Reducción de la superficie de ataque de Active Directory
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012.
Esta sección se centra en los controles técnicos que se van a implementar para reducir la superficie expuesta a ataques de la instalación de Active Directory. La sección contiene la información siguiente:
Implementación de modelos administrativos de menor privilegio se centra en identificar el riesgo que presenta el uso de cuentas con privilegios elevados en la administración diaria, además de proporcionar recomendaciones que se pueden implementar para reducir el riesgo de las cuentas con privilegios.
Implementación de hosts administrativos seguros describe los principios para la implementación de sistemas administrativos dedicados y seguros, además de algunos enfoques de ejemplo para una implementación segura de hosts administrativos.
Protección de los controladores de dominio frente a ataques describe las directivas y la configuración que, aunque es similar a las recomendaciones para la implementación de hosts administrativos seguros, contienen algunas recomendaciones específicas del controlador de dominio para ayudar a garantizar que los controladores de dominio y los sistemas usados para administrarlos estén bien protegidos.
Cuentas con privilegios y grupos de Active Directory
En esta sección se proporciona información general sobre las cuentas y los grupos con privilegios en Active Directory para explicar las semejanzas y las diferencias entre estos. Si entiende estas diferencias, independientemente de que decida implementar las recomendaciones indicadas en Implementación de modelos administrativos de menor privilegio o decida personalizarlas para su organización, contará con las herramientas necesarias para proteger cada grupo y cada cuenta de forma adecuada.
Cuentas y grupos con privilegios integrados
Active Directory facilita la delegación de la administración y admite el principio de privilegios mínimos al asignar derechos y permisos. Los usuarios "normales" que tienen cuentas en un dominio pueden, de forma predeterminada, leer gran parte de lo que se almacena en el directorio, pero solo pueden cambiar un conjunto de datos muy limitado en este. A los usuarios que requieran privilegios adicionales se les puede conceder la pertenencia a varios grupos "con privilegios" integrados en el directorio, de forma que puedan realizar tareas específicas relacionadas con sus roles, pero no así tareas que no sean relevantes para sus obligaciones. Las organizaciones también pueden crear grupos adaptados a responsabilidades laborales específicas, de forma que se concedan derechos y permisos pormenorizados que permitan al personal de TI realizar funciones administrativas cotidianas sin necesidad de conceder más derechos y permisos de los necesarios para esas funciones.
En Active Directory, los grupos con los privilegios más altos en el directorio son los tres grupos integrados siguientes: Administradores de organización, Admins. del dominio y Administradores. La configuración y las funcionalidades predeterminadas de cada uno de estos grupos se describen en las secciones siguientes:
Grupos con privilegios más altos en Active Directory
Administradores de empresas
Los administradores de organización (EA) son un grupo que solo existe en el dominio raíz del bosque y, de forma predeterminada, es miembro del grupo Administradores de todos los dominios del bosque. La cuenta de administrador integrada en el dominio raíz del bosque es el único miembro predeterminado del grupo EA. A los administradores de organización se les conceden derechos y permisos que les permiten implementar cambios en todo el bosque (es decir, cambios que afectan a todos los dominios del bosque), como agregar o quitar dominios, establecer relaciones de confianza del bosque o incrementar los niveles funcionales de este. En un modelo de delegación correctamente diseñado e implementado, la pertenencia a EA solo se requiere al crear el bosque o al realizar determinados cambios globales en este, como establecer una relación de confianza del bosque de salida. La mayoría de los derechos y los permisos que se conceden al grupo EA se pueden delegar en usuarios y grupos con menos privilegios.
Admins. del dominio
Cada uno de los dominios de un bosque tiene su propio grupo Admins. del dominio (DA), que es miembro del grupo Administradores de ese dominio y miembro del grupo de administradores local de cada equipo unido al dominio. El único miembro predeterminado del grupo DA de un dominio es la cuenta de administrador integrada para ese dominio. Los administradores del dominio tienen "poder total" en sus dominios, mientras que los administradores de organización tienen privilegios en todo el bosque. En un modelo de delegación correctamente diseñado e implementado, la pertenencia al grupo de administradores del dominio solo se requiere en escenarios de "emergencia" (por ejemplo, situaciones en las que se necesita una cuenta con altos niveles de privilegios en todos los equipos del dominio). Aunque los mecanismos de delegación nativos de Active Directory permiten la delegación en la medida en que sea posible usar cuentas de DA solo en escenarios de emergencia, la creación de un modelo de delegación eficaz puede llevar mucho tiempo, por lo que muchas organizaciones aprovechan herramientas de terceros para acelerar el proceso.
Administradores
El tercer grupo es el grupo de administradores locales (BA) de dominio integrado en el que se anidan los administradores de organización y los administradores del dominio. A este grupo se le conceden muchos de los derechos y permisos directos en el directorio y en los controladores de dominio. Sin embargo, el grupo Administradores de un dominio no tiene privilegios en las estaciones de trabajo ni en los servidores miembro. Se le conceden privilegios locales a través de la pertenencia al grupo de administradores local de los equipos.
Nota
Aunque estas son las configuraciones predeterminadas de estos grupos con privilegios, un miembro de cualquiera de los tres grupos puede manipular el directorio para pasar a ser miembro de cualquiera de los otros grupos. En algunos casos, es muy fácil pasar a pertenecer a los otros grupos, mientras que en otros es más difícil, pero desde la perspectiva de los privilegios potenciales, los tres grupos deben considerarse eficazmente equivalentes.
Administradores de esquema
Un cuarto grupo con privilegios, Administradores de esquema (SA), existe solo en el dominio raíz del bosque y tiene únicamente la cuenta predefinida de administrador de ese dominio como miembro predeterminado, similar al grupo Administradores de organización. El grupo Administradores de esquema está pensado para rellenarse solo de forma temporal y ocasional (cuando se requiera la modificación del esquema de AD DS).
Aunque el grupo SA es el único que puede modificar el esquema de Active Directory (es decir, las estructuras de datos subyacentes del directorio, como objetos y atributos), el ámbito de los derechos y permisos del grupo SA es más limitado que el de los grupos descritos anteriormente. También es habitual encontrarse con que las organizaciones han desarrollado prácticas adecuadas para la administración de la pertenencia al grupo SA, ya que esta no se suele necesitar y, cuando se requiere, es solo por breves períodos de tiempo. Esto también es técnicamente aplicable para los grupos EA, DA y BA en Active Directory, pero es mucho menos habitual que las organizaciones implementen prácticas similares a las del grupo SA para estos grupos.
Cuentas protegidas y grupos de Active Directory
En Active Directory, un conjunto predeterminado de cuentas y grupos con privilegios denominados cuentas y grupos "protegidos" se protegen de forma distinta a otros objetos del directorio. Cualquier cuenta que tenga pertenencia directa o transitiva en cualquier grupo protegido (independientemente de si la pertenencia se deriva de grupos de seguridad o de distribución) hereda esta seguridad restringida.
Por ejemplo, si un usuario es miembro de un grupo de distribución que, a su vez, es miembro de un grupo protegido en Active Directory, ese objeto de usuario se marca como cuenta protegida. Cuando una cuenta se marca como cuenta protegida, el valor del atributo adminCount en el objeto se establece en 1.
Nota
Aunque la pertenencia transitiva en un grupo protegido incluye grupos de distribución anidados y de seguridad anidados, las cuentas que son miembros de los grupos de distribución anidados no recibirán el SID del grupo protegido en sus tokens de acceso. Sin embargo, los grupos de distribución se pueden convertir en grupos de seguridad en Active Directory, motivo por el que los grupos de distribución se incluyen en la enumeración de miembros del grupo protegido. Si un grupo de distribución anidado protegido llega a convertirse en grupo de seguridad, las cuentas que son miembros del grupo de distribución anterior recibirán el SID del grupo protegido primario en sus tokens de acceso en el siguiente inicio de sesión.
En la tabla siguiente se enumeran las cuentas y grupos protegidos de forma predeterminada en Active Directory por versión del sistema operativo y nivel de Service Pack.
Cuentas y grupos protegidos predeterminados en Active Directory por versión de sistema operativo y Service Pack (SP)
| Windows 2000 <SP4 | Windows 2000 SP4 -Windows Server 2003 | Windows Server 2003 SP1 y versiones posteriores | Windows Server 2008 - Windows Server 2012 |
|---|---|---|---|
| Administradores | Operadores de cuentas | Operadores de cuentas | Operadores de cuentas |
| Administrador | Administrador | Administrador | |
| Administradores | Administradores | Administradores | |
| Admins. del dominio | Operadores de copias de seguridad | Operadores de copias de seguridad | Operadores de copias de seguridad |
| Publicadores de certificados | |||
| Admins. del dominio | Admins. del dominio | Admins. del dominio | |
| Administradores de empresas | Controladores de dominio | Controladores de dominio | Controladores de dominio |
| Administradores de empresas | Administradores de empresas | Administradores de empresas | |
| Krbtgt | Krbtgt | Krbtgt | |
| Operadores de impresión | Operadores de impresión | Operadores de impresión | |
| Controladores de dominio de solo lectura | |||
| Duplicadores | Duplicadores | Duplicadores | |
| Administradores de esquema | Administradores de esquema | Administradores de esquema |
AdminSDHolder y SDProp
En el contenedor del sistema de cada dominio de Active Directory se crea automáticamente un objeto denominado AdminSDHolder. El fin de dicho objeto es garantizar que los permisos de las cuentas y los grupos protegidos se apliquen de forma coherente, independientemente de dónde se encuentren esas cuentas y grupos protegidos en el dominio.
De forma predeterminada, cada 60 minutos se ejecuta un proceso conocido como propagador de descriptores de seguridad (SDProp) en el controlador de dominio que contiene el rol Emulador de PDC del dominio. SDProp compara los permisos del objeto AdminSDHolder del dominio con los permisos de las cuentas y grupos protegidos del dominio. Si los permisos de cualquiera de las cuentas y los grupos protegidos no coinciden con los permisos del objeto AdminSDHolder, se restablecen dichos permisos para que coincidan con los del objeto del dominio mencionado.
La herencia de permisos está deshabilitada en las cuentas y los grupos protegidos, lo que significa que aunque las cuentas o los grupos se muevan a ubicaciones distintas del directorio, no heredan los permisos de sus nuevos objetos primarios. La herencia también está deshabilitada en el objeto AdminSDHolder para que los cambios de permisos en los objetos primarios no cambien los permisos de AdminSDHolder.
Nota
Cuando se quita una cuenta de un grupo protegido, esta deja de considerarse como cuenta protegida, pero su atributo adminCount sigue establecido en 1 si no se cambia de forma manual. El resultado de esta configuración es que SDProp ya no actualiza las ACL del objeto, pero el objeto sigue sin heredar los permisos de su objeto primario. Por lo tanto, el objeto puede residir en una unidad organizativa (UO) en la que se hayan delegado permisos, pero el objeto anteriormente protegido no heredará estos permisos delegados. Puede encontrar un script para buscar y restablecer objetos protegidos anteriormente en el dominio en el artículo de Soporte técnico de Microsoft 817433.
Propiedad de AdminSDHolder
La mayoría de los objetos de Active Directory pertenecen al grupo BA del dominio. Sin embargo, el objeto AdminSDHolder es propiedad del grupo DA del dominio de forma predeterminada. (Se trata de una circunstancia en la que los administradores del dominio no derivan sus derechos y permisos a través de la pertenencia al grupo Administradores para el dominio).
En las versiones de Windows anteriores a Windows Server 2008, los propietarios de un objeto pueden cambiar los permisos del objeto, lo que incluye autoconcederse permisos que no tenían originalmente. Por lo tanto, los permisos predeterminados del objeto AdminSDHolder de un dominio impiden que los usuarios que son miembros de los grupos BA o EA cambien los permisos para el objeto AdminSDHolder de un dominio. Sin embargo, los miembros del grupo Administradores del dominio pueden asumir la propiedad del objeto y concederse permisos adicionales, lo que significa que esta protección es rudimentaria y solo protege al objeto frente a la modificación accidental por parte de usuarios que no son miembros del grupo DA en el dominio. Además, los grupos BA y EA (si procede) tienen permiso para cambiar los atributos del objeto AdminSDHolder en el dominio local (dominio raíz para EA).
Nota
Un atributo del objeto AdminSDHolder, dSHeuristics, permite una personalización (eliminación) limitada de los grupos que se consideran grupos protegidos y se ven afectados por AdminSDHolder y SDProp. Esta personalización debe considerarse detenidamente en caso de implementarse, aunque existen circunstancias válidas en las que la modificación de dSHeuristics en AdminSDHolder resulta útil. Puede encontrar más información sobre la modificación del atributo dSHeuristics en un objeto AdminSDHolder en los artículos 817433 y de Soporte técnico de Microsoft y en el Anexo C: cuentas protegidas y grupos de Active Directory.
Aunque los grupos con más privilegios de Active Directory se describen aquí, existen otros grupos a los que se les han concedido niveles de privilegios elevados. Para obtener más información sobre todos los grupos predeterminados e integrados de Active Directory, así como sobre los derechos de usuario asignados a cada uno de ellos, consulte el Anexo B: cuentas con privilegios y grupos de Active Directory.