Un saludo para todos, bienvenidos y gracias por su interés en el tema, en esta ocasión publicaré una serie de artículos en los cuales explicaré las mejores prácticas para asegurar nuestro servicio de directorio, la información que presentaré está basada primero que todo en mi experiencia con clientes y en documentación técnica de Microsoft, la idea es empezar explicando algunas bases conceptuales las cuales son fundamentales para abordar el tema de seguridad con unas bases sólidas, si ya posees estos conocimientos podrás iniciar desde cualquiera de los artículos, la idea es construir una base completa que pueda ser utilizada tanto por personas con conocimientos básicos y también por personas experimentadas en el tema, el único requisito es trabajar con Active Directory y sobre todo tener muchos deseos de conocer y aplicar las mejores prácticas en el aseguramiento del servicio de directorio de Microsoft.
CUENTAS Y GRUPOS PRIVILEGIADOS
En Active Directory, existen grupos que poseen elevados privilegios a lo largo del bosque y dominio, pero frecuentemente he observado como se uitilizan estos grupos para cualquier tipo de actividad, no sé en que momento los administradores empezaron a creer que para hacer ciertas actividades es necesaria una cuenta con privilegios elevados a nivel de dominio, me refiero específicamente a las cuentas pertenecientes a los siguientes grupos: Administradores de empresas, Administradores del dominio, y Administradores. He llegado a ver escenarios donde incluso se usa la cuenta Administrador integrada para unir equipos a un dominio, que es lo que debemos empezar a erradicar a partir de esta serie de artículos de seguridad en Active Directory.
Para empezar, vamos a ver algo de teoría, no te desesperes, poco a poco avanzaremos y mostraré técnicamente cómo hacer las cosas, pero es muy importante la base teórica para lograr exitosamente nuestro objetivo.
GRUPOS CON ALTOS PRIVILEGIOS EN ACTIVE DIRECTORY
Administradores de empresas (Enterprise Admins)
Este grupo existe solamente en el dominio raíz del bosque, básicamente en el primer dominio que instalemos, y de manera predeterminada es miembro de todos los grupos Administradores en todos los dominios del.bosque, tiene permisos para hacer cambios en todo el bosque, cualquier cambio afecta a todos los dominios en el bosque como por ejemplo la eliminación o adición de dominios, establecimiento de relaciones de confianza, elevación de nivel funcional de bosque.
La utilización de este grupo se requiere solamente cuando se van a realizar operaciones como la implementación inicial del bosque, o cuando se va a establecer una relación de confianza con otro bosque, muchos de los permisos que se obtienen con este grupo pueden ser delagados en grupos menos privilegiados.
Admins. del dominio (Domain Admins)
Este grupo es miembro del grupo Administradores en el dominio, y también es miembro del grupo Administradores de todos los equipos unidos a un dominio, es decir, al momento de unir un equipo al dominio, la cuenta Admins. del dominio se agrega al grupo Administradores local de la máquina unida al dominio, el único usuario que pertenece a este grupo es la cuenta Administrador la cual posee los privilegios más elevados a nivel del dominio, nótese que a diferencia del grupo Administradores de empresas que tiene privilegios a lo largo de todo el bosque, el grupo Admins. del dominio los tiene solo a nivel de dominio, muchos privilegios que tiene este grupo, pueden delegarse, razón por la cual este grupo debería usarse solamente en casos de emergencia, todo depende de la debida delegación de funciones que se implemente.
Administradores (Administrators)
A este grupo pertenecen los dos grupos vistos anteriormente (Administradores de empresas y Admins. del dominio), el grupo posee elevados privilegios a nivel de controlador de dominio, sin embargo, no posee los mismos privilegios en servidores miembro y en los equipos cliente del dominio, ya que este grupo no hace parte del grupo Administradores local de los equipos del dominio, lo cual si existe con el grupo Admins. del dominio.
Con lo anterior hemos visto el objetivo de cada uno de los grupos más privilegiados en Active Directory y sobre los cuales trabajaremos para asegurar nuestro directorio, como podemos observar los elevados privilegios de este grupo hacen que cualquier miembro de éstos pueda tomar el control completo del dominio y bosque, por lo cual debemos enfocarnos en cómo proteger y vigilar la pertenencia a ellos.
Ahora, vamos a ver la aparición de un cuarto grupo llamado Administradores de esquema
Administradores de esquema (Schema Admins)
Este grupo existe solamente en la raíz del bosque, este grupo al igual que Administradores de empresas solo tiene como miembro la cuenta Administrador, se debe agregar un miembro solo en caso que se requiera, ya que el uso de este grupo es muy eventual, solo en casos donde se requiera hacer una modificación del esquema de Active Directory. Por esta razón podemos mantener el grupo sin miembros, y en el caso que se requiera agregamos el miembro temporalmente, una vez finalice la actividad volvemos a retirar el usuario del grupo.
No hay comentarios:
Publicar un comentario