Cyber Horizons

Proteger su Directorio Activo: desafíos y soluciones

Publicado el 28 abril 2023
El Directorio Activo es el centro neurálgico de su sistema de información. Por tanto, es un objetivo prioritario para los ciberatacantes. Según Microsoft Digital Report, 20% de las cuentas de usuario son objeto de tentativas de ataque a diario... Y estos ataques pueden tener un efecto dominó: cuando Active Directory se ve comprometido, toda la seguridad del SI puede tambalearse. He aquí por qué es crucial proteger su Active Directory sin demora.

¿Qué es un Directorio Activo?

Definición de Directorio Activo

Un Directorio Activo es un componente central de la mayoría de los sistemas de información modernos. Es un servicio de directorio diseñado por Microsoft a finales de los 90 que se utiliza, por ejemplo, para crear y gestionar accesos privilegiados e identidades de usuario.

Un Directorio Activo puede almacenar recursos como:

  • Impresoras;
  • Servidores;
  • Usuarios;
  • Puestos de trabajo.

El Directorio Activo también dispone de funcionalidades conocidas como GPOs (u «Objetos de Política de Grupo«) que se utilizan para centralizar la gestión de las configuraciones de todos los puestos de trabajo del parque informático.

Por ejemplo, los GPO pueden utilizarse para restringir el acceso a los recursos sensibles únicamente a los usuarios acreditados, o para forzar la activación de configuraciones seguras en toda la red.

¿Qué contiene?

El Directorio Activo está estructurado en 3 niveles:

  • Dominios;
  • Bosques;
  • Árboles.

Varios dominios pueden combinarse en un árbol, y varios árboles pueden combinarse en un bosque.

Los controladores de dominio (DC) se encargan de organizar y asegurar todos estos recursos: cada vez que se crea un nuevo dominio, el servidor desde el que se hace se convierte en el «controlador de dominio».

Otros servidores pueden añadirse como «controladores de dominio» para gestionar las solicitudes de autenticación. Sin embargo, es posible segmentar las funciones de un DC para, por ejemplo, delegar la autenticación o el DNS en otro servidor.

Pero cuantos más dominios haya, más difícil será protegerlos, y mayores serán los riesgos de ciberseguridad.

¿Para qué sirve Directorio Activo?

Un Directorio Activo es un servicio que garantiza la interoperabilidad entre diferentes sistemas centralizando la autenticación de los usuarios y la gestión de los derechos de acceso a los recursos.

También permite distribuir elementos de configuración y seguridad a todos los puestos de trabajo y servidores gestionados a través del Directorio Activo. Por tanto, favorece, entre otras cosas, la colaboración entre usuarios.

¿Cuáles son las diferentes vulnerabilidades de un Directorio Activo?

#1 Mala gestión del Directorio Activo

Cuando la política de contraseñas de los usuarios no es eficaz, con contraseñas débiles – ¡o incluso ninguna! – la puerta está abierta a todo tipo de intrusiones…

Lo mismo ocurre cuando se permite un inicio de sesión de administrador en la misma estación de trabajo, con todos los privilegios asociados: si un usuario utiliza una cuenta de administrador para navegar por Internet o abrir archivos sospechosos, podría infectar involuntariamente todo el sistema de información con un virus o malware. Por lo tanto, es esencial limitar dicho acceso a las tareas que lo requieran.

Los objetos como ordenadores, grupos y usuarios también deben estar bien organizados dentro del directorio: si la organización está mal diseñada, se pueden conceder permisos por error o aplicar mal las políticas de seguridad.

#2 Sistemas obsoletos

El uso de sistemas obsoletos aumenta considerablemente la superficie de ataque para los hackers. Los servidores Windows 2003, por ejemplo, no reciben soporte de Microsoft desde hace más de 5 años. Por tanto, ya no se benefician de actualizaciones de seguridad periódicas.

#3 Adhesiones entre varios servicios que favorecen la escalada de privilegios

Servicios como la nómina, el correo electrónico y los servidores web suelen estar vinculados entre sí. Esto crea caminos peligrosos, que permiten a los hackers moverse lateralmente – a menudo facilitado por la reutilización de contraseñas entre diferentes sistemas de información – dentro del SI y obtener mayores privilegios.

Por ejemplo, un atacante puede explotar una vulnerabilidad y acceder a información sensible del correo electrónico: con estos datos, puede acceder a otros servicios y paralizarlos a cambio de un rescate.

#4 Supervisión deficiente de Directorio Activo

Uno de los principales retos de la supervisión del Directorio Activo es la gestión de los registros de eventos en Windows. Los registros de eventos contienen información valiosa sobre las actividades de la organización: si se gestionan mal, o no se supervisan y procesan, es posible que los riesgos potenciales no se vean o no se anticipen.

Brecha de seguridad en el Directorio Activo: ¿Cuáles son las consecuencias para la SI?

Un fallo de seguridad del Directorio Activo puede tener repercusiones importantes para toda la empresa. Puede provocar la paralización o la ralentización del SI y limitar la colaboración: cada usuario podrá conectarse a su puesto de trabajo, pero su trabajo será exclusivamente local, puesto que ya no tendrá acceso al correo electrónico ni a la compartición de datos.

La reconstrucción del SI también representa una pérdida de tiempo y productividad, ya que hay que aislar una parte del mismo para reconstruirlo a partir de una situación sana. Peor aún, en algunos casos hay que reconstruir toda la infraestructura del Directorio Activo, o incluso gran parte de todo el SI, si el componente es tan crítico que la seguridad de todo el SI está en duda.

Protección del Directorio Activo: 3 buenas prácticas

La seguridad de su Directorio Activo comienza con la aplicación de buenas prácticas de higiene informática, tales como:

  • Mantener los sistemas actualizados;
  • Establecer una política de contraseñas segura;
  • La separación de las cuentas de administrador y de usuario;
  • Definir un proceso de comprobación periódica de accesos no autorizados.

Fomentar el «endurecimiento» de su Directorio Activo también significa implantar un proyecto de modelo de administración de terceros. Esta práctica, también conocida como «tiering modeling», consiste en organizar su SI en diferentes capas herméticas con el fin de separar sus componentes según su nivel de importancia – y evitar que un atacante parta de una capa comprometida para infiltrarse en las demás.

Otra opción es proteger los accesos con privilegios elevados mediante una solución de Gestión de Accesos Privilegiados (o PAM) que supervise, detecte y bloquee los accesos no autorizados a los recursos críticos.

La seguridad de su Directorio Activo es un tema importante. ¿Tiene alguna duda? Examine todo su dominio. Asegurar su Directorio Activo debe considerarse un proyecto en sí mismo, y debe abordarse con un alto nivel de experiencia. Implica dominar las vulnerabilidades, pero también aplicar buenas prácticas para proteger su SI de un ciberataque y evitar tener que reconstruirlo.