Protección de los controladores de dominio frente a ataques

Se aplica a: Windows Server 2022 Preview, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Número de ley tres: si un tipo malo tiene acceso físico sin restricciones a su equipo, ya no es su equipo. - Diez leyes inmutables de seguridad (versión 2.0)

Los controladores de dominio proporcionan el almacenamiento físico para la base de datos de Servicios de dominio de Active Directory (AD DS), además de proporcionar los servicios y los datos que permiten a las empresas administrar eficazmente sus servidores, estaciones de trabajo, usuarios y aplicaciones. Si un usuario malintencionado obtiene acceso con privilegios a un controlador de dominio, puede modificar, dañar o destruir la base de datos de AD DS y, por extensión, todos los sistemas y cuentas administrados por Active Directory.

Dado que los controladores de dominio pueden leer y escribir en cualquier cosa de la base de datos de AD DS, el riesgo de un controlador de dominio significa que el bosque de Active Directory nunca se puede considerar de confianza de nuevo, a menos que pueda recuperarse mediante una copia de seguridad correcta conocida y para cerrar las brechas que permitieron el riesgo.

Dependiendo de la preparación, las herramientas y las habilidades de un atacante, el daño irreversible se puede completar en minutos a horas, no días o semanas. Lo que importa no es cuánto tiempo tiene un atacante acceso con privilegios a Active Directory, pero cuánto ha planeado el atacante durante el momento en que se obtiene el acceso con privilegios. Poner en peligro un controlador de dominio puede proporcionar la ruta de acceso más directa a la destrucción de servidores miembros, estaciones de trabajo y Active Directory. Debido a esta amenaza, los controladores de dominio deben protegerse por separado y de forma más estricta que la infraestructura general.

Seguridad física para controladores de dominio

En esta sección se proporciona información sobre cómo proteger físicamente los controladores de dominio. Los controladores de dominio pueden ser máquinas físicas o virtuales, en centros de datos, sucursales o ubicaciones remotas.

Controladores de dominio del centro de datos

Controladores de dominio físicos

En los centros de datos, los controladores de dominio físicos se deben instalar en bastidores seguros dedicados o compartimentos independientes de los servidores generales. Siempre que sea posible, los controladores de dominio se deben configurar con chips de Módulo de plataforma segura (TPM) y todos los volúmenes de los servidores de controlador de dominio deben protegerse mediante Cifrado de unidad BitLocker. BitLocker agrega una pequeña sobrecarga de rendimiento en porcentajes de un solo dígito, pero protege el directorio contra el riesgo incluso si se quitan los discos del servidor. BitLocker también puede ayudar a proteger los sistemas contra ataques como rootkits, ya que la modificación de los archivos de arranque hará que el servidor arranque en modo de recuperación para que se puedan cargar los archivos binarios originales. Si un controlador de dominio está configurado para usar RAID de software, SCSI conectado en serie, almacenamiento SAN/NAS o volúmenes dinámicos, BitLocker no se puede implementar, por lo que el almacenamiento conectado localmente (con o sin RAID de hardware) debe usarse en controladores de dominio siempre que sea posible.

Controladores de dominio virtuales

Si implementa controladores de dominio virtuales, debe asegurarse de que los controladores de dominio también se ejecutan en hosts físicos independientes que en otras máquinas virtuales del entorno. Incluso si usa una plataforma de virtualización de terceros, considere la posibilidad de implementar controladores de dominio virtuales en Hyper-V en Windows Server, que proporciona una superficie de ataque mínima y se puede administrar con los controladores de dominio que hospeda en lugar de administrarse con el resto de los hosts de virtualización. Si implementa System Center Virtual Machine Manager (SCVMM) para la administración de la infraestructura de virtualización, puede delegar la administración de los hosts físicos en los que residen las máquinas virtuales del controlador de dominio y los propios controladores de dominio a los administradores autorizados. También debe considerar la posibilidad de separar el almacenamiento de controladores de dominio virtuales para evitar que los administradores de almacenamiento accedan a los archivos de máquina virtual.

Nota

Si tiene previsto localizar conjuntamente controladores de dominio virtualizados con otras máquinas virtuales menos confidenciales en los mismos servidores de virtualización física (hosts), considere la posibilidad de implementar una solución que exija la separación basada en roles de tareas, como máquinas virtuales blindadas en Hyper-V. Esta tecnología proporciona protección completa contra administradores de tejido malintencionados o sin pistas (incluidos la virtualización, la red, el almacenamiento y los administradores de copia de seguridad). Aprovecha la raíz física de confianza con la atestación remota y el aprovisionamiento seguro de máquinas virtuales, y garantiza eficazmente el nivel de seguridad que se encuentra a la par de un servidor físico dedicado.

Ubicaciones de sucursal

Controladores de dominio físicos en ramas

En ubicaciones donde residen varios servidores pero no están protegidos físicamente hasta el punto en que los servidores del centro de datos están protegidos, los controladores de dominio físicos deben configurarse con chips TPM y cifrado de unidad BitLocker para todos los volúmenes de servidor. Si un controlador de dominio no se puede almacenar en una sala bloqueada en ubicaciones de sucursales, debe considerar la posibilidad de implementar Read-Only controladores de dominio (RODC) en esas ubicaciones.

Controladores de dominio virtuales en ramas

Siempre que sea posible, debe ejecutar controladores de dominio virtuales en sucursales en hosts físicos independientes que las demás máquinas virtuales del sitio. En las sucursales en las que los controladores de dominio virtuales no se pueden ejecutar en hosts físicos independientes del resto del rellenado del servidor virtual, debe implementar chips TPM y cifrado de unidad BitLocker en hosts en los que los controladores de dominio virtuales se ejecutan como mínimo y todos los hosts, si es posible. Según el tamaño de la sucursal y la seguridad de los hosts físicos, debe considerar la posibilidad de implementar RODC en ubicaciones de sucursal.

Ubicaciones remotas con espacio limitado y seguridad

Si la infraestructura incluye ubicaciones donde solo se puede instalar un único servidor físico, se debe instalar un servidor capaz de ejecutar cargas de trabajo de virtualización y el cifrado de unidad BitLocker debe configurarse para proteger todos los volúmenes del servidor. Una máquina virtual del servidor debe ejecutarse como RODC, con otros servidores que se ejecutan como máquinas virtuales independientes en el host. La información sobre el planeamiento de la implementación de RODC se proporciona en la Guía de planeación e implementación de controladores de dominio de solo lectura. Para obtener más información sobre cómo implementar y proteger controladores de dominio virtualizados, vea Running Domain Controllers in Hyper-V(Ejecutar controladores de dominio en Hyper-V). Para obtener instrucciones más detalladas para proteger la seguridad de Hyper-V, delegar la administración de máquinas virtuales y proteger las máquinas virtuales, consulte el Acelerador de soluciones de la Guía de seguridad de Hyper-V en el sitio web de Microsoft.

Sistemas operativos de controlador de dominio

Debe ejecutar todos los controladores de dominio en la versión más reciente de Windows Server compatible con la organización. Las organizaciones deben priorizar la retirada de sistemas operativos heredados en el rellenado del controlador de dominio. Mantener los controladores de dominio actualizados y eliminar los controladores de dominio heredados permite aprovechar las nuevas funcionalidades y la seguridad. Es posible que esta funcionalidad no esté disponible en dominios o bosques con controladores de dominio que ejecutan el sistema operativo heredado.

Nota

En cuanto a cualquier configuración de uso único y sensible a la seguridad, se recomienda implementar el sistema operativo en la opción de instalación Server Core . Proporciona varias ventajas, como minimizar la superficie expuesta a ataques, mejorar el rendimiento y reducir la probabilidad de error humano. Se recomienda que todas las operaciones y la administración se realicen de forma remota, desde puntos de conexión altamente seguros dedicados, como estaciones de trabajo de acceso con privilegios (PAW) o hosts administrativos seguros.

Configuración segura de controladores de dominio

Las herramientas se pueden usar para crear una línea base de configuración de seguridad inicial para los controladores de dominio que los GPO pueden aplicar más adelante. Estas herramientas se describen en la sección Administración de la configuración de directivas de seguridad de la documentación de sistemas operativos de Microsoft.

Restricciones de RDP

directiva de grupo Los objetos que se vinculan a todas las UNIDADES organizativas de controladores de dominio de un bosque deben configurarse para permitir conexiones RDP solo de usuarios y sistemas autorizados, como los servidores de salto. El control se puede lograr mediante una combinación de la configuración de derechos de usuario y la configuración de WFAS implementada con GPO para que la directiva se aplique de forma coherente. Si se omite la directiva, la siguiente directiva de grupo actualización devuelve el sistema a su configuración adecuada.

Administración de revisiones y configuración para controladores de dominio

Aunque puede parecer poco intuitivo, debe considerar la posibilidad de aplicar revisiones a controladores de dominio y otros componentes de infraestructura críticos por separado de la infraestructura de Windows general. Si usa software de administración de configuración empresarial para todos los equipos de la infraestructura, la exposición del software de administración de sistemas se puede usar para poner en riesgo o destruir todos los componentes de la infraestructura que ese software administra. Al separar la administración de revisiones y sistemas para los controladores de dominio de la población general, puede reducir la cantidad de software instalado en los controladores de dominio, además de controlar estrechamente su administración.

Bloqueo del acceso a Internet para controladores de dominio

Una de las comprobaciones que se realizan como parte de una evaluación de seguridad de Active Directory es el uso y la configuración de Internet Explorer en controladores de dominio. No se debe usar ningún explorador web en controladores de dominio. Un análisis de miles de controladores de dominio ha revelado numerosos casos en los que los usuarios con privilegios usaron Internet Explorer para examinar la intranet de la organización o Internet.

Como se ha descrito anteriormente en la sección "Configuración incorrecta" de Avenues to Compromise, navegar por Internet o una intranet infectada desde uno de los equipos más eficaces de una Windows infraestructura que usa una cuenta con privilegios elevados presenta un riesgo extraordinario para la seguridad de una organización. Tanto si a través de una unidad por descarga como por descarga de "utilidades" infectadas por malware, los atacantes pueden obtener acceso a todo lo que necesitan para poner en peligro o destruir completamente el entorno de Active Directory.

Aunque Windows Server y las versiones actuales de Internet Explorer ofrecen muchas protecciones contra descargas malintencionadas, en la mayoría de los casos en los que se habían usado controladores de dominio y cuentas con privilegios para examinar Internet, los controladores de dominio se estaban ejecutando Windows Server 2003 o las protecciones ofrecidas por los sistemas operativos y exploradores más recientes se habían deshabilitado intencionadamente.

El inicio de exploradores web en controladores de dominio debe estar restringido por controles técnicos y de directiva. Además, el acceso general a Internet hacia y desde los controladores de dominio también debe controlarse estrictamente.

Microsoft anima a todas las organizaciones a pasar a un enfoque basado en la nube para la administración de identidades y acceso y migrar de Active Directory a Azure Active Directory (Azure AD). Azure AD es una solución completa de administración de identidades y accesos en la nube para administrar directorios, permitir el acceso a aplicaciones locales y en la nube, y proteger las identidades frente a amenazas de seguridad. Azure AD también ofrece un conjunto sólido y granular de controles de seguridad para ayudar a proteger las identidades, como la autenticación multifactor, las directivas de acceso condicional, Identity Protection, la gobernanza de identidades y la Privileged Identity Management.

La mayoría de las organizaciones funcionarán en un modelo de identidad híbrida durante su transición a la nube, donde algún elemento de su Active Directory local se sincronizará con Azure AD Conectar. Aunque este modelo híbrido existe en cualquier organización, Microsoft recomienda la protección con tecnología en la nube de esas identidades locales mediante Microsoft Defender for Identity. La configuración del sensor de Defender for Identity en controladores de dominio y servidores de AD FS permite una conexión unidireccional altamente segura al servicio en la nube a través de un proxy y a puntos de conexión específicos. Encontrará una explicación completa sobre cómo configurar esta conexión de proxy en la documentación técnica de Defender for Identity. Esta configuración estrechamente controlada garantiza que se mitigue el riesgo de conectar estos servidores al servicio en la nube y que las organizaciones se beneficien del aumento de las funcionalidades de protección que ofrece Defender for Identity. Microsoft también recomienda que estos servidores estén protegidos con la detección de puntos de conexión con tecnología en la nube, como Microsoft Defender para servidores.

Para aquellas organizaciones que tienen requisitos normativos u otros requisitos controlados por directivas para mantener una implementación local solo de Active Directory, Microsoft recomienda restringir completamente el acceso a Internet hacia y desde los controladores de dominio.

Restricciones del firewall perimetral

Los firewalls perimetrales deben configurarse para bloquear las conexiones salientes de los controladores de dominio a Internet. Aunque es posible que los controladores de dominio deban comunicarse a través de los límites del sitio, los firewalls perimetrales se pueden configurar para permitir la comunicación entre sitios siguiendo las instrucciones que se proporcionan en Configuración de un firewall para dominios y confianzas de Active Directory.

Impedir la exploración web desde controladores de dominio

Puede usar una combinación de configuración de AppLocker, configuración de proxy de "agujero negro" y configuración de WFAS para evitar que los controladores de dominio accedan a Internet y para evitar el uso de exploradores web en controladores de dominio.