Daniel Petri | Director de Formación

Para las organizaciones que utilizan Active Directory (AD), proteger los controladores de dominio (DC) es una parte esencial de la seguridad de AD. Los DC son componentes críticos de la infraestructura de TI. Estos servidores contienen datos sensibles y relacionados con la seguridad, incluyendo información de cuentas de usuario, credenciales de autenticación y objetos de directiva de grupo (GPO). Naturalmente, la seguridad de los DC es una parte importante tanto de la seguridad de AD como de toda la estrategia de ciberseguridad de su organización.

¿Qué hace que un servidor sea un controlador de dominio?

Para crear un DC en un servidor Windows, instale el rol Servicios de dominio de Active Directory (AD DS) en el servidor. A continuación, promocione el servidor desde el Administrador de servidores.

Cuando se promociona el servidor, muchas de sus configuraciones originales cambian. Por ejemplo, solo los miembros del grupo Administradores en AD pueden iniciar sesión en el DC de forma local o mediante el protocolo de escritorio remoto (RDP).

A diferencia de un servidor Windows que no es un DC, un DC no utiliza usuarios y grupos locales. En su lugar, el DC sólo utiliza usuarios y grupos basados en AD. Sin embargo, por defecto, los miembros del grupo Administradores de dominio en AD también son miembros del grupo Administradores. Por lo tanto, cualquier cuenta que sea miembro del grupo Administradores de dominio tiene derecho a iniciar sesión localmente y a través de RDP en cualquier DC de la organización. 

Por razones de seguridad, Microsoft recomienda no instalar el rol AD DS y el rol Remote Desktop Service (RDS), o terminal server, en el mismo servidor.

¿Quién puede acceder a los controladores de dominio?

Puede otorgar derechos de inicio de sesión en DC a usuarios o grupos modificando el GPO predeterminado de Controladores de dominio en AD o creando y aplicando un GPO a la unidad organizativa (OU) Controladores de dominio. Sin embargo, debe restringir estos derechos sólo a los usuarios o grupos que los requieran.

Evite conceder derechos de inicio de sesión a cuentas de usuario estándar. Aunque puede haber situaciones en las que los usuarios que no son administradores necesiten iniciar sesión en un DC, estos permisos pueden aumentar el riesgo de acceso no autorizado y posibles violaciones de la seguridad.

Todos los DCs son miembros de la OU de controladores de dominio por defecto. Por lo tanto, los cambios en los GPO que se vinculan a esa OU afectan a todos los DC de la OU. Conceder a una cuenta de usuario estándar derechos sobre la OU puede permitirle acceder a todos los DC de la organización, lo que no es una buena idea desde el punto de vista de la seguridad.

Las grandes organizaciones suelen crear roles dedicados para los usuarios que necesitan realizar tareas de mantenimiento o actualizaciones de las aplicaciones que se ejecutan en los DC. En organizaciones más pequeñas o sucursales en las que no se dispone de roles dedicados, la tentación de permitir el acceso a los DC a usuarios que no son administradores puede ser mayor. ¡Resístase!

El peligro de una mala configuración del DC

A medida que aumenta el número de centros de distribución y cambian los miembros de los equipos de TI y seguridad, también aumenta el riesgo de que se produzcan errores de configuración y vulnerabilidades de seguridad. En algunos casos, esta desviación de la configuración puede pasar desapercibida o no tenerse en cuenta, dejando a los DC vulnerables a brechas de seguridad.

Por lo tanto, es importante aplicar controles de seguridad adecuados. Limite el acceso a DC a aquellos usuarios que lo necesiten para desempeñar sus funciones. Hacerlo puede ayudar a reducir el riesgo de accesos no autorizados y posibles brechas de seguridad y reforzar la seguridad e integridad de los sistemas y datos informáticos de su organización.

Amenazas para la seguridad del controlador de dominio

Hay un término para lo que ocurre cuando un atacante obtiene acceso a cualquier DC de su organización: game over.

Al comprometer un DC, los atacantes pueden obtener acceso a la información sensible de ese DC. También podrían acceder a otros sistemas y datos de su organización. Los actores de amenazas con acceso al DC pueden potencialmente:

  • Robar información sensible, como credenciales de usuario, lo que les permite acceder a otros sistemas y datos dentro de la organización y realizar movimientos laterales.
  • Crear nuevas cuentas de usuario con privilegios administrativos, lo que les dará un mayor control sobre los sistemas informáticos y los datos de la organización.
  • Elevar los privilegios, permitiéndoles eludir los controles de seguridad y acceder a datos sensibles.
  • Propagar malware o virus a otros sistemas de la organización.
  • Interrumpir las operaciones borrando o modificando datos críticos, cerrando sistemas o creando ataques de denegación de servicio (DoS).

Cómo mejorar la seguridad de los controladores de dominio

Para remediar y reducir el riesgo potencial para la seguridad del DC, realice las siguientes acciones:

  1. Compruebe que los objetos de nivel 0, como el grupo de administradores de dominio en AD, sólo contienen objetos de usuario relevantes y necesarios.
  2. Determine qué GPO están vinculados a la OU de Controladores de dominio en AD.
  3. Para cada GPO vinculado:
    • Abra Configuración delequipo > Configuración de Windows > Configuración de seguridad > Directivas locales > Asignación de derechos de usuario.
    • Vaya a la sección GPO.
    • Confirme que sólo el grupo Administradores (Administradores de dominio) tiene el derecho Permitir inicio de sesión a través de servicios de Escritorio remoto.
    • Confirme que sólo el grupo Administradores (Administradores de dominio) tiene el derecho Permitir inicio de sesión localmente.

Evaluar continuamente la seguridad del controlador de dominio

Además de los pasos anteriores, asegúrese de supervisar de cerca sus registros de eventos para detectar tanto los inicios de sesión fallidos como los exitosos en todos sus DC. Pero no se detenga ahí.

Puede utilizar herramientas comunitarias gratuitas como Purple Knight y Forest Druid para evaluar continuamente su postura de seguridad de AD. Obtenga más información sobre la seguridad de AD y las prácticas recomendadas, como los privilegios mínimos y la confianza cero, en los demás artículos de nuestra serie Seguridad de AD 101.

Más información sobre la seguridad del controlador de dominio y la seguridad de AD