Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo asegurar a Active Directory

[07/10/2017] Active Directory administra el acceso a casi todos los componentes de la infraestructura de TI -desde el acceso del usuario, datos corporativos, y aplicaciones hasta computadoras, almacenamiento, y la red. Por ello, esta aplicación clave de Microsoft necesita ser asegurada. A continuación, algunas maneras en las que las organizaciones de TI pueden mantener seguras las credenciales privilegiadas en Active Directory.

Bajo ataque

Un reporte que fue lanzado por Microsoft recientemente muestra que la suite de antivirus en Windows 10 detectó un aumento de 400% en el número de encuentros con ransomware desde diciembre del 2015 hasta julio del 2016. Estas vulnerabilidades generan oportunidades a los hackers para acceder a una de las aplicaciones más importantes de una organización, Microsoft Active Directory. Si se irrumpe en ésta, su radio de explosión puede ser devastador.

Active Directory administra el acceso a casi todos los componentes de la infraestructura de TI -desde el acceso del usuario, datos corporativos, y aplicaciones hasta computadoras, almacenamiento, y la red. Se reporta que el 75% de todas las intrusiones involucraron la pérdida o robo de credenciales privilegiadas. Los atacantes pueden utilizar un acceso administrativo robado por semanas sin ser detectados, resultando en costos por intrusiones valorizados en millones. Rusell Rice, director de gestión de producto en Skyport Systems, proporciona algunas maneras en las que las organizaciones de TI pueden mantener seguras las credenciales privilegiadas en Active Directory.

Asuma una intrusión

Los estudios encuentran que del 2% al 7% de las estaciones de trabajo en una organización tiene malware en algún momento. Necesita asumir que está infectado y que los anfitriones en su red pueden atacar directamente a Active Directory, sin tener que pasar por las defensas de su red. Empiece por una posición de "cero confianza, y aplique controles alrededor de AD que no asuman que la red o los sistemas vecinos están seguros.

Solo apruebe a unos pocos administradores

Active Directory es una de las aplicaciones más importantes dentro de una organización. Solo un número pequeño de usuarios debería tener la capacidad de realizar cambios a nivel de dominio. Mientras menor sea la cantidad de administradores, menor será la cantidad de sistemas que necesitará encerrar y serán menos los usuarios que necesitarán ser monitoreados.

Administradores separados vs usuarios de cuentas

Los administradores de sistemas deberían usar una cuenta de usuario separada para las actividades del día a día, y solo utilizar una cuenta privilegiada para la administración de AD. Esto limita bastante el riesgo de que las credenciales de administrador vayan a ser expuestas en sistemas inseguros.

Dar aprobación a las estaciones de trabajo de administración

No permita que todo anfitrión dentro y fuera de su ambiente tenga los derechos de administrar a AD. Construya y mantenga una lista de aprobación para administradores de estaciones de trabajo, y solo permítales a los miembros de esta lista utilizar puertos de administrador y protocolos para hablar con los controladores del dominio.

Use autentificación fuerte

Las contraseñas en estos días simplemente son muy fáciles de burlar. Los atacantes son sofisticados y tienen acceso a varias herramientas para descifrar contraseñas. Use autentificación de factores múltiples para el acceso administrativo en lugar de contraseñas reusables para mantener a las cuentas más seguras.

Use un SAW

Active Directory es tan seguro como su ambiente administrativo. Las organizaciones deben proteger las estaciones de trabajo administrativas para evitar el robo de credenciales y su mal uso, así como para asegurar que están libres de malware. Los administradores de AD pueden utilizar Secure Administrative Workstations (SAW) virtuales o físicas que están encerradas y libres de infección.

Bloquee el acceso a Internet (para los administradores)

Las estaciones de trabajo de los administradores deberían ser capaces de hablarle a sistemas confiables dentro y fuera de la red. Los controladores de dominio deberían ser encerrados de manera aún más estricta, probablemente con ningún acceso a Internet en lo absoluto.

Protéjase de las herramientas de ataque contra AD

Hoy en día existen muchas herramientas personalizadas que están diseñadas para introducirse en AD y robar o burlar las credenciales de administrador. Muchas están disponibles libremente en GitHub. Cerciórese de estar informado sobre lo que pueden hacer estas herramientas e implemente medidas para detectar y prevenir que éstas causen daño.

Restaure desde un estado limpio

En el caso de ser afectado, necesita tener la confianza de saber que puede reiniciar los controladores de dominio rápidamente y desde una versión que se encuentra libre de malware. Para los sistemas en lugares remotos que carecen de protectores de seguridad física fuertes, asegúrese de poder verificar que el hardware tampoco se encuentra en riesgo.

Construya una reserva de administrador aislada

Las cuentas y sistemas clave que son responsables de manejar los ambientes de producción de Active Directory son el blanco principal de los hackers. Separe a los sistemas y a las personas responsables de cualquier cambio en la infraestructura de Active Directory del resto del ambiente de producción para asegurar que estos sistemas y credenciales privilegiadas sean protegidos y mantenidos a salvo.