Seguridad de Active Directory
Mejores prácticas para asegurar su AD y mantener el cumplimiento. La seguridad de Active Directory se describe con frecuencia como una forma de controlar las llaves de su castillo informático, una metáfora que tiene valor pero también importantes limitaciones. Active Directory funciona realmente como un guardián, que determina quién tiene qué claves para entrar en su red, así como qué datos y otros recursos puede desbloquear cada una de esas claves. Pero a diferencia de un edificio de piedra, su entorno informático es un lugar increíblemente dinámico, con usuarios que entran y salen de forma constante, empleados que asumen nuevas funciones, nuevas aplicaciones que se agregan y otras que se retiran, entre otros aspectos. Por lo tanto, la seguridad de Active Directory no es un evento único, como cambiar las cerraduras de un castillo, sino un proceso continuo.
Siga leyendo para obtener más consejos sobre la seguridad de su Active Directory.
03:01
Estado actual de la seguridad de AD
¿Qué es la seguridad de Active Directory?
Comprender la seguridad de AD
La seguridad de Active Directory es un equilibrio delicado. Siguiendo con la metáfora del castillo, mientras que un rey o una reina son libres de imponer las medidas de seguridad que deseen a sus súbditos, los profesionales de TI deben tener muy presentes las necesidades de la empresa. Si las medidas de seguridad son demasiado complicadas, ralentizarán los procesos empresariales críticos y ahuyentarán al personal con talento. Por ejemplo, es crucial garantizar que solo las personas adecuadas puedan acceder a los datos médicos de cada persona, pero es igualmente esencial garantizar que los equipos médicos puedan ver los diagnósticos y las prescripciones de un paciente a tiempo para proporcionar una atención adecuada. Además, los usuarios encuentran formas de eludir las medidas de seguridad que consideran demasiado incómodas. Si les exige que creen contraseñas complejas que deban cambiar cada treinta días, pronto encontrará un montón de notas adhesivas en sus escritorios, lo que socava su objetivo de proteger sus cuentas del acceso no autorizado.
Seguridad frente a cumplimiento
Es importante entender que, aunque la seguridad de Active Directory está estrechamente ligada al cumplimiento de la normativa, ambas cosas no son idénticas. Muchas normativas de cumplimiento incluyen requisitos que afectan directamente a las políticas y los procedimientos de seguridad de AD, pero estas exigencias suelen extenderse a muchas otras áreas, como el acceso físico a los edificios de oficinas, la formación del personal y la responsabilidad de los ejecutivos. Por otro lado, la seguridad integral de AD implica algo más que el cumplimiento de una o varias normativas.
La seguridad de AD es una parte esencial de muchas normativas de
cumplimiento, como GDPR,
CCPA, HIPAA, SOX y PCI-DSS. No asegurar Active Directory adecuadamente puede
tener diversas consecuencias desagradables, que incluyen fuertes multas de los
reguladores, tiempo en prisión para los ejecutivos, la incapacidad de
procesar las transacciones de tarjetas de crédito y la pérdida
de confianza de los clientes.
El papel crucial de la seguridad
¿Cuáles son los riesgos de seguridad más frecuentes de Active Directory?
Los riesgos de seguridad de Active Directory surgen principalmente de la falta de conocimiento y control sobre tres factores clave:
- quiénes ingresan a su red,
- qué se les permite hacer una vez que están adentro,
- y qué actividad se está realizando realmente.
Algunos de estos riesgos tienen nombres específicos, como amenazas internas, spear-phishing, escalación de privilegios y movimiento lateral. No obstante, la mejor manera de abordar los riesgos de seguridad de AD es no luchar contra cada uno individualmente. Ese enfoque aumenta los costos y aumenta la complejidad del sistema de TI, lo que agrava el problema en lugar de resolverlo.
En cambio, la mejor estrategia es limpiar su Active Directory y obtener una clara visibilidad de la actividad en todo su entorno de TI. Las herramientas integradas en Active Directory brindan una pequeña fracción de la funcionalidad necesaria y requieren mucho tiempo de uso, por lo que es inteligente invertir en soluciones integrales que automaticen y simplifiquen los procesos centrales necesarios para una sólida seguridad de Active Directory.
Mejores prácticas de seguridad para Active Directory
Active Directory existe desde hace mucho tiempo, por lo que las mejores prácticas están disponibles y se ha demostrado que refuerzan significativamente la seguridad y el cumplimiento de AD. La implementación de las siguientes mejores prácticas ayudará a minimizar los riesgos para sus datos y sistemas de TI, y protegerá el éxito futuro de su organización.
1. Evaluaciones periódicas
Una de las mejores prácticas de seguridad de AD más
importantes es revisar periódicamente el estado de su entorno de TI y
buscar de forma proactiva posibles problemas de seguridad y cumplimiento.
De
forma periódica, debe comparar las opciones de configuración de
los endpoints de Windows, los controladores de dominio y otros sistemas con un
estado bueno conocido, y luego remediar rápidamente cualquier
desviación no intencionada o cambios maliciosos.
Asegúrese
de revisar periódicamente la Política de Grupo, que se utiliza
para aplicar la configuración estándar a todos sus usuarios y
equipos. La Política de Grupo controla muchas actividades. Puede
prohibir a los usuarios el acceso al Panel de control, mediante el
símbolo del sistema o la instalación de software. Incluso un
cambio inadecuado en un objeto de la Política
de Grupo (GPO) puede causar daños significativos. Por ejemplo, los
usuarios podrían insertar repentinamente unidades USB y así
liberar ransomware u otro software malicioso en sus sistemas. Por
consiguiente, asegúrese de que sus GPO funcionen según lo
previsto y de ser capaz de detectar y revertir rápidamente cualquier
cambio inadecuado o no autorizado en ellos.
Además, debe
asegurarse de que los sistemas operativos del servidor
de Windows y otro software estén actualizados en cuanto a parches
y de que esté utilizando solo las versiones que sean totalmente
compatibles con el proveedor.
2. Minimice los permisos de los usuarios
Quizá la mejor práctica fundamental para la seguridad
informática sea el principio del privilegio mínimo. Ofrezca a
cada usuario exactamente el acceso que necesita para hacer su trabajo, ni
más ni menos. AD le permite colocar a los usuarios con funciones
similares (como todos los administradores del servicio de asistencia
técnica o todo el personal de recursos humanos) en un grupo de
seguridad de AD y administrarlos juntos. Los usuarios pueden ser (y suelen
ser) miembros de múltiples grupos de AD, como los grupos basados en
proyectos.
El uso de los grupos de seguridad de AD no es una mera
comodidad para los administradores, sino que mejora la seguridad mediante la
reducción de los errores de aprovisionamiento y desaprovisionamiento, y
minimiza la complejidad de la estructura de permisos para que sea más
fácil decir con certeza quién tiene acceso a qué.
3. Investigue los incidentes de seguridad
Por muy buenos que sean sus esfuerzos de prevención, sufrirá incidentes de ciberseguridad, por lo que debe estar preparado para investigarlos rápidamente y responder de forma adecuada. Debe poder determinar de forma rápida dónde se originó la brecha, cómo se desarrolló y exactamente qué sistemas y datos estuvieron involucrados. De este modo, podrá responsabilizar a los individuos de sus acciones y tomar medidas para evitar que se produzcan incidentes similares en el futuro.
4. Administre los permisos de usuarios y grupos
Como ya se ha dicho, el principio del privilegio mínimo es la mejor
práctica básica para la seguridad informática. Si tuviera
que asignar manualmente los permisos de cada usuario a cada recurso de forma
individual (y mantener esos permisos actualizados a medida que los usuarios
entran y salen y cambian de función dentro de la empresa), se
vería desbordado y su empresa correría un gran riesgo de sufrir
filtraciones y fallos de cumplimiento.
La posibilidad de crear grupos de
seguridad de AD y administrar conjuntamente los permisos de usuarios similares
reduce la carga. Los usuarios pueden ser (y suelen ser) miembros de
múltiples grupos de AD, como los grupos basados en proyectos. Por
ejemplo, un nuevo director de ventas puede tener acceso a todos los recursos
adecuados con solo agregarlos al grupo de seguridad de ventas y al grupo de
seguridad de director de ventas. Del mismo modo, si hay una nueva carpeta o un
recurso compartido de archivos al que todos los vendedores deben acceder,
puede conceder al grupo de ventas acceso en lugar de tener que agregarlo a las
cuentas de usuario individuales una por una. Por el contrario, si un usuario
pasa de la función de ventas a un puesto, puede eliminar su acceso a
todos los recursos de ventas eliminándolo del grupo de ventas, en lugar
de tener que examinar de forma minuciosa cada recurso para el que tiene
permisos y determinar si el acceso sigue siendo legítimo.
5. Controle los permisos de administración
El uso de los grupos de seguridad de AD no es una mera comodidad para los
administradores, sino que mejora la seguridad mediante la reducción de
los errores de aprovisionamiento y desaprovisionamiento, y minimiza la
complejidad de la estructura de permisos para que sea más fácil
decir con certeza quién tiene acceso a qué.
Son
particularmente preocupantes los grupos de seguridad de AD que otorgan
privilegios de nivel administrativo, como los grupos sumamente potentes de
Enterprise Admins, Domain Admins y Schema Admins, así como la cuenta de
administrador local que se crea durante la instalación de Windows y que
tiene control total de los archivos, directorios, servicios y otros recursos
en el equipo local. Las empresas deben controlar estrictamente quién
está en estos grupos de acceso con privilegios y estar atentas a
cualquier cambio en su composición, lo que podría indicar que un
atacante o una persona malintencionada dentro de la empresa está
intentando escalar sus privilegios para obtener acceso a sistemas o datos
adicionales.
6. Permisos de las cuentas de servicio
Las cuentas de servicio son cuentas de usuario especiales que las aplicaciones y los servicios utilizan para iniciar sesión y realizar acciones en su entorno de TI. Por desgracia, las cuentas de servicio suelen tener más permisos de los que realmente necesitan, lo que aumenta los riesgos de seguridad. Las razones más frecuentes para el aprovisionamiento excesivo incluyen aceptar dócilmente los requisitos que especifica el proveedor de la aplicación, no trabajar de forma adecuada en los desafíos operativos y solo clonar un servicio existente en lugar de tomarse el tiempo para crear uno nuevo con los permisos adecuados.
La mejor práctica es garantizar que todas las cuentas de servicio
cumplan con el principio de privilegio mínimo. También se deben
tomar precauciones especiales cuando una cuenta de servicio necesita
privilegios administrativos. Nunca debe hacer que una cuenta de servicio sea
miembro de un grupo administrativo estándar, como el grupo de
administradores locales o de dominio. Las mejores opciones son ejecutar el
servicio bajo la cuenta LocalSystem o crear un grupo personalizado para la
cuenta de servicio y negar explícitamente el acceso a otras cuentas
para ese grupo. Asimismo, siempre que sea posible, es prudente configurar las
cuentas de servicio para que puedan conectarse solo durante un periodo
determinado del día.