Active Directory: Guía de buenas prácticas en seguridad

By on

La seguridad de Active Directory es importante porque Active Directory (AD) representa las llaves del castillo. Imagina esa caja donde guardas todas las llaves físicas de cada puerta de las oficinas del edificio. AD es igual, pero para cada ordenador o servidor, aplicación de software o servicio que ejecutas en su red entera. Debes mantener esa caja física de llaves protegida y probablemente necesitas más seguridad para proteger a AD de ciberataques.

¿Por qué es crítica la seguridad de Active Directory?

Porque el Directorio Activo es fundamental en todos los pasos de la cadena de ciberataques. Para perpetuar un ataque, sus responsables necesitan robar credenciales o comprometer una cuenta con malware, y luego escalar los privilegios para tener acceso a todos los recursos que necesitan. Si no se dispone de los controles de seguridad y auditoría adecuados, los atacantes podrían ocultar y robar los datos que quisieran, y es posible que esto nunca se sepa.

Riesgos de seguridad comunes de Active Directory

Active Directory existe desde Windows 2000, y eso es tiempo suficiente para que los atacantes hayan descubierto muchas formas diferentes de explotar las vulnerabilidades en el sistema y alrededor de él, incluyendo a los humanos que lo utilizan.

Vulnerabilidades de seguridad comunes de Active Directory

  • En la actualidad, AD utiliza la autenticación Kerberos, que a su vez tiene varias vulnerabilidades.
  • AD solía usar y todavía soporta la encriptación NTLM, que es muy débil en los estándares de hoy en día.
  • Los atacantes pueden usar un ataque de fuerza bruta para entrar en el Directorio Activo.
  • El phishing y el malware son métodos muy comunes para robar las credenciales de los usuarios.

Amenazas de seguridad de Active Directory relacionadas con el usuario

  • El phishing también entra en esta categoría, porque no siempre ataca directamente a la AD, sino que se aprovecha del deseo del humano de hacer clic en un enlace.
  • La ingeniería social es phishing pero más en persona, como cuando alguien te llama y te dice que es del departamento de TI y que tienes que iniciar sesión con tu usuario y contraseña. Sin embargo, no son de TI, y simplemente te roban las credenciales.
  • Un elemento de la ingeniería social es el ‘spear phishing‘. Consiste en hacerse pasar por un funcionario de alto rango de una empresa para engañar a otros con el fin de robar dinero o datos.

Seguridad en los datos

Mejores prácticas de seguridad de Active Directory

Para contrarrestar las numerosas vulnerabilidades y ataques que se utilizan para entrar en AD, los expertos en seguridad han desarrollado un conjunto de mejores prácticas para asegurar el directorio activo.

Documentar el Directorio Activo

Para mantener un AD limpio y seguro, debes saber todo sobre ese Active Directory. Eso incluye nomenclatura de documentos y políticas de seguridad clave, además de cada usuario, cuenta de servicio, ordenador y grupo de acceso…

  • Identifica todos los ordenadores, usuarios, dominios y nomenclatura OU.
  • Describe tu jerarquía OU, la configuración del DNS, la numeración de red y la configuración del DHCP.
  • Enumera las principales funciones de tus GPO y el proceso de organización.
  • Toma nota de las ubicaciones de las funciones de los Roles de AD (FSMO).
  • Identifica la política de la organización al agregar nuevas cuentas de usuario o al revocar cuentas de usuario.
  • Describe la política de la organización para las restricciones de usuario.

Aplicar prácticas seguras entre los usuarios

Una vez que tengas el resto de tu stack de seguridad reforzada, el eslabón débil serán las propias personas. Harán clic en un enlace de phishing o se dejarán engañar por una estafa de phishing de ballenas o de ingeniería social (esto va a suceder). Es vital que prepares y entrenes a tus usuarios para que reconozcan estas amenazas y que tengan la capacidad de notificar al equipo de soporte o seguridad si sospechan que un atacante ha puesto en peligro su cuenta.

A continuación, se presentan algunos otros aspectos básicos para aplicar con tus usuarios:

  • Aplicar una buena política de contraseñas.
  • Entrena a los usuarios para que reconozcan los ataques de phishing.
  • Evita que los usuarios realicen cambios administrativos en su portátil que puedan comprometer su seguridad.
  • Proporciona a los administradores de sistemas dos cuentas. Una será para el uso normal y la otra, una cuenta de administrador para realizar cambios.
  • Limita las cuentas administrativas a los sistemas asignados, con redundancias en su lugar, por supuesto. No quieres una sola cuenta de Administrador que pueda abrir todas las ‘puertas’.

Controlador de Dominio Seguro

Puedes configurar tu red para permitir el acceso a los DCs sólo desde un ordenador reforzado y seguro sin acceso a Internet. Al agregar esta capa de seguridad, tu DC estará más seguro ante intrusiones externas o ataques de escalada de privilegios desde el interior de tu red.

Y por último, pero no menos importante…

Modelo de Menor Privilegio

Cada usuario sólo tiene acceso a los recursos que necesita para hacer su trabajo, incluyendo administradores y cuentas de servicio. Si alguna cuenta se ve comprometida, el uso del modelo de privilegios mínimos minimizará el riesgo general de exposición al robo de datos.

Supervisa el Directorio Activo para detectar cualquier compromiso

Por último, y lo más importante, monitorizar el Directorio Activo. Debes conocer cada cambio, cada solicitud de ingreso y cada cambio de GPO que ocurra en tus centros de distribución. Esa es una enorme cantidad de datos y requerirá automatización para analizarlos.

Por ejemplo, un usuario que se conecta después del horario laboral no es necesariamente tan interesante. Sin embargo, otro que se conecta después del horario laboral desde un país diferente y luego accede a datos sensibles de tarjetas de crédito sí lo es.

Phishing de una tarjeta de crédito