19 Consejos inteligentes para asegurar a Active Directory

Active Directory no le deja dormir? Se puede entender fcilmente el motivo. Es quiz el sistema distribuido ms grande y ms importante en su empresa. Junto con la recuperacin de desastres, la seguridad de Active Directory es prioritario en la lista de temas que le quitan el sueo a un administrador. Sin embargo, se puede hacer mucho para mejorar su seguridad de Active Directory y quizs usted ya tom algunas medidas. A continuacin aparece una lista de consejos tiles para que su instalacin de Active Directory sea ms segura. Primero abordo la seguridad administrativa, despus las contraseas y la seguridad de grupo, para terminar con algunos consejos para la seguridad del controlador de dominios. 1. Documente lo que tiene El primer paso es documentar su configuracin de Active Directory No es un trabajo muy emocionante, pero no puede decidir hacia dnde se debe . dirigir si no sabe dnde est ahora. Un buen comienzo es con las estructuras de alto nivel, como la configuracin de bosques o dominios, la estructura de la unidad organizativa (OU), la seguridad del directorio de alto nivel y las relaciones de confianza existentes. Documente la topologa de su sitio enumerando los sitios, las configuraciones de cada sitio, los vnculos del sitio y sus configuraciones, la lista de subredes y sus configuraciones, as como cualquier objeto de conexin creado manualmente y sus configuraciones. Documente sus Objetos de Poltica de Grupo (GPOs) con una herramienta de Poltica de Grupo, como la Consola de Administracin de Poltica de Grupo (GPMC), disponible desde las descargas de Microsoft (En Ingls) e incluida en Windows Server 2003 R2. La documentacin que elabore debe incluir las polticas de contrasea y auditora, sin olvidar anotar a qu estn vinculados los GPOs y quin tiene derechos sobre ellos. Asegrese de tener una lista de todos los cambios que ha hecho al esquema de Active Directory de preferencia en la forma de un archivo de Formato de Intercambio de Directorio Ligero (LDIF). Hay una secuencia de comandos , GPMC incluida en la descarga para ayudarle a empezar, localizada en el directorio %programfiles%\gpmc\scripts, llamada GetReportsForAllGPOs.wsf. Cuando elabore esto, tambin enumere sus controladores de dominio y sus nombres, sus versiones de sistema operativo y el software para explorar virus y sus versiones. Registre los mtodos de respaldo que utiliza y con qu frecuencia se ejecutan, adems de cunto tiempo guarda los respaldos. Si utiliza respaldos en discos, registre dnde guarda de manera segura los archivos respaldados. Si emplea Windows DNS, utilice DNSCMD y DNSLINT para documentar su configuracin. Anote si est integrado con Active Directory, si utiliza divisiones de las aplicaciones y cmo estn configuradas. 2. Controle su administracin La seguridad de Active Directory empieza en la parte superior; su modelo de administracin. Controlar su administracin es la accin fundamental para asegurar su bosque y quiz tambin es la ms difcil. Todos desean tener una parte de Active Directory, pero un modelo de bosque bien asegurado no lo puede permitir. Si la instalacin de su empresa es similar a la mayora, su diseo lgico de Active Directory ya est establecido, por lo que debe trabajar dentro de sus restricciones. De lo contrario, tiene la oportunidad de crear Active Directory desde el principio. El bosque es la nica frontera de seguridad real dentro de Active Directory. Los dominios se deben utilizar para facilitar la infraestructura de soporte informtico y rplica de su empresa, mientras que las unidades organizativas se deben usar para delegar la administracin dentro de un dominio. Si tiene restricciones de seguridad estrictas entre dos partes de su compaa, considere implementar otro bosque. Consulte "Consideraciones de bosques mltiples en Windows 2000 y Windows Server 2003" (En Ingls) para algunas recomendaciones. Si es necesario, agregue un bosque confiable con filtro de seguridad para comunicarse con su primer bosque (consulte "Planear e implementar bosques federados en Windows Server 2003" (En Ingls) para obtener ms informacin). Si sus dominios ya estn administrados por diferentes grupos, observe que el acceso administrativo a cualquier controlador de dominio en el bosque puede poner en peligro a todo el bosque. Como resultado, debe trabajar de cerca con los equipos administrativos de los otros dominios para asegurar que tengan un modelo uniforme de administracin de controlador de dominios en todo el bosque. Para conocer ms detalles sobre este tema, lea "Consideraciones de diseo para delegar la administracin en Active Directory" (En Ingls). 3. Limite el nmero de administradores Dentro de su bosque, debe hacer todo lo posible para limitar el nmero de administradores. Aunque el modelo de seguridad de Active Directory es mucho mejor que el de Windows NT 4.0, an tiene un punto dbil: usted no puede administrar totalmente un controlador de dominios sin ser un administrador del dominio. Esto significa que en una implementacin bsica de Active Directory, los operadores de PC en ubicaciones que contienen controladores de dominio, usualmente son miembros de la Administracin del dominio y pueden realizar todas las funciones de mantenimiento en estos servidores. No haga esto! Ha entregado las claves de su bosque de Active Directory a un grupo de empleados potencialmente grande con antecedentes y calificaciones de seguridad desconocidos. En lugar de esto siga la prctica, avalada por el tiempo, de establecer primero los requisitos y despus crear una solucin basada en dichos requisitos. Renase con la gerencia de operaciones para definir exactamente qu tareas necesitan realizar en los controladores de dominio. Despus disee una solucin mediante una combinacin de Polticas de Grupo y herramientas de terceros para otorgarles tantos derechos como sea posible, sin ascenderlos a Administradores de dominio. Finalmente, su equipo de administracin debe asumir las tareas que no puede delegar con seguridad al rea de operaciones. sta es una cuestin muy delicada, pues usted retira responsabilidades al rea de operaciones, pero adquiere el gran compromiso de la seguridad de la informacin. 4. Pruebe las configuraciones de las Polticas de grupo sta es una buena oportunidad para comentar algo sobre la Poltica de grupo. Es la herramienta nica ms poderosa para controlar la seguridad de su bosque. Precisamente por su potencia, se debe asegurar de probar estas configuraciones en un ambiente controlado antes de implementarlas. Puede usar un ambiente de prueba de fondo duplicado, ya sea fsico o virtual (con un software de virtualizacin, como Virtual Server 2006). Asimismo, puede aplicar estas polticas en etapas, vinculando primero los nuevos GPOs ms seguros a las unidades organizativas individuales, despus al dominio completo. 5. Utilice cuentas administrativas separadas Una vez que reduzca el nmero de administradores, asegrese de que todos los empleados que realizan operaciones con privilegios elevados utilicen cuentas administrativas separadas. Estas cuentas deben tener una convencin de nombre distinta a las cuentas estndar y residir en su propia unidad organizativa para que les aplique GPOs nicos. Puede agrupar estas cuentas por los roles que realizan y asignar derechos a estos grupos, en vez de a individuos. Por ejemplo, los miembros del departamento de soporte tcnico responsables de administrar las cuentas deben tener sus cuentas administrativas en un grupo llamado "Administradores de cuentas" y este grupo se debe agregar al grupo integrado de Operadores de cuentas. 6. Restrinja los grupos integrados elevados

1 de 3

administrativas en un grupo llamado "Administradores de cuentas" y este grupo se debe agregar al grupo integrado de Operadores de cuentas. 6. Restrinja los grupos integrados elevados Si su modelo de seguridad sigue las recomendaciones antes citadas, es relativamente fcil colocar a todos los grupos integrados elevados dentro de la funcin Grupos Restringidos de las Polticas de grupo. Con esto se asegura que la membresa al grupo se refuerce cada cinco minutos, limitando la opcin de que un administrador inconforme pueda insertar su cuenta. Utilice Grupos Restringidos para mantener vacos ciertos grupos, como Administradores de esquemas, y limitar a una cifra pequea a los Administradores empresariales. 7. Utilice un Terminal Server for Administration dedicado Los administradores de servicio (responsables de ejecutar los servicios esenciales de Active Directory, tales como controladores de dominio, sitios y el esquema) deben realizar todas sus tareas desde puntos de administracin del Terminal Server (TSAPs) dedicados y no desde sus escritorios. sta es una prctica mucho ms segura, que minimiza cualquier filtrado del malware del escritorio, simplifica el hecho de trabajar con una cuenta administrativa separada y aporta un punto de administracin personalizado y cerrado. Mantenga estos TSAPs en sus propias unidades organizativas y utilice los GPOs para evitar el acceso a Internet, restringir el inicio de sesin local slo a cuentas administrativas, aumentar los procesos de auditora e instalar un protector de pantalla protegido por contrasea. Si actualiza su TSAP a Windows Server 2003 entonces que sus herramientas de administracin de Active Directory van a registrar y codificar el trfico del Protocolo de acceso a directorio ligero (LDAP) entre ste y sus controladores de dominio de Windows Server 2003. 8. Deshabilite al invitado y renombre al administrador Las medidas bsicas de seguridad para las cuentas consisten en deshabilitar la cuenta del invitado y renombrar la cuenta del administrador. Probablemente ya efectu esto. De cualquier manera, no olvide retirar tambin la descripcin predeterminada de dichas cuentas, pues personas malintencionadas la pueden buscar con facilidad. La mayora de los ataques a programas usan el Identificador de seguridad de la cuenta (SID) que es bien conocido en vez de su nombre, por lo que renombrar al Administrador es realmente limitado. Sin embargo, demuestra que usted aplica la debida diligencia para auditoras de seguridad. La poltica de renombrar tambin puede servir para crear una cuenta de Administrador como trampa para agresores. sta es una cuenta llamada Administrador (despus de renombrar la cuenta actual) que tiene permitido un alto nivel de auditora. Si alguien trata de iniciar sesin en esta cuenta adivinando la contrasea, el intento se registrar. Si hay una funcin para supervisar el registro del evento, tambin puede desencadenar una alerta. 9. Limite el acceso a la cuenta del administrador Debe limitar severamente el nmero de personas que tienen acceso a su actual cuenta de Administrador y contrasea. Para el nivel ms alto de seguridad, considere la opcin de contrasea nuclear: dos (o ms) administradores generan dos (o ms) contraseas seguras, aleatorias, de ocho dgitos diferentes entre s; despus cada administrador ingresa su contrasea en el campo de contraseas. (Para un buen generador de contraseas, consulte www.winguides.com/security/password.php) (En Ingls). La cuenta ahora tiene una contrasea de 16 dgitos o ms, y requiere por lo menos dos administradores para iniciar sesin, un solo administrador no lo puede hacer. 10. Vigile la contrasea DSRM Una contrasea que a menudo se descuida, pero es muy importante, es la contrasea de Modo de restauracin del servicio de directorio (DSRM) en los controladores de dominios. La contrasea DSRM, nica para cada DC, se utiliza para iniciar sesin en un DC que se ha reiniciado en el modo DSRM para tomar su copia de Active Directory fuera de lnea. Usted debe actualizar la contrasea de DSRM regularmente, pues con esta contrasea un operador local puede copiar la NTDS.DIT (la base de datos de Active Directory) del servidor y reiniciar antes de que alguien lo note. Cuando se inici Windows 2000, la nica forma de cambiar la contrasea era iniciar sesin y modificarla manualmente, algo imprctico si tiene ms de dos DCs. Windows 2000 Service Pack 2 introdujo el comando SETPWD (ver el artculo de la Base del conocimiento "Configurar su asistente de servidor establece una contrasea de modo de recuperacin en blanco") para actualizar remotamente la contrasea DSRM. El comando NTDSUTIL en Windows 2003 tiene la capacidad de cambiarla de manera remota (consulte "Cmo reconfigurar la contrasea de la cuenta de administrador en modo de restauracin de los servicios de directorio en Windows Server 2003"). Elabore una secuencia de comandos para ejecutar esta operacin contra sus DCs y ejectela regularmente. 11. Refuerce las reglas de contraseas seguras Hoy en da todos conocen los beneficios de las contraseas seguras, pero quiz es demasiado esperar que sus usuarios las utilicen de forma voluntaria. Para lograrlo, realmente debe reforzar las reglas de contraseas seguras en su dominio (consulte "Habilitar la funcionalidad de contraseas seguras en Windows 2000"). Puede ayudar a sus usuarios sugiriendo ciertas estrategias de contrasea, como el uso de una frase en vez de combinaciones confusas de palabra/nmero/carcter. 12. Proteja la contrasea de la cuenta de servicio Como sabe, las cuentas de servicio son otro asunto delicado. La naturaleza de las cuentas de servicio, usadas en los servidores de aplicaciones para dar servicio a una aplicacin, dificulta el cambio de una contrasea de bajo impacto y por ello usualmente la contrasea se establece para que nunca expire. Debido a que la cuenta controla un servicio importante (a menudo en muchos servidores), arriesgar la contrasea de la cuenta de servicio es algo que no desea. Aunque puede ser complicado resolver el problema de cambiar la contrasea, puede hacer algunas cosas para mitigar el riesgo de ataques o cambios accidentales. Otorgue a las cuentas una convencin de nombre que las identifique como cuentas de servicio y sugiera para qu se usarn. Coloque todas estas cuentas en un grupo con un nombre similar a "Cuentas de Servicio" y establezca una poltica en sus servidores de aplicaciones para que rechacen la poltica de "Iniciar sesin localmente", pero acepten "Iniciar sesin como un servicio". Mantngalas en su propia unidad organizativa para que pueda aplicar GPOs nicos para sus requisitos. 13. Confirme que cada controlador de dominio est fsicamente seguro Los controladores de dominio conforman el aspecto fsico de Active Directory. Distribuidos a travs de toda su empresa, cada controlador de dominio tiene su propia copia de la base de datos NTDS.DIT de Active Directory. Esto significa que una accin fundamental de seguridad es confirmar que cada controlador de dominio est fsicamente seguro. Si uno de ellos es sustrado, el ladrn tendr acceso fsico al rbol de informacin del directorio (DIT) y podr ejecutar programas de intrusin contra l para obtener nombres de usuario y contraseas. Por lo tanto, debe tener configurado un plan de reaccin para cambiar todas las contraseas en un dominio en caso de que uno de sus controladores de dominio sea robado. Una funcin propuesta para la prxima versin de Windows Server (con nombre de cdigo "Longhorn") tiene como objeto mitigar radicalmente el riesgo de este escenario con el controlador de dominios de slo lectura (RODC), un controlador de dominio cuyo DIT no contiene contraseas de usuario. Los

2 de 3

Una funcin propuesta para la prxima versin de Windows Server (con nombre de cdigo "Longhorn") tiene como objeto mitigar radicalmente el riesgo de este escenario con el controlador de dominios de slo lectura (RODC), un controlador de dominio cuyo DIT no contiene contraseas de usuario. Los usuarios inician sesin a travs de una remisin de Kerberos desde un controlador de dominio completo; usted puede configurar el RODC para poner en cach las contraseas de los usuarios que lo usan para autenticacin. En un escenario de sucursales, slo los usuarios de la sucursal tendrn sus contraseas de cach en el RODC, de forma que si est en riesgo stas sern las nicas contraseas que se deben cambiar de inmediato. La configuracin en cach del RODC es muy flexible; tambin incluye una forma para determinar quin tena su contrasea en cach dentro de ste. Sin embargo, como todos los anlisis sobre software de preliberacin, esto est sujeto a cambio. 14. Minimice los servicios innecesarios y abra puertos El Asistente de configuracin de seguridad de Windows Server 2003 SP1 puede consolidar rpidamente sus controladores de dominio en este aspecto al guiarlo con un asistente para cerrar esto. Un ataque del que se debe cuidar, llamado negacin de servicio de clasificaciones, consiste en llenar el espacio en disco disponible en un controlador de dominio. Existen dos formas para ejecutar este ataque. La primera es tratar de saturar Active Directory con objetos. Debido a que Active Directory es altamente escalable, es poco probable que se pare totalmente en este escenario, pero al saturar a Active Directory con objetos se aumenta el tamao de la base de datos hasta que llena la divisin del disco. Adems de confirmar que el DIT est en una divisin con mucho espacio libre, considere implementar cuotas de directorio a travs de la DIVISIN DSMOD o la CUOTA DSMOD. Esto evita que alguien agregue demasiados objetos al directorio y mantiene la seguridad esencial. Otro ataque de negacin de servicio consiste en saturar la carpeta SYSVOL con archivos, causando que se llene la divisin de arranque y se pare totalmente el controlador de dominio. Usted no puede usar un sistema de cuota en este caso, pero puede crear archivos de reserva sencillo para tomar el espacio libre en disco existente. Si encuentra esta situacin de llenado en el disco, simplemente borre los archivos de reserva, uno a la vez, para mantener el espacio libre en disco hasta que solucione la causa desde la raz. Puede crear fcilmente archivos de reserva con el comando FSUTIL FILE CREATENEW. 16. Audite los eventos importantes Usted debe habilitar la auditora en un GPO al nivel de dominio, sin anulacin, para asegurar que cada sistema en su dominio pueda rastrear los eventos importantes. Debe auditar las fallas la iniciar sesin, la administracin de cuentas exitosas y fallidas, el acceso a objetos y los cambios de polticas. Utilice el mismo GPO para mejorar el tamao del registro de seguridad, pues con el aumento de auditora ser necesario. 17. Utilice IPsec Muchas empresas han diferido la implementacin de IPsec debido a las complejas reglas que deben construir, pero es bastante fcil instalarlo slo para la comunicacin entre controladores de dominio. En cuanto a las comunicaciones de los controladores de dominio a los clientes, hay varias opciones a considerar. Por predeterminacin, los controladores de dominio de Windows Server 2003 tienen habilitado el registro de SMB, lo cual significa que ellos registran todas sus comunicaciones con el cliente para evitar imitaciones. Su poltica se enumera como "Servidor de red de Microsoft: registrar digitalmente las comunicaciones (siempre)". Est consciente de este cambio al actualizar y no lo deshabilite si no es necesario. 18. No almacene Valores hash del administrador LAN Si es posible, trate de eliminar los hash de contrasea de LM (Administrador LAN); muchos crackers de contraseas atacan el hash de LM dbil y despus deducen el hash de NTLM ms fuerte. La poltica que necesita es "No almacenar un Valor hash de Administrador LAN en el siguiente cambio de contrasea". Tambin considere habilitar "Enviar slo la respuesta NTLM v2, rechazar LM y NTLM". La mayora de los clientes de bajo nivel se pueden configurar para utilizar NTLMv2. Quiz esto sera imposible en implementaciones de Active Directory en ambientes de fbrica u otras instalaciones que utilizan Windows incrustado. Pruebe estas configuraciones con cuidado, pues pueden invalidar a los clientes de bajo nivel. Es importante recordar que estos clientes no slo incluyen Windows NT 4.0 y Windows Me, sino tambin otros clientes de red habilitados por Server Message Block (SMB), como dispositivos de almacenamiento unidos a la red (NAS), clientes UNIX que ejecutan SAMBA o dispositivos incrustados de Windows, como controladores de estaciones de fbricas. El artculo de la Knowledge Base "Incompatibilidades de cliente, servicio y programa que pueden ocurrir cuando modifica las configuraciones de seguridad y las asignaciones de derechos de usuario" enumera los consejos para la mayora de las configuraciones de seguridad y derechos de usuario de un controlador de dominio. 19. No olvide sus prcticas de negocios Maneje las emergencias y documente los procedimientos para afrontar situaciones como contraseas en peligro, ataques generales a Active Directory y recuperacin de desastres de Active Directory. Microsoft ya realiz mucho de este trabajo para usted en la "Gua de mejores prcticas para asegurar las instalaciones de Active Directory" (En Ingls) y "Mejores prcticas: Recuperacin del bosque de Active Directory" (En Ingls). La informacin pre-liberada en este artculo est sujeta a cambio. Sean Deuby es ingeniero de diseo con Intel Corporation, donde es miembro senior del equipo de servicios de identidad y directorio. Es autor de muchos artculos y presentaciones sobre Active Directory y Windows Server; ste es su tercer ao como MVP de Servicios de directorio con Microsoft.

3 de 3