Seguridad de Active Directory

Es importante entender que, aunque la seguridad de Active Directory está estrechamente ligada al cumplimiento de la normativa, ambas cosas no son idénticas. Muchas normativas de cumplimiento incluyen requisitos que afectan directamente a las políticas y los procedimientos de seguridad de AD, pero estas exigencias suelen extenderse también a muchas otras áreas, como el acceso físico a los edificios de oficinas, la formación del personal y la responsabilidad de los ejecutivos. Por otro lado, la seguridad integral de AD implica algo más que el mero cumplimiento de una o varias normativas.

La seguridad de Active Directory es una parte esencial de muchas normativas de cumplimiento, como GDPR, CCPA, HIPAA, SOX y PCI-DSS. No asegurar su Active Directory adecuadamente puede tener una amplia variedad de consecuencias desagradables, que incluyen fuertes multas de los reguladores, tiempo en prisión para los ejecutivos, la incapacidad de procesar las transacciones de tarjetas de crédito y la pérdida de confianza de los clientes.

Los riesgos de seguridad de Active Directory surgen en principio de la falta de conocimiento y control de tres factores clave: quién entra en la red, qué se le permite hacer una vez que está dentro y qué actividad se está llevando a cabo realmente. Algunos de estos riesgos de seguridad tienen nombres específicos, como amenazas internas, spear-phishing, escalación de privilegios y movimiento lateral. No obstante, la mejor manera de abordar los riesgos de seguridad de AD es no luchar contra cada uno de ellos por separado, ya que ese enfoque disperso solo sirve para aumentar los costos y la complejidad del sistema de TI, lo que en realidad agrava el problema en lugar de resolverlo.

En cambio, la mejor estrategia es limpiar su Active Directory y mantenerlo ordenado, y obtener una clara visibilidad de la actividad en todo su entorno de TI. Las herramientas nativas solo le ofrecen una pequeña parte de la funcionalidad que necesita y requieren una gran cantidad de tiempo y esfuerzo para su uso, por lo que es inteligente invertir en soluciones integrales que automaticen y simplifiquen los procesos básicos necesarios para una sólida seguridad de Active Directory.

Como ya se ha dicho, el principio del privilegio mínimo es la mejor práctica básica para la seguridad informática. Si tuviera que asignar manualmente los permisos de cada usuario a cada recurso de forma individual (y mantener esos permisos actualizados a medida que los usuarios entran y salen y cambian de función dentro de la empresa), se vería desbordado en poco tiempo y su empresa correría un gran riesgo de sufrir filtraciones de datos y fallos de cumplimiento.

La posibilidad de crear grupos de seguridad de AD y administrar conjuntamente los permisos de usuarios similares reduce la carga. Los usuarios pueden ser (y suelen ser) miembros de múltiples grupos de AD, como los grupos basados en proyectos. Por ejemplo, un nuevo director de ventas puede tener acceso a todos los recursos adecuados con solo agregarlos al grupo de seguridad de ventas y al grupo de seguridad de director de ventas. Del mismo modo, si hay una nueva carpeta o un recurso compartido de archivos al que todos los vendedores deben acceder, simplemente puede conceder al grupo de ventas acceso a él en lugar de tener que agregarlo a las cuentas de usuario individuales una por una. Por el contrario, si un usuario pasa de la función de ventas a un puesto diferente en la empresa, puede eliminar rápido su acceso a todos los recursos de ventas simplemente eliminándolo del grupo de ventas,en lugar de tener que examinar de forma minuciosa cada recurso para el que tiene permisos y determinar si ese acceso sigue siendo legítimo.

El uso de los grupos de seguridad de AD no es una mera comodidad para los administradores, sino que mejora la seguridad mediante la reducción de los errores de aprovisionamiento y desaprovisionamiento, y minimiza la complejidad de la estructura de permisos para que sea más fácil decir con certeza quién tiene acceso a qué.

Son particularmente preocupantes los grupos de seguridad de Active Directory que otorgan privilegios de nivel administrativo, como los grupos sumamente potentes de Enterprise Admins, Domain Admins y Schema Admins, así como la cuenta de administrador local que se crea durante la instalación de Windows y que tiene control total de los archivos, directorios, servicios y otros recursos en el equipo local. Las empresas deben controlar estrictamente quién está en estos grupos de acceso con privilegios y estar atentas a cualquier cambio en su composición, lo que podría indicar que un atacante o una persona malintencionada dentro de la empresa está intentando escalar sus privilegios para obtener acceso a sistemas o datos adicionales.

Las cuentas de servicio son cuentas de usuario especiales que las aplicaciones y los servicios utilizan para iniciar sesión y realizar acciones en su entorno de TI. Por desgracia, las cuentas de servicio suelen tener muchos más permisos de los que realmente necesitan, lo que aumenta los riesgos de seguridad. Las razones más frecuentes para el aprovisionamiento excesivo incluyen aceptar dócilmente los requisitos que especifica el proveedor de la aplicación, no trabajar de forma adecuada en los desafíos operativos y solo clonar un servicio existente en lugar de tomarse el tiempo para crear uno nuevo con el conjunto de permisos adecuado.

La mejor práctica, por supuesto, es garantizar que todas las cuentas de servicio cumplan con el principio de privilegio mínimo. También se deben tomar precauciones especiales cuando una cuenta de servicio necesita privilegios administrativos. Nunca debe hacer que una cuenta de servicio sea miembro de un grupo administrativo estándar, como el grupo de administradores locales o de dominio. Las mejores opciones son ejecutar el servicio bajo la cuenta LocalSystem o crear un grupo personalizado para la cuenta de servicio y negar explícitamente el acceso a otras cuentas para ese grupo. Asimismo, siempre que sea posible, es prudente configurar las cuentas de servicio para que puedan conectarse solo durante un periodo determinado del día.