Reducir la superficie de ataque para Active Directory

Cómo proteger su Directorio Activo, también conocido como «Reducir la superficie de ataque»

Consejos para Servidor de Windows 2025, 2022, 2019 y «abuelo» 2016 ¡Y también!

Active Directory (AD) está en el corazón de muchas redes empresariales. Pero precisamente porque es tan central, también es un objetivo popular para los atacantes. Con el fin de aumentar la seguridad, usted debe Superficie de ataque Manténgase lo más pequeño posible. Esto se logra mediante la aplicación sistemática de mecanismos de control técnico. Estas son las formas más importantes de fortalecer su AD.

Los tres pilares para reducir la superficie de ataque

La reducción de la superficie de ataque se centra en tres áreas principales:

1. Modelos administrativos con los derechos más bajos (Principio del privilegio mínimo): Este modelo tiene como objetivo minimizar el riesgo que plantea el uso excesivo de cuentas con derechos de gran alcance.
   
2. Hosts administrativos seguros: La configuración de sistemas dedicados y cerrados para tareas administrativas evita que las credenciales privilegiadas lleguen a estaciones de trabajo estándar inseguras.
   
3. Endurecimiento de los controladores de dominio: Las políticas y configuraciones específicas protegen a los DC en el corazón de la AD del compromiso.

A continuación observamos las mejores prácticas, porque (alarma de spoiler) ¡hay más que hacer!

Cuentas y grupos en Active Directory

Comprender qué cuentas y grupos tienen los derechos más altos es esencial para su protección. Por defecto, hay cuatro grupos muy poderosos que debes vigilar:

• Administradores de empresas (EA): Este grupo existe solo en el dominio raíz y tiene los derechos más altos en todo el Estructura general (bosque). Su membresía solo debe otorgarse temporalmente para cambios específicos generales de toda la estructura.
  
• Administradores de dominio (DA): Cada dominio tiene su propio grupo DA. Los miembros de este grupo son «todopoderosos» dentro de sus respectivos dominio y tener derechos de administrador local en todos los equipos de dominio. La membresía solo debe usarse en escenarios de emergencia.
  
• Administradores (BA): Este grupo de dominio local, en el que están anidados DA y EA, tiene muchos derechos directos en el directorio y en los controladores de dominio. (La B en BA significa Built-In) Sin embargo, no tiene derechos sobre los servidores miembros o estaciones de trabajo.
  
• Administradores de esquemas (Administradores de esquemas, SA): Este grupo puede cambiar el esquema de Active Directory. La membresía rara vez se necesita y solo por un corto tiempo, lo que facilita la administración.

Cuentas protegidas y el proceso AdminSDHolder

Active Directory tiene un mecanismo de protección incorporado para cuentas y grupos privilegiados que reduce aún más la superficie de ataque.

• Cuentas protegidas: Si una cuenta es miembro de un grupo protegido, se marcará como «cuenta protegida». La herencia de permisos está deshabilitada para estas cuentas, por lo que no pueden heredar derechos de las OU principales. Esto impide la extensión involuntaria de los derechos.
  
• AdminSDHolder y SDProp: En sistema-El contenedor de cada dominio es el objeto AdminSDHolder. Cada 60 minutos el proceso es el mismo Propagador de descriptores de seguridad (SDProp) los permisos de todas las cuentas y grupos protegidos con los del objeto AdminSDHolder y restablecerlos si es necesario. Esto garantiza que la configuración de seguridad de las cuentas privilegiadas siga siendo coherente. Una cuenta que se elimina de un grupo protegido no hereda automáticamente los permisos de su OU, lo que requiere personalización manual.

Prácticas óptimas para la aplicación

Con el fin de utilizar estos mecanismos de protección de manera efectiva, debe centrarse en los siguientes puntos:

• Asignación específica de derechos: Implementa una delegación granular para que el uso de los grupos más poderosos se mantenga al mínimo absoluto.
  
• Gestión de parches: Asegúrese de que sus controladores de dominio y otros sistemas críticos siempre estén provistos de los últimos parches de seguridad. Una buena solución de gestión de parches es esencial.
  
• Seguimiento: Utiliza herramientas de supervisión para realizar un seguimiento de los cambios en las contraseñas de grupos críticos (DA, EA) y LAPS (Solución de contraseña de administrador local). De esta manera, reconocerá inmediatamente las actividades no autorizadas.
  
• Formación: Sensibiliza a tus usuarios sobre los riesgos de la ingeniería social y el phishing. Un empleado capacitado es una de sus líneas de defensa más importantes.

Al reducir la superficie de ataque a través de estas medidas técnicas y organizativas, hace que sea mucho más difícil para los atacantes invadir su Active Directory y causar daños.

Cuentas y grupos privilegiados en Active Directory

Un principio básico de seguridad es minimizar los derechos. Active Directory está diseñado para permitir la delegación de grano muy fino. Sin embargo, hay grupos incorporados con privilegios muy altos. Si entiendes estos grupos, también puedes asegurarlos adecuadamente.

Los tres grupos más poderosos

Hay tres grupos principales que tienen los privilegios más altos en Active Directory:

• Administradores de organizaciones (administradores de empresas): Este grupo existe solo en el dominio raíz del bosque. Los diputados podrán: Cambios generales en toda la estructura Afecta a todos los dominios. Sus derechos son tan completos que la membresía solo debe ser requerida en casos excepcionales raros (por ejemplo, cuando se agrega un nuevo dominio).
  
• Administradores de dominio: Cada dominio tiene su propio conjunto de administradores de dominio. Son las «reglas todopoderosas» dentro de su dominio y, por defecto, son administradores locales en todos los ordenadores del dominio. Solo debe usarlos en escenarios de emergencia.
  
• Administradores: El tercer grupo es el grupo de administrador local del dominio. Otorga muchos derechos directos a los controladores de directorio y dominio, pero no derechos a los servidores miembros o estaciones de trabajo. Los administradores de dominios y organizaciones son miembros de este grupo por defecto.

Nota importante: Aunque estos grupos tienen diferentes permisos predeterminados, un miembro de uno de los tres grupos puede cambiar los permisos en el directorio para convertirse en miembro de los otros grupos. Desde el punto de vista de la seguridad, debe considerar los tres como Igualmente arriesgado Mira.

Los administradores del esquema: Un grupo especial

El Administradores de esquemas (administradores de esquemas) Es un cuarto grupo privilegiado. Solo existen en el dominio raíz del bosque y tienen permiso exclusivo para cambiar el esquema de Active Directory, la estructura subyacente del directorio. Esta membresía es extremadamente rara y solo se necesita por un tiempo muy corto.

AdminSDHolder y SDProp: El mecanismo de protección

Para evitar que los permisos de cuentas privilegiadas se cambien accidental o maliciosamente, Active Directory tiene un mecanismo de protección especial: AdminSDHolder y SDProp.

¿Cómo funciona?

1. El objeto AdminSDHolder: En cada dominio de Active Directory, hay un objeto especial llamado AdminSDHolder. Sirve como plantilla para los permisos de todos Cuentas y grupos protegidos.
   
2. El proceso SDProp: Cada 60 minutos (por defecto), un proceso llamado Security Descriptor Propagator (SDProp) se ejecuta en el controlador de dominio con el rol del emulador PDC.
   
3. Reconciliación y corrección: SDProp compara los permisos de las cuentas protegidas (por ejemplo, administradores de dominio o administradores empresariales) con los permisos del objeto AdminSDHolder. Si los permisos no coinciden, SDProp restablece los permisos de las cuentas protegidas para que coincidan exactamente con los de AdminSDHolder nuevamente.

Esto significa: No importa a dónde mueva una cuenta protegida en el directorio, nunca heredará los permisos de su nuevo objeto principal. La herencia está deshabilitada para estas cuentas, lo que aumenta significativamente su seguridad.

Esto adminCountatributo

Cuando un usuario se convierte en miembro de un grupo protegido, el valor de su adminCount-Atributos sobre 1 conjunto. Si más tarde elimina la cuenta del grupo, el atributo permanece en 1. Como resultado, el objeto continúa sin heredar permisos de su objeto principal, incluso si ya no está protegido. Un script puede ayudar a encontrar estos antiguos objetos protegidos y restablecer el atributo.

Estrategias para reducir la superficie de ataque

Para reducir efectivamente la superficie de ataque de Active Directory, definitivamente debe implementar las siguientes medidas:

Modelos administrativos con los derechos más bajos

Utilizado ninguno Cuentas altamente privilegiadas para la gestión diaria. Ejecutó un Modelo de delegación, que otorga al personal de TI solo los permisos que necesita para sus tareas específicas, ya no.

Specopssoft.com describe seis formas comunes de hacer esto:
Control de acceso basado en roles, objetos de directiva de grupo, directivas de contraseña, permisos de usuario, adición de usuarios a grupos apropiados y auditoría e informes.

Hosts administrativos seguros

Gestione su Active Directory solo desde Sistemas de administración dedicados y seguros fuera. Estos Secure Admin Hosts son equipos especialmente reforzados que no se utilizan para correo electrónico, navegación u otras tareas cotidianas. Esto minimiza el riesgo de que keyloggers o malware intercepten credenciales.

En Frankysweb.de encontrarás una bonita guía detallada. Definitivamente vale la pena leer! El artículo de seguimiento «Admin Tiers is worth a click. De lo contrario, esto también es Kit de herramientas de cumplimiento de seguridad de Microsoft útil.

Endurecimiento de los controladores de dominio

Los controladores de dominio son la joya de la corona de su infraestructura de TI. Deben estar extremadamente bien protegidos. Conjuntos específicos Políticas y ajustes para endurecerlos contra los ataques. Esto incluye limitar el acceso físico y lógico, así como el monitoreo consistente.

Al combinar estos controles técnicos, puede reducir significativamente el riesgo para su Active Directory y crear una infraestructura más robusta y segura.

Lo más fácil para el endurecimiento es «mirarlo desde el otro lado». En el artículo de security-insider.de Obtenga información sobre las herramientas que se utilizan para los ataques. También este artículo sobre endurecimiento y mejores prácticas Deberías echar un vistazo. Aquí también, esto es Kit de herramientas de cumplimiento de seguridad de Microsoft clase.

Usando los recursos de Microsoft:

Esta sección trata sobre la implementación de mecanismos de control técnico para reducir la superficie de ataque de una instalación de Active Directory.
En primer lugar, debería La ayuda de Microsoft es una lectura obligatoria!
Todos los ejemplos de mejores prácticas no solo se explican en detalle, sino que también se almacenan en consecuencia con instrucciones paso a paso.

Por lo tanto, esta sección contiene la siguiente información:

• Implementación de modelos de gestión menos privilegiados: Se centra en identificar el riesgo que plantea el uso de cuentas de derechos integrales para la gestión diaria, y hace recomendaciones para la implementación para reducir el riesgo que plantean las cuentas de derechos integrales.
  
• Implementación de hosts administrativos seguros:
  Describe los principios para el despliegue de sistemas administrativos dedicados y seguros, así como algunos ejemplos de despliegue de un host administrativo seguro.
  
• Protección de los controladores de dominio contra ataques:
  Discute políticas y configuraciones que son similares a las recomendaciones para implementar hosts administrativos seguros, pero también incluye algunas recomendaciones específicas del controlador de dominio que ayudan a garantizar que los controladores de dominio y los sistemas utilizados para administrarlos estén bien protegidos.
  
• Monitoreo de Active Directory:
  ¡Un sistema robusto de monitoreo de registros de eventos es una parte esencial de su diseño seguro de Active Directory! Por lo tanto, los compromisos pueden detectarse en una fase temprana si se lleva a cabo un seguimiento adecuado de los registros de sucesos y las alertas. 
  
• Mantenimiento y cuidado así como CIP de su Active Directory:
  Probablemente lo escuches de nuevo, pero aquí, también, la seguridad no es un sprint, siempre es un maratón. Aquellos que han creado un entorno manejable y seguro para los recursos corporativos críticos deben centrarse en garantizar que se mantengan de manera confiable y se mejoren continuamente.
  

Cuentas y grupos privilegiados

Esta sección proporciona información general sobre cuentas y grupos con derechos completos en Active Directory para explicar las similitudes y diferencias entre cuentas y grupos con derechos completos en Active Directory.

Independientemente de si sigue las recomendaciones en Implementación de modelos de gestión menos privilegiados Al comprender estas distinciones, tiene las herramientas necesarias para proteger adecuadamente cada grupo y cuenta.

Información adicional directamente de learn.microsoft.com

Un atributo para el objeto AdminSDHolder, dSHeuristics, permite la personalización limitada (eliminación) de grupos que se consideran grupos protegidos y se ven afectados por AdminSDHolder y SDProp. Este ajuste debe considerarse cuidadosamente cuando se implemente, aunque hay circunstancias válidas en las que los cambios en dSHeuristics son útiles en AdminSDHolder.

Para obtener más información sobre cómo cambiar el atributo dSHeuristics para un objeto AdminSDHolder, consulte los artículos de soporte técnico de Microsoft. 817433 y en Anexo C: Cuentas y grupos protegidos en Active Directory.

Aunque esto describe los grupos con los privilegios más extensos en Active Directory, hay varios otros grupos a los que se les han otorgado niveles de permiso elevados. Para obtener más información sobre todos los grupos predeterminados e integrados en Active Directory y sus derechos de usuario asignados, consulte Anexo B: Cuentas y grupos privilegiados en Active Directory.