Para tener la mejor experiencia web, use IE11+, Chrome, Firefox o Safari.

¿Qué es la seguridad de Active Directory?

Mejores prácticas para asegurar su AD y mantener el cumplimiento. La seguridad de Active Directory se describe con frecuencia como una forma de controlar las llaves de su castillo informático, una metáfora que tiene valor pero también importantes limitaciones. Active Directory funciona realmente como un guardián, que determina quién tiene qué claves para entrar en su red, así como qué datos y otros recursos puede desbloquear cada una de esas claves. Pero a diferencia de un edificio de piedra, su entorno informático es un lugar increíblemente dinámico, con usuarios que entran y salen de forma constante, empleados que asumen nuevas funciones, nuevas aplicaciones que se agregan y otras que se retiran, entre otros aspectos. Por lo tanto, la seguridad de Active Directory no es un evento único, como cambiar las cerraduras de un castillo, sino un proceso continuo.

Siga leyendo para obtener más consejos sobre la seguridad de su Active Directory.

Current state of AD security 03:01

Estado actual de la seguridad de AD

¿Qué es la seguridad de Active Directory?

La seguridad de Active Directory se describe con frecuencia como una forma de controlar las llaves de su castillo informático, una metáfora que tiene valor pero también importantes limitaciones. Active Directory (AD) funciona realmente como un guardián, que determina quién tiene qué claves para entrar en su red, así como qué datos y otros recursos puede desbloquear cada una de esas claves. Pero, a diferencia de un edificio de piedra, su entorno informático es un lugar increíblemente dinámico, con usuarios que entran y salen de forma constante, empleados que asumen nuevas funciones, nuevas aplicaciones que se agregan y otras que se retiran. Por lo tanto, la seguridad de Active Directory no es un evento único, como cambiar las cerraduras de un castillo, sino un proceso continuo.

Comprender la seguridad de AD

La seguridad de Active Directory es un equilibrio delicado. Siguiendo con la metáfora del castillo, mientras que un rey o una reina son libres de imponer las medidas de seguridad que deseen a sus súbditos, los profesionales de TI deben tener muy presentes las necesidades de la empresa. Si las medidas de seguridad son demasiado complicadas, ralentizarán los procesos empresariales críticos y ahuyentarán al personal con talento. Por ejemplo, es crucial garantizar que solo las personas adecuadas puedan acceder a los datos médicos de cada persona, pero es igualmente esencial garantizar que los equipos médicos puedan ver los diagnósticos y las prescripciones de un paciente a tiempo para proporcionar una atención adecuada. Además, los usuarios encuentran formas de eludir las medidas de seguridad que consideran demasiado incómodas. Si les exige que creen contraseñas complejas que deban cambiar cada treinta días, pronto encontrará un montón de notas adhesivas en sus escritorios, lo que socava su objetivo de proteger sus cuentas del acceso no autorizado.

Comprender la seguridad de AD

Seguridad frente a cumplimiento

Es importante entender que, aunque la seguridad de Active Directory está estrechamente ligada al cumplimiento de la normativa, ambas cosas no son idénticas. Muchas normativas de cumplimiento incluyen requisitos que afectan directamente a las políticas y los procedimientos de seguridad de AD, pero estas exigencias suelen extenderse a muchas otras áreas, como el acceso físico a los edificios de oficinas, la formación del personal y la responsabilidad de los ejecutivos. Por otro lado, la seguridad integral de AD implica algo más que el cumplimiento de una o varias normativas.

La seguridad de AD es una parte esencial de muchas normativas de cumplimiento, como GDPR, CCPA, HIPAA, SOX y PCI-DSS. No asegurar Active Directory adecuadamente puede tener diversas consecuencias desagradables, que incluyen fuertes multas de los reguladores, tiempo en prisión para los ejecutivos, la incapacidad de procesar las transacciones de tarjetas de crédito y la pérdida de confianza de los clientes.

 

Seguridad frente a cumplimiento

El papel crucial de la seguridad

Proteger a Active Directory tiene que ser una prioridad absoluta porque AD desempeña un papel muy importante en su infraestructura de TI, ya que controla literalmente quién puede entrar en su red y qué puede hacer una vez que está dentro. Si no se implementa y se mantiene una fuerte seguridad de AD, aumenta enormemente el riesgo de que los usuarios accedan a datos y aplicaciones que no deberían utilizar, ya sea de manera deliberada o accidental. También aumenta su vulnerabilidad ante los atacantes y el software malicioso que se apodera de la cuenta de un usuario (o, peor, de la cuenta de un administrador) para robar datos confidenciales, cifrarlos para pedir un rescate o, simplemente, causar estragos en sus sistemas informáticos. Un ataque exitoso en Active Directory puede causar daños duraderos a las organizaciones o dejarlas fuera del negocio por completo.
El papel crucial de la seguridad

¿Cuáles son los riesgos de seguridad más frecuentes de Active Directory?

Los riesgos de seguridad de Active Directory surgen principalmente de la falta de conocimiento y control sobre tres factores clave:

  • quiénes ingresan a su red,
  • qué se les permite hacer una vez que están adentro,
  • y qué actividad se está realizando realmente.

Algunos de estos riesgos tienen nombres específicos, como amenazas internas, spear-phishing, escalación de privilegios y movimiento lateral. No obstante, la mejor manera de abordar los riesgos de seguridad de AD es no luchar contra cada uno individualmente. Ese enfoque aumenta los costos y aumenta la complejidad del sistema de TI, lo que agrava el problema en lugar de resolverlo.

En cambio, la mejor estrategia es limpiar su Active Directory y obtener una clara visibilidad de la actividad en todo su entorno de TI. Las herramientas integradas en Active Directory brindan una pequeña fracción de la funcionalidad necesaria y requieren mucho tiempo de uso, por lo que es inteligente invertir en soluciones integrales que automaticen y simplifiquen los procesos centrales necesarios para una sólida seguridad de Active Directory.

¿Cuáles son los riesgos de seguridad más frecuentes de Active Directory?

Mejores prácticas de seguridad para Active Directory

Active Directory existe desde hace mucho tiempo, por lo que las mejores prácticas están disponibles y se ha demostrado que refuerzan significativamente la seguridad y el cumplimiento de AD. La implementación de las siguientes mejores prácticas ayudará a minimizar los riesgos para sus datos y sistemas de TI, y protegerá el éxito futuro de su organización.

1. Evaluaciones periódicas

Una de las mejores prácticas de seguridad de AD más importantes es revisar periódicamente el estado de su entorno de TI y buscar de forma proactiva posibles problemas de seguridad y cumplimiento.
De forma periódica, debe comparar las opciones de configuración de los endpoints de Windows, los controladores de dominio y otros sistemas con un estado bueno conocido, y luego remediar rápidamente cualquier desviación no intencionada o cambios maliciosos.
Asegúrese de revisar periódicamente la Política de Grupo, que se utiliza para aplicar la configuración estándar a todos sus usuarios y equipos. La Política de Grupo controla muchas actividades. Puede prohibir a los usuarios el acceso al Panel de control, mediante el símbolo del sistema o la instalación de software. Incluso un cambio inadecuado en un objeto de la Política de Grupo (GPO) puede causar daños significativos. Por ejemplo, los usuarios podrían insertar repentinamente unidades USB y así liberar ransomware u otro software malicioso en sus sistemas. Por consiguiente, asegúrese de que sus GPO funcionen según lo previsto y de ser capaz de detectar y revertir rápidamente cualquier cambio inadecuado o no autorizado en ellos.
Además, debe asegurarse de que los sistemas operativos del servidor de Windows y otro software estén actualizados en cuanto a parches y de que esté utilizando solo las versiones que sean totalmente compatibles con el proveedor.

2. Minimice los permisos de los usuarios

Quizá la mejor práctica fundamental para la seguridad informática sea el principio del privilegio mínimo. Ofrezca a cada usuario exactamente el acceso que necesita para hacer su trabajo, ni más ni menos. AD le permite colocar a los usuarios con funciones similares (como todos los administradores del servicio de asistencia técnica o todo el personal de recursos humanos) en un grupo de seguridad de AD y administrarlos juntos. Los usuarios pueden ser (y suelen ser) miembros de múltiples grupos de AD, como los grupos basados en proyectos.
El uso de los grupos de seguridad de AD no es una mera comodidad para los administradores, sino que mejora la seguridad mediante la reducción de los errores de aprovisionamiento y desaprovisionamiento, y minimiza la complejidad de la estructura de permisos para que sea más fácil decir con certeza quién tiene acceso a qué.

3. Investigue los incidentes de seguridad

Por muy buenos que sean sus esfuerzos de prevención, sufrirá incidentes de ciberseguridad, por lo que debe estar preparado para investigarlos rápidamente y responder de forma adecuada. Debe poder determinar de forma rápida dónde se originó la brecha, cómo se desarrolló y exactamente qué sistemas y datos estuvieron involucrados. De este modo, podrá responsabilizar a los individuos de sus acciones y tomar medidas para evitar que se produzcan incidentes similares en el futuro.

4. Administre los permisos de usuarios y grupos

Como ya se ha dicho, el principio del privilegio mínimo es la mejor práctica básica para la seguridad informática. Si tuviera que asignar manualmente los permisos de cada usuario a cada recurso de forma individual (y mantener esos permisos actualizados a medida que los usuarios entran y salen y cambian de función dentro de la empresa), se vería desbordado y su empresa correría un gran riesgo de sufrir filtraciones y fallos de cumplimiento.
La posibilidad de crear grupos de seguridad de AD y administrar conjuntamente los permisos de usuarios similares reduce la carga. Los usuarios pueden ser (y suelen ser) miembros de múltiples grupos de AD, como los grupos basados en proyectos. Por ejemplo, un nuevo director de ventas puede tener acceso a todos los recursos adecuados con solo agregarlos al grupo de seguridad de ventas y al grupo de seguridad de director de ventas. Del mismo modo, si hay una nueva carpeta o un recurso compartido de archivos al que todos los vendedores deben acceder, puede conceder al grupo de ventas acceso en lugar de tener que agregarlo a las cuentas de usuario individuales una por una. Por el contrario, si un usuario pasa de la función de ventas a un puesto, puede eliminar su acceso a todos los recursos de ventas eliminándolo del grupo de ventas, en lugar de tener que examinar de forma minuciosa cada recurso para el que tiene permisos y determinar si el acceso sigue siendo legítimo.

5. Controle los permisos de administración

El uso de los grupos de seguridad de AD no es una mera comodidad para los administradores, sino que mejora la seguridad mediante la reducción de los errores de aprovisionamiento y desaprovisionamiento, y minimiza la complejidad de la estructura de permisos para que sea más fácil decir con certeza quién tiene acceso a qué.
Son particularmente preocupantes los grupos de seguridad de AD que otorgan privilegios de nivel administrativo, como los grupos sumamente potentes de Enterprise Admins, Domain Admins y Schema Admins, así como la cuenta de administrador local que se crea durante la instalación de Windows y que tiene control total de los archivos, directorios, servicios y otros recursos en el equipo local. Las empresas deben controlar estrictamente quién está en estos grupos de acceso con privilegios y estar atentas a cualquier cambio en su composición, lo que podría indicar que un atacante o una persona malintencionada dentro de la empresa está intentando escalar sus privilegios para obtener acceso a sistemas o datos adicionales.

6. Permisos de las cuentas de servicio

Las cuentas de servicio son cuentas de usuario especiales que las aplicaciones y los servicios utilizan para iniciar sesión y realizar acciones en su entorno de TI. Por desgracia, las cuentas de servicio suelen tener más permisos de los que realmente necesitan, lo que aumenta los riesgos de seguridad. Las razones más frecuentes para el aprovisionamiento excesivo incluyen aceptar dócilmente los requisitos que especifica el proveedor de la aplicación, no trabajar de forma adecuada en los desafíos operativos y solo clonar un servicio existente en lugar de tomarse el tiempo para crear uno nuevo con los permisos adecuados.

La mejor práctica es garantizar que todas las cuentas de servicio cumplan con el principio de privilegio mínimo. También se deben tomar precauciones especiales cuando una cuenta de servicio necesita privilegios administrativos. Nunca debe hacer que una cuenta de servicio sea miembro de un grupo administrativo estándar, como el grupo de administradores locales o de dominio. Las mejores opciones son ejecutar el servicio bajo la cuenta LocalSystem o crear un grupo personalizado para la cuenta de servicio y negar explícitamente el acceso a otras cuentas para ese grupo. Asimismo, siempre que sea posible, es prudente configurar las cuentas de servicio para que puedan conectarse solo durante un periodo determinado del día.

¿Dónde puedo obtener más información sobre Active Directory?

¿Dónde puedo obtener más información sobre Active Directory?
Active Directory es fundamental para el éxito de cualquier empresa moderna. Consulte estas páginas de utilidad adicionales para conocer las prácticas recomendadas para las áreas más críticas de Active Directory:

¡Comience ahora!

Su proveedor de confianza para proteger su entorno de Active Directory.