Sean Deuby | Tecnólogo principal

Debería actualizar su bosque AD existente a Active Directory de Windows Server 2016 (también conocido como AD 2016) o debería dejarlo donde está? A pesar de la atención y la actividad en torno a la adopción de servicios en la nube hoy en día, el hecho es que Active Directory sigue siendo la base de todo. Además de dominar desde hace tiempo como fuente de identidad local, la gran mayoría de las organizaciones medianas y grandes de todo el mundo utilizan un modelo de identidad híbrido, basado en AD, para sus servicios en la nube. Como resultado, es una cuestión importante.

Una razón importante por la que los departamentos de TI no han actualizado su entorno AD a Windows Server 2016 desde sistemas operativos de soporte medio como Windows Server 2012 o R2 es porque no creen que haya una "característica heroica" clara y convincente, como la papelera de reciclaje AD, que justifique la actualización. Si usted es uno de ellos, debería considerar detenidamente Windows Server 2016.

Utilicemos escenarios (ejemplos empresariales y técnicos de entornos y necesidades que usted también podría tener) para analizar las principales mejoras de seguridad de Active Directory y del sistema operativo de Windows Server desde 2008 R2. ¿Coincide alguno de estos escenarios con su organización?

Si virtualiza sus DC

La virtualización se ha generalizado desde hace muchos años, pero la virtualización de los DC a menudo ha ido a la zaga de otras cargas de trabajo por un par de buenas razones: integridad y seguridad. Si ha virtualizado algunos o todos sus DC, hay importantes mejoras de integridad y seguridad tanto en el sistema operativo base de Windows Server 2016 como en AD que debería aprovechar de inmediato.

Un problema con la virtualización de una aplicación como AD que mantiene un seguimiento de su estado es que, si se restaura a partir de una instantánea de VM tomada anteriormente, el DC restaurado no se da cuenta de que está desincronizado con sus compañeros DCs. Esta condición puede causar graves errores de divergencia en su dominio o bosque. Windows Server 2012 introdujo una función tanto en AD como en Hyper-V, el VM-GenID, que básicamente indica a AD que se ha restaurado a partir de una instantánea y que tome las medidas adecuadas para protegerse.

Una vez avisado de la restauración de la instantánea, el DC descarta su grupo de RID y restablece el ID de invocación (el número de versión de la base de datos de AD) para evitar problemas de divergencia. (Sin embargo, sigue sin ser una buena idea restaurar regularmente los DC a partir de instantáneas). VMware, Xen y otros proveedores de virtualización también han adoptado este método, por lo que sus DC no tienen que estar necesariamente en Hyper-V.

Si tus DCs son hasta Windows Server 2012 o 2012 R2 y todavía no has virtualizado tus DCs debido a preocupaciones de seguridad relacionadas con sus servidores host, Windows Server 2016 tiene una característica importante para ti. El sistema operativo más reciente aborda un problema de seguridad fundamental con cualquier máquina virtual: cualquier persona con derechos de administrador en la máquina host puede simplemente copiar los archivos de la máquina virtual fuera del host y piratearlos a su antojo. Un DC es un objetivo primordial para este ataque porque, por supuesto, contienen los identificadores de usuario y las contraseñas de todos los miembros de la empresa. La función Shielded VMs protege las máquinas virtuales de administradores comprometidos o malintencionados, como administradores de almacenamiento, administradores de copias de seguridad, etc. cifrando el disco y el estado de las máquinas virtuales para que sólo los administradores de VM o inquilino puedan acceder a ellos.

Apoyo a sus clientes en un mundo híbrido

Una organización no existe sólo con sus servidores, por supuesto. Los clientes con los que interactúan los usuarios también son importantes. Tradicionalmente, el departamento de TI sólo tenía que preocuparse de los clientes Windows unidos a un dominio, pero hoy en día los usuarios empresariales tienen una gran variedad entre la que elegir. A lo largo de varias versiones, AD se ha adaptado para gestionar esta mayor variedad.

Si su organización está adoptando la "transformación digital" de los servicios en la nube - en particular Azure Active Directory con clientes Windows 10 - hay un escenario en el que necesita echar un vistazo más de cerca a AD 2016. En primer lugar, un poco de información sobre el soporte de dispositivos en AD ayudará a entender el escenario.

Active Directory ha soportado históricamente dispositivos Windows unidos a un dominio. A partir de Windows Server 2012 R2, AD también permitió a un usuario realizar un registro (se puede pensar en ello como una unión ligera) de un dispositivo móvil como un teléfono inteligente. Esta capacidad de Workplace Join da al dispositivo una presencia en AD y lo asocia con un usuario. Esta asociación confiere al dispositivo un mayor grado de confianza que un dispositivo desconocido, por lo que se le puede conceder el inicio de sesión único y el acceso a recursos de red más seguros.

El hermano pequeño de AD en la nube, Azure AD, también es compatible con estos dos tipos de dispositivos. Puede unirlos directamente al servicio en la nube mediante Azure AD join para dispositivos Windows 10 y el registro de Intune para dispositivos iOS, Android y Mac OS. Esta confusa arquitectura se vuelve más confusa en un entorno híbrido con clientes Windows 7 y 8 locales; Azure AD puede conocerlos mediante una unión híbrida a Azure AD, necesaria para aplicar políticas de acceso condicional conscientes del dispositivo.

¿Está pensando en Windows Hello for Business para proporcionar una autenticación segura más allá de las contraseñas? Por defecto, Hello le ofrece la posibilidad de desbloquear su dispositivo Windows 10 mediante un código biométrico o un PIN. Hello for Business es un marco MFA más amplio que utiliza claves asimétricas (almacenadas en el módulo de seguridad de un dispositivo) para autenticar al usuario. Existe un escenario M FA en un entorno híbrido Active Directory on-premises / Azure AD en el que necesitas tanto AD 2016 como AD FS 2016. Hablaré sobre las razones para considerar la actualización a AD FS 2016 en una futura entrada del blog.

Mayor seguridad

Independientemente de las mejoras de AD, hay bondades de seguridad que ganarás al ponerte al día con su SO subyacente Windows Server 2016. Si por casualidad todavía estás en 2008 R2, cuando actualices obtendrás una interfaz de usuario para la papelera de reciclaje de AD que hace que sea mucho más fácil de usar. También puede empezar a cerrar un agujero de seguridad de larga data: las contraseñas antiguas e inmutables de sus cuentas de servicio: las cuentas de servicio administradas por grupo (gMSA) actualizan automáticamente la contraseña de estas cuentas por usted, incluso si se utilizan en un clúster.

Si ya estás en 2012 R2, Windows Server 2016 tiene un par de mejoras de seguridad a tener en cuenta. Windows Defender Credential Guard y Remote Guard protegen las credenciales NTLM y Kerberos en AD para evitar que los atacantes las recopilen y las utilicen para ataques pass-the-hash. Windows Defender Application Control protege la integridad del sistema operativo base permitiendo que solo se ejecuten determinadas aplicaciones (también conocido como listas blancas), una gran medida de seguridad para un servidor que ejecuta una carga de trabajo dedicada como AD.

Gestión de acceso privilegiado para AD

Si tiene una directiva para bloquear realmente sus cuentas administrativas de AD, AD 2016 también introduce la gestión de acceso privilegiado (PAM). Junto con una implementación de MIM dedicada, PAM es un bosque "rojo" especial de alta seguridad que se construye para controlar los grupos administrativos de un bosque de AD de destino.

AD 2016 incluye actualizaciones de los grupos de seguridad, denominadas entidades de seguridad en la sombra, que permiten que los grupos de administradores del bosque de destino estén "en la sombra" en el bosque rojo a través de una nueva forma de confianza forestal. Cuando una cuenta de administrador del bosque rojo se añade a un grupo de administradores en sombra en ese bosque, obtiene el mismo SID que el grupo de administradores y, por tanto, los mismos derechos. Con esta capacidad, las cuentas administrativas se eliminan del bosque de destino y sólo existen en el bosque rojo protegido.

AD 2016 también incluye actualizaciones del protocolo Kerberos que permiten limitar el tiempo de pertenencia a un grupo (almacenado en el campo PAC del ticket Kerberos). Cuando se combina con las entidades de seguridad en la sombra y el flujo de trabajo de solicitud de acceso integrado en MIM, los administradores pueden solicitar y obtener derechos de administrador (a través de la pertenencia a un grupo) durante un periodo de tiempo específico. Cuando expira el plazo, estos derechos se revocan automáticamente.

Razones para quedarse donde está

Francamente, no hay muchas razones para permanecer en una AD de nivel inferior.

Si dispone de un bosque de prueba en una red aislada, ejecutándose en DC físicos, que no admita dispositivos cliente, quizá pueda retrasarlo un poco.

Puede que el presupuesto sea un problema en este momento. La dirección debe tener una visión más amplia: la mayoría de las empresas tienen menos de cincuenta centros de distribución. El coste de las licencias, la actualización y el despliegue de nuevas capacidades en estos servidores es trivial comparado con el coste de una brecha que obtenga credenciales de dominio de versiones anteriores de AD.

La compatibilidad de AD con aplicaciones muy antiguas, o software cliente antiguo integrado que ejecuta hardware muy caro, como equipos de fabricación informatizados, puede ser un problema más espinoso. Pero 2008 R2 no será viable por mucho más tiempo: el fin del soporte (con el SP1 aplicado, eso sí) se produce el14 de enero de 2020. Para eso sólo falta un año y cuatro meses. El fin del soporte significa que Microsoft dejará de proporcionar actualizaciones de seguridad, un servicio esencial en el actual mundo del gato y el ratón de las vulnerabilidades y los parches. Los bosques de 2012 y 2012 R2 tienen más tiempo: 10 de octubre de 2023. (Tenga en cuenta que tanto 2012 como R2 tienen la misma fecha de fin de soporte).

Recomendaciones

Mis recomendaciones son:

  • Si sus DC están ejecutando 2008 R2, independientemente de los escenarios anteriores en los que encaje, debería planificar sus actualizaciones y realizar pruebas de compatibilidad de aplicaciones de inmediato.
  • Para los usuarios de 2012 o 2012 R2, la virtualización y las mejoras de seguridad del sistema operativo de nivel básico justifican una actualización. También querrá trabajar con los equipos de ingeniería y seguridad de servidores como parte interesada para impulsar el despliegue de las mejoras de seguridad de 2016 en la imagen de compilación estandarizada de la plataforma. Los problemas de compatibilidad de aplicaciones deberían ser menores.
  • A menos que encaje en el escenario híbrido especial de Hello for Business, las mejoras en la gestión de dispositivos no serán un fuerte impulsor de AD 2016.

Cuando se analiza detenidamente la actualización a AD 2016 frente a quedarse donde está, aparte de la compatibilidad de las aplicaciones, no hay realmente buenas razones para no actualizar. Probablemente la razón principal para no actualizar es la complacencia: está funcionando bien como está. Pero las mejoras de seguridad tanto en el sistema operativo base como en AD mejorarán significativamente la protección de su organización frente a los atacantes. Y eso significa que debería empezar a planificar sus actualizaciones hoy mismo.