Lista de comprobación para auditorias de Active Directory.

PorNodier Alexander García 2 min read
0




Active Directory (AD) es un componente esencial en la infraestructura de TI de muchas organizaciones. Su correcta configuración y mantenimiento son clave para garantizar la seguridad, el cumplimiento normativo y la eficiencia operativa. Una auditoría regular de Active Directory puede reducir significativamente los riesgos de seguridad y mejorar la estabilidad del entorno. A continuación, se presenta una guía detallada con un enfoque paso a paso para llevar a cabo una auditoría exhaustiva.

1. Configuraciones Avanzadas de Seguridad

Habilitar la Configuración Avanzada de Políticas de Auditoría

  1. Abrir la Consola de Administración de Políticas de Grupo (GPMC).

  2. Crear o modificar una Política de Grupo (GPO).

  3. Navegar a Configuración del equipo > Configuración de Windows > Configuración de seguridad > Directivas de auditoría avanzada.

  4. Configurar auditorías para eventos clave:

    • Acceso a cuentas

    • Cambios en objetos de directorio

    • Administración de accesos

    • Inicio y cierre de sesión

    • Intentos de autenticación fallidos

  5. Aplicar la política y verificar su implementación mediante el Visor de Eventos.

Verificar la existencia de SIDs Nulos en permisos de seguridad

  1. Utilizar la herramienta dsacls.exe para listar permisos en objetos críticos.

  2. Buscar entradas con SID nulo (S-1-0-0) y eliminarlas para evitar accesos anónimos.

  3. Aplicar listas de control de acceso (ACLs) más restrictivas y revisar regularmente los permisos.

Auditar el uso de Cuentas de Servicio

  1. Identificar cuentas de servicio con privilegios elevados mediante Get-ADServiceAccount.

  2. Revisar que cumplan con el Principio de Mínimos Privilegios.

  3. Configurar SPNs correctamente con setspn.exe -L <nombre-de-cuenta>.

  4. Implementar Managed Service Accounts (MSAs) para reducir riesgos de credenciales comprometidas.

Implementar LDAP Signing y LDAPS

  1. Habilitar LDAP Signing en los controladores de dominio mediante GPOs.

  2. Configurar LDAPS asegurándose de que los servidores LDAP tengan un certificado válido emitido por una CA de confianza.

  3. Verificar la configuración con Ldp.exe o nltest /dsgetdc:dominio /force /ds_ldap.

2. Gestión de Accesos con Privilegios

Implementar Just Enough Administration (JEA)

  1. Definir roles administrativos con permisos estrictamente necesarios.

  2. Configurar políticas de ejecución en PowerShell con New-PSSessionConfigurationFile.

  3. Implementar y validar la delegación mínima de comandos.

Revisar el uso de Estaciones de Trabajo con Acceso Privilegiado (PAWs)

  1. Implementar PAWs para separar el acceso administrativo del acceso de usuario.

  2. Configurar políticas para restringir el acceso a Internet y la instalación de software no autorizado.

  3. Asegurar que solo administradores autorizados usen estas estaciones.

Adoptar el Modelo de Niveles Administrativos

  1. Segmentar cuentas en niveles de seguridad:

    • Nivel 0: Control total sobre AD (administradores de dominio)

    • Nivel 1: Administradores de servidores y aplicaciones críticas

    • Nivel 2: Administradores de estaciones de usuario final

  2. Restringir cuentas a su nivel de acceso correspondiente y aplicar control estricto de credenciales.

3. Prácticas de Seguridad en Cuentas

Aplicar controles de Usuario (UAC)

  1. Configurar UAC mediante políticas de grupo.

  2. Asegurar que los usuarios estándar no tengan privilegios de administrador.

Habilitar Autenticación Multifactor (MFA)

  1. Implementar MFA en cuentas administrativas y de alto riesgo.

  2. Utilizar Azure AD MFA o una solución equivalente.

Establecer políticas de bloqueo de cuentas

  1. Configurar un umbral bajo de intentos fallidos.

  2. Implementar bloqueo temporal con tiempos de restablecimiento progresivos.

4. Políticas de Contraseñas Avanzadas

Implementar Políticas de Contraseñas Granulares (FGPP)

  1. Utilizar Active Directory Administrative Center para crear políticas de contraseñas avanzadas.

  2. Aplicar restricciones de longitud, caducidad y complejidad según grupos de usuarios.

5. Protección de DNS y Red

  1. Revisar configuraciones en la consola de DNS.

  2. Habilitar DNSSEC y aplicar listas de control de acceso (ACLs).

6. Delegación de Control

  1. Revisar permisos delegados y eliminar accesos innecesarios.

7. Gestión de GPOs

  1. Auditar, documentar y eliminar GPOs obsoletos.

  2. Implementar control de versiones y monitorear cambios.

8. Protección de Objetos Críticos

  1. Habilitar AD Recycle Bin para recuperación de objetos eliminados.

  2. Implementar Security Descriptor Propagator (SDHolder).

9. Registro y Monitoreo

  1. Configurar auditoría avanzada en eventos críticos.

  2. Centralizar logs con herramientas SIEM como Splunk o Azure Sentinel.

10. Replicación y Topología del Sitio

  1. Utilizar REPADMIN /showrepl para verificar replicación.

  2. Optimizar topología de sitios para mejorar eficiencia.

11. Gestión del Esquema de AD

  1. Documentar cada cambio y verificar compatibilidad con versiones de AD DS.

Conclusión

Esta guía proporciona una visión detallada para la auditoría de Active Directory, cubriendo cada aspecto de seguridad y gestión. Aplicando estas prácticas, las organizaciones pueden reducir riesgos y fortalecer su infraestructura de TI.

4.94 / 169 rates

Publicar un comentario

Hola

Articulo Anterior Articulo Siguiente