Active Directory es uno de los componentes principales de las redes empresariales para los sistemas de autenticación de usuarios y gestión de accesos. Actúa como un sistema que contiene y controla los recursos de red, como las cuentas de usuario y la configuración de seguridad para un entorno empresarial.
Active Directory es responsable de importantes funciones de seguridad dentro de las redes empresariales actuales. Determina qué usuarios pueden acceder a determinados recursos, proporciona acceso a certificados de seguridad y aplica políticas de seguridad en todos los dispositivos y sistemas conectados. Active Directory es el mecanismo de confianza que utilizan las organizaciones para garantizar la aplicación de procedimientos de seguridad coherentes que protejan los datos confidenciales del acceso no autorizado.
En este blog, leeremos sobre qué es la seguridad de Active Directory, cómo son atacados por los actores maliciosos y qué pueden hacer las organizaciones para mitigar estos ataques. En este blog, nos centraremos en las soluciones técnicas y los diversos controles de seguridad para proteger la infraestructura de Active Directory.
¿Qué es la seguridad de Active Directory?
La seguridad de Active Directory es una serie de medidas destinadas a evitar que se comprometa la infraestructura del servicio de directorio. El sistema funciona a través de controladores de dominio, que son servidores que responden a las solicitudes de autenticación de seguridad desde dentro de una red Windows Server.
¿Por qué es importante la seguridad de Active Directory?
Un elemento esencial de la defensa empresarial proviene de la seguridad de Active Directory, ya que controla el acceso a los recursos de la red y a los datos confidenciales. Active Directory es el punto de entrada de la mayoría de las redes corporativas y, cuando se produce una brecha de seguridad, los atacantes pueden navegar por la red y acceder a sistemas a los que no deberían. Las vulneraciones de Active Directory suponen riesgos operativos sustanciales para las organizaciones, lo que conduce al robo de datos, al tiempo de inactividad del sistema y a infracciones de incumplimientos normativos.
Los puntos de entrada múltiples para los ataques surgen de configuraciones de Active Directory que contienen fallos de seguridad. La presencia de contraseñas débiles, permisos mal configurados y vulnerabilidades sin parchear proporciona puntos de acceso potenciales para su explotación. Una vez obtenido el acceso inicial, los atacantes aprovechan las relaciones de confianza entre los diferentes dominios para, en última instancia, obtener acceso al dominio de destino final. Los ataques a los controladores de dominio son los más dañinos, ya que estos servidores contienen la información de autenticación de todos los usuarios del dominio.
Los ataques a AD tienen largos tiempos de recuperación. Restablecer configuraciones seguras requiere auditorías exhaustivas de los permisos de los usuarios, las relaciones de confianza y la configuración de las políticas de grupo. Las funciones empresariales se ven obstaculizadas mientras se comprueba la seguridad de los sistemas y se restauran.
Componentes clave de la seguridad de Active Directory
Hay varios componentes conectados entre sí para proteger Active Directory. Los protocolos de autenticación, como Kerberos y NTLM, comprueban si un usuario es quien dice ser antes de permitirle el acceso a los recursos. Permiten el uso de tickets cifrados y mecanismos de desafío-respuesta para proporcionar protección de credenciales en toda la red.
Los mecanismos de control de acceso especifican a qué recursos pueden acceder los usuarios. Las listas de control de acceso (ACL) otorgan permisos a los principales de seguridad, que son cuentas de usuario o grupos de seguridad (conjuntos de cuentas de usuario). Estos permisos se utilizan para permitir operaciones en objetos de directorio, como leer, escribir o modificar.
Las políticas de seguridad de dominio aplican controles que están estandarizados en todos sus dominios. Las políticas de contraseñas aplican reglas sobre aspectos como la complejidad de las contraseñas, su antigüedad y su reutilización. Para protegerse contra los ataques de fuerza bruta, en los que los actores maliciosos pueden intentar adivinar y forzar las medidas de seguridad, las políticas de bloqueo de cuentas garantizan que los intentos de inicio de sesión solo tengan éxito cuando se utilizan de forma adecuada.
Amenazas comunes para la seguridad de Active Directory
Active Directory es el punto central para la autenticación y el control de acceso dentro de una red. Es el principal objetivo de múltiples amenazas de seguridad. Los atacantes explotan los elementos de Active Directory empleando un conjunto de técnicas para obtener acceso no autorizado o control sobre los recursos del dominio.
1. Ataques basados en cuentas
2. Robo de credenciales
Mediante diversas herramientas, los atacantes extraen las credenciales de la memoria. Se sabe que los atacantes roban hash de contraseñas e incluso tickets Kerberos que se almacenan en la memoria del proceso LSASS. Las herramientas de volcado de credenciales extraen estos materiales de autenticación directamente de los controladores de dominio o de las estaciones de trabajo. Si los atacantes disponen de credenciales válidas, a menudo pueden suplantar a un usuario legítimo y eludir los controles de autenticación normales.
3. Explotación del servicio de directorio
Las deficiencias de los protocolos y servicios de Active Directory dan lugar a oportunidades de ataque. Las configuraciones incorrectas de LDAP permiten conexiones simples, lo que expone las consultas de directorio a la manipulación. Tanto la configuración de la transferencia de zona DNS como la configuración de actualización dinámica crean vulnerabilidades cuando no están debidamente protegidas. Los atacantes utilizan estos problemas a nivel de servicio para obtener información sobre la arquitectura y los activos del dominio.
4. Ataques de replicación
Los procesos de replicación del controlador de dominio se enfrentan a amenazas específicas. Los ataques DCSync leen los datos de contraseña a través de protocolos de replicación. Si los atacantes obtienen acceso al tráfico de replicación, pueden modificar esos datos a medida que fluyen de un controlador de dominio a otro. Cuando la replicación falla, se revelan inconsistencias en los datos, lo que crea brechas de seguridad abiertas en la aplicación de políticas en todo el dominio.
¿Cómo funcionan los ataques a Active Directory?
El compromiso del dominio se logra a través de diferentes tipos de técnicas de ataque a Active Directory. Estos enfoques atacan diferentes partes del sistema de autenticación y autorización y, a menudo, se utiliza una combinación de enfoques para obtener acceso completo a la red. El conocimiento de estos patrones de ataque permite a las organizaciones poner en marcha medidas de defensa sólidas.
Técnicas de escalada de privilegios
La escalada de privilegios es una técnica que utilizan los atacantes para obtener un acceso de mayor nivel a los entornos de Active Directory (desde un nivel básico). Inicialmente, implica la explotación de cuentas comunes de usuarios normales que utilizan contraseñas débiles o ataques de phishing eficaces. Los métodos avanzados permiten a los atacantes superar la cuenta de servicio mal configurada que se ejecuta con privilegios de administrador de dominio.
Ataques de kerberoasting
El kerberoasting se dirige a las cuentas de servicio en AD. Funciona realizando solicitudes de tickets TGS para servicios que se ejecutan bajo cuentas de dominio. En estos tickets, los hash de la contraseña de la cuenta de servicio se presentan en forma cifrada. Los atacantes extraen estos hash fuera de línea para intentar descifrar las contraseñas. Este método es especialmente dañino para las cuentas de servicio con contraseñas débiles, ya que a menudo tienen privilegios administrativos.
Ataques Pass-the-Hash y Pass-the-Ticket
Estos ataques funcionan con conjuntos de credenciales capturadas previamente y reutilizadas. En los ataques Pass-the-Hash, los atacantes roban los hash de contraseñas NTLM de una máquina y los utilizan para autenticarse en otras máquinas. Otro enfoque es el ataque "pass-the-ticket", que se basa en los mismos principios, pero se centra en los tickets Kerberos comprometidos en lugar de en los hash. En cualquier caso, ambas son técnicas de movimiento lateral que se utilizan en la red sin necesidad de la contraseña real.
Explotación de tickets dorados y plateados
Los ataques de tickets dorados falsifican tickets Kerberos utilizando la cuenta con mayores privilegios del dominio (KRBTGT). Una vez que los atacantes obtienen el hash KRBTGT, pueden crear tickets para cualquier usuario o servicio del dominio. Estos permiten eludir los controles de seguridad normales y persisten incluso cuando se cambian las contraseñas.
En lugar de la cuenta KRBTGT de todo el dominio, los ataques con tickets plateados se realizan contra cuentas de servicio específicas. Una vez que el atacante obtiene el hash de una cuenta de servicio, puede crear tickets de servicio falsificados para ese servicio. Esos tickets les permiten acceder a un número limitado de servicios, pero son menos completos que los tickets dorados.
Ataques de replicación de dominio
DCSync es un compromiso que utiliza el Protocolo remoto del servicio de replicación de directorios (MS-DRSR) para obtener datos de contraseñas de los controladores de dominio. Extrae los hash de contraseñas de todas las cuentas basadas en contraseñas del dominio si el atacante tiene derechos de replicación.
Los ataques DCShadow implican simular el comportamiento de DC registrando servidores RPC específicos y creando los objetos de directorio necesarios para inyectar cambios maliciosos que se replican a través de canales de replicación legítimos.
Técnicas de refuerzo de Active Directory
Los controles y configuraciones técnicos pueden mejorar la seguridad de Active Directory de las organizaciones seguridad de Active Directory de las organizaciones. Estas técnicas incluyen el refuerzo de elementos esenciales de la infraestructura del directorio para evitar una superficie de ataque mayor y prevenir el impacto de las técnicas de explotación más comunes.
1. Fortalecimiento del controlador de dominio
Los controladores de dominio son la columna vertebral de la red AD y, por lo tanto, deben protegerse mediante un enfoque de seguridad multicapa. Esto significa que los controles de seguridad física deben impedir que cualquiera acceda al hardware físico del servidor, y que el fortalecimiento del sistema operativo elimine las funciones y servicios innecesarios que podrían ser un punto de entrada para los ataques. Es posible que sea necesario realizar actualizaciones de seguridad en los componentes de Windows Server para corregir vulnerabilidades conocidas y garantizar que no se produzcan exploits.
2. Configuración de seguridad LDAP
La seguridad del Protocolo ligero de acceso a directorios (LDAP) en relación con las consultas y modificaciones del directorio requiere una supervisión especial. Para mitigar los riesgos y evitar que el tráfico del directorio se altere durante la transmisión, las organizaciones deben activar la firma LDAP.
Configurar la implementación del enlace de canales para vincular las conexiones LDAP a canales TLS específicos, lo que imposibilita el secuestro de conexiones. Estos ajustes se aplican con la política de grupo implementada en todo el dominio, lo que requiere la firma del servidor LDAP, la firma del cliente y el enlace de canales, y deniega el enlace simple sobre conexiones que no sean SSL y TLS.
3. Implementación de la seguridad DNS
La seguridad DNS es uno de los aspectos más importantes de la protección de Active Directory, ya que los servicios de resolución de nombres son esenciales para las funciones básicas del directorio. Al impedir las actualizaciones no autorizadas de los registros DNS que podrían redirigir el tráfico, las actualizaciones dinámicas seguras resultan de gran ayuda. Asegúrese de que la integridad del origen de las solicitudes DNS se autentique mediante la validación DNSSEC (para evitar la suplantación de identidad).
4. Seguridad del protocolo de autenticación
La seguridad de la autenticación se refiere al proceso de verificación de credenciales y debe configurarse cuidadosamente. Se debe prestar especial atención a la configuración de Kerberos, que debe estar preparada para habilitar la compatibilidad con el cifrado AES, pero deshabilitar RC4 como método de cifrado. Las organizaciones deben definir duraciones máximas adecuadas para los tickets y adoptar un sistema de notificación de cambio de contraseña. La seguridad NTLM también merece el mismo nivel de escrutinio, con una configuración que desactive los protocolos obsoletos LM y NTLMv1, al tiempo que se aplica NTLMv2 y la seguridad de la sesión.
5. Control de acceso administrativo
Se necesitan controles exhaustivos para el acceso administrativo a fin de evitar el abuso de privilegios en el directorio. El acceso administrativo con límite de tiempo y la elevación de privilegios justo a tiempo deben aplicarse mediante sistemas de gestión de acceso privilegiado. Las organizaciones necesitan una cuenta administrativa separada para las tareas diarias y otra para las operaciones privilegiadas. La pertenencia al grupo de seguridad de los usuarios protegidos aplica protecciones adicionales a las cuentas privilegiadas, y el control de acceso basado en roles permite una asignación detallada de permisos adaptados a la función específica del puesto.
Prácticas recomendadas para la seguridad de Active Directory
En esta sección, analizaremos las prácticas recomendadas comunes de seguridad de AD para prevenir los ataques habituales contra este.
1. Prácticas administrativas seguras
Para evitar amenazas de las cuentas administrativas, es necesario controlarlas estrictamente desde el punto de vista operativo. Las organizaciones deben incorporar estaciones de trabajo administrativas dedicadas a la gestión de directorios. Esto requiere controles de seguridad sólidos, como listas blancas de aplicaciones y acceso limitado a Internet en las estaciones de trabajo. Todas las acciones administrativas deben registrarse a través de un sistema de gestión de acceso privilegiado (PAM) que capture las acciones administrativas realizadas desde el ordenador e incluya flujos de trabajo de aprobación para acciones sensibles.Gestión de acceso privilegiado (PAM) que registre las acciones administrativas realizadas desde el ordenador e incluya flujos de trabajo de aprobación para acciones sensibles.
2. Implementación de políticas de contraseñas
Las políticas de contraseñas sientan las bases para la seguridad de las cuentas de dominio. Las organizaciones deben establecer requisitos de complejidad con un mínimo de 16 caracteres, varios tipos de caracteres y un período de caducidad para las contraseñas. Para protegerse contra los ataques de fuerza bruta, las cuentas deben bloquearse durante un período de tiempo definido después de un número limitado de intentos fallidos de inicio de sesión. Las políticas de contraseñas deben evaluarse periódicamente para garantizar que sean coherentes con las prácticas de seguridad y los escenarios de amenazas actuales.
3. Seguridad de la política de grupo
La configuración de seguridad se controla mediante la configuración de la política de grupo en los sistemas unidos a un dominio. Las organizaciones deben aplicar una configuración de seguridad básica para restringir los servicios no utilizados y limitar la asignación de derechos de usuario. Los cambios en los objetos de la política de grupo también deben tener un control de versiones y un proceso de gestión de cambios para realizar un seguimiento de los mismos. Verifique que el procesamiento de la política de grupo se realice con regularidad, de modo que las políticas se apliquen según lo previsto a todos los sistemas. La auditoría de la configuración de la política de grupo para comprobar si hay configuraciones erróneas o políticas conflictivas puede suponer una carga para los equipos de seguridad.
4. Gestión de cuentas de servicio
Las cuentas de servicio necesitan urgentemente controles de seguridad personalizados para evitar el abuso en su creación. Cada servicio o aplicación debe tener su propia cuenta de servicio proporcionada por una organización. Las cuentas necesitan contraseñas largas y complejas que sean difíciles de adivinar, únicas para cada cuenta y que se cambien según un calendario definido por las organizaciones. Se deben realizar auditorías periódicas para identificar y eliminar las cuentas de servicio no utilizadas o los permisos excesivos.
5. Evaluación periódica de la seguridad
El buen funcionamiento de Active Directory se mantiene mediante la evaluación sistemática de los controles de seguridad que se realizan en forma de evaluaciones de seguridad. Las auditorías de privilegios son otro concepto importante que las organizaciones deben llevar a cabo periódicamente para identificar los permisos excesivos y eliminar los que no son necesarios. Las medidas o normas de seguridad que han sido aprobadas por la línea de base pueden verificarse mediante revisiones de la configuración del directorio. El informe de evaluación debe incluir planes de corrección con plazos para subsanar las deficiencias de seguridad.
Retos para la seguridad de Active Directory
La implementación de la seguridad de AD plantea retos importantes. Estas dificultades se deben a las limitaciones arquitectónicas, las exigencias operativas y la complejidad del sistema de servicios de directorio de la empresa. Veamos algunos de ellos.
1. Protocolos de autenticación heredados
Los sistemas heredados abren brechas de seguridad en la organización debido al uso de métodos de autenticación obsoletos. Muchas aplicaciones heredadas siguen requiriendo la autenticación NTLM, por lo que las organizaciones no tienen más remedio que habilitar este protocolo inseguro.
2. Jerarquías de permisos complejas
A medida que crecen los entornos de Active Directory, las estructuras de permisos de AD se vuelven más complejas y abrumadoras. Las pertenencias a grupos anidados eliminan la claridad. Los permisos de los objetos se van añadiendo poco a poco a lo largo del tiempo a través de diferentes tareas administrativas. Por lo tanto, la gestión de las ACL acaba siendo una tarea complicada, especialmente cuando los permisos se encuentran dispersos en numerosos sistemas y dominios de la organización. A los equipos de seguridad les resulta difícil realizar un seguimiento de los límites claros de los permisos y revocar los privilegios de acceso que ya no son necesarios.
3. Gestión de relaciones de confianza
Las relaciones de confianza entre bosques, así como entre diferentes dominios del mismo bosque, son un asunto complicado, especialmente cuando se trata de la gestión de la seguridad. Las relaciones de confianza externas abren vías de ataque ante las que los equipos de seguridad deben mantenerse alerta. A las organizaciones les resulta difícil mantener una documentación precisa de estas relaciones de confianza y verificar la configuración de seguridad.
4. Proliferación de cuentas de servicio
Las cuentas de servicio se crean a medida que las organizaciones lanzan nuevas aplicaciones y servicios. La seguridad de las cuentas debe gestionarse constantemente, actualizando las contraseñas caducadas a medida que pasa el tiempo. El cambio de contraseñas crea problemas con las dependencias de los servicios, lo que da lugar a credenciales estáticas que incumplen las políticas de seguridad. Muchas aplicaciones solicitan permisos innecesarios para las cuentas de servicio, lo que aumenta aún más las superficies de ataque. Para las organizaciones es difícil realizar un seguimiento del uso de las cuentas de servicio y eliminar las cuentas antiguas.
5. Configuraciones erróneas del acceso privilegiado
Es bastante difícil implementar el control de acceso administrativo. Los procedimientos de acceso de emergencia suelen implementarse fuera de los controles de seguridad normales, lo que crea brechas en la seguridad. Además, las asignaciones de privilegios temporales no caducan. Sin una implementación adecuada de los controles de acceso con límite de tiempo, las organizaciones no pueden tener un inventario preciso de sus usuarios privilegiados.
Seguridad de Active Directory con SentinelOne
SentinelOne añade capacidades especializadas de supervisión y protección de Active Directory. La plataforma funciona con servicios de directorio para detectar y reaccionar ante ataques contra la infraestructura de Active Directory.
Supervisión de directorios en tiempo real
Los agentes de SentinelOne se implementan para supervisar los eventos y actividades de Active Directory. Supervisa los intentos de autenticación, los cambios en los permisos y las actualizaciones del directorio al segundo a través de estos agentes. Mantiene registros exhaustivos relacionados con las acciones administrativas y los eventos relevantes para la seguridad dentro de la jerarquía del directorio.
Funciones de protección de la identidad
SentinelOne proporciona controles sobre la protección de la identidad del directorio. Utilizando patrones históricos de uso de credenciales, SentinelOne es capaz de identificar posibles compromisos de credenciales. Registra los intentos de obtener más privilegios y el acceso no autorizado a las funciones de administración del sistema. Esto ofrece respuestas automatizadas que pueden incluir la respuesta a eventos de autenticación sospechosos y actividades inusuales en las cuentas.
Acciones de respuesta automatizadas
SentinelOne responde automáticamente cuando las amenazas se dirigen al Active Directory. Entre esas respuestas se encuentran el bloqueo de intentos de autenticación sospechosos y la puesta en cuarentena de dispositivos comprometidos. Las cuentas comprometidas pueden cerrarse y los derechos de acceso no autorizados pueden revocarse automáticamente en la plataforma. Las políticas configurables determinan las acciones de respuesta al tiempo que garantizan la disponibilidad de los servicios de directorio.
Integración de seguridad
La plataforma se conecta a la perfección con las herramientas y controles de seguridad basados en directorios existentes. Mediante algunas comprobaciones de seguridad adicionales, SentinelOne proporciona una forma de aplicar las políticas de grupo. Complementa el registro integrado de Windows con telemetría de seguridad detallada. Cuenta con funciones de integración que permiten la gestión centralizada de la seguridad del directorio mediante la consola de SentinelOne.
Reduce Identity Risk Across Your Organization
Detect and respond to attacks in real-time with holistic solutions for Active Directory and Entra ID.
Get a DemoConclusión
La seguridad de Active Directory exige un enfoque integral que combine controles técnicos, prácticas operativas y supervisión continua. Las organizaciones se enfrentan a amenazas en constante evolución que se dirigen a los servicios de directorio mediante sofisticadas técnicas de ataque y explotan diversas vulnerabilidades del sistema. Comprender estas amenazas e implementar las medidas de seguridad adecuadas ayuda a proteger los sistemas críticos de autenticación y control de acceso.
Las prácticas recomendadas de seguridad sientan las bases para proteger los entornos de Active Directory. Realizar evaluaciones de seguridad periódicas para descubrir posibles vulnerabilidades y validar la eficacia de los controles asociados. El acceso administrativo debe gestionarse a través de sistemas específicos y procesos escritos, pero las cuentas de servicio necesitan un mantenimiento continuo para evitar agujeros de seguridad. La política de grupo es una forma excelente de aplicar las normas de seguridad a todos los sistemas unidos al dominio, añadiendo varias capas de protección para evitar el acceso no autorizado y el compromiso del sistema.lt;/p>
Las soluciones de seguridad modernas, como SentinelOne, proporcionan una protección adicional y más sofisticada, como la supervisión y la corrección automatizada diseñadas específicamente para Active Directory. Estas herramientas ofrecen una visibilidad adicional de lo que ocurre dentro de sus directorios, al tiempo que aceleran la detección y la respuesta ante amenazas.
"FAQs
La seguridad de Active Directory es un conjunto de medidas y controles que protegen la infraestructura del servicio Active Directory utilizada para la autenticación y el acceso a la red. Las características de protección incorporan soluciones para proteger los controladores de dominio, los protocolos de autenticación y controlar el acceso a los recursos en el entorno empresarial.
La seguridad de Active Directory actúa como base de la protección de la red empresarial, gestionando el acceso a los recursos y autenticando a los usuarios con su identidad real. El compromiso exitoso de Active Directory puede significar el compromiso total de la red, el robo de datos y solo es cuestión de tiempo que todos los servicios/sistemas se vean interrumpidos, lo que afectaría a la continuidad del negocio.
Las brechas se detectan mediante la supervisión continua de los eventos de autenticación, los directorios y las actividades de las cuentas. Para mitigar la brecha, se deben seguir una serie de pasos, como aislar de la red los sistemas que se han visto comprometidos, revocar el acceso a las cuentas, restablecer las credenciales, etc.
Si Active Directory se viera comprometido, cualquier sistema y controlador de dominio en particular debería aislarse inmediatamente. Corrija las cuentas KRBTGT, compruebe las copias de seguridad del directorio, confirme todas las credenciales de las cuentas con privilegios en las organizaciones y supervise de cerca los sistemas restantes.
Algunas configuraciones incorrectas incluyen derechos de acceso con privilegios excesivamente permisivos, contraseñas débiles en las cuentas de servicio, relaciones de confianza innecesarias entre dominios o medidas de seguridad desactivadas. Las brechas de seguridad suelen ser el resultado de las configuraciones predeterminadas, que los atacantes pueden aprovechar.
La lista de comprobación de seguridad incluye evaluaciones de seguridad, medidas de control de acceso, medidas de seguridad de directivas de grupo, medidas de seguridad de controladores de dominio y muchas más. Es responsabilidad de las organizaciones reforzar los protocolos de autenticación, realizar un seguimiento de los cambios en los servicios de directorio y mantener actualizados los parches de seguridad.
Las medidas para prevenir los ataques de ransomware incluyen la implementación de protocolos de autenticación seguros, la limitación del acceso administrativo, la actualización de las copias de seguridad y la supervisión de las redes en busca de sucesos sospechosos. Es necesario que las organizaciones protejan los controladores de dominio y apliquen la segmentación de la red para reducir la propagación de los ataques.
