Blog

Seguridad y protección del Active Directory

 • Categorías: Active Directory, , Gestión de TI, , Seguridad TI, , Todos,

Conocer el estado actual de la seguridad del Active Directory es el primer paso para su protección. Esto significa que se necesita para llevar a cabo un análisis de todas las áreas de Active Directory para asegurarse de que conoce el estado general de la seguridad.

Una vez realizado este análisis es necesario corregir cualquier configuración de seguridad que no cumpla con las necesidades internas y globales de seguridad.


Algunas de las áreas clave para este análisis y resolución son:

  • Grupos de seguridad con privilegios.
  • Permisos de los usuarios.
  • Políticas de contraseñas.
  • Política de bloqueo de cuentas.
  • Delegaciones del Active Directory.
  • Delegaciones de políticas de grupos.
  • Relaciones de confianza.
  • Permisos de seguridad de archivos clave del sistemas operativo.

Se debe establecer una línea base de seguridad que nos permita seguir adelante sabiendo que se está protegido. Estar constantemente solucionando problemas que se derivan de las configuraciones de seguridad incorrectas, será un impedimento para contar con esta línea base de seguridad, además de que hará al negocio más susceptible a los ataques, que normalmente se aprovechan de privilegios elevados de una forma u otra.

Algunas herramientas que pueden ayudar a establecer informes para el análisis de estas áreas clave incluyen:

  • Secpol.msc (integrado en todos los sistemas operativos de Microsoft).
  • Dumpsec (gratuito de Somarsoft).
  • Dsacls (integrado en todos los controladores de dominio).
  • Nltest (integrado en todos los controladores de dominio).
  • Group Policy Management Console (GPMC).
  • Xcacls y icacls (integradas en todos los sistemas operativos de Microsoft).

Sólo después de haber alcanzado la línea base de seguridad se podrá realmente empezar a controlar y garantizar la seguridad dentro de su organización.

Traducción de post original: Derek Melber

Publicado Oct 14, 2015