Por qué es importante mejorar la seguridad de las cuentas de administrador

Es esencial que las cuentas de administrador sean tan seguras como sea posible para garantizar la protección total de los activos de la red de la organización. Deberá proteger todos los equipos que pueda utilizar un administrador (controladores de dominio, servidores y las estaciones de trabajo que éste utilice). El grupo de TI de su empresa debe garantizar la seguridad de los controladores de dominio y servidores de entidad emisora de certificados, pues se consideran activos de máxima confianza. También deberán protegerse los equipos de escritorio y móviles de los administradores como activos de confianza, pues los administradores los utilizan para administrar de forma remota el bosque, el dominio y la infraestructura.

Por qué no debe iniciar una sesión en su equipo como administrador

Si normalmente inicia la sesión en su equipo como administrador para llevar a cabo las tareas comunes basadas en aplicaciones, hará que el equipo sea vulnerable ante software malintencionado y otros riesgos para la seguridad pues el software malintencionado se ejecutará con los mismos privilegios que se utilizaron para iniciar la sesión. Si visita un sitio de Internet o abre un archivo adjunto a un mensaje de correo, puede dañar el equipo ya que podría descargarse y ejecutarse en su equipo código malintencionado.

Si inicia la sesión como administrador en un equipo local, el código malintencionado podría, entre otras acciones, formatear la unidad de disco duro, eliminar archivos y crear una nueva cuenta de usuario con privilegios administrativos. Si inicia la sesión como miembro del grupo Administradores de dominio, el grupo Administradores de organización o el grupo Administradores de esquema en el servicio de directorio Active Directory®, el código malintencionado podría crear una nueva cuenta de usuario de dominio con acceso administrativo y poner en peligro los datos de dominio, configuración o esquema.

En un equipo local, deber agregar su cuenta de usuario de dominio sólo al grupo Usuarios (y no al grupo Administradores) para llevar a cabo tareas rutinarias como ejecutar programas o visitar sitios de Internet. Cuando sea necesario llevar a cabo tareas administrativas en un equipo local o en Active Directory, utilice el comando Ejecutar como para iniciar un programa con credenciales administrativas.

 

Existen varios grupos y cuentas de usuario administrativo cuyas credenciales pueden utilizarse para iniciar la sesión en un equipo o dominio. Entre las cuentas administrativas del dominio de Active Directory se incluyen las siguientes:

    • La cuenta Administrador, que se crea con la instalación de Active Directory en el primer controlador del dominio. Es la cuenta con más privilegios. La persona encargada de instalar Active Directory en el equipo crea la contraseña de esta cuenta durante la instalación. . De forma predeterminada, la primera cuenta de administrador creada en cada dominio es también el Agente de recuperación de datos (DRA) para el Sistema de cifrado de archivos (EFS) en cada dominio.
    • Las cuentas que cree posteriormente y a las que asigne directamente privilegios administrativos o coloque en un grupo con privilegios administrativos.

 

El número de grupos administrativos en un dominio Active Directory varía según los servicios instalados. Entre los grupos utilizados específicamente para la administración de Active Directory se incluyen:

  • Grupos administrativos que ya existen en el contenedor Builtin; por ejemplo, operadores de cuentas y operadores de servidores. Tenga en cuenta que los grupos del contenedor Builtin no se pueden cambiar de ubicación.
  • Grupos administrativos que ya existen en el contenedor Usuarios; por ejemplo, Administradores de dominio y Propietarios del creador de directivas de grupo.
  • Los grupos que se creen posteriormente y se incluyan en un grupo con privilegios administrativos o a la que se asignen directamente estos privilegios.

Las cuentas y los grupos administrativos predeterminados de un entorno de dominio son:

  • Administradores de organización (existen sólo en los dominios raíz del bosque)
  • Administradores de dominio (existen en todos los dominios)
  • Administradores de esquema (existen sólo en los dominios raíz del bosque)
  • Propietarios del creador de directivas de grupo (existen sólo en los dominios raíz del bosque)
  • Grupo Administradores
  • Cuenta de administrador
  • Cuenta de administrador del modo de restauración de SD (disponible sólo en Modo de restauración de servicios de directorio. Esta cuenta es local para el controlador de dominio y no es una cuenta de todo el dominio. La contraseña para esta cuenta se establece al instalar Active Directory en el equipo).
Tipos de cuenta de administrador

Existen básicamente tres categorías de cuentas de administrador para iniciar la sesión en un equipo o dominio. Cada categoría tiene privilegios y capacidades exclusivas.

  • Cuentas de administrador local. Esta categoría incluye la cuenta de administrador integrada que crea y utiliza Windows Server la primera vez que se instala en un equipo. Esta categoría también incluye cualquier otra cuenta de usuario que posteriormente cree y agregue al grupo Administradores local integrado. Los miembros de este grupo tienen acceso completo sin restricciones al equipo local.
  • Cuentas de administrador de dominio. Esta categoría incluye la cuenta de administrador de dominio integrada que crea y utiliza Active Directory la primera vez que se instala. Esta categoría también incluye cualquier otra cuenta de usuario que posteriormente cree y agregue al grupo Administradores local integrado o al grupo Administradores de dominio. Los miembros de estos grupos tienen acceso completo sin restricciones al dominio y, si no se protegen adecuadamente, a todo el bosque.
  • Cuentas de administrador de bosque. Esta categoría incluye la cuenta de administrador de dominio integrada del primer dominio creado en el bosque, que se denomina dominio raíz del bosque, porque la cuenta de administrador del dominio raíz del bosque se agrega automáticamente al grupo Administradores de organización al instalar Active Directory. Esta categoría también incluye cualquier otra cuenta de usuario que posteriormente cree y agregue al grupo Administradores de organización. Los miembros del grupo Administradores de organización tienen acceso completo sin restricciones a todo el bosque. Los administradores de organización también pueden instalar entidades emisoras de certificados, que pueden utilizarse para suplantar a cualquier usuario del bosque.

Principios para mejorar la seguridad de las cuentas de administrador

Al planear cómo proteger mejor sus cuentas administrativas, debe:

  • Aplicar el principio de privilegios mínimos
  • Seguir las directrices de prácticas recomendadas para mejorar la seguridad de las cuentas de administrador
Principio de privilegios mínimos

. El principio es simple y el efecto de aplicarlo correctamente aumenta considerablemente la seguridad y reduce los riesgos. El principio especifica que todos los usuarios deben iniciar la sesión con una cuenta de usuario que sólo tenga los permisos mínimos necesarios para llevar a cabo la tarea actual. Ésta es una forma de protección contra código malintencionado, entre otros ataques. Este principio es válido para los equipos y para los usuarios de dichos equipos.

 

Debe otorgar a todos los usuarios administradores de dominio sus privilegios de dominio según el concepto de privilegios mínimos. Por ejemplo, si un administrador inicia la sesión con una cuenta con privilegios e inintencionadamente ejecuta un programa de virus, el virus tendrá acceso administrativo al equipo local y a todo el dominio. Si el administrador hubiera iniciado la sesión con una cuenta sin privilegios (no administrativa), el virus sólo afectaría al equipo local pues se ejecuta como usuario del equipo local.

Prácticas recomendadas para mejorar la seguridad de las cuentas de administrador

Entre las directrices de prácticas recomendadas que debe seguir para mejorar la seguridad de las cuentas administrativas en Windows Server   incluyen:

  • Separar las funciones Administrador de dominio y Administrador de organización.
  • Separar las cuentas de usuario y administrador.
  • Utilizar el servicio de inicio de sesión secundario.
  • Ejecutar una sesión independiente de Servicios de Terminal Server para administración.
  • Cambiar el nombre de la cuenta Administrador predeterminada.
  • Crear una cuenta Administrador señuelo.
  • Crear una cuenta de administrador secundaria y deshabilitar la cuenta Administrador integrada.
  • Habilitar el bloqueo de la cuenta para inicios de sesión de administrador remotos.
  • Crear una contraseña de administrador segura.
  • Detectar automáticamente contraseñas poco seguras.
  • Utilizar credenciales administrativas sólo en equipos de confianza.
  • Auditar las cuentas y contraseñas periódicamente.
  • Prohibir la delegación de cuentas.
  • Controlar el proceso de inicio de sesión administrativa.

Capítulo 3: Directrices para mejorar la seguridad de las cuentas de administrador

Descripción general de las directrices para mejorar la seguridad de las cuentas de administrador.
Separar las cuentas de usuario y administrador

Para cada usuario que desempeñe una función de administrador, debe crear dos cuentas: una cuenta de usuario normal para las tareas cotidianas típicas, como correo electrónico y otros programas, y una cuenta administrativa únicamente para las tareas administrativas. No debe habilitar estas cuentas administrativas para el correo electrónico, utilícelas para ejecutar programas estándar o explorar Internet. Cada cuenta debe disponer de una contraseña única. Si adopta estas precauciones simples, contribuirá a reducir considerablemente la exposición de las cuentas a los riesgos externos y la cantidad de tiempo que las cuentas administrativas están activas en un equipo o dominio.

Utilizar el servicio de inicio de sesión secundario

En Microsoft Windows® se pueden ejecutar programas como un usuario distinto del que ha iniciado la sesión actualmente. En Windows 2000, el servicio Ejecutar como proporciona esta capacidad, mientras que en Windows XP y Windows Server 2003, se denomina servicio de inicio de sesión secundario. Los servicios Ejecutar como e Inicio de sesión secundario son el mismo pero con nombres distintos.

El inicio de sesión secundario permite a los administradores iniciar sesión en el equipo con una cuenta no administrativa y, sin cerrar la sesión, llevar a cabo tareas administrativas mediante la ejecución de programas administrativos de confianza en contextos administrativos.

Para cambiar el nombre de la cuenta Administrador predeterminada en un dominio

  1. Inicie sesión como miembro del grupo de administradores de dominio (pero no la cuenta Administrador integrada) y, a continuación, abra Usuarios y equipos de Active Directory.
  2. En el árbol de consola, haga clic en Users.
  3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en Administrador y, a continuación, haga clic en Cambiar nombre.
  4. Escriba un nombre y unos apellidos ficticios y, a continuación, presione Entrar.
  5. En el cuadro de diálogo Cambiar nombre de usuario, modifique los valores de los campos Nombre completo, Nombre, Apellidos, Nombre para mostrar, Nombre de inicio de sesión de usuario y Nombre de inicio de sesión de usuario (anterior a Windows 2000) para que coincidan con los de la cuenta ficticia y, a continuación, haga clic en Aceptar.
  6. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el nuevo nombre y, a continuación, haga clic en Propiedades.
  7. Haga clic en la ficha General. En el cuadro Descripción, elimine Cuenta para la administración del equipo o dominio y, a continuación, escriba una descripción similar a las demás cuentas de usuario (en muchas organizaciones este valor está en blanco).
  8. Haga clic en Aceptar.

Para cambiar el nombre de la cuenta Administrador local predeterminada

  1. Inicie sesión como miembro del grupo Administradores local (pero no la cuenta Administrador integrada) y abra la herramienta de complemento Usuarios locales y grupos en la consola Administración de equipos.
  2. En el árbol de consola, expanda Usuarios locales y grupos y, a continuación, haga clic en Usuarios.
  3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en Administrador y, a continuación, haga clic en Cambiar nombre.
  4. Escriba un nombre y unos apellidos ficticios y, a continuación, presione Entrar.
  5. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el nuevo nombre y, a continuación, haga clic en Propiedades.
  6. Haga clic en la ficha General. En el cuadro Nombre completo, escriba el nuevo nombre completo. En el cuadro Descripción, elimine Cuenta para la administración del equipo o dominio y, a continuación, escriba una descripción similar a las demás cuentas de usuario (en muchas organizaciones este valor está en blanco).
  7. Haga clic en Aceptar.

Cc162797.note(es-es,TechNet.10).gifNota: también existe una configuración de objeto de directiva de grupo (GPO) que puede utilizar para cambiar el nombre de la cuenta Administrador predeterminada en gran cantidad de equipos. No obstante, esta configuración no permite modificar la descripción predeterminada. Para obtener más información, consulte el artículo de Knowledge Base HOW TO: Rename the Administrator and Guest Account in Windows Server 2003 en http://support.microsoft.com/default.aspx?scid=kb;en-us;816109.

Crear una cuenta Administrador señuelo

La creación de una cuenta Administrador señuelo agrega un nivel adicional de protección. Puede engañar a un atacante que planee un ataque de contraseña en la cuenta Administrador para que lo haga en una cuenta que no tenga privilegios especiales, por lo que es muy poco probable que el atacante descubra que ha cambiado el nombre de la cuenta Administrador. También es aconsejable para detener a un atacante, asegurándose de que esta cuenta señuelo no se bloquea y estableciendo una contraseña segura. Después de crear la cuenta señuelo, debe asegurarse de que no es miembro de ningún grupo de seguridad con privilegios y, a continuación, supervise el uso de la cuenta por si se produce alguna actividad inesperada, como errores de inicio de sesión. Para obtener más información, consulte Seguridad en grupos administrativos y cuentas de Active Directory en http://www.microsoft.com/technet/security/topics/networksecurity/sec_ad_admin_groups.mspx.

Para crear una cuenta Administrador señuelo en un dominio

  1. Inicie sesión como miembro del grupo Admins. del dominio y abra Usuarios y equipos de Active Directory.
  2. Haga clic con el botón secundario del mouse (ratón) en el contenedor Users, seleccione Nuevo y, a continuación, haga clic en Usuario.
  3. En los cuadros Nombre y Nombre de inicio de sesión de usuario, escriba Administrador y, a continuación, haga clic en Siguiente.
  4. Escriba una contraseña y confírmela.
  5. Desactive la casilla de verificación El usuario debe cambiar la contraseña al iniciar una sesión de nuevo y, a continuación, haga clic en Siguiente.
  6. Compruebe que la información de la cuenta señuelo es correcta y, a continuación, haga clic en Finalizar.
  7. En el panel de detalles, haga clic con el botón secundario del mouse en Administrador y, a continuación, haga clic en Propiedades.
  8. Haga clic en la ficha General. En el cuadro Descripción, escriba Cuenta para la administración del equipo o dominio y, a continuación, haga clic en Aceptar.

Para crear una cuenta Administrador señuelo local

  1. Inicie sesión como miembro del grupo Administradores local y abra la herramienta de complemento Usuarios locales y grupos en la consola Administración de equipos.
  2. En el árbol de la consola, amplíe Usuarios locales y grupos.
  3. Haga clic con el botón secundario del mouse (ratón) en la carpeta Usuarios y, a continuación, haga clic en Nuevo usuario.
  4. En el cuadro Nombre de usuario, escriba Administrador. En el cuadro Descripción, escriba Cuenta para la administración del equipo o dominio.
  5. Escriba una contraseña y confírmela.
  6. Desactive la casilla de verificación El usuario debe cambiar la contraseña al iniciar una sesión de nuevo.
  7. Haga clic en Crear.
Crear una contraseña de administrador segura

Utilice una contraseña segura para la cuenta Administrador integrada. Una contraseña segura minimiza la amenaza de que un atacante averigüe la contraseña y obtenga las credenciales de la cuenta Administrador. Una contraseña de cuenta de administrador segura debe:

  • Contener 15 caracteres como mínimo.
  • No contener un nombre de cuenta, nombre real o nombre de compañía.
  • No contener una palabra de diccionario completa, ni siquiera de argot o jerga, en ningún idioma.
  • Ser considerablemente distinta de las contraseñas anteriores. Las contraseñas que incluyen un incremento (Contraseña1, Contraseña2, Contraseña3, …) no son seguras.
  • Contener caracteres, como mínimo, de tres de los cinco grupos enumerados en la tabla siguiente.
Anuncios