Protección de los controladores de dominio frente a ataques

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012.

Ley número tres: si alguien con malas intenciones tiene acceso físico sin restricciones a su equipo, ya no es su equipo. - Diez leyes inmutables de seguridad (versión 2.0).

Los controladores de dominio proporcionan el almacenamiento físico para la base de datos de Servicios de dominio de Active Directory (AD DS), además de proporcionar los servicios y los datos que permiten a las empresas administrar de manera eficaz sus servidores, estaciones de trabajo, usuarios y aplicaciones. Si se obtiene acceso privilegiado a un controlador de dominio, un usuario malintencionado puede modificar, dañar o destruir la base de datos de AD DS y, por extensión, todos los sistemas y cuentas administrados por Active Directory.

Dado que los controladores de dominio pueden leer y escribir en cualquier elemento de la base de datos de AD DS, poner en riesgo un controlador de dominio implica que el bosque de Active Directory nunca se pueda considerar de confianza de nuevo, a menos que pueda recuperarse mediante una copia de seguridad correcta conocida y pueda cerrar las brechas que permitieron el riesgo.

Dependiendo de la preparación, las herramientas y las habilidades de un atacante, el daño irreversible se puede completar en minutos u horas, no días o semanas. No importa tanto el tiempo en que un atacante tiene acceso privilegiado a Active Directory, sino cuánto ha necesitado para organizar el ataque en el momento en que se obtiene el acceso privilegiado. Poner en peligro un controlador de dominio puede proporcionar la ruta de acceso más directa a la destrucción de servidores miembros, estaciones de trabajo y Active Directory. Debido a esta amenaza, los controladores de dominio deben protegerse por separado y de forma más estricta que la infraestructura general.

Seguridad física para controladores de dominio

En esta sección se proporciona información sobre cómo proteger físicamente los controladores de dominio. Los controladores de dominio pueden ser máquinas físicas o virtuales en centros de datos, sucursales o ubicaciones remotas.

Controladores de dominio de centros de datos

Controladores de dominio físicos

En los centros de datos, los controladores de dominio físicos se deben instalar en bastidores seguros dedicados o compartimentos independientes de los servidores generales. Siempre que sea posible, los controladores de dominio se deben configurar con chips de Módulo de plataforma segura (TPM) y todos los volúmenes de los servidores de controlador de dominio deben protegerse mediante Cifrado de unidad BitLocker. BitLocker genera una ligera sobrecarga de rendimiento, pero protege el directorio contra riesgos aunque los discos se quiten del servidor. BitLocker también puede ayudar a proteger los sistemas contra ataques como rootkits, ya que la modificación de los archivos de arranque hace que el servidor arranque en modo de recuperación para que se puedan cargar los archivos binarios originales. Si un controlador de dominio está configurado para usar RAID de software, SCSI conectado en serie, almacenamiento SAN/NAS o volúmenes dinámicos, BitLocker no se puede implementar, por lo que el almacenamiento conectado localmente (con o sin RAID de hardware) se debe usar en controladores de dominio siempre que sea posible.

Controladores de dominio virtuales

Si implementa controladores de dominio virtuales, debe asegurarse de que los controladores de dominio también se ejecutan en hosts físicos independientes que no sean el resto de máquinas virtuales del entorno. Incluso si usa una plataforma de virtualización que no sea de Microsoft, considere la posibilidad de implementar controladores de dominio virtuales en Hyper-V en Windows Server. Esta configuración ofrece una superficie de ataque mínima y se puede administrar con los controladores de dominio que aloja en lugar de administrarse con el resto de los hosts de virtualización. Si implementa System Center Virtual Machine Manager (SCVMM) para la administración de la infraestructura de virtualización, puede delegar la administración de los hosts físicos en los que residen las máquinas virtuales del controlador de dominio y los propios controladores de dominio a los administradores autorizados. También debe considerar la posibilidad de separar el almacenamiento de controladores de dominio virtuales para evitar que los administradores de almacenamiento accedan a los archivos de máquina virtual.

Nota

Si tiene previsto localizar conjuntamente controladores de dominio virtualizados con otras máquinas virtuales menos confidenciales en los mismos servidores de virtualización física (hosts), considere la posibilidad de implementar una solución que exija la separación basada en roles de tareas, como máquinas virtuales blindadas en Hyper-V. Esta tecnología proporciona protección completa contra administradores de tejido malintencionados o sin pistas (incluidos la virtualización, la red, el almacenamiento y los administradores de copia de seguridad). Aprovecha la raíz física de confianza con la atestación remota y el aprovisionamiento seguro de máquinas virtuales, y garantiza eficazmente el nivel de seguridad que se encuentra a la par de un servidor físico dedicado.

Ubicaciones de sucursal

Controladores de dominio físicos en sucursales

En ubicaciones donde residen varios servidores pero no están protegidos físicamente hasta el punto en que lo están los servidores del centro de datos, los controladores de dominio físicos deben configurarse con chips TPM y cifrado de unidad BitLocker para todos los volúmenes de servidor. Si un controlador de dominio no se puede almacenar en una sala bloqueada en ubicaciones de sucursales, debe considerar la posibilidad de implementar controladores de dominio de solo lectura (RODC) en esas ubicaciones.

Controladores de dominio físicos en sucursales

Siempre que sea posible, debe ejecutar controladores de dominio virtuales en sucursales en hosts físicos independientes que no sean el resto de máquinas virtuales del sitio. En las sucursales en las que los controladores de dominio virtuales no se pueden ejecutar en hosts físicos independientes del resto de equipos del servidor virtual, debe implementar chips TPM y cifrado de unidad BitLocker en hosts en los que los controladores de dominio virtuales se ejecuten con el rendimiento mínimo y en todos los hosts, si es posible. Según el tamaño de la sucursal y la seguridad de los hosts físicos, debe considerar la posibilidad de implementar RODC en ubicaciones de sucursal.

Ubicaciones remotas con seguridad y espacio limitados

Si la infraestructura incluye ubicaciones donde solo se puede instalar un único servidor físico, se debe instalar un servidor capaz de ejecutar cargas de trabajo de virtualización y el cifrado de unidad BitLocker debe configurarse para proteger todos los volúmenes del servidor. Una máquina virtual del servidor debe ejecutarse como RODC, con otros servidores que se ejecuten como máquinas virtuales independientes en el host. La información sobre la planificación de la implementación de RODC se proporciona en la Guía de planificación e implementación de controladores de dominio de solo lectura. Para obtener más información sobre cómo implementar y proteger controladores de dominio virtualizados, consulte Ejecutar controladores de dominio en Hyper-V. Para obtener instrucciones más detalladas para proteger la seguridad de Hyper-V, delegar la administración de máquinas virtuales y proteger las máquinas virtuales, consulte el Acelerador de soluciones de la Guía de seguridad de Hyper-V en el sitio web de Microsoft.

Sistemas operativos de controlador de dominio

Debería ejecutar todos los controladores de dominio en la versión más reciente de Windows Server que se admita en su organización. Las organizaciones deben priorizar la retirada de sistemas operativos heredados en el conjunto de equipos del controlador de dominio. Debe dar más importancia l mantenimiento de los controladores de dominio actualizados y la eliminación de controladores de dominio heredados, lo que le permite aprovechar la nueva funcionalidad y la seguridad. Es posible que esta funcionalidad no esté disponible en dominios o bosques con controladores de dominio que ejecutan un sistema operativo heredado.

Nota:

En cuanto a cualquier configuración de uso único y sensible a la seguridad, se recomienda implementar el sistema operativo en la opción de instalación Server Core. Proporciona varias ventajas, como minimizar la superficie expuesta a ataques, mejorar el rendimiento y reducir la probabilidad de error humano. Se recomienda que todas las operaciones y la administración se realicen de forma remota, desde puntos de conexión altamente seguros dedicados, como estaciones de trabajo de acceso con privilegios (PAW) o hosts administrativos seguros.

Configuración segura de controladores de dominio

Las herramientas se pueden usar para crear una configuración básica de seguridad inicial para que los controladores de dominio la apliquen con directivas de grupo (GPO). Estas herramientas se describen en la sección Administrar la configuración de directivas de seguridad de la documentación de los sistemas operativos de Microsoft o Desired State Configuration (DSC) para Windows.

Restricciones de RDP

Las instancias de objetos de directiva de grupo que se vinculan a todas las unidades organizativas de controladores de dominio de un bosque se deben configurar para permitir conexiones RDP solo de usuarios y sistemas autorizados, por ejemplo, servidores de salto. Se puede tomar el control mediante diferentes opciones de configuración de derechos de usuario y los ajustes de Seguridad avanzada del Firewall de Windows (WFAS). Estos controles se pueden implementar con GPO para que la directiva se aplique siempre igual. Si se omite, la siguiente actualización de directiva de grupo devuelve el sistema a su configuración adecuada.

Administración de parches y configuración para controladores de dominio

Aunque pueda parecer poco intuitivo, debe considerar la posibilidad de aplicar revisiones a controladores de dominio y otros componentes de infraestructura críticos por separado de la infraestructura general de Windows. Si usa software de administración de configuración empresarial para todos los equipos de la infraestructura, la exposición del software de administración de sistemas se puede usar para poner en riesgo o destruir todos los componentes de la infraestructura que ese software administra. Al separar la administración de revisiones y sistemas para los controladores de dominio de la población general, puede reducir la cantidad de software instalado en los controladores de dominio, además de controlar estrechamente su administración.

Bloqueo del acceso a Internet para controladores de dominio

Una de las comprobaciones que se realiza como parte de una evaluación de seguridad de Active Directory es el uso y la configuración de navegadores web en controladores de dominio. No se debe usar ningún explorador web en controladores de dominio. En un análisis de miles de controladores de dominio se descubrieron multitud de casos en los que los usuarios con privilegios usaban Internet Explorer para buscar en la intranet de la organización o en Internet.

Buscar por Internet o por una intranet infectada en uno de los equipos más potentes con una infraestructura de Windows supone un riesgo considerable para la seguridad de una organización. Tanto si a través de una unidad por descarga como por descarga de "utilidades" infectadas por malware, los atacantes pueden obtener acceso a todo lo que necesitan para poner en peligro o destruir completamente el entorno de Active Directory.

El uso de navegadores web en controladores de dominio debe restringirse mediante controles técnicos y directivas. El acceso general a Internet a y desde controladores de dominio también debe controlarse con rigurosidad.

Microsoft anima a todas las organizaciones a pasar a un enfoque basado en la nube para la administración de identidades y acceso y migrar de Active Directory a Microsoft Entra ID. Microsoft Entra ID es una solución completa de administración de identidades y accesos en la nube para administrar directorios, permitir el acceso a aplicaciones locales y en la nube, y proteger las identidades frente a amenazas de seguridad. Microsoft Entra ID ofrece una serie de controles de seguridad consolidados y pormenorizados para proteger las identidades, como la autenticación multifactor, las directivas de acceso condicional, la protección de identificadores, la gobernanza de identidades y la administración de identidades con privilegios (Privileged Identity Management).

La mayoría de organizaciones utilizan un modelo de identidad híbrido durante su transición a la nube, donde algún elemento de su Active Directory local se sincroniza mediante Microsoft Entra Connect. Aunque este modelo híbrido está presente en cualquier organización, Microsoft recomienda la protección basada en la nube de esas identidades locales mediante Microsoft Defender for Identity. La configuración del sensor de Defender for Identity en controladores de dominio y servidores de AD FS permite una conexión segura y unidireccional a la nube a través de un proxy y puntos de conexión específicos. Encontrará una explicación completa sobre cómo configurar esta conexión de proxy en la documentación técnica de Defender for Identity. Esta configuración estrechamente controlada garantiza que se mitigue el riesgo de conectar estos servidores al servicio en la nube y que las organizaciones se beneficien del aumento de las funcionalidades de protección que ofrece Defender for Identity. Microsoft también recomienda que estos servidores estén protegidos con la detección de puntos de conexión con tecnología en la nube, como Microsoft Defender para servidores.

En el caso de las organizaciones con requisitos normativos u otras reglas basadas en directivas para mantener una implementación de Active Directory solo local, Microsoft recomienda restringir por completo el acceso a Internet a y desde controladores de dominio.

Restricciones del firewall perimetral

Los firewalls perimetrales deben configurarse para bloquear las conexiones salientes de los controladores de dominio a Internet. Aunque quizá los controladores de dominio necesiten comunicarse a través de los límites del sitio, los firewalls perimetrales se pueden configurar para permitir la comunicación entre sitios siguiendo las instrucciones facilitadas en Cómo configurar un firewall para dominios y confianzas de Active Directory.

Impedir la exploración web desde controladores de dominio

Puede usar una combinación de configuración de AppLocker, configuración de proxy de "agujero negro" y configuración de WFAS para evitar que los controladores de dominio accedan a Internet y para evitar el uso de exploradores web en controladores de dominio.