Home
About
Archives
Contactenos
Ayuda | Help

13  04 2018

Las mejores prácticas para Securizar nuestra arquitectura de Active Directory [Parte 3] – Como reducir la superficie de ataque de Active Directory {Seguridad}

Esta sección se centra en los controles técnicos que se implementarán para reducir la superficie de ataque de la instalación de Active Directory. La sección contiene la siguiente información:

  • La implementación de modelos administrativos de mínimos privilegios se centra en identificar el riesgo que presenta el uso de cuentas con privilegios altos para la administración diaria, además de proporcionar recomendaciones para implementar a fin de reducir el riesgo de que las cuentas privilegiadas se presenten.
  • La implementación de Hosts Administrativos Seguros describe los principios para la implementación de sistemas administrativos dedicados y seguros, además de algunos enfoques de muestra para una implementación de host administrativo seguro.
  • Asegurar controladores de dominio contra ataque analiza políticas y configuraciones que, aunque similares a las recomendaciones para la implementación de hosts administrativos seguros, contienen algunas recomendaciones específicas del controlador de dominio para ayudar a garantizar que los controladores de dominio y los sistemas utilizados para administrarlos estén bien protegidos.

Cuentas y grupos privilegiados en Active Directory

Esta sección proporciona información básica sobre las cuentas y grupos privilegiados en Active Directory con la intención de explicar los aspectos comunes y las diferencias entre las cuentas y grupos privilegiados en Active Directory. Al comprender estas distinciones, ya sea que implemente las recomendaciones en Implementación de modelos administrativos de mínimo privilegio al pie de la letra o elija personalizarlas para su organización, tiene las herramientas que necesita para proteger cada grupo y cuenta de manera adecuada.

Cuentas y grupos privilegiados incorporados

Active Directory facilita la delegación de administración y respalda el principio de privilegio mínimo al asignar derechos y permisos. Los usuarios "normales" que tienen cuentas en un dominio pueden, por defecto, leer gran parte de lo que está almacenado en el directorio, pero solo pueden cambiar un conjunto muy limitado de datos en el directorio. Los usuarios que requieren privilegios adicionales pueden obtener membresía en varios grupos "privilegiados" que están integrados en el directorio para que puedan realizar tareas específicas relacionadas con sus roles, pero no pueden realizar tareas que no son relevantes para sus funciones. Las organizaciones también pueden crear grupos que se adaptan a las responsabilidades específicas del trabajo y se les otorgan derechos y permisos detallados que permiten al personal de TI realizar las funciones administrativas cotidianas sin otorgar derechos y permisos que excedan lo que se requiere para esas funciones.

Dentro de Active Directory, tres grupos integrados son los grupos de privilegios más altos en el directorio: Administradores de empresa, Administradores de dominio y Administradores. La configuración y las capacidades predeterminadas de cada uno de estos grupos se describen en las siguientes secciones:

Los grupos de privilegios más altos en Active Directory

Administradores de la empresa

Los Administradores de empresa (EA) son un grupo que existe solo en el dominio raíz del bosque y, de manera predeterminada, es un miembro del grupo Administradores en todos los dominios del bosque. La cuenta de administrador integrada en el dominio raíz del bosque es el único miembro predeterminado del grupo de EA. A los EA se les otorgan derechos y permisos que les permiten implementar cambios en todo el bosque (es decir, cambios que afectan a todos los dominios del bosque), como agregar o eliminar dominios, establecer confianzas forestales o elevar los niveles funcionales del bosque. En un modelo de delegación correctamente diseñado e implementado, la membresía EA se requiere solo cuando se construye el bosque por primera vez o cuando se realizan ciertos cambios en todo el bosque, como el establecimiento de una confianza forestal saliente. La mayoría de los derechos y permisos otorgados al grupo EA se pueden delegar a usuarios y grupos con menores privilegios.

Administradores del dominio

Cada dominio en un bosque tiene su propio grupo Administradores de dominio (DA), que es miembro del grupo Administradores de ese dominio y miembro del grupo Administradores local en cada computadora que se une al dominio. El único miembro predeterminado del grupo DA para un dominio es la cuenta de administrador integrada para ese dominio. Los DA son "todopoderosos" dentro de sus dominios, mientras que los EA tienen privilegios en todo el bosque. En un modelo de delegación correctamente diseñado e implementado, la membresía de Administradores de Dominio debería ser requerida solo en escenarios de "interrupción" (como situaciones en las que se necesita una cuenta con altos niveles de privilegios en cada computadora del dominio). Aunque los mecanismos de delegación nativos de Active Directory permiten la delegación en la medida en que es posible usar cuentas DA solo en situaciones de emergencia, construir un modelo de delegación efectivo puede llevar mucho tiempo, y muchas organizaciones aprovechan las herramientas de terceros para agilizar el proceso.

Administradores

El tercer grupo es el grupo de administradores locales de dominio (BA) en el que están anidados los DA y los EA. A este grupo se le otorgan muchos de los derechos y permisos directos en el directorio y en los controladores de dominio. Sin embargo, el grupo Administradores para un dominio no tiene privilegios en los servidores miembro o en las estaciones de trabajo. Es a través de la membresía en el grupo de administradores locales de las computadoras que se concede el privilegio local.

Nota: Aunque estas son las configuraciones predeterminadas de estos grupos con privilegios, un miembro de cualquiera de los tres grupos puede manipular el directorio para ganar membresía en cualquiera de los otros grupos. En algunos casos, es trivial obtener membresía en los otros grupos, mientras que en otros es más difícil, pero desde la perspectiva del privilegio potencial, los tres grupos deben considerarse efectivamente equivalentes.

Administradores de esquema

Un cuarto grupo privilegiado, Schema Admins (SA), existe solo en el dominio raíz del bosque y solo tiene la cuenta de administrador incorporada de ese dominio como miembro predeterminado, similar al grupo Administradores de la empresa. El grupo de administradores de esquema está destinado a poblarse solo de forma temporal y ocasional (cuando se requiere la modificación del esquema de AD DS).

Aunque el grupo SA es el único grupo que puede modificar el esquema de Active Directory (es decir, las estructuras de datos subyacentes del directorio como objetos y atributos), el alcance de los derechos y permisos del grupo SA es más limitado que los grupos descritos anteriormente. También es común encontrar que las organizaciones han desarrollado prácticas apropiadas para el manejo de la membresía del grupo de SA porque la membresía en el grupo generalmente se necesita con poca frecuencia, y solo por cortos períodos de tiempo. Esto también es técnicamente cierto para los grupos EA, DA y BA en Active Directory, pero es mucho menos común encontrar que las organizaciones hayan implementado prácticas similares para estos grupos como para el grupo SA.

Cuentas y grupos protegidos en Active Directory

Dentro de Active Directory, un conjunto predeterminado de cuentas y grupos privilegiados llamados cuentas y grupos "protegidos" se protegen de forma diferente que otros objetos en el directorio. Cualquier cuenta que tenga membresía directa o transitiva en cualquier grupo protegido (independientemente de si la membresía proviene de grupos de seguridad o distribución) hereda esta seguridad restringida.

Por ejemplo, si un usuario es miembro de un grupo de distribución que, a su vez, es miembro de un grupo protegido en Active Directory, ese objeto de usuario se marca como una cuenta protegida. Cuando una cuenta se marca como una cuenta protegida, el valor del atributo adminCount en el objeto se establece en 1.

Nota: Aunque la membresía transitiva en un grupo protegido incluye distribución anidada y grupos de seguridad anidados, las cuentas que son miembros de grupos de distribución anidados no recibirán el SID del grupo protegido en sus tokens de acceso. Sin embargo, los grupos de distribución se pueden convertir a grupos de seguridad en Active Directory, por lo que los grupos de distribución se incluyen en la enumeración de miembros de grupos protegidos. Si un grupo de distribución anidado protegido alguna vez se convierte a un grupo de seguridad, las cuentas que son miembros del grupo de distribución anterior recibirán posteriormente el SID del grupo protegido principal en sus tokens de acceso en el siguiente inicio de sesión.

La siguiente tabla enumera las cuentas y grupos protegidos predeterminados en Active Directory por versión de sistema operativo y nivel de paquete de servicio.

Cuentas y grupos protegidos predeterminados en Active Directory mediante el sistema operativo y la versión del Service Pack (SP)

www.radians.com.ar

AdminSDHolder y SDProp

En el contenedor Sistema de cada dominio de Active Directory, se crea automáticamente un objeto llamado AdminSDHolder. El objetivo del objeto AdminSDHolder es garantizar que los permisos en las cuentas y grupos protegidos se apliquen sistemáticamente, independientemente de dónde estén ubicados los grupos protegidos y las cuentas en el dominio.

Cada 60 minutos (de forma predeterminada), se ejecuta un proceso conocido como Propagador de descriptores de seguridad (SDProp) en el controlador de dominio que contiene la función Emulador de PDC del dominio. SDProp compara los permisos en el objeto AdminSDHolder del dominio con los permisos en las cuentas y grupos protegidos en el dominio. Si los permisos en cualquiera de las cuentas y grupos protegidos no coinciden con los permisos del objeto AdminSDHolder, los permisos en las cuentas y grupos protegidos se restablecen para que coincidan con los del objeto AdminSDHolder del dominio.

La herencia de permisos está deshabilitada en grupos y cuentas protegidas, lo que significa que incluso si las cuentas o grupos se mueven a diferentes ubicaciones en el directorio, no heredan los permisos de sus nuevos objetos principales. La herencia también está deshabilitada en el objeto AdminSDHolder para que los permisos cambien a los objetos principales no cambien los permisos de AdminSDHolder.

Nota: Cuando se elimina una cuenta de un grupo protegido, ya no se considera una cuenta protegida, pero su atributo adminCount permanece establecido en 1 si no se cambia manualmente. El resultado de esta configuración es que SDProp ya no actualiza las ACL del objeto, pero el objeto aún no hereda los permisos de su objeto principal. Por lo tanto, el objeto puede residir en una unidad organizativa (OU) a la que se han delegado permisos, pero el objeto anteriormente protegido no heredará estos permisos delegados.

Propiedad de AdminSDHolder

La mayoría de los objetos en Active Directory son propiedad del grupo BA del dominio. Sin embargo, el objeto AdminSDHolder es, de forma predeterminada, propiedad del grupo DA del dominio. (Esta es una circunstancia en la que los DA no derivan sus derechos y permisos a través de la membresía en el grupo Administradores para el dominio).

En las versiones de Windows anteriores a Windows Server 2008, los propietarios de un objeto pueden cambiar los permisos del objeto, lo que incluye otorgarse permisos que originalmente no tenían. Por lo tanto, los permisos predeterminados en el objeto AdminSDHolder de un dominio impiden que los usuarios que son miembros de grupos BA o EA cambien los permisos para el objeto AdminSDHolder de un dominio. Sin embargo, los miembros del grupo Administradores para el dominio pueden tomar posesión del objeto y otorgarse permisos adicionales, lo que significa que esta protección es rudimentaria y solo protege el objeto contra modificaciones accidentales por usuarios que no son miembros del grupo DA en el dominio . Además, los grupos BA y EA (cuando corresponda) tienen permiso para cambiar los atributos del objeto AdminSDHolder en el dominio local (dominio raíz para EA).

Nota: Un atributo en el objeto AdminSDHolder, dSHeuristics, permite la personalización (eliminación) limitada de grupos que se consideran grupos protegidos y se ven afectados por AdminSDHolder y SDProp. Esta personalización debe considerarse cuidadosamente si se implementa, aunque existen circunstancias válidas en las cuales la modificación de dSHeuristics en AdminSDHolder es útil.

Aunque los grupos más privilegiados en Active Directory se describen aquí, hay una cantidad de otros grupos a los que se les han otorgado niveles elevados de privilegios. Estos otros grupos podemos chequearlos en el sitio oficial de Microsoft: Appendix B: Privileged Accounts and Groups in Active Directory.

Espero les sea de interes y utilidad. Saludos. Roberto Di Lello

Si te parecio util la informacion del blog hace click en el boton "DONATE" o Ayudar al Blog - DONAR Si te ha gustado este post, por favor considera Dejar un Comentario o Suscribirse a este sitio por medio de RSS para tener los futuros artículos desarrollados en su lector de feeds.

Dejar un comentario

« »