RaDians.com.ar

Microsoft MVP – Microsoft 365, Trainer, Mentor and Technical Writer. MCP, MCSA: Messaging, Microsoft Certified and former MCT and Xbox gamer…

2008 & R2 2012 & R2 2016 Directory Services

Las mejores prácticas para Securizar nuestra arquitectura de Active Directory [Parte 1] [HowTo]

Avatar photo

ByRoberto Di Lello

Mar 23, 2018 , ,

www.radians.com.arHoy vamos a empezar con una serie de notas sobre como securizar nuestra arquitectura de Active Directory. Obviamente este tema es un tema conocidos por todos y nosotros vamos a cubrir mucho de los aspectos y mejores practicas propuestas por Microsoft, ya que si bien son conocidad no siempre son aplicadas.  Estas mejores practicas nos ayudaran mucho ya que nunca, por mas seguro que estemos, nadie esta 100% seguro frente a las amenazas existentes o por venir. 

Los ataques contra las infraestructuras informáticas, ya sean simples o complejas, han existido siempre que las computadoras lo tengan. Sin embargo, en la última década, un número cada vez mayor de organizaciones de todos los tamaños, en todas partes del mundo, han sido atacadas y comprometidas de maneras que han cambiado significativamente el panorama de las amenazas. La guerra cibernética y el cibercrimen han aumentado a tasas récord. El "hacktivismo", en el cual los ataques son motivados por posiciones de activismo, ha sido reclamado como la motivación para una serie de violaciones destinadas a exponer la información secreta de las organizaciones, crear negaciones de servicio o incluso destruir infraestructura. Los ataques contra instituciones públicas y privadas con el objetivo de excretar la propiedad intelectual de las organizaciones se han vuelto omnipresentes.

Ninguna organización con una infraestructura de tecnología de la información (TI) es inmune a los ataques, pero si se implementan políticas, procesos y controles adecuados para proteger los segmentos clave de la infraestructura informática de una organización, la escalada de ataques desde la penetración hasta el compromiso completo podría prevenirse. Debido a que el número y la escala de los ataques provenientes de fuera de una organización ha eclipsado la amenaza interna en los últimos años, este documento a menudo analiza los atacantes externos en lugar del uso indebido del medio ambiente por parte de los usuarios autorizados. No obstante, los principios y recomendaciones proporcionados en este documento están destinados a ayudar a proteger su entorno contra atacantes externos y personas malintencionadas o mal intencionadas.

La información y las recomendaciones proporcionadas en este documento provienen de varias fuentes y se derivan de las prácticas diseñadas para proteger las instalaciones de Active Directory contra el riesgo. Aunque no es posible evitar ataques, es posible reducir la superficie de ataque de Active Directory e implementar controles que hacen que el compromiso del directorio sea mucho más difícil para los atacantes. Este documento presenta los tipos más comunes de vulnerabilidades que hemos observado en entornos comprometidos y las recomendaciones más comunes que hemos hecho a los clientes para mejorar la seguridad de sus instalaciones de Active Directory.

Naming Conventions para Cuentas y Grupos

La siguiente tabla proporciona una guía de las convenciones de denominación utilizadas normalmente para los grupos y las cuentas. En la tabla se incluye la ubicación de cada cuenta / grupo, su nombre y cómo se hace referencia a estas cuentas / grupos.

www.radians.com.ar

Como hemos dicho veremos varias cosas sobre algunas de las vulnerabilidades más comúnmente  y cómo se aprovechan para penetrar inicialmente en las infraestructuras de los clientes, propagar el compromiso entre sistemas adicionales y, finalmente, dirigirse a AD DS y controladores de dominio para obtener un control completo de los bosques de nuestra arquitectura.

Daremos algunas recomendaciones detalladas sobre cómo abordar cada tipo de vulnerabilidad, particularmente en las áreas en las que las vulnerabilidades no se utilizan para apuntar directamente a Active Directory. Sin embargo, para cada tipo de vulnerabilidad, tambien daremos enlaces a información adicional para que puedan ver en mayor detalle las mismas.

Veremos como reducir la superficie de ataque de Active Directory, revisaremos el contexto sobre cuentas y grupos privilegiados en Active Directory para proporcionar la información que ayuda a aclarar los motivos de las recomendaciones posteriores para proteger y administrar grupos y cuentas con privilegios. Analizaremos los enfoques para reducir la necesidad de utilizar cuentas con privilegios elevados para la administración diaria, que no requiere el nivel de privilegio otorgado a grupos como los Administradores de empresa (EA), Administradores de dominio (DA) y Grupos de administradores incorporados (BA) en Active Directory.

Veremos tambien las recomendaciones para el monitoreo de Active Directory en busca de señales de que nos han comprometido nuestra arquitectura. Generalmente en las empresas grandes se implementan applaiances y otros dispositivos de seguridad sólida y monitoreo de eventos (mas conocidos como SIEM) u otros mecanismos para monitorear la seguridad de la infraestructura, veremos aquellos eventos en sistemas Windows que pueden indicar que nuestra organización esta siendo atacado. Analizamos las políticas de auditoría tradicionales y avanzadas, incluida la configuración efectiva de subcategorías de auditoría en los sistemas operativos Windows 8 y Windows 10.

Espero les sea de interes y utilidad. Saludos. Roberto Di Lello.=

Post Relacionados:

  1. Recuperacion de los Servicios de dominio de Active Directory {ADDS} – Parte 1
  2. Como reparar los objetos persistentes -Lingering Object- de nuestra replicacion de Active Directory (Event IDs 1388, 1988, 2042) {HowTo}
  3. Active Directory Error “Administrative limit for this request was exceeded" como solucionarlo?
  4. Como cambiar SID en Windows Server 2012 R2. NewSid nunca mas.
  5. Como liberar espacio y reducir el tamaño del directorio WinSxS en Windows Server 2012 R2 y Windows 8.1 {HowTo}
Avatar photo

By Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

Related Post

2012 & R2 2016 2019 Directory Services

C�mo verificar los requisitos de complejidad de las contrase�as en Active Directory [Howto]

Feb 15, 2024 Roberto Di Lello
2008 & R2 2012 & R2 2016

Windows Server: No existe carpetas SYSVOL y Netlogon en nuestro Controlador de�Dominio [segunda opcion]

Oct 10, 2023 Roberto Di Lello
2008 & R2 2012 & R2 2016 2019 Windows 10 Windows 11 Windows 7

Entendiendo el protocolo NTLM: Evaluaci�n de su entorno para la reducci�n de NTLM [Parte4]

Oct 3, 2023 Roberto Di Lello

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

You missed

Windows 11

Copilot en Windows y Windows 365: Ayudando a los clientes a avanzar en la nueva era del trabajo

Jun 28, 2024 Roberto Di Lello
Uncategorized

Mejoras de Microsoft Copilot para Windows 11

Jun 24, 2024 Roberto Di Lello
Windows 11

Windows 11: cómo ver el rendimiento {HowTo}

Jun 18, 2024 Roberto Di Lello
Windows 11

Windows 11: publicidad en el menu inicio?

Jun 14, 2024 Roberto Di Lello