Mantener la continuidad del negocio durante y después de un ciberataque se ha convertido en uno de los principales objetivos estratégicos, no sólo para la ciberseguridad empresarial, sino también para los responsables de TI y de negocio. La detección y respuesta eficaz ante amenazas a la identidad (ITDR), incluido un plan documentado de copia de seguridad y recuperación de Active Directory, es crucial para una sólida resistencia operativa.
La infraestructura de identidad -Active Directory para la mayoría de las organizaciones, a menudo en combinación con Entra ID, Okta u otro servicio de directorio basado en la nube- desempeña un papel fundamental en el acceso y la autenticación. En resumen: si Active Directory no funciona, su empresa tampoco. Descubra por qué un plan de copia de seguridad y recuperación de Active Directory es vital para la resiliencia cibernética y empresarial, y cómo sacar el máximo partido de su copia de seguridad de Active Directory.
Vea el impacto de una solución eficaz de copia de seguridad y recuperación de Active Directory
¿Por qué es necesaria una copia de seguridad de Active Directory?
Más de dos décadas después de su creación, Active Directory sigue siendo una parte fundamental de la infraestructura de TI de las empresas. Una implementación de Active Directory consta de:
- Dominios: Una colección de objetos, que representan recursos como usuarios y dispositivos en la red.
- Árboles: Conjunto de dominios conectados por relaciones de confianza.
- Bosques: Conjunto de árboles
- Controladores de dominio: Un servidor que ejecuta los Servicios de dominio de Active Directory (AD DS), que almacena información sobre objetos como nombres y contraseñas y permite a los usuarios autorizados acceder a esta información.
Si Active Directory se ve comprometido, las organizaciones deben recuperarse rápidamente. Dado el número de aplicaciones integradas con AD en la empresa típica, la incapacidad de recuperar Active Directory puede ser un acontecimiento catastrófico. El tiempo de inactividad cuesta dinero y daña la reputación.
En el pasado, las principales amenazas para Active Directory eran los desastres naturales y los errores operativos. Hoy en día, sin embargo, las empresas deben enfrentarse a un panorama de amenazas que incluye bandas de ransomware y otros atacantes que tienen como objetivo Active Directory para:
- Escalar privilegios
- Mantener la persistencia
- Robar o comprometer datos
La rápida recuperación tras un ciberataque depende de una copia de seguridad de Active Directory libre de malware. Pero muchas organizaciones carecen de un plan específico para realizar copias de seguridad y restaurar AD aparte de sus otros sistemas.
Retos de las copias de seguridad de Active Directory
Las API de Microsoft admiten dos tipos de copia de seguridad:
- Una copia de seguridad del estado del sistema copia los archivos del sistema operativo y cualquier rol que esté instalado en el servidor.
- Una recuperación de metal desnudo (BMR) incluye una recuperación del estado del sistema y cualquier otro volumen conectado al servidor.
Una copia de seguridad del estado del sistema o BMR de Active Directory debe instalarse en la misma configuración de hardware en la que se ejecutaba el servicio antes del ciberataque. Ambos tipos de copia de seguridad contienen un componente esencial del sistema operativo conocido como capa de abstracción de hardware (HAL). La HAL es la interfaz entre el sistema operativo y los controladores de hardware exclusivos necesarios para trabajar con la plataforma de hardware específica del servidor.
Por ejemplo, un intento de restaurar una copia de seguridad del estado del sistema de una máquina virtual VMware a una máquina virtual Hyper-V fallará. Los controladores VMware restaurados no funcionarán en una infraestructura de hipervisor Hyper-V.
Las organizaciones también pueden elegir entre copias de seguridad incrementales o completas. Las copias de seguridad incrementales sólo copian los cambios realizados desde la última copia de seguridad completa.
Este enfoque tiene la ventaja de utilizar menos almacenamiento, ya que se centra únicamente en los cambios que se han realizado en los objetos. Sin embargo, las copias de seguridad incrementales pueden suponer más trabajo durante la recuperación. Por lo tanto, recomendamos que las organizaciones realicen siempre copias de seguridad completas de Active Directory.
El archivo más grande de una copia de seguridad de Active Directory es el archivo de base de datos NTDS.DIT, que se marca como modificado en cada copia de seguridad. El uso de copias de seguridad incrementales ralentiza la recuperación porque debe montar cada copia incremental en lugar de montar sólo la copia de seguridad más reciente. Además, si se pierde alguna copia de seguridad incremental, también se pierden los cambios.
Por ejemplo, supongamos que necesita recuperar Active Directory el jueves. Si realiza copias de seguridad completas los domingos y copias de seguridad incrementales cada dos días, tendrá que realizar una recuperación completa del entorno del domingo y, a continuación, montar cada incremental.
Muchas organizaciones optan por la forma más sencilla de proceder: utilizar Windows Server Backup. Una vez instalado, puede configurarse para que realice las copias de seguridad automáticamente, de acuerdo con una programación establecida por el usuario. Algunos productos de terceros también tienen una función de programación. Pero este método realiza la copia de seguridad de Active Directory como parte de la copia de seguridad del servidor.
Mejores prácticas de copia de seguridad de Active Directory
La capacidad de restaurar Active Directory comienza con el seguimiento de las mejores prácticas para la copia de seguridad de Active Directory. Estos son algunos consejos para manejar el proceso.
Práctica recomendada nº 1: Desvincule la copia de seguridad de Active Directory de las copias de seguridad del sistema operativo y de los datos.
Si las copias de seguridad de su controlador de dominio incluyen el estado del sistema, es muy probable que contengan malware, ya que la vida útil de las copias de seguridad de AD es corta y el tiempo de permanencia del malware es largo. Esto también es un problema potencial con las copias de seguridad de BMR que contienen archivos de arranque o del sistema operativo.
Las soluciones de protección de datos pueden respaldar los archivos y datos de sus controladores de dominio. Sin embargo, recuperar con éxito un bosque de Active Directory requiere mucho más que eso.
Práctica recomendada nº 2: Realice copias de seguridad de al menos dos controladores de dominio por dominio.
La copia de seguridad de dos controladores de dominio por dominio en su bosque de Active Directory proporciona redundancia. Almacene las copias de seguridad de Active Directory de forma segura y sin conexión, o copie las imágenes de copia de seguridad en el almacenamiento blob de Azure o AWS.
Práctica recomendada nº 3: No utilice puntos de comprobación para realizar copias de seguridad de Active Directory en un equipo virtual
No hay nada malo en poner Active Directory en máquinas virtuales en un entorno VMware o Hyper-V. Sin embargo, evite la tentación de confiar en instantáneas del controlador de dominio para la recuperación de Active Directory, por múltiples razones:
- Un bosque recuperado a partir de instantáneas probablemente causará problemas con la consistencia de los datos.
- Si hay malware presente en un controlador de dominio cuando se toma la instantánea, el malware se restaurará junto con el controlador de dominio. (Esto es cierto para cualquier copia de seguridad).
Buena práctica nº 4: Realice copias de seguridad periódicas de Active Directory
¿Con qué frecuencia debe realizar copias de seguridad de Active Directory? La respuesta depende del objetivo de punto de recuperación (RPO) de su organización. Su RPO representa la cantidad de tiempo que puede transcurrir antes de que la organización haya perdido una cantidad inaceptable de información.
Por ejemplo, supongamos que su RPO es de 30 días. En ese caso, los datos de la copia de seguridad nunca deberían tener más de 30 días. La mayoría de las organizaciones crean una copia de seguridad de Active Directory cada 24 horas.
Práctica recomendada nº 5: Pruebe la copia de seguridad de Active Directory
No deje la recuperación de Active Directory al azar. Asegúrese de que su plan de recuperación ante desastres incluye pruebas periódicas del proceso de copia de seguridad y recuperación de AD. (Esto es especialmente importante si planea recuperar AD manualmente, que es un proceso complicado y que requiere mucho tiempo).
Cómo Semperis puede ayudar a proteger las copias de seguridad de AD
Los expertos en ITDR de Semperis han desarrollado Active Directory Forest Recovery ( ADFR) para realizar copias de seguridad y recuperaciones de Active Directory rápidas y sin malware. ADFR utiliza un proceso patentado para realizar copias de seguridad de su bosque de Active Directory al tiempo que elimina la amenaza de reinfección por malware. Los analistas de Forrester informan de que ADFR también reduce los plazos de copia de seguridad y recuperación en un 90%.
En conjunto, la reducción del tiempo necesario para realizar copias de seguridad y recuperación de Active Directory y la eliminación de la persistencia de malware pueden ahorrar a una organización casi 4 millones de dólares en pérdidas de mano de obra e ingresos relacionadas con ataques. Y para entornos de identidad híbridos que mantienen tanto Active Directory como Entra ID, Semperis ofrece Disaster Recovery para Entra ID. DRET realiza copias de seguridad de las políticas de acceso condicional de Entra ID y de los objetos de usuario, grupo y rol en un almacenamiento seguro gestionado con certificación SOC 2 (Tipo II), lo que permite una recuperación más rápida de un entorno híbrido de Active Directory.