¿Qué es la seguridad de Active Directory?

Active Directory es un servicio de directorio ofrecido por Microsoft Windows para que los administradores configuren permisos y el acceso a una red. Microsoft Windows Active Directory tiene varios componentes, incluidos Active Directory Domain Services, Active Directory Certificate Services y Active Directory Federation Services.

Los administradores de tecnología de la información (TI) confían en estos servicios de Microsoft Active Directory para realizar multitud de procesos diarios, entre los que se incluyen los flujos de trabajo del controlador de dominio. Por ejemplo, cuando un usuario inicia sesión en un dispositivo vinculado a un dominio, el controlador de dominio autentica el nombre de usuario y la contraseña. Si el usuario es administrador del sistema, el controlador de dominio puede otorgar permisos adicionales.

La seguridad de Microsoft Active Directory es importante para las empresas porque el servicio contiene las llaves del castillo: dan acceso a sistemas, aplicaciones y recursos. Las empresas deben ser conscientes de las vulnerabilidades y tomar medidas para reforzar la seguridad de su Active Directory, como usar herramientas de seguridad o seguir las prácticas recomendadas, para mantener sus redes a salvo de ciberataques.

Motivos por los que la seguridad de Active Directory es crucial

El factor principal que hace que la seguridad de Active Directory, o seguridad de AD, sea especialmente importante en la posición de seguridad general de una empresa es que el Active Directory de la organización controla todo el acceso al sistema. Una gestión eficaz de Active Directory permite proteger las credenciales, las aplicaciones y los datos confidenciales de tu empresa contra accesos no autorizados. Es importante contar una seguridad sólida para evitar que usuarios malintencionados accedan a tu red y causen daños.

Riesgos de descuidar la seguridad de AD

Si descuidas las seguridad de Active Directory, corres el riesgo de sufrir los siguientes tipos de ataques y elevación de privilegios:

• Inicialmente, los usuarios malintencionados pueden robar credenciales u obtener acceso usando malware y luego monitorizar tu actividad.
• Luego pueden infiltrarse en otras cuentas y moverse lateralmente por el sistema.
• Tras obtener acceso generalizado a tu red, estos usuarios podrían robar datos o corromper tus sistemas.

Retos de la recuperación de la seguridad de AD

Los mayores desafíos a la hora de recuperarse después de una brecha de seguridad de Active Directory son identificar el origen de la brecha, determinar el alcance del daño y crear un nuevo entorno seguro. Según la Guía completa para la protección de identidades de CrowdStrike, el 90 % de las empresas de la lista Fortune 1000 confían en Microsoft Active Directory (AD), lo que supone una superficie de ataque considerable.

Los ciberdelincuentes a menudo obtienen acceso a una cuenta de usuario, y esto no se detecta hasta que comprometen otro componente del sistema. Cuanto más tiempo pasa un hacker sin ser detectado en el sistema, más daños puede generar. Además, puede ser complicado rastrear todas las áreas que ha logrado vulnerar. Como resultado, la reparación de vulnerabilidades en un sistema existente podría no ser eficaz. Las organizaciones con una infraestructura compleja o antigua sí que pueden mejorar al trasladar las cuentas de usuario y la información de mayor importancia a un sistema nuevo y más pequeño que sí puedan mantener seguro.

Debido a la importancia de la seguridad de Active Directory, las organizaciones deben hacer planes de recuperación ante desastres para estar preparadas para actuar rápidamente en caso de un ataque a dicho sistema. Al monitorizar atentamente los accesos no autorizados y disponer de un plan, tendrán más opciones de detener un ataque antes de que el sistema se corrompa o se vuelva irreparable.

Vulnerabilidades de Active Directory

La mejor forma de monitorizar las vulnerabilidades de tu Active Directory es utilizar un sistema de monitorización de logs de eventos. Según el informe de investigaciones de brechas de datos de 2021 de Verizon, el 84 % de las organizaciones que sufrió una brecha tenía evidencias de ella en sus logs de eventos. Mediante la monitorización de estos logs, las organizaciones pueden detectar cualquier peligro antes de que se produzcan más daños.

Cuando monitorices tus logs de eventos, busca indicios de actividad sospechosa, incluidos los siguientes eventos:

• Actividad de cuentas con privilegios: los ciberdelincuentes normalmente explotan una vulnerabilidad de privilegios e intentan realizar una elevación de privilegios, aumentando los privilegios de una cuenta de usuario comprometida. También es posible que notes actividad fuera del horario laboral en una cuenta de usuario con privilegios, o un aumento repentino en la cantidad de datos a los que accede esa cuenta de usuario.
• Errores de inicio de sesión: los fallos repetidos en el inicio de sesión de una cuenta pueden ser una señal de que un atacante está intentando obtener acceso.
• Inicios de sesión remotos: los usuarios malintencionados a menudo intentan acceder a tu sistema de forma remota. Si detectas un inicio de sesión desde una dirección IP de otro país o de una ubicación no habitual, puede ser un indicio de que tu Active Directory se ha visto comprometido.

Igual que puede haber muchos indicios diferentes de un compromiso de Active Directory, existen muchos tipos de vulnerabilidades. Veamos algunas de las más comunes que los ciberdelincuentes pueden explotar.

Todos los usuarios tienen derechos para agregar estaciones de trabajo al dominio

De forma predeterminada, todos los usuarios del dominio pueden agregar estaciones de trabajo al dominio. El riesgo de esta configuración está en que los usuarios también puedan vincular equipos personales para acceder a tu dominio corporativo. Los equipos personales pueden no estar protegidos con tu antivirus o tu software de detección y respuesta de endpoint. Es posible que los ajustes y las directivas de tu organización no se apliquen a esas estaciones de trabajo personales. Esta configuración de Active Directory también permite a los usuarios disponer de privilegios locales de administrador en sus máquinas. Los privilegios locales de administrador en equipos personales suponen un riesgo de seguridad porque los usuarios pueden realizar acciones que podrían atacar a otros equipos de la red.

Para limitar esta vulnerabilidad, ajusta el atributo ms-DS-MachineAccountQuota para limitar la capacidad de agregar equipos a tu dominio. Puedes delegar los permisos para crear cuentas de equipos a usuarios específicos o a un grupo de usuarios designados por ti.

Hay demasiados usuarios en grupos con privilegios de Active Directory

El riesgo de un compromiso de dominio crece cuando aumenta la cantidad de usuarios en un grupo de seguridad con privilegios, como un grupo de Active Directory de administradores de dominio o de administradores empresariales. Un usuario administrador, o de dominio, tiene el control total del dominio. Dicho administrador normalmente es miembro del grupo de administradores en todos los controladores del dominio, todas las estaciones de trabajo del dominio y todos los servidores miembros del dominio. Debido a que estas cuentas de usuario disfrutan de grandes privilegios de seguridad, tu dominio podría verse comprometido si un atacante roba las credenciales de los usuarios en estos grupos de seguridad.

Para limitar esta vulnerabilidad, revisa periódicamente la configuración y las directivas de la gestión de accesos con privilegios y de la gestión de directivas de grupo. Asegúrate de que los usuarios tienen solo los permisos necesarios para realizar su trabajo. Para que los grupos no crezcan demasiado, agrega usuarios a estos grupos de seguridad con privilegios solo cuando sea fundamental.

La directiva de contraseñas es poco segura

Hay diferentes filosofías sobre cómo lograr el mayor equilibrio entre la seguridad de las contraseñas y la comodidad. Si una organización requiere que los usuarios creen contraseñas complejas y las cambien con frecuencia, los usuarios pueden acabar olvidándolas y recurren a métodos no seguros para guardarlas. Si una organización permite usar contraseñas menos complejas, los hackers pueden acceder al sistema con más facilidad.

Para limitar esta vulnerabilidad, las organizaciones deben establecer una directiva de contraseñas conservadora y asegurarse de que existen otros controles de seguridad en el caso de que una contraseña se vea comprometida. Por ejemplo, si tu administrador de derechos de acceso necesita activar el restablecimiento de contraseña para un usuario de Active Directory, también debe haber controles de seguridad para verificar la identidad de ese usuario.

Mejores herramientas para la seguridad de Active Directory

Puedes usar herramientas de seguridad para proteger la seguridad de Active Directory y realizar una supervisión de Active Directory que compruebe el estado de tu sistema. Las principales ventajas de usar herramientas de seguridad de Active Directory son la comodidad, la automatización y una mayor seguridad. Muchas herramientas de Active Directory tienen una interfaz más práctica para realizar tareas administrativas, pueden automatizar tareas como la limpieza de cuentas en desuso y ayudar a mejorar la seguridad a través de la monitorización y las alertas.

Active Directory es un servicio a gran escala con múltiples aplicaciones, por lo que las herramientas de Active Directory varían en propósito y alcance. Las herramientas disponibles van desde programas gratuitos que monitorizan los indicios básicos de una brecha hasta servicios robustos que ofrecen detección y prevención integral de amenazas. Para comparar las ventajas de las herramientas disponibles de Active Directory, primero tienes que decidir tu presupuesto y luego considerar las características que son más importantes para tu organización. Piensa en los procesos que consumen más tiempo o que implican más riesgos en tu organización, y busca una herramienta que cubra esas necesidades.

Al elegir una herramienta de seguridad de Active Directory adecuada para tu organización, baraja usar una herramienta que tenga algunas de las siguientes características:

• Automatización para la creación de cuentas de usuario y grupos de seguridad
• Análisis de permisos de usuarios
• Análisis de vulnerabilidades, como cuentas en desuso
• Auditoría de Active Directory para ver cambios en los parámetros
• Pruebas gratuitas para comprobar cómo funciona la herramienta en tu organización

También puedes realizar una evaluación de riesgos técnicos que identifique las vulnerabilidades y los puntos débiles de configuración que impidan tener un Active Directory limpio. En función de los resultados, podrás determinar qué áreas de seguridad necesitan más atención e identificar las herramientas que te pueden ser de ayuda.

No olvides que las herramientas integrales de detección de amenazas podrían ser más rentables para tu empresa si te permiten reasignar recursos a otras tareas. Las herramientas de detección de amenazas pueden monitorizar automáticamente actividades sospechosas y reducir la cantidad de tiempo necesario para la resolución de incidentes. Si la herramienta se encarga del trabajo pesado, tu personal podrá centrarse en otras tareas que aporten valor a tu empresa.

Prácticas recomendadas de seguridad en Active Directory

Muchos usuarios maliciosos acceden a tu sistema con credenciales comprometidas. Por eso, es importante seguir las prácticas recomendadas de seguridad en Active Directory para evitar riesgos de seguridad innecesarios. Estas son las prácticas de seguridad recomendadas para reforzar tu Active Directory:

• Ajusta la configuración de seguridad predeterminada para adaptarla a las necesidades de tu organización.
• Usa los procesos de copia de seguridad y recuperación.
• Centraliza la gestión de la seguridad y la creación de informes.

1. Ajusta la configuración de seguridad predeterminada

Algunas configuraciones predeterminadas de Active Directory, como la configuración que permite a todos los usuarios agregar estaciones de trabajo al dominio, conceden privilegios innecesarios a los usuarios de tu organización. Cuando instales Active Directory, revisa la configuración de seguridad y haz cambios para adaptarla a las necesidades de tu organización. También tendrás que revisar todos los permisos de usuario para asegurarte de conceder solo el nivel mínimo de acceso necesario.

Al limitar los permisos, es menos probable que usuarios malintencionados obtengan acceso con privilegios y que los empleados de tu organización abusen de los privilegios. Para ajustar la configuración de seguridad predeterminada, cambia manualmente los valores de los atributos y los permisos, o usa herramientas de Active Directory que te ayuden a configurar estos ajustes.

2. Usa los procesos de copia de seguridad y recuperación

La medida de respaldo más importante para proteger Active Directory es asegurarte de realizar copias de seguridad de tu Active Directory periódicamente, al menos cada 60 días. La vida útil de los objetos marcadores de eliminación en Active Directory es de 60 días. Puedes evitar los errores de caducidad de dichos objetos si dispones de una copia de seguridad de Active Directory con menos de 60 días de antigüedad. También es una práctica recomendada tener más de una copia de seguridad almacenada en diferentes ubicaciones, por si alguna se ve comprometida.

La medida de recuperación más importante para proteger Active Directory es definir un proceso de recuperación ante desastres. Este proceso debe indicar los pasos que tu equipo de seguridad tiene que seguir para recuperarse de una brecha. Ten en cuenta la secuencia de recuperación y las dependencias porque, por ejemplo, es necesario recuperar un controlador de dominio antes de poder recuperar otras máquinas.

3. Centraliza la gestión de la seguridad y la creación de informes

Si centralizan la gestión y la creación de informes, las organizaciones contarán con un equipo específicamente responsable de la seguridad de Active Directory. Estos empleados irán adquiriendo experiencia y podrán responder rápidamente a un ataque. Una herramienta integral de detección de amenazas también permite a tu equipo de seguridad revisar y monitorizar el sistema con un programa que les permita investigar las alertas rápidamente.

Detección de amenazas con CrowdStrike

Reforzar la seguridad de Active Directory es importante para proteger tu empresa de ciberataques. Dado que las tácticas y las herramientas de los usuarios malintencionados cambian con el tiempo, los equipos de TI deben mantenerse al día de las últimas amenazas y monitorizar continuamente cualquier indicio de brecha.

CrowdStrike Falcon® Next-Gen Identity Security te permite detectar en tiempo real amenazas basadas en la identidad empleando inteligencia artificial y análisis de comportamiento para detener ataques modernos como los de ransomware. Con esta herramienta de detección de amenazas, los equipos de TI pueden consultar todos los aspectos de sus cuentas de red, identificar actividades sospechosas y responder rápidamente a las amenazas. CrowdStrike dispone de una prueba gratuita para que puedas ver cómo funcionaría el servicio de seguridad en la nube para tu caso concreto.