Tabla de contenidos
Active Directory (AD) o directorio activo, es una piedra angular de la infraestructura informática de la empresa moderna. Es un servicio de directorio desarrollado por Microsoft para las redes de dominios de Windows, que sirve como herramienta esencial para organizar y gestionar usuarios, sus atributos y pertenencia a grupos, cuentas de ordenador, recursos de red y mucho más.
El directorio activo es como una guía telefónica para su infraestructura de IT y sus usuarios. Dota a los equipos de servicios centralizados de autenticación y autorización destinados a los ordenadores basados en Windows. AD está diseñado para comprobar si alguien tiene las credenciales correctas (autenticación) y determina a qué archivos o aplicaciones puede acceder en función de su función o pertenencia a un grupo (autorización).
En términos sencillos, AD ofrece funcionalidades y componentes clave como la gestión de políticas de grupo, los servicios de dominio y la compatibilidad con el protocolo ligero de acceso a directorios (LDAP, del inglés Lightweight Directory Access Protocol).
- La gestión de políticas de grupo permite a los administradores implementar configuraciones específicas en varios equipos.
- Los servicios de dominio proporcionan una estructura organizativa jerárquica que ayuda a gestionar las interacciones entre usuarios y dispositivos en redes distribuidas.
- LDAP o protocolo ligero de acceso a directorios (en inglés, Lightweight Directory Access Protocol) es un protocolo que ayuda a los usuarios a encontrar datos sobre organizaciones, personas, etc.
AD desempeña un papel crucial a la hora de mantener el orden, al tiempo que garantiza la seguridad en todo el entorno de red empresarial de una organización. Permite a los equipos de TI gestionar eficazmente usuarios, ordenadores, dispositivos adicionales y otros recursos desde una ubicación central, lo que hace más eficaz la gestión de la red, la TI y la seguridad.
La formación en ciberseguridad empieza aquí
La prueba gratuita funciona de la siguiente manera:
- Reúnase con nuestros expertos en ciberseguridad para evaluar su entorno e identificar su exposición a riesgos.
- En un plazo de 24 horas y con una configuración mínima, desplegaremos nuestras soluciones durante 30 días.
- ¡Conozca nuestra tecnología en acción!
- Reciba un informe que identifica sus vulnerabilidades de seguridad para ayudarle a tomar medidas inmediatas frente a ataques de ciberseguridad.
Rellene este formulario para solicitar una reunión con nuestros expertos en ciberseguridad.
Un representante de Proofpoint se comunicará con usted en breve.
¿Cuál es el propósito de Active Directory?
El directorio activo almacena la información en forma de objetos, que son todos los recursos de la red, como ordenadores, cuentas de usuario, contactos, grupos, unidades organizativas y carpetas compartidas. Los objetos se clasifican por nombre y atributos. La información se guarda en un almacén de datos estructurado y optimizado para mejorar el rendimiento de las consultas y la escalabilidad, lo que facilita a los usuarios y las aplicaciones de la red la localización y el uso de cualquier fragmento de información que necesiten. Así pues, el propósito de Active Directory es permitir a las organizaciones mantener su red segura y organizada de forma eficiente.
¿Qué son los servicios de dominio de Active Directory?
Como servicio de directorio principal en un dominio de Windows, los Servicios de Dominio de Active Directory (AD DS) se encargan de almacenar y gestionar la información sobre usuarios, servicios y dispositivos conectados a la red en una estructura escalonada. Es básicamente la columna vertebral de Active Directory, ya que contiene un directorio centralizado que permite la comunicación entre dominios y usuarios.
AD DS ayuda a gestionar las operaciones de red proporcionando una forma estructurada de almacenar datos en una organización jerárquica. Esto facilita a los administradores la gestión de los derechos de acceso de los usuarios y las configuraciones del sistema en distintos dominios de una misma red. AD DS también integra la seguridad autenticando las funciones de inicio de sesión y controlando el acceso a los recursos del directorio. Esto lo hace a través de:
- Autenticación de usuarios. Los AD DS autentican a los usuarios antes de que puedan acceder a los recursos de la red, garantizando que sólo las personas autorizadas tengan acceso a partes específicas del sistema.
- Almacenamiento de datos. Almacena datos de directorio, como nombres de usuario, contraseñas y números de teléfono, que ayudan a agilizar las operaciones dentro de una organización.
- Aplicación de políticas. Con los objetos de política de grupo (GPO), los administradores pueden hacer cumplir las políticas de seguridad en varios equipos a la vez, ahorrando tiempo y manteniendo al mismo tiempo altos niveles de seguridad.
Múltiples servicios caen bajo el paraguas de AD DS. Estos servicios incluyen los controladores de dominio, que son servidores que ejecutan el rol AD DS que autentica y autoriza a todos los usuarios. También incluyen los ordenadores de una red tipo dominio de Windows, que asignan y aplican políticas de seguridad para todos los dispositivos, incluida la instalación y actualización de software.
Componentes de la infraestructura de AD
La infraestructura de Active Directory consta de varios componentes que funcionan juntos a la perfección para lograr unas operaciones de red eficientes:
- Dominios. Un grupo lógico donde todos los objetos —tales como ordenadores y usuarios— residen bajo un control administrativo específico.
- Bosques. Una colección de múltiples árboles que comparten un esquema común pero no forman un espacio de nombres contiguo.
- Árboles. Una disposición jerárquica que contiene uno o más dominios conectados mediante relaciones de confianza.
- Unidades organizativas (OU). Un objeto contenedor dentro de un dominio que contiene otros objetos como usuarios, grupos y ordenadores.
- Políticas de grupo. Una colección de configuraciones que definen cómo funcionan los ordenadores y los usuarios dentro de una organización.
Los dominios agrupan objetos de red y aplican políticas de seguridad. Los bosques contienen árboles de dominios y comparten un único esquema y configuración de datos. Los árboles son colecciones de dominios relacionados que simplifican la localización de recursos. Y las OU son contenedores dentro de un dominio que simplifican las tareas de gestión. Juntos, estos componentes trabajan en armonía para optimizar la eficacia y el rendimiento de un Active Directory.
Ventajas del uso de Active Directory
Active Directory proporciona más que un servicio de directorio unificado. También es un activo inestimable para las organizaciones que pretenden simplificar sus operaciones de TI y reforzar su seguridad. A su vez, AD ofrece varias ventajas clave.
Gestión de usuarios racionalizada
AD simplifica la gestión de cuentas de usuario proporcionando una plataforma centralizada para crear, modificar o eliminar usuarios en toda la red. Esto significa que la administración manual de usuarios en máquinas individuales dentro de su red es cosa del pasado.
Seguridad de red mejorada
Las sólidas funciones de seguridad de AD protegen los datos delicados contra las ciberamenazas. Las políticas de grupo y los controles de acceso aplican estrictos requisitos de contraseña y limitan el acceso de los usuarios a archivos o aplicaciones específicos según cuáles sean sus funciones concretas dentro de la empresa.
Mayor facilidad para compartir recursos
Compartir recursos como impresoras o archivos a través de una red es mucho más sencillo con AD. Los administradores pueden gestionar estos recursos de forma centralizada, poniéndolos a disposición de todos los usuarios sin necesidad de instalar software adicional.
Mejor implementación de las políticas de grupo
La función de políticas de grupo de AD permite a los administradores controlar el funcionamiento de los sistemas y lo que los usuarios pueden hacer en ellos. Desde la configuración de reglas de cortafuegos hasta la desactivación de puertos USB en los terminales para mejorar la seguridad, todo resulta más sencillo con la aplicación de políticas de grupo.
Solución de problemas más rápida
Cuando surgen problemas, disponer de un sistema centralizado como AD ayuda a diagnosticar los problemas más rápidamente al proporcionar registros detallados sobre las actividades de los usuarios y los eventos del sistema.
Seguridad de Active Directory
Active Directory ofrece funciones de seguridad como las listas de control de acceso (ACL, del inglés Access Control Lists), el cifrado y las capacidades de auditoría para proteger los datos y recursos confidenciales. Todas estas funcionalidades son importantes de emplear. Pero una seguridad completa y continua del Active Directory implica muchos otros pasos y estrategias.
Las siguientes son algunas de las mejores prácticas para la seguridad de Active Directory:
Brinde una sólida protección a las cuentas de administrador de dominios
Los atacantes están ansiosos por comprometer las cuentas de administrador de dominio asociadas a su AD. Esto se debe a que estos usuarios de Active Directory tienen altos privilegios con control administrativo y autoridad sobre todo un dominio dentro de un bosque de AD. (Un bosque es una colección de uno o más árboles de dominios en el directorio de servicios).
Un consejo para proteger las cuentas de administrador de dominio es cambiarles el nombre predeterminado, que es administrador, por algo más creativo (y más difícil de adivinar). La implementación de políticas de contraseñas fuertes y el uso de frases de contraseña pueden ayudar en este caso. Otra buena práctica es exigir MFA para la autenticación de los administradores de dominio.
Limite el uso del acceso con privilegios elevados a AD
Los únicos usuarios que deberían tener acceso administrativo en su AD son los miembros del personal autorizado. Y los que tengan privilegios de administrador de dominio no deberían utilizar esas cuentas para las tareas cotidianas. Para ellas deberían utilizar cuentas de nivel de usuario más típicas. Entre las medidas relacionadas para limitar el acceso a Active Directory —que también pueden ayudar a reducir el riesgo de amenazas internas— están:
- Aplicar el principio del mínimo privilegio (PoLP, en inglés Principle of Least Privilege) para conceder a los usuarios sólo los permisos que necesitan para realizar su trabajo, y no más.
- Utilizar el control de acceso basado en funciones (RBAC, en inglés Role-Based Access Control) para limitar el acceso de los usuarios a tareas o sistemas específicos.
- Auditar regularmente las cuentas administrativas.
Utilice una estación de trabajo de administración segura y bloqueada (SAW)
Una SAW (del inglés Secure Admin Workstation) es un entorno altamente seguro y aislado para realizar tareas administrativas en sistemas y servicios críticos como Active Directory. El administrador debe originarse en la SAW antes de poder realizar cualquier tarea administrativa o conectarse a cualquier otro servidor o red administrados. Algunas maneras de bloquear una SAW son:
- Utilizar hardware dedicado o una máquina virtual (VM) para las tareas administrativas.
- Fortalecer los sistemas operativos del SAW. Por ejemplo, deshabilitando servicios y funcionalidades innecesarias.
- Implementar estrictos controles de acceso y gestión de privilegios de usuario.
- Colocar la SAW en un segmento de red separado.
- Reducir o eliminar la conectividad directa de Internet a la SAW.
Desactive las cuentas de administrador local
Los administradores locales también tienen privilegios elevados. Pero a diferencia de los administradores de dominio, están restringidos a un solo equipo local. Sin embargo, los administradores locales tienen acceso completo a los recursos del servidor o cliente local. Y pueden utilizar sus cuentas para crear usuarios locales, asignar derechos de usuario y permisos de control de acceso e instalar software.
Las cuentas de administrador local suelen estar configuradas con la misma contraseña en todos los ordenadores de un dominio. Así, un atacante sólo necesita comprometer las credenciales de una cuenta para acceder a otras. No es sorprendente que los malos actores utilicen a menudo credenciales de administrador local no gestionadas en los ataques de ransomware.
Quizás le interese considerar desactivar por completo las cuentas de administrador local. En su lugar, puede configurar cuentas individuales con los derechos necesarios para realizar tareas clave. Para desactivar una cuenta de administrador local, deberá modificar la configuración de la directiva de grupo en el directorio activo. Luego, podrá aplicar las políticas de seguridad en los equipos Windows que estén unidos al dominio.
Utilice cuentas de servicio gestionadas (MSA)
Las cuentas MSA (del inglés Managed Service Account) tienen contraseñas complejas que AD gestiona automáticamente. El controlador de dominio de AD rota las contraseñas con regularidad, por lo que se reduce el riesgo de que las contraseñas de las cuentas de servicio sean débiles, obsoletas o estén expuestas. Al eliminar los cambios manuales de contraseña, se minimiza la probabilidad de que se produzcan errores humanos. También se reduce el riesgo de interrupciones del servicio debidas a los cambios de contraseña.
(Nota: las MSA están disponibles en Windows Server 2008 R2 y posteriores, incluidos Windows Server 2012, 2012 R2, 2016, 2019 y 2022. Las características y capacidades específicas de las MSA pueden variar en función de la versión de Windows Server en uso).
Encuentre y elimine cuentas sin utilizar
Crear un proceso formal para identificar a los usuarios inactivos y las cuentas no utilizadas o huérfanas en su directorio activo, puede ayudarle a asegurarse de que controla este riesgo. Como parte de ese proceso, deberá determinar los criterios para identificar las cuentas inactivas, como un periodo específico de inactividad (por ejemplo, 90 días). También deberá notificarlo a las partes interesadas pertinentes para asegurarse de que las cuentas identificadas puedan eliminarse de forma segura.
Tomarse el tiempo necesario para realizar una copia de seguridad de su entorno AD antes de empezar a eliminar cuentas también es una práctica aconsejable. Es posible que desee documentar las cuentas que planea eliminar y citar las razones para hacerlo, sólo para tener un registro.
Preste atención a la gestión de parches y la exploración de vulnerabilidades
Este consejo puede parecer mundano u obvio. Sin embargo, debe actuar con rapidez para parchear las vulnerabilidades del directorio activo, al igual que debería hacer para proteger cualquier otro sistema crítico. Asegúrese de escanear y corregir las vulnerabilidades de AD a menudo: una vez al mes o con mayor frecuencia, si es posible. Dé prioridad a las correcciones que supongan el riesgo más grave para su empresa y sus usuarios. E identifique y solucione también cualquier software obsoleto o sin soporte.
Mediante la aplicación de estas buenas prácticas de seguridad, las organizaciones pueden reforzar su postura de seguridad del directorio activo y minimizar los riesgos para su infraestructura de TI.
Directorio activo: La autoridad en la gestión de recursos empresariales
Active Directory es el servicio de directorio por excelencia que mantiene los datos almacenados, organizados, optimizados y seguros. Con los servicios de dominio de Active Directory (AD DS), los equipos de TI pueden crear una jerarquía de dominios y subdominios, lo que facilita la gestión de la autenticación de usuarios, la autorización y la gestión de recursos.
A su vez, el valor de utilizar AD incluye una mayor seguridad, una administración simplificada y una mejor escalabilidad. Pero los equipos deben aplicar las mejores prácticas, como políticas de contraseñas seguras y supervisión periódica, para proteger la seguridad de su entorno AD.