Tag Archive: best practices


Por qué es importante mejorar la seguridad de las cuentas de administrador

Es esencial que las cuentas de administrador sean tan seguras como sea posible para garantizar la protección total de los activos de la red de la organización. Deberá proteger todos los equipos que pueda utilizar un administrador (controladores de dominio, servidores y las estaciones de trabajo que éste utilice). El grupo de TI de su empresa debe garantizar la seguridad de los controladores de dominio y servidores de entidad emisora de certificados, pues se consideran activos de máxima confianza. También deberán protegerse los equipos de escritorio y móviles de los administradores como activos de confianza, pues los administradores los utilizan para administrar de forma remota el bosque, el dominio y la infraestructura.

Por qué no debe iniciar una sesión en su equipo como administrador

Si normalmente inicia la sesión en su equipo como administrador para llevar a cabo las tareas comunes basadas en aplicaciones, hará que el equipo sea vulnerable ante software malintencionado y otros riesgos para la seguridad pues el software malintencionado se ejecutará con los mismos privilegios que se utilizaron para iniciar la sesión. Si visita un sitio de Internet o abre un archivo adjunto a un mensaje de correo, puede dañar el equipo ya que podría descargarse y ejecutarse en su equipo código malintencionado.

Si inicia la sesión como administrador en un equipo local, el código malintencionado podría, entre otras acciones, formatear la unidad de disco duro, eliminar archivos y crear una nueva cuenta de usuario con privilegios administrativos. Si inicia la sesión como miembro del grupo Administradores de dominio, el grupo Administradores de organización o el grupo Administradores de esquema en el servicio de directorio Active Directory®, el código malintencionado podría crear una nueva cuenta de usuario de dominio con acceso administrativo y poner en peligro los datos de dominio, configuración o esquema.

En un equipo local, deber agregar su cuenta de usuario de dominio sólo al grupo Usuarios (y no al grupo Administradores) para llevar a cabo tareas rutinarias como ejecutar programas o visitar sitios de Internet. Cuando sea necesario llevar a cabo tareas administrativas en un equipo local o en Active Directory, utilice el comando Ejecutar como para iniciar un programa con credenciales administrativas.

 

Existen varios grupos y cuentas de usuario administrativo cuyas credenciales pueden utilizarse para iniciar la sesión en un equipo o dominio. Entre las cuentas administrativas del dominio de Active Directory se incluyen las siguientes:

    • La cuenta Administrador, que se crea con la instalación de Active Directory en el primer controlador del dominio. Es la cuenta con más privilegios. La persona encargada de instalar Active Directory en el equipo crea la contraseña de esta cuenta durante la instalación. . De forma predeterminada, la primera cuenta de administrador creada en cada dominio es también el Agente de recuperación de datos (DRA) para el Sistema de cifrado de archivos (EFS) en cada dominio.
    • Las cuentas que cree posteriormente y a las que asigne directamente privilegios administrativos o coloque en un grupo con privilegios administrativos.

 

El número de grupos administrativos en un dominio Active Directory varía según los servicios instalados. Entre los grupos utilizados específicamente para la administración de Active Directory se incluyen:

  • Grupos administrativos que ya existen en el contenedor Builtin; por ejemplo, operadores de cuentas y operadores de servidores. Tenga en cuenta que los grupos del contenedor Builtin no se pueden cambiar de ubicación.
  • Grupos administrativos que ya existen en el contenedor Usuarios; por ejemplo, Administradores de dominio y Propietarios del creador de directivas de grupo.
  • Los grupos que se creen posteriormente y se incluyan en un grupo con privilegios administrativos o a la que se asignen directamente estos privilegios.

Las cuentas y los grupos administrativos predeterminados de un entorno de dominio son:

  • Administradores de organización (existen sólo en los dominios raíz del bosque)
  • Administradores de dominio (existen en todos los dominios)
  • Administradores de esquema (existen sólo en los dominios raíz del bosque)
  • Propietarios del creador de directivas de grupo (existen sólo en los dominios raíz del bosque)
  • Grupo Administradores
  • Cuenta de administrador
  • Cuenta de administrador del modo de restauración de SD (disponible sólo en Modo de restauración de servicios de directorio. Esta cuenta es local para el controlador de dominio y no es una cuenta de todo el dominio. La contraseña para esta cuenta se establece al instalar Active Directory en el equipo).
Tipos de cuenta de administrador

Existen básicamente tres categorías de cuentas de administrador para iniciar la sesión en un equipo o dominio. Cada categoría tiene privilegios y capacidades exclusivas.

  • Cuentas de administrador local. Esta categoría incluye la cuenta de administrador integrada que crea y utiliza Windows Server la primera vez que se instala en un equipo. Esta categoría también incluye cualquier otra cuenta de usuario que posteriormente cree y agregue al grupo Administradores local integrado. Los miembros de este grupo tienen acceso completo sin restricciones al equipo local.
  • Cuentas de administrador de dominio. Esta categoría incluye la cuenta de administrador de dominio integrada que crea y utiliza Active Directory la primera vez que se instala. Esta categoría también incluye cualquier otra cuenta de usuario que posteriormente cree y agregue al grupo Administradores local integrado o al grupo Administradores de dominio. Los miembros de estos grupos tienen acceso completo sin restricciones al dominio y, si no se protegen adecuadamente, a todo el bosque.
  • Cuentas de administrador de bosque. Esta categoría incluye la cuenta de administrador de dominio integrada del primer dominio creado en el bosque, que se denomina dominio raíz del bosque, porque la cuenta de administrador del dominio raíz del bosque se agrega automáticamente al grupo Administradores de organización al instalar Active Directory. Esta categoría también incluye cualquier otra cuenta de usuario que posteriormente cree y agregue al grupo Administradores de organización. Los miembros del grupo Administradores de organización tienen acceso completo sin restricciones a todo el bosque. Los administradores de organización también pueden instalar entidades emisoras de certificados, que pueden utilizarse para suplantar a cualquier usuario del bosque.

Principios para mejorar la seguridad de las cuentas de administrador

Al planear cómo proteger mejor sus cuentas administrativas, debe:

  • Aplicar el principio de privilegios mínimos
  • Seguir las directrices de prácticas recomendadas para mejorar la seguridad de las cuentas de administrador
Principio de privilegios mínimos

. El principio es simple y el efecto de aplicarlo correctamente aumenta considerablemente la seguridad y reduce los riesgos. El principio especifica que todos los usuarios deben iniciar la sesión con una cuenta de usuario que sólo tenga los permisos mínimos necesarios para llevar a cabo la tarea actual. Ésta es una forma de protección contra código malintencionado, entre otros ataques. Este principio es válido para los equipos y para los usuarios de dichos equipos.

 

Debe otorgar a todos los usuarios administradores de dominio sus privilegios de dominio según el concepto de privilegios mínimos. Por ejemplo, si un administrador inicia la sesión con una cuenta con privilegios e inintencionadamente ejecuta un programa de virus, el virus tendrá acceso administrativo al equipo local y a todo el dominio. Si el administrador hubiera iniciado la sesión con una cuenta sin privilegios (no administrativa), el virus sólo afectaría al equipo local pues se ejecuta como usuario del equipo local.

Prácticas recomendadas para mejorar la seguridad de las cuentas de administrador

Entre las directrices de prácticas recomendadas que debe seguir para mejorar la seguridad de las cuentas administrativas en Windows Server   incluyen:

  • Separar las funciones Administrador de dominio y Administrador de organización.
  • Separar las cuentas de usuario y administrador.
  • Utilizar el servicio de inicio de sesión secundario.
  • Ejecutar una sesión independiente de Servicios de Terminal Server para administración.
  • Cambiar el nombre de la cuenta Administrador predeterminada.
  • Crear una cuenta Administrador señuelo.
  • Crear una cuenta de administrador secundaria y deshabilitar la cuenta Administrador integrada.
  • Habilitar el bloqueo de la cuenta para inicios de sesión de administrador remotos.
  • Crear una contraseña de administrador segura.
  • Detectar automáticamente contraseñas poco seguras.
  • Utilizar credenciales administrativas sólo en equipos de confianza.
  • Auditar las cuentas y contraseñas periódicamente.
  • Prohibir la delegación de cuentas.
  • Controlar el proceso de inicio de sesión administrativa.

Capítulo 3: Directrices para mejorar la seguridad de las cuentas de administrador

Descripción general de las directrices para mejorar la seguridad de las cuentas de administrador.
Separar las cuentas de usuario y administrador

Para cada usuario que desempeñe una función de administrador, debe crear dos cuentas: una cuenta de usuario normal para las tareas cotidianas típicas, como correo electrónico y otros programas, y una cuenta administrativa únicamente para las tareas administrativas. No debe habilitar estas cuentas administrativas para el correo electrónico, utilícelas para ejecutar programas estándar o explorar Internet. Cada cuenta debe disponer de una contraseña única. Si adopta estas precauciones simples, contribuirá a reducir considerablemente la exposición de las cuentas a los riesgos externos y la cantidad de tiempo que las cuentas administrativas están activas en un equipo o dominio.

Utilizar el servicio de inicio de sesión secundario

En Microsoft Windows® se pueden ejecutar programas como un usuario distinto del que ha iniciado la sesión actualmente. En Windows 2000, el servicio Ejecutar como proporciona esta capacidad, mientras que en Windows XP y Windows Server 2003, se denomina servicio de inicio de sesión secundario. Los servicios Ejecutar como e Inicio de sesión secundario son el mismo pero con nombres distintos.

El inicio de sesión secundario permite a los administradores iniciar sesión en el equipo con una cuenta no administrativa y, sin cerrar la sesión, llevar a cabo tareas administrativas mediante la ejecución de programas administrativos de confianza en contextos administrativos.

Para cambiar el nombre de la cuenta Administrador predeterminada en un dominio

  1. Inicie sesión como miembro del grupo de administradores de dominio (pero no la cuenta Administrador integrada) y, a continuación, abra Usuarios y equipos de Active Directory.
  2. En el árbol de consola, haga clic en Users.
  3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en Administrador y, a continuación, haga clic en Cambiar nombre.
  4. Escriba un nombre y unos apellidos ficticios y, a continuación, presione Entrar.
  5. En el cuadro de diálogo Cambiar nombre de usuario, modifique los valores de los campos Nombre completo, Nombre, Apellidos, Nombre para mostrar, Nombre de inicio de sesión de usuario y Nombre de inicio de sesión de usuario (anterior a Windows 2000) para que coincidan con los de la cuenta ficticia y, a continuación, haga clic en Aceptar.
  6. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el nuevo nombre y, a continuación, haga clic en Propiedades.
  7. Haga clic en la ficha General. En el cuadro Descripción, elimine Cuenta para la administración del equipo o dominio y, a continuación, escriba una descripción similar a las demás cuentas de usuario (en muchas organizaciones este valor está en blanco).
  8. Haga clic en Aceptar.

Para cambiar el nombre de la cuenta Administrador local predeterminada

  1. Inicie sesión como miembro del grupo Administradores local (pero no la cuenta Administrador integrada) y abra la herramienta de complemento Usuarios locales y grupos en la consola Administración de equipos.
  2. En el árbol de consola, expanda Usuarios locales y grupos y, a continuación, haga clic en Usuarios.
  3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en Administrador y, a continuación, haga clic en Cambiar nombre.
  4. Escriba un nombre y unos apellidos ficticios y, a continuación, presione Entrar.
  5. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el nuevo nombre y, a continuación, haga clic en Propiedades.
  6. Haga clic en la ficha General. En el cuadro Nombre completo, escriba el nuevo nombre completo. En el cuadro Descripción, elimine Cuenta para la administración del equipo o dominio y, a continuación, escriba una descripción similar a las demás cuentas de usuario (en muchas organizaciones este valor está en blanco).
  7. Haga clic en Aceptar.

Cc162797.note(es-es,TechNet.10).gifNota: también existe una configuración de objeto de directiva de grupo (GPO) que puede utilizar para cambiar el nombre de la cuenta Administrador predeterminada en gran cantidad de equipos. No obstante, esta configuración no permite modificar la descripción predeterminada. Para obtener más información, consulte el artículo de Knowledge Base HOW TO: Rename the Administrator and Guest Account in Windows Server 2003 en http://support.microsoft.com/default.aspx?scid=kb;en-us;816109.

Crear una cuenta Administrador señuelo

La creación de una cuenta Administrador señuelo agrega un nivel adicional de protección. Puede engañar a un atacante que planee un ataque de contraseña en la cuenta Administrador para que lo haga en una cuenta que no tenga privilegios especiales, por lo que es muy poco probable que el atacante descubra que ha cambiado el nombre de la cuenta Administrador. También es aconsejable para detener a un atacante, asegurándose de que esta cuenta señuelo no se bloquea y estableciendo una contraseña segura. Después de crear la cuenta señuelo, debe asegurarse de que no es miembro de ningún grupo de seguridad con privilegios y, a continuación, supervise el uso de la cuenta por si se produce alguna actividad inesperada, como errores de inicio de sesión. Para obtener más información, consulte Seguridad en grupos administrativos y cuentas de Active Directory en http://www.microsoft.com/technet/security/topics/networksecurity/sec_ad_admin_groups.mspx.

Para crear una cuenta Administrador señuelo en un dominio

  1. Inicie sesión como miembro del grupo Admins. del dominio y abra Usuarios y equipos de Active Directory.
  2. Haga clic con el botón secundario del mouse (ratón) en el contenedor Users, seleccione Nuevo y, a continuación, haga clic en Usuario.
  3. En los cuadros Nombre y Nombre de inicio de sesión de usuario, escriba Administrador y, a continuación, haga clic en Siguiente.
  4. Escriba una contraseña y confírmela.
  5. Desactive la casilla de verificación El usuario debe cambiar la contraseña al iniciar una sesión de nuevo y, a continuación, haga clic en Siguiente.
  6. Compruebe que la información de la cuenta señuelo es correcta y, a continuación, haga clic en Finalizar.
  7. En el panel de detalles, haga clic con el botón secundario del mouse en Administrador y, a continuación, haga clic en Propiedades.
  8. Haga clic en la ficha General. En el cuadro Descripción, escriba Cuenta para la administración del equipo o dominio y, a continuación, haga clic en Aceptar.

Para crear una cuenta Administrador señuelo local

  1. Inicie sesión como miembro del grupo Administradores local y abra la herramienta de complemento Usuarios locales y grupos en la consola Administración de equipos.
  2. En el árbol de la consola, amplíe Usuarios locales y grupos.
  3. Haga clic con el botón secundario del mouse (ratón) en la carpeta Usuarios y, a continuación, haga clic en Nuevo usuario.
  4. En el cuadro Nombre de usuario, escriba Administrador. En el cuadro Descripción, escriba Cuenta para la administración del equipo o dominio.
  5. Escriba una contraseña y confírmela.
  6. Desactive la casilla de verificación El usuario debe cambiar la contraseña al iniciar una sesión de nuevo.
  7. Haga clic en Crear.
Crear una contraseña de administrador segura

Utilice una contraseña segura para la cuenta Administrador integrada. Una contraseña segura minimiza la amenaza de que un atacante averigüe la contraseña y obtenga las credenciales de la cuenta Administrador. Una contraseña de cuenta de administrador segura debe:

  • Contener 15 caracteres como mínimo.
  • No contener un nombre de cuenta, nombre real o nombre de compañía.
  • No contener una palabra de diccionario completa, ni siquiera de argot o jerga, en ningún idioma.
  • Ser considerablemente distinta de las contraseñas anteriores. Las contraseñas que incluyen un incremento (Contraseña1, Contraseña2, Contraseña3, …) no son seguras.
  • Contener caracteres, como mínimo, de tres de los cinco grupos enumerados en la tabla siguiente.

El uso adeacuado de las group policies esta sujeto  a que tan bueno es el diseño del Active Directory. Muchas veces nos encontramos el error de que estos estan diseñados siguiendo el ornanigrama de la empresa. La manera mas eficiente es armarlo a base del funcionamiento de la empresa.  Si ha impelentado los  sitios, dominios y unidades organizativas de la manera incorrecta, las directivas de grupo serán difíciles de utilizar y mucho mas poder  resolver problemas.  Por lo tanto el primer paso sera planificar el Active directory, no hay una modelo, esta sujeto al funcionamiento de la empresa en la cual se va a implementar. Algunas de las preguntas que deben hacerse son las suiguientes:  ¿Cuantos bosques/forest se va a implementar (uno o varios)? ¿Cuántos árboles de dominio? Habrá dominios secundarios? ¿Qué tipo de estructura de unidades organizativas tendra  cada dominio  Y así sucesivamente. Cada una de estas decisiones debe hacerse siempre por la pregunta: ¿Qué impacto tendrá mi decisión tiene sobre la directiva de grupo se lleva a cabo en mi empresa? Veamos algunas pautas que pueden ayudarle a diseñar Active Directory con eficacia en cuanto a la directiva de grupo se refiere

K.I.S.S. “Keep It Simple, Stupid ” 🙂

En el contexto de la planificación de directiva de grupo, esto significa dos cosas::

Si un dominio único se reunirán todas las necesidades de su empresa, a continuación, utilizar un solo dominio. La razón es simplemente que el número de objetos de directiva de grupo (GPO) que tendrá que crear es aproximadamente proporcional al número de dominios que tienen en el bosque. Para vincular un GPO mientras residen en un dominio a un contenedor (dominio, sitio o unidad organizativa) en un dominio diferente reduce el número total de GPO que necesita para implementar, puede tener un impacto en el rendimiento y por lo general no se debe hacer.

Mantener su estructura de unidades organizativas relativamente sencillas, por ejemplo dos o tres niveles de unidades organizativas en la mayoría. La razón es similar aquí por qué usted debe tener su número de dominios de lo más bajo posible: los gastos administrativos.
Así que vamos a decir de comenzar el diseño de Active Directory con la decisión que nos van a un único dominio (ver Figura 1) con dos o quizás tres niveles de unidades organizativas dentro de ella. Eso es un buen lugar para empezar. ¿Qué sigue?


OU servidor

Directiva de grupo no es sólo para la administración de escritorios, es también excelente para el bloqueo de los servidores para garantizar que son seguros y funcionan correctamente. Y por los servidores me refiero tanto a los servidores miembros (que incluyen los servidores de archivos, servidores de impresión, servidores web, servidores DHCP, etc) y los controladores de dominio. La mejor manera de bloquear los controladores de dominio es dejarlos en la unidad organizativa controladores de dominio predeterminada y configurar un GPO vinculado a esa unidad organizativa. Hay dos maneras para hacer esto:

  1. Configurar los ajustes en el controladores de dominio predeterminada.

Crear un nuevo GPO, vincularla a la unidad organizativa de controladores de dominio, y configurarlo.
¿Qué enfoque es mejor? Algunos expertos recomiendan dejar el GPO predeterminado tocar y el crear un nuevo GPO y moverlo a la parte superior de la orden de enlace para los GPO vinculados a la OU. De esta manera si algo sale mal después por lo menos tener la GPO predeterminado en su lugar y sin tocar. pero hay varias opciones

¿Qué pasa con los demas servidores ? El truco aquí es darse cuenta de que las funciones de miembro de diferentes servidores son, básicamente, de forma incremental diferente de una línea de base servidor miembro. Así que un buen enfoque es crear un alto nivel de unidad organizativa Servidores miembro y luego por debajo de él añadir las unidades organizativas adicionales para cada función


Figure 2: OU structure for member servers.

La ventaja de este enfoque es que ahora se puede crear una base de servidores miembro GPO que generalmente asegura cualquier servidor miembro y enlace a la unidad organizativa Servidores miembro. De esta forma todos los servidores miembro en unidades organizativas secundarias heredarán automáticamente esta política. A continuación, puede crear una impresión Servidores GPO y vincularlo a la unidad organizativa Servidores de impresión, servidores de un archivo de GPO y vincularlo a la unidad organizativa de servidores de archivos, y así sucesivamente. Estas diferentes GPO vinculados a unidades organizativas secundarias de la UO Servidor miembro se puede utilizar para endurecer la seguridad incremental para cada función de servidor en la base endurecimiento facilitada por los servidores de GPO.

Escritorio del usuario y las unidades organizativas

La estructura de unidades organizativas a planificarpuede depender de varias cosas incluyendo el organigrama de la empresa, sucursales, número de departamentos, y así sucesivamente. No hay un modelo de diseñar las unidades organizativas de un dominio, pero los siguientes consejos pueden ayudarle a evitar problemas en el futuro cuando se inicia la creación de GPO para bloquear los usuarios y sus computadoras de escritorio.

En primer lugar, sólo se debe crear una unidad organizativa, si hay alguna razón de peso para que exista. Por ejemplo, si los usuarios de las Ventas, Marketing, y los departamentos de referencia tienen necesidades similares en cuanto a la seguridad va, el grupo de sus cuentas en una única unidad organizativa en lugar de tres. Entonces, si los usuarios de ventas tienen algunas diferencias menores en los requisitos de seguridad de los otros dos departamentos, se puede crear y vincular otro GPO a la OU y el uso de filtrado de seguridad para garantizar sólo los miembros del grupo de ventas tienen que establecer GPO se aplica a ellos.

A continuación,se debe tratar de crear unidades organizativas a lo largo de las líneas departamentales en lugar de la ubicación geográfica. De esa manera se  puede hacer un uso más eficaz de la delegación cuando se necesita para usarlo. Si se debe tener las unidades organizativas geográfica, hacen de las unidades organizativas de nivel superior y luego crear unidades organizativas secundarias por debajo de ellos por cada división o departamento (Figura 3):

A continuación, crear unidades organizativas independientes para las cuentas de equipo y cuentas de usuario (Figura 4). De esta manera puede utilizar unidades organizativas independientes para bloquear los ajustes de la máquina y la configuración del usuario. Por supuesto, se puede lograr lo mismo por agrupar las cuentas de equipo y de usuario en una única unidad organizativa, que une dos GPO a la OU, y la desactivación de la configuración de la máquina en una unidad organizativa y la configuración del usuario en la OU otros. Sin embargo, mantener el equipo y las cuentas de usuario en unidades organizativas independientes, será más fácil para solucionar problemas de directiva de grupo

Figure 4: separadas ou para usuarios y computers

Además, trate de evitar el uso de bloqueo,” force Loopback” , y otras formas de modificar la directiva de grupo predeterminada para la herencia. Eso es porque el uso de estas características puede hacer que sea muy difícil de averiguar por qué la directiva de grupo no está haciendo lo que quieres que deberia . Ses absolutamente necesario utilizar estas características en el diseño de la directiva de grupo, es probable que no se haya diseñado una estructura de Active Directory de forma ordenada . La única excepción a esta regla es el filtrado de seguridad, que es una poderosa herramienta que puede ayudar a hacer una selección más precisa GPO sin complicar el diseño.

Por último, evitar hacer cambios en la directiva de dominio predeterminada. En su lugar, crear un nuevo GPO, vincularla con el dominio, y configurar sus parámetros, según sea necesario. Pero tenga mucho cuidado con lo que configurar en cualquier GPO vinculado a un dominio, ya que todos los ajustes que configure será heredado por todas las computadoras y cuentas de usuario en todas las unidades organizativas en el dominio. Siempre que sea posible configurar la política en el nivel de unidad organizativa y no en el nivel de dominio y uso de dominio GPO sólo para objetos del dominio.