Utilizar diferentes Software y herramientas tecnologías que requieren un usuario y contraseña para acceder es el común del día a día, con el objetivo de hacer más eficaz y eficiente las operaciones logísticas y bajo la vanguardia de las tendencias del siglo XXI, en estos procesos se hace necesario conocer de funcionalidades que existen y que pueden ayudar a centralizar el acceso a cada una de las aplicaciones que utilizan en sus compañías en el desarrollo de este artículo se describirán los aspectos más importantes de su funcionamiento, aspectos que se deben de tener en cuenta, para salvaguardar uno de los factores más importantes en las compañías y a nivel general que es la Seguridad de la Información.
Qué es Active Directory
Active Directory o también llamado AD o Directorio Activo es un servicio de directorio para su uso en un entorno Windows Server. Se trata de una estructura de base de datos distribuida y jerárquica que comparte información de infraestructura para localizar, proteger, administrar y organizar los recursos del equipo y de la red, como archivos, usuarios, grupos, periféricos y dispositivos de red. Imagina esa caja donde guardas todas las llaves físicas de cada puerta de las oficinas del edificio. AD es igual, pero para cada ordenador o servidor, aplicación de software o servicio que ejecutas en su red entera. Debes mantener esa caja física de llaves protegida y probablemente necesitas más seguridad para proteger a AD de ciberataques.
Los sistemas de directorio activo son la piedra angular de todas las redes corporativas, tanto si están en la propia infraestructura de la organización como si se encuentran alojadas en algún servicio de terceros. En este sentido, su vulneración puede dar lugar a que un atacante pueda moverse con total libertad por la Infraestructura IT, extrayendo información valiosa de los distintos repositorios corporativos, sin levantar mayores sospechas. Por ello, y aunque son las empresas con mayor volumen de usuarios, y, por tanto, con infraestructuras más grandes de AD, los principales objetivos de los atacantes, la realidad y el creciente número de ataques obliga a que ninguna compañía descuide su seguridad, entre ellas las empresas de transporte.
¿Por qué es crítica la seguridad de Active Directory?
Porque el Directorio Activo es fundamental en todos los pasos de la cadena de ciberataques. Para perpetuar un ataque, sus responsables necesitan robar credenciales o comprometer una cuenta con malware, y luego escalar los privilegios para tener acceso a todos los recursos que necesitan. Si no se dispone de los controles de seguridad y auditoría adecuados, los atacantes podrían ocultar y robar los datos que quisieran, y es posible que esto nunca se sepa.
Riesgos de seguridad comunes de Active Directory
Active Directory existe desde Windows 2000, y eso es tiempo suficiente para que los atacantes hayan descubierto muchas formas diferentes de explotar las vulnerabilidades en el sistema y alrededor de él, incluyendo a las personas que lo utilizan.
Vulnerabilidades de seguridad comunes de Active Directory
- En la actualidad, AD utiliza la autenticación Kerberos, que a su vez tiene varias vulnerabilidades.
- AD solía usar y todavía soporta la encriptación NTLM, que es muy débil en los estándares de hoy en día.
- Los atacantes pueden usar un ataque de fuerza bruta para entrar en el Directorio Activo.
- El phishing y el malware son métodos muy comunes para robar las credenciales de los usuarios.
Amenazas de seguridad de Active Directory relacionadas con el usuario
- El phishing también entra en esta categoría, porque no siempre ataca directamente a la AD, sino que se aprovecha del deseo del humano de hacer clic en un enlace.
- La ingeniería social es phishing, pero más en persona, como cuando alguien te llama y te dice que es del departamento de TI y que tienes que iniciar sesión con tu usuario y contraseña. Sin embargo, no son de TI, y simplemente te roban las credenciales.
- Un elemento de la ingeniería social es el ‘spear phishing ‘. Consiste en hacerse pasar por un funcionario de alto rango de una empresa para engañar a otros con el fin de robar dinero o datos.
Mejores prácticas de seguridad de Active Directory
Para contrarrestar las numerosas vulnerabilidades y ataques que se utilizan para entrar en AD, los expertos en seguridad han desarrollado un conjunto de mejores prácticas para asegurar el directorio activo.
Documentar el Directorio Activo
Para mantener un AD limpio y seguro, debes saber todo sobre ese Active Directory. Eso incluye nomenclatura de documentos y políticas de seguridad clave, además de cada usuario, cuenta de servicio, ordenador y grupo de acceso…
- Identifica todos los ordenadores, usuarios, dominios y nomenclatura OU.
- Describe tu jerarquía OU, la configuración del DNS, la numeración de red y la configuración del DHCP.
- Enumera las principales funciones de tus GPO y el proceso de organización.
- Toma nota de las ubicaciones de las funciones de los Roles de AD (FSMO).
- Identifica la política de la organización al agregar nuevas cuentas de usuario o al revocar cuentas de usuario.
- Describe la política de la organización para las restricciones de usuario.
Una vez que tengas el resto de tu stack de seguridad reforzada, el eslabón débil serán las propias personas. Harán clic en un enlace de phishing o se dejarán engañar por una estafa de phishing de ballenas o de ingeniería social (esto va a suceder). Es vital que prepares y entrenes a tus usuarios para que reconozcan estas amenazas y que tengan la capacidad de notificar al equipo de soporte o seguridad si sospechan que un atacante ha puesto en peligro su cuenta.
A continuación, se presentan algunos otros aspectos básicos para aplicar con tus usuarios:
- Aplicar una buena política de contraseñas.
- Entrena a los usuarios para que reconozcan los ataques de phishing.
- Evita que los usuarios realicen cambios administrativos en su portátil que puedan comprometer su seguridad.
- Proporciona a los administradores de sistemas dos cuentas. Una será para el uso normal y la otra, una cuenta de administrador para realizar cambios.
- Limita las cuentas administrativas a los sistemas asignados, con redundancias en su lugar, por supuesto. No quieres una sola cuenta de Administrador que pueda abrir todas las ‘puertas’.
Controlador de Dominio Seguro
Puedes configurar tu red para permitir el acceso a los DCs sólo desde un ordenador reforzado y seguro sin acceso a Internet. Al agregar esta capa de seguridad, tu DC estará más seguro ante intrusiones externas o ataques de escalada de privilegios desde el interior de tu red.
Modelo de Menor Privilegio
Cada usuario sólo tiene acceso a los recursos que necesita para hacer su trabajo, incluyendo administradores y cuentas de servicio. Si alguna cuenta se ve comprometida, el uso del modelo de privilegios mínimos minimizará el riesgo general de exposición al robo de datos.
Supervisa el Directorio Activo para detectar cualquier compromiso
Por último, y lo más importante, monitorizar el Directorio Activo. Debes conocer cada cambio, cada solicitud de ingreso y cada cambio de GPO que ocurra en tus centros de distribución. Esa es una enorme cantidad de datos y requerirá automatización para analizarlos.
Por ejemplo, un usuario que se conecta después del horario laboral no es necesariamente tan interesante. Sin embargo, otro que se conecta después del horario laboral desde un país diferente y luego accede a datos sensibles de tarjetas de crédito sí lo es.
Elaborado por: Ing. Héctor Jaimes Y Ing. Maribel Garcia
Referencia: https://www.cloudcenterandalucia.es/blog/active-directory-guia-buenas-practicas-seguridad/
Fuente: Grupo OET
Imagen: Grupo OET
Add Comment