Mejores prácticas de seguridad de grupos de seguridad de Active Directory: Los grupos de seguridad de Active Directory de Azure son herramientas poderosas para que los administradores controlen a qué servidores de Windows y recursos de red tienen acceso los usuarios individuales. Al no administrar adecuadamente estos grupos, podrías inadvertidamente proporcionar a los ciberdelincuentes una puerta trasera para ingresar a tu red y robar información sensible.
Los compromisos de Azure Active Directory que resultan de no seguir las mejores prácticas son comunes. Sin embargo, es posible mantener tus sistemas a salvo de ataques implementando sólidas salvaguardas de seguridad, limitando las vulnerabilidades y monitoreándolas constantemente.
Este artículo es un análisis detallado de los grupos de Azure Active Directory seguridad y las mejores prácticas de seguridad que deben seguirse para proteger mejor su red de Windows.
Fuente de la imagen: Imanami
Grupos de seguridad de Active Directory
Los grupos de Azure Active Directory en Azure vienen en dos tipos: grupos de distribución de Active Directory y grupos de seguridad de Active Directory.
Los grupos de distribución de Active Directory se utilizan principalmente para la distribución de correos electrónicos y son compatibles con Microsoft Exchange y Outlook. Permiten a los administradores de red enviar correos electrónicos a subconjuntos de miembros de Active Directory.
Por otro lado, los grupos de seguridad de Active Directory gestionan los permisos de usuario y el acceso a los recursos de hardware. Estos grupos son fundamentales para el funcionamiento de la red y las operaciones comerciales de una organización.
Esto se debe a que los grupos de seguridad de Active Directory son esenciales para ayudar a los administradores a controlar quién tiene acceso a recursos de red importantes y evitar que usuarios no autorizados accedan a datos sensibles. Esto es vital, especialmente para la protección de información privada y confidencial.
Grupos de seguridad de Azure Active Directory consisten en Administradores, Operadores de Cuenta, Dominio Admins, DNS Admins, Usuarios, Invitados, Operadores de Servidores, Usuarios Protegidos y varios otros.
Ámbitos de Grupos de Seguridad de Active Directory
Los grupos de seguridad de Azure Active Directory se clasifican en 4 categorías según su ámbito: local, dominio local, global y grupos universales.
Grupos locales: Estos grupos se crean y solo están disponibles en la computadora en la que se crearon.
Grupos locales de dominio: Los grupos locales de dominio se utilizan para administrar los derechos de acceso a los recursos en todo el dominio. Los grupos locales de dominio están compuestos por miembros de dominios de cualquier tipo, así como por aquellos de dominios de confianza.
Grupos globales: Los grupos globales grupos definen objetos de dominio (usuarios, computadoras, grupos) en función de roles comerciales. Los usuarios se organizan en grupos según sus roles (por ejemplo, “Marketing” o “Contadores”), y las computadoras pueden organizarse en grupos globales en función de sus roles (por ejemplo, “Estaciones de trabajo de Marketing”).
Grupos universales: Estos grupos se utilizan en bosques de múltiples dominios. Permiten a los administradores especificar roles y permisos para recursos de dominio cruzado.
Usos de Grupos de Seguridad de Azure Active Directory
Hay dos usos principales para los grupos de seguridad de Active Directory:
Asignación de derechos de usuario: Active Directory seguridad grupos se utilizan para asignar derechos de usuario para especificar lo que los usuarios dentro de un grupo tienen permitido hacer dentro de un dominio o un bosque. Por conveniencia administrativa, los derechos de usuario pueden otorgarse automáticamente a ciertos grupos de seguridad.
Conceder permisos de recursos: Los permisos de usuario son distintos de los derechos de usuario. Mientras que los permisos de usuario regulan qué recursos pueden ser accedidos por los usuarios, los derechos de usuario determinan qué capacidades tienen los usuarios.
Es importante tener en cuenta que ciertas permisos se otorgan por defecto a grupos de seguridad específicos. Los grupos Operadores de Cuenta y Administradores de Dominio son dos ejemplos de grupos de seguridad predefinidos que reciben ciertos permisos por defecto. Estos grupos se generan automáticamente cuando configura un dominio de Active Directory. Sin embargo, debido a los riesgos de seguridad inherentes asociados con la concesión de permisos de seguridad automáticos, se debe tener especial cuidado al administrar estos grupos.
Mejore su seguridad de Active Directory y Azure AD
Pruébenos de gratis, Acceso a todas las funciones. – Más de 200 plantillas de informes de AD disponibles. Personalice fácilmente sus propios informes de AD.
8 mejores prácticas para grupos de seguridad de Active Directory
1. Evitar excesos
Asegúrese de que los grupos de seguridad predeterminados no tengan permisos excesivos: Examine regularmente los permisos asignados automáticamente por los grupos de seguridad predeterminados de Active Directory’s, ya que algunos de estos grupos tienen permisos considerables. Asegúrese de que losusuarios solo tengan los derechos de acceso mínimos necesarios para realizar sus responsabilidades diarias. Si se requieren privilegios de acceso mayores, deben otorgarse bajo demanda.
Asegúrese de instalar solo las herramientas y características requeridas y de que las cuentas tengan solo los derechos requeridos y sean miembros de los grupos requeridos. Si otorga a todos derechos extensos o acceso a su sistema, se vuelve mucho más difícil detectar amenazas internas y su sistema se vuelve vulnerable si hay un gran número de personas en grupos de seguridad de alto acceso.
2. Lleve a cabo actualizaciones regulares de software
Fuente de imagen: Pixabay
Microsoft recomienda asegurarse de que el software de Windows y los programas de terceros estén actualizados regularmente. Para comprometer sistemas, atacantes a menudo explotan o aprovechan vulnerabilidades conocidas vulnerabilidades. Por otro lado, los profesionales de la ciberseguridad siempre están luchando para proporcionar parches de seguridad parches a estas vulnerabilidades. Como resultado, tener una rutina de parcheo regular ayuda a garantizar que sus sistemas sean inmunes a ataques cibernéticos.
Para lograr esto, a menudo se recomienda utilizar un administrador de parches para mantener actualizado el software de su sistema. Un buen sistema de administración de parches le notificará si alguno de sus programas contiene vulnerabilidades e informará sobre cualquier riesgo que encuentre, incluidos los atacantes que se dirigen específicamente a brechas de seguridad de Active Directory.
3. Implementar buenas políticas de contraseñas
En lugar de depender de reglas de complejidad, implemente políticas de contraseñas que animen a los usuarios a usar frases de contraseña que puedan recordar fácilmente. Es importante tener una política que requiera a los usuarios que establezcan contraseñas con paráfrasis de tres o más palabras en lugar de contraseñas difíciles de ocho o menos caracteres. Las reglas de complejidad de contraseñas desalientan a los usuarios a utilizar contraseñas memorables y conducen a la práctica inevitable de escribir contraseñas, lo que anula el propósito de tener una contraseña en primer lugar. También se recomienda establecer reglas que bloqueen a los usuarios después de un cierto número de intentos fallidos de inicio de sesión.
Por ejemplo, establecer una política que asegure que un usuario quede bloqueado después de tres intentos fallidos de contraseña. Las contraseñas pueden hacerse aún más seguras mediante el empleo de autenticación de dos factores autenticación. Puedes usar Microsoft Multi-Factor Authentication (MFA), Duo y RSA para implementar la autenticación de dos factores.
4. Proteger grupos y cuentas predeterminadas
Cuando se crea un dominio de Active Directory, también se crean un conjunto de grupos de seguridad predeterminados, y algunos de esos grupos tienen permisos bastante amplios. Tenga cuidado al administrar estos grupos, ya que otorgar a un usuario acceso a uno automáticamente les otorga acceso administrativo poderoso y roles de grupo.
Para hacerlo, asegúrese de seguir las siguientes prácticas:
- Asegúrese de que, excepto el predeterminado “Administrador de dominio”, ningún usuario regular tenga acceso al grupo “Administradores de dominio”.
- Asegúrese de que la cuenta de Administrador de dominio solo se use para la configuración del dominio y la recuperación de desastres.
- Otorgue acceso temporal a usuarios solo cuando sea necesario.
- Asegúrese de que las contraseñas se almacenen en un lugar seguro donde solo tengan acceso los usuarios autorizados.
- Deshabilite la cuenta de administrador local para evitar que se convierta en un punto de acceso para intrusos. Esto se debe a que ciberdelincuentes pueden acceder fácilmente a su sistema si lo deja habilitado, ya que comparte el mismo SID y contraseña en todas las instalaciones.
5. Realizar auditorías regulares de Active Directory
Siempre se recomienda que Active Directory, registros y eventos sean monitoreados cuidadosamente y constantemente. Esté alerta ante cualquier señal de comportamiento sospechoso, como un aumento en el número de intentos de inicio de sesión fallidos o cuentas bloqueadas, un cambio en la membresía de cualquier grupo privilegiado, la desactivación o eliminación de software antivirus, o un cambio en la hora de inicio de sesión o cierre de sesión.
Cualquiera de estos eventos podría ser una señal de advertencia de un intento o una compromiso existente de sus sistemas. Además, es fundamental realizar un seguimiento de quién tiene acceso a qué y realizar ajustes o eliminaciones según sea necesario para garantizar que nadie tenga más privilegios de los que necesita en términos de seguridad.
6. Implementar una política de Zero Trust
Zero trust significa que nadie en la organización es confiable por defecto. Implemente una política de “zero trust”, en la que ningún usuario, interno o externo, tenga acceso automático a las áreas protegidas de la red sin antes ser verificado.
A lot of system compromises are carried out by insiders. Therefore, no company should underestimate the risk posed by insider threats. Please follow the concept of least privilege by not giving users too much control over the network’s resources.
Solo dé a sus empleados o miembros de su organización el acceso que necesitan, y solo cuando lo necesiten. Siempre que tal acceso no sea necesario, elimínelo y, cuando sea posible, siempre otorgue el acceso de forma temporal.
7. Eliminar Grupos de Active Directory Vacíos
Idealmente, los grupos de Active Directory sin miembros no deberían existir. Esto socava completamente el objetivo de tener grupos en primer lugar. Sin embargo, no es raro que un Active Directory en crecimiento tenga varios grupos vacíos.
Un grupo de seguridad de Active Directory vacío causa dos problemas principales. En primer lugar, agregan un desorden innecesario y dificultan la administración del Active Directory, incluso cuando se utilizan herramientas de Active Directory amigables con el usuario.El segundo y más importante punto a tener en cuenta es que los grupos vacíos representan un riesgo de seguridad para su red.
I personally view every inactive security group in Active Directory as an additional and potential point of entry for attackers. Empty groups are much simpler for hackers to find a backdoor and steal sensitive information.
Afortunadamente, existen herramientas disponibles para ayudarlo a eliminar los grupos de AD inactivos. Las herramientas varían según el software de administración de grupos de Active Directory que utilice. Utilice estas herramientas para localizar grupos de Active Directory vacíos y eliminarlos ya sea fusionándolos o eliminándolos por completo. Por ejemplo, fusione grupos relacionados si todos requieren permisos idénticos.
8. Habilitar la autenticación multifactor de Azure AD (MFA)
Fuente de imagen: Unsplash
Azure AD MFA reduce el riesgo de autenticación solo con contraseña obligando a los usuarios a proporcionar una combinación de dos o más factores: “
- Algo que saben (por ejemplo, una contraseña).
- Algo que tienen (por ejemplo, un dispositivo de confianza como un teléfono).
- Algo que son (por ejemplo, una huella digital).
Existen varios métodos para activar la autenticación de múltiples factores en Azure:
A través de las opciones de seguridad predeterminadas de Azure AD: Esta opción permite a los administradores acelerar la implementación de MFA y aplicar configuraciones que requieran MFA utilizando Microsoft Authenticator para todos los usuarios. Este método también le permite, como administrador, prohibir los protocolos de autenticación heredados.
Mediante el uso de políticas de acceso condicionales: Estas políticas le brindan la libertad de requerir MFA en situaciones específicas, como cuando inicia sesión desde un lugar inusual, un dispositivo en el que no confía o una aplicación riesgosa. Al exigir una verificación adicional solo en casos donde se detecta un mayor riesgo, este método reduce la carga para los usuarios.Esta técnica reduce la carga para los usuarios al requerir verificación adicional solo cuando se reconoce un riesgo adicional.
A través de modificaciones de estado individuales del usuario: Este enfoque es compatible tanto con el MFA basado en la nube Azure AD como con el servidor de autenticación de Azure MFA. Bypass Conditional Access restrictions y obliga a los usuarios a utilizar la autenticación de dos factores cada vez que inician sesión.
También lea Implementar monitoreo de Azure AD
Mejores prácticas para grupos de seguridad de Active Directory (Conclusión)
Active Directory es un servicio sólido para controlar qué servidores Windows y recursos de red tienen acceso los usuarios individuales. Es posible mantener seguros sus sistemas de ataques al implementar fuertes medidas de seguridad, limitar las vulnerabilidades y monitorearlos constantemente.
Siga las prácticas recomendadas anteriores para evitar inconvenientes costosos y mantener seguros sus sistemas.
Source:
https://infrasos.com/active-directory-security-groups-best-practices/