[27/05/2021] Active Directory (AD) de Microsoft es una de las tecnologías más utilizadas para la administración de grupos y usuarios dentro de las redes de TI de una organización. Es la interfaz central de gestión para las redes de dominio de Windows y se usa para la autenticación y autorización de todos los usuarios y máquinas. Esto hace que Active Directory sea un objetivo prominente y valioso para los cibercriminales debido a que muchos atacantes pueden usarlo como punto de incursión para implementar malware y aprovechar su funcionalidad para movimientos laterales y escalar privilegios, maximizando los esfuerzos y ganancia de los criminales.
Una vez que un atacante logra controlar el Active Directory, efectivamente tiene las "llaves del reino”, y puede usarlas para acceder a cualquier dispositivo o sistema conectado a esa red. Las acciones maliciosas que se pueden realizar son variadas, desde crear usuarios administrativos nuevos, agregar máquinas nuevas al dominio, instalar ransomware a lo largo de la red hasta poner en riesgo sistemas confidenciales, robar datos confidenciales y mucho más.
La administración de Active Directory puede ser compleja y desafiante para los equipos de TI, y protegerla puede ser igualmente complicado para los profesionales de la seguridad. Además, muchas organizaciones carecen de profesionales de la seguridad con habilidades y experiencia en Active Directory.
Protegerse de estos riesgos nunca ha sido tan importante como lo es hoy, con tantas personas que trabajan de forma remota y a menudo utilizando dispositivos personales para conectarse a los sistemas corporativos y presentando un desafío aún mayor para los equipos de TI.
Los problemas de configuración y comunes de seguridad son los dos riesgos principales de Active Directory en la mayoría de las organizaciones. Un nuevo informe de Tenable aborda los cinco principales errores de configuración:
1. Demasiados usuarios asignados a grupos con privilegios
Uno de los errores más comunes que afectan a AD es cuando los administradores dan a demasiados usuarios acceso a grupos con privilegios. Un ejemplo común es cuando todos los miembros de un departamento empresarial se configuran como miembros del grupo administrador del dominio, independientemente de si ese nivel de privilegio es necesario para que puedan realizar su trabajo. Con los privilegios de administrador de dominio, un usuario puede modificar la configuración en AD, incluyendo la adición y eliminación de usuarios, así como la modificación de los permisos de cuenta. En lugar de esto, los administradores de AD deben seguir el camino del menor privilegio. Es decir, proporcionar a los usuarios sólo el acceso y los privilegios necesarios para realizar su función laboral específica.
2. Cuentas de servicio configuradas como administradores de dominio
Las cuentas de servicio con AD proporcionan la capacidad de iniciar un servicio, autenticar e identificar una cuenta como servicio, iniciar o ejecutar código o una aplicación, o iniciar un proceso. Para muchas organizaciones, las cuentas de servicio son fundamentales para las operaciones y, a menudo, estas cuentas reciben altos privilegios, como el de administrador de dominio, para garantizar que el servicio tenga la capacidad de ejecutarse correctamente. En su lugar, para evitar añadir privilegios innecesarios es mejor crear cuentas de servicio directamente sin copiar una cuenta de servicio ya existente. Considere la posibilidad de definir políticas claras para las cuentas de servicio y garantizar que sólo se proporcionen a la cuenta los privilegios necesarios. Estas cuentas
3. Problemas de política de contraseñas
Las políticas de contraseñas débiles y las contraseñas que no caducan crean un riesgo significativo para una organización. Es importante implementar una política de contraseñas fuerte y obligatoria dentro de la política de dominio por defecto que aplique a todas las cuentas de usuario. Adicionalmente revisar regularmente la higiene de las contraseñas y las cuentas de servicio para algunos de estos problemas comunes de configuración con el fin de retirar las políticas antiguas en favor de las nuevas.
4. Cifrado débil
En las dos décadas transcurridas desde que AD ha estado disponible, los tipos de encriptación soportados han seguido actualizándose a medida que han surgido hardware y software más potentes. Al mismo tiempo, el enfoque de toda la industria en la criptografía débil ha dado lugar a avances en nuestra comprensión de lo que constituye un cifrado fuerte. Es recomendable desactivar el uso de algoritmo LM hash y aplicar políticas de contraseñas fuertes. Además, evitar la reutilización de contraseñas en las cuentas de servicio y realizar un inventario periódico de las cuentas de servicio con el fin de hacer un seguimiento de los usuarios que tienen acceso a estas cuentas. Considere la posibilidad de definir una política sobre cómo y cuándo rotar las contraseñas de sus cuentas de servicio para garantizar que las cuentas se adhieran a las políticas de contraseñas actualizadas de su organización.
5. Cuentas de dominio inactivas
Así como es importante considerar los peligros de tener demasiadas cuentas con demasiados privilegios, es igualmente relevante la gestión de las cuentas inactivas. Auditar regularmente AD para identificar cualquier cuenta inactiva de antiguos empleados o cuentas de servicio no utilizadas es clave. Las organizaciones también deben considerar la posibilidad de definir políticas para eliminar o desactivar las cuentas después de un período de inactividad.
Hoy más que nunca los equipos de TI deben estar preparados y mantenerse alertas, además de implementar las políticas para reducir su exposición y proteger el núcleo de los servicios de la organización.
Las soluciones de gestión de vulnerabilidades basada en riesgo de Tenable permiten a las organizaciones predecir qué vulnerabilidades podría aprovechar un atacante para obtener un punto de apoyo inicial. Recientemente la compañía lanzó Tenable.ad, un abordaje innovador para proteger entornos de Active Directory ver todo, predecir lo que importa y actuar para abordar el riesgo en Active Directory para interrumpir las rutas de ataque antes de que los agresores las exploten. Solicite una demo aquí.
Lea el blog para más información y conocer sobre las soluciones de Tenable
Para mayor información o solicitar una reunión con Tenable en Perú, favor dirigirse a cmoreno@tenable.com