Para tener la mejor experiencia web, use IE11+, Chrome, Firefox o Safari.

Seguridad de Active Directory

Mejores prácticas para asegurar su AD y mantener el cumplimiento.

Current state of AD security 03:01

Estado actual de la seguridad de AD

La seguridad de Active Directory se describe con frecuencia como una forma de controlar las llaves de su castillo informático, una metáfora que tiene valor pero también importantes limitaciones. Active Directory funciona realmente como un guardián, que determina quién tiene qué claves para entrar en su red, así como qué datos y otros recursos puede desbloquear cada una de esas claves. Pero a diferencia de un edificio de piedra, su entorno informático es un lugar increíblemente dinámico, con usuarios que entran y salen de forma constante, empleados que asumen nuevas funciones, nuevas aplicaciones que se agregan y otras que se retiran, entre otros aspectos. Por lo tanto, la seguridad de Active Directory no es un evento único, como cambiar las cerraduras de un castillo, sino un proceso continuo.

Siga leyendo para obtener más consejos sobre la seguridad de su Active Directory.

Equilibrio

Equilibrio

Equilibrio

La seguridad de Active Directory es un equilibrio delicado. Siguiendo con la metáfora del castillo, mientras que un rey o una reina son libres de imponer las medidas de seguridad que deseen a sus súbditos, los profesionales de TI deben tener muy presentes las necesidades de la empresa. Si las medidas de seguridad son demasiado complicadas, ralentizarán los procesos empresariales críticos y ahuyentarán al personal con talento. Por ejemplo, es crucial garantizar que solo las personas adecuadas puedan acceder a los datos médicos de cada persona, pero es igualmente esencial garantizar que los equipos médicos puedan ver los diagnósticos y las prescripciones de un paciente a tiempo para proporcionar una atención adecuada. Además, los usuarios encuentran formas de eludir las medidas de seguridad que consideran demasiado incómodas. Si les exige que creen contraseñas complejas que deban cambiar cada treinta días, pronto encontrará un montón de notas adhesivas en sus escritorios, lo que socava su objetivo de proteger sus cuentas del acceso no autorizado.

Seguridad frente a cumplimiento

Seguridad frente a cumplimiento

Seguridad frente a cumplimiento

Es importante entender que, aunque la seguridad de Active Directory está estrechamente ligada al cumplimiento de la normativa, ambas cosas no son idénticas. Muchas normativas de cumplimiento incluyen requisitos que afectan directamente a las políticas y los procedimientos de seguridad de AD, pero estas exigencias suelen extenderse también a muchas otras áreas, como el acceso físico a los edificios de oficinas, la formación del personal y la responsabilidad de los ejecutivos. Por otro lado, la seguridad integral de AD implica algo más que el mero cumplimiento de una o varias normativas.

La seguridad de Active Directory es una parte esencial de muchas normativas de cumplimiento, como GDPR, CCPA, HIPAA, SOX y PCI-DSS. No asegurar su Active Directory adecuadamente puede tener una amplia variedad de consecuencias desagradables, que incluyen fuertes multas de los reguladores, tiempo en prisión para los ejecutivos, la incapacidad de procesar las transacciones de tarjetas de crédito y la pérdida de confianza de los clientes.

El papel crucial de la seguridad

El papel crucial de la seguridad

El papel crucial de la seguridad

Proteger la seguridad de su Active Directory tiene que ser una prioridad absoluta porque AD desempeña un papel muy importante en su infraestructura de TI, ya que controla literalmente quién puede entrar en su red y qué puede hacer una vez que está dentro. Si no se implementa y se mantiene una fuerte seguridad de AD, aumenta enormemente el riesgo de que los usuarios accedan a datos y aplicaciones que no deberían poder utilizar, ya sea de manera deliberada o accidental. También aumenta su vulnerabilidad ante los atacantes y el software malicioso que se apoderan de la cuenta de un usuario (o, peor aún, de la cuenta de un administrador) para robar sus datos confidenciales, cifrarlos para pedir un rescate o, simplemente, causar estragos en sus sistemas informáticos. Incluso un ataque eficaz a su Active Directory puede causar un daño duradero a su empresa o también puede sacarla del negocio por completo.

Riesgos de seguridad frecuentes

Riesgos de seguridad frecuentes

Riesgos de seguridad frecuentes

Los riesgos de seguridad de Active Directory surgen en principio de la falta de conocimiento y control de tres factores clave: quién entra en la red, qué se le permite hacer una vez que está dentro y qué actividad se está llevando a cabo realmente. Algunos de estos riesgos de seguridad tienen nombres específicos, como amenazas internas, spear-phishing, escalación de privilegios y movimiento lateral. No obstante, la mejor manera de abordar los riesgos de seguridad de AD es no luchar contra cada uno de ellos por separado, ya que ese enfoque disperso solo sirve para aumentar los costos y la complejidad del sistema de TI, lo que en realidad agrava el problema en lugar de resolverlo.

En cambio, la mejor estrategia es limpiar su Active Directory y mantenerlo ordenado, y obtener una clara visibilidad de la actividad en todo su entorno de TI. Las herramientas nativas solo le ofrecen una pequeña parte de la funcionalidad que necesita y requieren una gran cantidad de tiempo y esfuerzo para su uso, por lo que es inteligente invertir en soluciones integrales que automaticen y simplifiquen los procesos básicos necesarios para una sólida seguridad de Active Directory.

Mejores prácticas para Active Directory

Active Directory existe desde hace mucho tiempo, por lo que las mejores prácticas están disponibles y se ha demostrado que refuerzan significativamente la seguridad y el cumplimiento de AD. Aplicar las mejores prácticas que se indican a continuación le permitirá avanzar mucho hacia su objetivo de minimizar los riesgos para sus datos y sistemas informáticos, y el triunfo posterior de su empresa.

Evaluación periódica

Evaluación periódica

Evaluación periódica

Una de las mejores prácticas de seguridad de Active Directory más importantes es revisar periódicamente el estado de su entorno de TI y buscar de forma proactiva posibles problemas de seguridad y cumplimiento. En particular, debe comparar periódicamente las opciones de configuración de los endpoints de Windows, los controladores de dominio y otros sistemas con un estado bueno conocido, y luego remediar rápidamente cualquier desviación no intencionada o cambios maliciosos.

Asegúrese también de revisar periódicamente su Política de Grupo, que se utiliza para aplicar la configuración estándar a todos sus usuarios y equipos. La Política de Grupo se puede utilizar para controlar un amplio conjunto de actividades, por ejemplo, puede prohibir a los usuarios el acceso al Panel de Control, el uso del símbolo del sistema o la instalación de software. Incluso un solo cambio inadecuado en un objeto de política de grupo (GPO), ya sea deliberado o accidental, podría causar un daño enorme. Por ejemplo, los usuarios podrían insertar repentinamente unidades USB y así liberar ransomware u otro software malicioso en sus sistemas. Por consiguiente, debe asegurarse de que sus GPO funcionen según lo previsto y ser capaz de detectar y revertir rápidamente cualquier cambio inadecuado o no autorizado en ellos.

Además, debe asegurarse de que los sistemas operativos del servidor de Windows y otro software estén actualizados en cuanto a parches y de que esté utilizando solo las versiones que sean totalmente compatibles con el proveedor.

Minimice los permisos de los usuarios

Minimice los permisos de los usuarios

Minimice los permisos de los usuarios

Quizá la mejor práctica fundamental para la seguridad informática sea el principio del privilegio mínimo. Ofrezca a cada usuario exactamente el acceso que necesita para hacer su trabajo, ni más ni menos. AD le permite colocar a los usuarios con funciones similares (como todos los administradores del servicio de asistencia técnica o todo el personal de recursos humanos) en un grupo de seguridad de AD y administrarlos juntos. Los usuarios pueden ser (y suelen ser) miembros de múltiples grupos de AD, como los grupos basados en proyectos.

El uso de los grupos de seguridad de AD no es una mera comodidad para los administradores, sino que mejora la seguridad mediante la reducción de los errores de aprovisionamiento y desaprovisionamiento, y minimiza la complejidad de la estructura de permisos para que sea más fácil decir con certeza quién tiene acceso a qué. Obtenga más información.

Investigue los incidentes de seguridad

Investigue los incidentes de seguridad

Investigue los incidentes de seguridad

Por muy buenos que sean sus esfuerzos de prevención, sufrirá incidentes de ciberseguridad, por lo que debe estar preparado para investigarlos rápidamente y responder de forma adecuada. Debe poder determinar de forma rápida dónde se originó la brecha, cómo se desarrolló y exactamente qué sistemas y datos estuvieron involucrados. De este modo, podrá responsabilizar a los individuos de sus acciones y tomar medidas para evitar que se produzcan incidentes similares en el futuro.

Administre y monitoree los permisos

Active Directory existe desde hace mucho tiempo, por lo que las mejores prácticas están disponibles y se ha demostrado que refuerzan significativamente la seguridad y el cumplimiento de AD. Aplicar las mejores prácticas que se indican a continuación le permitirá avanzar mucho hacia su objetivo de minimizar los riesgos para sus datos y sistemas informáticos, y el triunfo posterior de su empresa.

Administre los permisos de usuarios y grupos

Administre los permisos de usuarios y grupos

Administre los permisos de usuarios y grupos

Como ya se ha dicho, el principio del privilegio mínimo es la mejor práctica básica para la seguridad informática. Si tuviera que asignar manualmente los permisos de cada usuario a cada recurso de forma individual (y mantener esos permisos actualizados a medida que los usuarios entran y salen y cambian de función dentro de la empresa), se vería desbordado en poco tiempo y su empresa correría un gran riesgo de sufrir filtraciones de datos y fallos de cumplimiento.

La posibilidad de crear grupos de seguridad de AD y administrar conjuntamente los permisos de usuarios similares reduce la carga. Los usuarios pueden ser (y suelen ser) miembros de múltiples grupos de AD, como los grupos basados en proyectos. Por ejemplo, un nuevo director de ventas puede tener acceso a todos los recursos adecuados con solo agregarlos al grupo de seguridad de ventas y al grupo de seguridad de director de ventas. Del mismo modo, si hay una nueva carpeta o un recurso compartido de archivos al que todos los vendedores deben acceder, simplemente puede conceder al grupo de ventas acceso a él en lugar de tener que agregarlo a las cuentas de usuario individuales una por una. Por el contrario, si un usuario pasa de la función de ventas a un puesto diferente en la empresa, puede eliminar rápido su acceso a todos los recursos de ventas simplemente eliminándolo del grupo de ventas,en lugar de tener que examinar de forma minuciosa cada recurso para el que tiene permisos y determinar si ese acceso sigue siendo legítimo.

Controle los permisos de administración

Controle los permisos de administración

Controle los permisos de administración

El uso de los grupos de seguridad de AD no es una mera comodidad para los administradores, sino que mejora la seguridad mediante la reducción de los errores de aprovisionamiento y desaprovisionamiento, y minimiza la complejidad de la estructura de permisos para que sea más fácil decir con certeza quién tiene acceso a qué.

Son particularmente preocupantes los grupos de seguridad de Active Directory que otorgan privilegios de nivel administrativo, como los grupos sumamente potentes de Enterprise Admins, Domain Admins y Schema Admins, así como la cuenta de administrador local que se crea durante la instalación de Windows y que tiene control total de los archivos, directorios, servicios y otros recursos en el equipo local. Las empresas deben controlar estrictamente quién está en estos grupos de acceso con privilegios y estar atentas a cualquier cambio en su composición, lo que podría indicar que un atacante o una persona malintencionada dentro de la empresa está intentando escalar sus privilegios para obtener acceso a sistemas o datos adicionales.

Permisos de las cuentas de servicio

Permisos de las cuentas de servicio

Permisos de las cuentas de servicio

Las cuentas de servicio son cuentas de usuario especiales que las aplicaciones y los servicios utilizan para iniciar sesión y realizar acciones en su entorno de TI. Por desgracia, las cuentas de servicio suelen tener muchos más permisos de los que realmente necesitan, lo que aumenta los riesgos de seguridad. Las razones más frecuentes para el aprovisionamiento excesivo incluyen aceptar dócilmente los requisitos que especifica el proveedor de la aplicación, no trabajar de forma adecuada en los desafíos operativos y solo clonar un servicio existente en lugar de tomarse el tiempo para crear uno nuevo con el conjunto de permisos adecuado.

La mejor práctica, por supuesto, es garantizar que todas las cuentas de servicio cumplan con el principio de privilegio mínimo. También se deben tomar precauciones especiales cuando una cuenta de servicio necesita privilegios administrativos. Nunca debe hacer que una cuenta de servicio sea miembro de un grupo administrativo estándar, como el grupo de administradores locales o de dominio. Las mejores opciones son ejecutar el servicio bajo la cuenta LocalSystem o crear un grupo personalizado para la cuenta de servicio y negar explícitamente el acceso a otras cuentas para ese grupo. Asimismo, siempre que sea posible, es prudente configurar las cuentas de servicio para que puedan conectarse solo durante un periodo determinado del día.

¿Dónde puedo obtener ayuda con mi entorno de AD?

¿Dónde puedo obtener ayuda con mi entorno de AD?

Quest es el proveedor de referencia para las soluciones de Active Directory. Podemos ayudarlo a administrar, proteger, migrar y generar informes sobre su entorno de AD para impulsar su negocio. Aquí puede obtener más información:

Recursos

Nine Best Practices to Improve Active Directory Security and Cyber Resilience
Libro electrónico
Nine Best Practices to Improve Active Directory Security and Cyber Resilience
Nine Best Practices to Improve Active Directory Security and Cyber Resilience
This ebook explores the anatomy of an AD insider threat and details the best defense strategies against it.
Leer el libro electrónico
How to implement NIST, ESAE and Red Forest Cybersecurity Principles in Active Directory
Documento técnico
How to implement NIST, ESAE and Red Forest Cybersecurity Principles in Active Directory
How to implement NIST, ESAE and Red Forest Cybersecurity Principles in Active Directory
Smart companies are adopting NIST Cybersecurity and Microsoft’s ESAE (“Red Forest”) as models for protecting credentials, particularly those that reside in Active Directory. Download your complimentary copy of this white paper today to learn more.
Leer white paper
Enhancing Active Directory Security and Lateral Movement Security
Libro electrónico
Enhancing Active Directory Security and Lateral Movement Security
Enhancing Active Directory Security and Lateral Movement Security
Limit lateral movement by attackers inside your network with these best practices and Quest solutions.
Leer el libro electrónico
Randy Franklin Smith white paper: Securing Active Directory by Using the NIST Cybersecurity Framework
Documento técnico
Randy Franklin Smith white paper: Securing Active Directory by Using the NIST Cybersecurity Framework
Randy Franklin Smith white paper: Securing Active Directory by Using the NIST Cybersecurity Framework
NIST cybersecurity framework enables organizations to create a secure environment. Learn how to apply this framework to your AD and Microsoft environment.
Leer white paper

Videos

TEC TALK - Office 365 & Azure Active Directory Security | Quest
TEC TALK - Office 365 & Azure Active Directory Security | Quest

01:03:26

Vídeo
TEC TALK - Office 365 & Azure Active Directory Security | Quest

Learn how to prioritize Office 365 & Azure AD security for your remote workforce in this TEC Talk presented by Microsoft Certified Master, Sean Metcalf.

Vea el video
TEC Talk: Hardening Privileged Access
TEC Talk: Hardening Privileged Access

01:06:36

Vídeo
TEC Talk: Hardening Privileged Access
Learn steps you can take to secure privileged Active Directory access.
Vea el video
Current state of AD security
Current state of AD security

03:01

Vídeo
Current state of AD security
Join Sean Metcalf, Microsoft Certified Master, as he discusses what organizations are seeing and missing when it comes to Active Directory security.
Vea el video
Recovering from an AD security breach or disaster
Recovering from an AD security breach or disaster

04:15

Vídeo
Recovering from an AD security breach or disaster
Join experts Sean Metcalf and Brian Desmond as they discuss the best practices for quickly dealing with and recovering from AD security breaches.
Vea el video
Common AD security pitfalls
Common AD security pitfalls

03:21

Vídeo
Common AD security pitfalls
Join Sean Metcalf, Microsoft Certified Master, as he discusses the most common mistakes organizations make when it comes to Active Directory security.
Vea el video
Is your AD environment safe from the dark side?
Is your AD environment safe from the dark side?

03:10

Vídeo
Is your AD environment safe from the dark side?
See how Quest Software and One Identity can protect your organization from Hank the Hacker and other forces poised to steal AD-controlled credentials and your valuable data.
Vea el video
Prepare for destructive AD cyber-attacks
Prepare for destructive AD cyber-attacks

10:59

Vídeo
Prepare for destructive AD cyber-attacks
Learn how you can prepare for – and recover from – a destructive attack on your Active Directory.
Vea el video
How to reduce AD security risks and insider threats
How to reduce AD security risks and insider threats

01:32

Vídeo
How to reduce AD security risks and insider threats

Hank the Hacker is back and he's ready to attack your Active Directory (AD) environment, whether on-premises or in the cloud. Worse yet, this time he brought friends. With Disgruntled Dan and Careless Craig, he has even more leverage to take control. That's why it's so important to get protected.

Read this informative e-book, Nine Best Practices for AD Security, and discover what you can do to protect your environment from insider threats. Explore:

  • Why attackers target AD and how the growing popularity of Office 365 increases the threat
  • What an AD security breach means to the organization
  • Why it is difficult to secure Active Directory using native auditing alone
  • How a typical insider threat unfolds and how to identify common insider threat indicators
  • How following nine critical security best practices will help you minimize the risk of the internal threats to the availability, confidentiality and integrity of your AD

Vea el video

Blogs

What is multifactor authentication (MFA) and what are the benefits of using it?

What is multifactor authentication (MFA) and what are the benefits of using it?

What exactly is multifactor authentication (MFA)? Learn what it is, the different technologies available to implement it, and the pros and cons of each.

Strengthening Active Directory security: 3 best practices for implementing a Zero Trust model

Strengthening Active Directory security: 3 best practices for implementing a Zero Trust model

Learn how to implement a Zero Trust model in on-premises or hybrid Active Directory environments to dramatically strengthen Active Directory security.

What is Active Directory Domain Services and how do I protect domain controllers?

What is Active Directory Domain Services and how do I protect domain controllers?

What is Active Directory Domain Services? Is it different from Active Directory? We explain it all and share best practices to protect domain controllers.

Golden ticket attacks: How they work — and how to defend against them

Golden ticket attacks: How they work — and how to defend against them

Golden Ticket attacks have a playful name but are a serious threat to Active Directory environments. Learn how they work and how to defend against them.

Zero trust: What it is, why you need it, and how to get started

Zero trust: What it is, why you need it, and how to get started

Everyone’s talking about Zero Trust security. Learn what it is, the benefits and downsides, and steps your organization can take to get started.

10 Microsoft service account best practices

10 Microsoft service account best practices

Microsoft service accounts are a critical part of your Windows ecosystem. Learn what they are and 10 best practices for managing them efficiently.

¡Comience ahora!

Su proveedor de confianza para proteger su entorno de Active Directory.