Protección de los controladores de dominio frente a ataques
Se aplica a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Ley número tres: si alguien con malas intenciones tiene acceso físico sin restricciones a su equipo, ya no es su equipo. - Diez leyes inmutables de seguridad (versión 2.0).
Los controladores de dominio proporcionan el almacenamiento físico para la base de datos de Servicios de dominio de Active Directory (AD DS), además de proporcionar los servicios y los datos que permiten a las empresas administrar de manera eficaz sus servidores, estaciones de trabajo, usuarios y aplicaciones. Si un usuario con malas intenciones obtiene acceso con privilegios a un controlador de dominio, puede modificar, dañar o destruir la base de datos de AD DS y, por extensión, todos los sistemas y cuentas administrados por Active Directory.
Dado que los controladores de dominio pueden leer y escribir en cualquier elemento de la base de datos de AD DS, poner en riesgo un controlador de dominio implica que el bosque de Active Directory nunca se pueda considerar de confianza de nuevo, a menos que pueda recuperarse mediante una copia de seguridad correcta conocida y pueda cerrar las brechas que permitieron el riesgo.
Dependiendo de la preparación, las herramientas y las habilidades de un atacante, el daño irreversible se puede completar en minutos u horas, no días o semanas. Lo que importa no es el tiempo durante el que un atacante tiene acceso con privilegios a Active Directory, sino lo que ha planeado para cuando obtenga el acceso con privilegios. Poner en peligro un controlador de dominio puede proporcionar la ruta de acceso más directa a la destrucción de servidores miembros, estaciones de trabajo y Active Directory. Debido a esta amenaza, los controladores de dominio deben protegerse por separado y de forma más estricta que la infraestructura general.
Seguridad física para controladores de dominio
En esta sección se proporciona información sobre cómo proteger físicamente los controladores de dominio. Los controladores de dominio pueden ser máquinas físicas o virtuales, en centros de datos, sucursales o ubicaciones remotas.
Controladores de dominio de centros de datos
Controladores de dominio físicos
En los centros de datos, los controladores de dominio físicos se deben instalar en bastidores seguros dedicados o compartimentos independientes de los servidores generales. Siempre que sea posible, los controladores de dominio se deben configurar con chips de Módulo de plataforma segura (TPM) y todos los volúmenes de los servidores de controlador de dominio deben protegerse mediante Cifrado de unidad BitLocker. BitLocker agrega una pequeña sobrecarga de rendimiento en porcentajes de un solo dígito, pero protege el directorio contra los riesgos, incluso si los discos se quitan del servidor. BitLocker también puede ayudar a proteger los sistemas contra ataques como rootkits, ya que la modificación de los archivos de arranque hará que el servidor arranque en modo de recuperación para que se puedan cargar los archivos binarios originales. Si un controlador de dominio está configurado para usar RAID de software, SCSI conectado en serie, almacenamiento SAN/NAS o volúmenes dinámicos, BitLocker no se puede implementar, por lo que el almacenamiento conectado localmente (con o sin RAID de hardware) se debe usar en controladores de dominio siempre que sea posible.
Controladores de dominio virtuales
Si implementa controladores de dominio virtuales, debe asegurarse de que los controladores de dominio también se ejecutan en hosts físicos independientes que no sean el resto de máquinas virtuales del entorno. Incluso si usa una plataforma de virtualización de terceros, considere la posibilidad de implementar controladores de dominio virtuales en Hyper-V en Windows Server, que proporciona una superficie de ataque mínima y se puede administrar con los controladores de dominio que hospeda en lugar de administrarse con el resto de los hosts de virtualización. Si implementa System Center Virtual Machine Manager (SCVMM) para la administración de la infraestructura de virtualización, puede delegar la administración de los hosts físicos en los que residen las máquinas virtuales del controlador de dominio y los propios controladores de dominio a los administradores autorizados. También debe considerar la posibilidad de separar el almacenamiento de controladores de dominio virtuales para evitar que los administradores de almacenamiento accedan a los archivos de máquina virtual.
Nota
Si tiene previsto localizar conjuntamente controladores de dominio virtualizados con otras máquinas virtuales menos confidenciales en los mismos servidores de virtualización física (hosts), considere la posibilidad de implementar una solución que exija la separación basada en roles de tareas, como máquinas virtuales blindadas en Hyper-V. Esta tecnología proporciona protección completa contra administradores de tejido malintencionados o sin pistas (incluidos la virtualización, la red, el almacenamiento y los administradores de copia de seguridad). Aprovecha la raíz física de confianza con la atestación remota y el aprovisionamiento seguro de máquinas virtuales, y garantiza eficazmente el nivel de seguridad que se encuentra a la par de un servidor físico dedicado.
Ubicaciones de sucursal
Controladores de dominio físicos en sucursales
En ubicaciones donde residen varios servidores pero no están protegidos físicamente hasta el punto en que lo están los servidores del centro de datos, los controladores de dominio físicos deben configurarse con chips TPM y cifrado de unidad BitLocker para todos los volúmenes de servidor. Si un controlador de dominio no se puede almacenar en una sala bloqueada en ubicaciones de sucursales, debe considerar la posibilidad de implementar controladores de dominio de solo lectura (RODC) en esas ubicaciones.
Controladores de dominio físicos en sucursales
Siempre que sea posible, debe ejecutar controladores de dominio virtuales en sucursales en hosts físicos independientes que no sean el resto de máquinas virtuales del sitio. En las sucursales en las que los controladores de dominio virtuales no se pueden ejecutar en hosts físicos independientes del resto de equipos del servidor virtual, debe implementar chips TPM y cifrado de unidad BitLocker en hosts en los que los controladores de dominio virtuales se ejecuten con el rendimiento mínimo y en todos los hosts, si es posible. Según el tamaño de la sucursal y la seguridad de los hosts físicos, debe considerar la posibilidad de implementar RODC en ubicaciones de sucursal.
Ubicaciones remotas con seguridad y espacio limitados
Si la infraestructura incluye ubicaciones donde solo se puede instalar un único servidor físico, se debe instalar un servidor capaz de ejecutar cargas de trabajo de virtualización y el cifrado de unidad BitLocker debe configurarse para proteger todos los volúmenes del servidor. Una máquina virtual del servidor debe ejecutarse como RODC, con otros servidores que se ejecuten como máquinas virtuales independientes en el host. La información sobre la planificación de la implementación de RODC se proporciona en la Guía de planificación e implementación de controladores de dominio de solo lectura. Para obtener más información sobre cómo implementar y proteger controladores de dominio virtualizados, consulte Ejecutar controladores de dominio en Hyper-V. Para obtener instrucciones más detalladas para proteger la seguridad de Hyper-V, delegar la administración de máquinas virtuales y proteger las máquinas virtuales, consulte el Acelerador de soluciones de la Guía de seguridad de Hyper-V en el sitio web de Microsoft.
Sistemas operativos de controlador de dominio
Debería ejecutar todos los controladores de dominio en la versión más reciente de Windows Server que se admita en su organización. Las organizaciones deben priorizar la retirada de sistemas operativos heredados en el conjunto de equipos del controlador de dominio. Mantener los controladores de dominio actualizados y eliminar los controladores de dominio heredados permite aprovechar las nuevas funcionalidades y la seguridad. Es posible que esta funcionalidad no esté disponible en dominios o bosques con controladores de dominio que ejecutan el sistema operativo heredado.
Nota
En cuanto a cualquier configuración de uso único y sensible a la seguridad, se recomienda implementar el sistema operativo en la opción de instalación Server Core. Proporciona varias ventajas, como minimizar la superficie expuesta a ataques, mejorar el rendimiento y reducir la probabilidad de error humano. Se recomienda que todas las operaciones y la administración se realicen de forma remota, desde puntos de conexión altamente seguros dedicados, como estaciones de trabajo de acceso con privilegios (PAW) o hosts administrativos seguros.
Configuración segura de controladores de dominio
Las herramientas se pueden usar para crear una línea base de configuración de seguridad inicial para los controladores de dominio que los GPO pueden aplicar más adelante. Estas herramientas se describen en la sección Administrar la configuración de directivas de seguridad de la documentación de los sistemas operativos de Microsoft o Desired State Configuration (DSC) para Windows.
Restricciones de RDP
Las instancias de objetos de directiva de grupo que se vinculan a todas las unidades organizativas de controladores de dominio de un bosque se deben configurar para permitir conexiones RDP solo de usuarios y sistemas autorizados, por ejemplo, servidores de salto. Esto se puede lograr mediante una combinación de la configuración de derechos de usuario y la configuración de WFAS implementada en GPO para que la directiva se aplique de forma coherente. Si se omite, la siguiente actualización de directiva de grupo devuelve el sistema a su configuración adecuada.
Administración de parches y configuración para controladores de dominio
Aunque puede parecer poco intuitivo, debe considerar la posibilidad de aplicar revisiones a controladores de dominio y otros componentes de infraestructura críticos por separado de la infraestructura de Windows general. Si usa software de administración de configuración empresarial para todos los equipos de la infraestructura, la exposición del software de administración de sistemas se puede usar para poner en riesgo o destruir todos los componentes de la infraestructura que ese software administra. Al separar la administración de revisiones y sistemas para los controladores de dominio de la población general, puede reducir la cantidad de software instalado en los controladores de dominio, además de controlar estrechamente su administración.
Bloqueo del acceso a Internet para controladores de dominio
Una de las comprobaciones que se realizan como parte de una evaluación de seguridad de Active Directory es el uso y la configuración de Internet Explorer en controladores de dominio. No se debe usar ningún explorador web en controladores de dominio. Un análisis de miles de controladores de dominio ha revelado numerosos casos en los que los usuarios con privilegios usaron Internet Explorer para examinar la intranet de la organización o Internet.
Como se ha descrito anteriormente en la sección "Configuración errónea" de Vías de compromiso, navegar por Internet o una intranet infectada desde uno de los equipos más eficaces de una infraestructura de Windows con una cuenta con privilegios elevados presenta un riesgo extraordinario para la seguridad de una organización. Tanto si a través de una unidad por descarga como por descarga de "utilidades" infectadas por malware, los atacantes pueden obtener acceso a todo lo que necesitan para poner en peligro o destruir completamente el entorno de Active Directory.
Aunque Windows Server y las versiones actuales de Internet Explorer ofrecen muchas protecciones contra descargas malintencionadas, en la mayoría de los casos en los que se habían usado controladores de dominio y cuentas con privilegios para examinar Internet, los controladores de dominio ejecutaban Windows Server 2003 o las protecciones ofrecidas por los sistemas operativos y exploradores más recientes se habían deshabilitado intencionadamente.
El inicio de exploradores web en controladores de dominio debe estar restringido por controles técnicos y de directiva. Además, el acceso general a Internet hacia y desde los controladores de dominio también debe controlarse estrictamente.
Microsoft anima a todas las organizaciones a pasar a un enfoque basado en la nube para la administración de identidades y acceso y migrar de Active Directory a Microsoft Entra ID. Microsoft Entra ID es una solución completa de administración de identidades y accesos en la nube para administrar directorios, permitir el acceso a aplicaciones locales y en la nube, y proteger las identidades frente a amenazas de seguridad. Microsoft Entra ID también ofrece un conjunto sólido y granular de controles de seguridad para ayudar a proteger las identidades, como la autenticación multifactor, las directivas de acceso condicional, Identity Protection, la gobernanza de identidades y la Privileged Identity Management.
La mayoría de las organizaciones funcionarán en un modelo de identidad híbrida durante su transición a la nube, donde algún elemento de su Active Directory local se sincronizará mediante Microsoft Entra Connect. Aunque este modelo híbrido existe en cualquier organización, Microsoft recomienda la protección con tecnología en la nube de esas identidades locales mediante Microsoft Defender for Identity. La configuración del sensor de Defender for Identity en controladores de dominio y servidores de AD FS permite una conexión unidireccional altamente segura al servicio en la nube a través de un proxy y a puntos de conexión específicos. Encontrará una explicación completa sobre cómo configurar esta conexión de proxy en la documentación técnica de Defender for Identity. Esta configuración estrechamente controlada garantiza que se mitigue el riesgo de conectar estos servidores al servicio en la nube y que las organizaciones se beneficien del aumento de las funcionalidades de protección que ofrece Defender for Identity. Microsoft también recomienda que estos servidores estén protegidos con la detección de puntos de conexión con tecnología en la nube, como Microsoft Defender para servidores.
Para aquellas organizaciones que tienen requisitos normativos u otros requisitos controlados por directivas para mantener una implementación local solo de Active Directory, Microsoft recomienda restringir completamente el acceso a Internet hacia y desde los controladores de dominio.
Restricciones del firewall perimetral
Los firewalls perimetrales deben configurarse para bloquear las conexiones salientes de los controladores de dominio a Internet. Aunque es posible que los controladores de dominio deban comunicarse a través de los límites del sitio, los firewalls perimetrales se pueden configurar para permitir la comunicación entre sitios siguiendo las instrucciones que se proporcionan en Configuración de un firewall para dominios y confianzas de Active Directory.
Impedir la exploración web desde controladores de dominio
Puede usar una combinación de configuración de AppLocker, configuración de proxy de "agujero negro" y configuración de WFAS para evitar que los controladores de dominio accedan a Internet y para evitar el uso de exploradores web en controladores de dominio.