Por: Juan Carlos Álvarez Mesa
Seguro muchos de nosotros coincidimos en que proteger el directorio Activo es de vital importancia para la seguridad de las organizaciones. Y probablemente pensamos que lo protegemos adecuadamente. Sin embargo, sólo el 6% de las organizaciones realmente ha tomado medidas para hacerlo efectivamente.
Sin duda el directorio activo juega un papel crucial dentro de nuestra red, contiene información sensible y una vez es comprometido, los intrusos pueden moverse lateralmente sin ser detectados o escalar sus privilegios. Por esta razón el directorio activo debe ser protegido y administrado de manera muy cuidadosa.
En la práctica se observa que, dadas las múltiples responsabilidades de los administradores de red, la gestión del directorio activo pasa a manos de un tercero o del departamento de recursos humanos. A continuación, algunas recomendaciones para mejorar la seguridad del directorio activo:
Otorgue el menor privilegio de acceso posible:
Fácil de decir, un poco más difícil de implementar. El concepto consiste en otorgar a los usuarios sólo el acceso que ellos realmente necesitan para llevar a cabo su trabajo.
Utilice una estrategia adecuada y no olvide la importancia de crear los perfiles de usuarios y grupos de asignación de permisos, en vez de asignar permisos directamente a los usuarios individuales.
Realice una auditoría de permisos efectivos sobre sus recursos.
Utilice una herramienta de auditoría (Como AD Audit de Manage Engine) que le permita generar reportes completos y posteriormente realice la limpieza o depuración de usuarios y permisos innecesarios.
No olvide las cuentas de servicio, es decir aquellas que se utilizan para subir servicios de aplicativos o sistema operativo.
Cuando se solicite un cambio en los permisos, documente dicho cambio y tenga un protocolo. Tenga claro los procedimientos de ingreso y retiro de personal para que estos involucren la asignación y remoción oportuna de privilegios.
Ponga a prueba su Directorio Activo
Otra interesante forma de atacar el problema es utilizar un software que identifique las vulnerabilidades de su directorio activo, malas configuraciones y eventual malware o backdoors presentes en su sistema de AD. Symantec tiene precisamente un componente adicional dentro de la suite de defensa del Endpoint llamado “Endpoint Threat Defense for Active Directory” que hace justo esto y además de realizar escaneos permanentes en busca de estas fallas genera alertas automáticas cuando encuentra novedades o malas configuraciones dentro del directorio activo.
Monitoree el directorio Activo
Es capaz usted de responder a la pregunta ¿Quién hizo Qué, Cuando y Donde? En múltiples ocasiones nos encontramos con que los logs de auditoría de Windows están apagados -para ahorrar espacio-, me refiero a los logs que guardan el registro acceso a los archivos. Normalmente este hallazgo se realiza después de que desaparecen los archivos de un recurso compartido y todos se preguntan ¿Quién los eliminó?
Monitorear los Logins fallidos en tiempo real, nos otorga indicadores certeros de intentos de intrusión. Temas como geolocalización del login, logins anónimos, login en horario no habitual deben ser monitoreados con herramientas adicionales a las que nos brinda el sistema operativo que son demasiado básicas. También es importante contar con una manera de rastrear los usuarios privilegiados y sus actividades.
Todo lo relativo al directorio activo debe ser monitoreado, y esto incluye los logs de seguridad.
Contraseñas
No prestamos la suficiente atención a las contraseñas, estas se olvidan, se comparten, se reutilizan en múltiples sitios, generan gran cantidad de soporte y hacen muy frágiles la seguridad de todos los sistemas, especialmente aquellos sistemas de nube o SaaS que dependen casi exclusivamente de la contraseña para brindar acceso a la información crítica que contienen
Un sistema de recuperación automática de contraseña facilita la vida de los usuarios y también de la mesa de ayuda que podrá concentrarse en labores que aporten más valor. Nosotros utilizamos AD Selfservice.
Para los objetivos de alto valor, es decir usuarios privilegiados, aplicaciones críticas, áreas financieras, acceso remoto y demás, debe considerarse de inmediato la adopción de sistemas con doble factor de autenticación. Hoy en día existen soluciones económicas son soft tokens y push autentication, así como autenticación por proximidad (LBE), basadas en nube que pueden ser implementadas rápidamente, tales como el Symantec VIP, que se pueden implementar muy rápidamente.
Muchos de los ataques están basados en la contraseña y en el directorio activo. Los controles sobre esta área deben estar en su lista corta de chequeo, o en lo que llamamos los controles esenciales.
Unifique su sistema de Autenticación
La seguridad en la nube y dentro del perímetro debe estar unificada y esto aplica especialmente la autenticación de las aplicaciones. No es tarea sencilla, pero tener una autenticación unificada y visibilidad sobre las actividades del usuario a lo largo de diferentes sistemas en la nube y dentro del perímetro mejorará sin duda su postura de seguridad.
Recuerden que muchas veces la seguridad del directorio activo la damos por hecho, pero es un área que en muchos casos se deja sin la atención requerida. Espero el artículo les sea de utilidad.
