aplicaciones. | Táctica | Prevención |
| Aplique parches en los sistemas operativos. | Táctica | Prevención |
| Implemente y actualice rápidamente el software antivirus y antimalware en todos los sistemas, y supervise los intentos de quitarlos o deshabilitarlos. | Táctica | Ambos |
| Supervise los objetos confidenciales de Active Directory en busca de intentos de modificación, y los de Windows en busca de eventos que puedan indicar intentos de ataque. | Táctica | Detección |
| Protección y supervisión de cuentas para usuarios que tienen acceso a datos confidenciales. | Táctica | Ambos |
| Impida que se usen cuentas eficaces en sistemas no autorizados. | Táctica | Prevención |
| Elimine la pertenencia permanente en grupos con privilegios elevados. | Táctica | Prevención |
| Implemente controles para conceder pertenencia temporal a grupos con privilegios cuando sea necesario. | Táctica | Prevención |
| Implemente hosts administrativos seguros. | Táctica | Prevención |
| Use las listas de aplicaciones permitidas en los controladores de dominio, los hosts administrativos y otros sistemas confidenciales. | Táctica | Prevención |
| Identifique los recursos críticos y dé prioridad a su seguridad y supervisión. | Táctica | Ambos |
| Implemente controles de acceso con privilegios mínimos basados en roles para administrar el directorio, su infraestructura auxiliar y los sistemas unidos a un dominio. | Estratégico | Prevención |
| Aísle las aplicaciones y los sistemas heredados. | Táctica | Prevención |
| Retire los sistemas y aplicaciones heredados. | Estratégico | Prevención |
| Implemente programas de ciclo de vida de desarrollo seguros en las aplicaciones personalizadas. | Estratégico | Prevención |
| Implemente la administración de la configuración, revise su cumplimiento periódicamente y evalúe la configuración con cada nueva versión de hardware o software. | Estratégico | Prevención |
| Migre recursos críticos a bosques prístinos con estrictos requisitos de seguridad y supervisión. | Estratégico | Ambos |
| Simplifique la seguridad para los usuarios finales. | Estratégico | Prevención |
| Use firewalls basados en host para controlar y proteger las comunicaciones. | Táctica | Prevención |
| Aplique parches a los dispositivos. | Táctica | Prevención |
| Implemente la administración del ciclo de vida centrado en el negocio para los recursos de TI. | Estratégico | N/D |
| Cree o actualice planes de recuperación ante incidentes. | Estratégico | N/D |
Reducción de la superficie de ataque de Active Directory
Esta sección se centra en los controles técnicos que se van a implementar para reducir la superficie expuesta a ataques de la instalación de Active Directory. En esta sección se incluyen los siguientes temas:
En la sección Cuentas y grupos con privilegios de Active Directory se describen las cuentas y grupos con privilegios más altos de Active Directory y los mecanismos por los que se protegen las cuentas con privilegios. Dentro de Active Directory, tres grupos integrados son los grupos de privilegios más altos del directorio (administradores de empresa, administradores de dominio y administradores), aunque también se deben proteger una serie de grupos y cuentas adicionales.
La sección Implementación de modelos administrativos de menor privilegio se centra en identificar el riesgo que presenta el uso de cuentas con privilegios elevados en la administración diaria, además de proporcionar recomendaciones que se pueden implementar para reducir ese riesgo.
La concesión de privilegios excesivos no solo se encuentra en Active Directory en entornos en peligro. Cuando una organización tiene la costumbre de conceder más privilegios de los necesarios, normalmente se encuentra en toda la infraestructura:
En Active Directory
En servidores miembro
En estaciones de trabajo
En aplicaciones
En repositorios de datos
En la sección Implementación de hosts administrativos seguros se describen los hosts administrativos seguros, que son equipos configurados para admitir la administración de Active Directory y los sistemas conectados. Estos hosts están dedicados a la funcionalidad administrativa y no ejecutan software como aplicaciones de correo electrónico, exploradores web o software de productividad (como Microsoft Office).
En esta sección se incluyen los siguientes temas:
Principios para crear hosts administrativos seguros: los principios generales que se deben tener en cuenta son estos:
- Nunca administre un sistema de confianza desde un host de confianza menor.
- No confíe en un único factor de autenticación al realizar actividades con privilegios.
- No se olvide de la seguridad física al diseñar e implementar hosts administrativos seguros.
Protección de controladores de dominio contra ataques: si un usuario malintencionado obtiene acceso con privilegios a un controlador de dominio, ese usuario puede modificar, dañar y destruir la base de datos de Active Directory y, por extensión, todos los sistemas y cuentas administrados por Active Directory.
En esta sección se incluyen los siguientes temas:
Seguridad física para controladores de dominio: contiene recomendaciones para proporcionar seguridad física a los controladores de dominio de centros de datos, sucursales y ubicaciones remotas.
Sistemas operativos de controladores de dominio: contiene recomendaciones para proteger los sistemas operativos de los controladores de dominio.
Configuración segura de controladores de dominio: se pueden usar herramientas y opciones de configuración nativas y disponibles de forma gratuita para crear líneas base de configuración de seguridad para controladores de dominio que posteriormente se pueden aplicar mediante objetos de directiva de grupo (GPO).