5 Tips de Seguridad Para un Controlador de Dominio
febrero 7, 2012 No Comments
Un controlador de dominio (DC) es solo eso, un controlador. Ellos controlan la autenticación, posible autorización, algo de contabilidad, y generalmente mantienen el ciclo de vida de la seguridad de las identidades para todo en la compañía que usa cualquier parte de Windows.
Existen ciertas consideraciones especiales de seguridad para los controladores de dominio. A continuación les recomiendo 5 tips para fortalecer el ambiente alrededor de tu controlador de dominio.
1. Limita el Acceso Físico. Este es el mayor factor de mitigación que puedes darle a tu paquete de seguridad de tu DC. Lo más sobresaliente en todo esto es, que tu controlador de dominio es la autoridad central de seguridad para todo en la red, y como tu bien sabes, existen muchas maneras de obtener información desde el mismo disco duro si tienes acceso local o físico a una computadora.
Los algoritmos criptográficos ofrecen todo lo que un hacker necesita para hacerse pasar como un usuario verdadero, legítimo y autenticado en la red, y son muy fáciles de obtener si tienes el disco del controlador de dominio a la mano. Sin mencionar las posibilidades de que accediendo a esos algoritmos, puedan modificar scripts de acceso, instalar programas maliciosos, etc.
Si tienes controladores de dominio físicos (no virtuales), entonces antes de hacer cualquier cosa, compra una jaula, lo metes en ella y ponle un buen candado. Nunca lo pongas sobre el escritorio del administrador, y nunca lo pongas en algún centro de datos en donde no esté bajo llave. Recuerda que este contiene la llave de acceso a TODA la tesorería de TODA la empresa, por eso guárdalo SIEMPRE bajo llave.
2. Diseña Correctamente Desde el Inicio. Un diseño apropiado de la topología del Active Directory contendrá amenazas que incluso si un DC es comprometido, el bosque entero de la red no tendrá que ser reconstruido. Asegúrate que el bosque y dominios reflejen las localidades físicas y reales que tienen en las diferentes ciudades y países.
Haz que tus unidades organizacionales (OUs) concuerden con el tipo de máquinas y personas que existen en la compañía, y deja que los grupos de seguridad representen la jerarquía del organigrama organizacional. Para hacer más claro esto, por ejemplo, en caso de que el bosque para Europa sea comprometido, no tendrás que reconstruir el de Asia.
3. Virtualiza tus Controladores de Dominio. Utilizando máquinas virtuales (VMs) como tus controladores de dominio, puedes entonces encriptar los discos en donde tus discos duros virtuales residen utilizando BitLocker o algún otro producto de encriptación de discos. Luego asegúrate de que los equipos que están corriendo los VMs no se encuentren dentro del dominio.
4. Siempre Sigue las Mejores Prácticas Confiables de Seguridad. Conoce tus límites, como dicen los expertos en seguridad. Busca guías que te puedan dirigir y aconsejar sobre qué es lo mejor que debes hacer en caso de algún evento. Pon mucha atención especialmente a la parte de autenticación. Investiga que es lo mejor para prevenir los ataques de acceso aleatorios.
5. Asegura la Contraseña del Modo de Recuperación de los Servicios del Directorio (DSRM, Directory Services Restore Mode). El DSRM es un modo especial para reparar el Active Directory fuera de línea cuando algo malo ocurre. La contraseña del DSRM es una puerta trasera especial que proporciona acceso administrativo al directorio. Esta se utiliza en modo texto y fuera de línea.
Protege de sobremanera esta contraseña, ya que esta permite a las amenazas del exterior que puedan destruir el bosque completo. Si tienes Windows Server 2008 con Service Pack 2, tienes una utilería que sincroniza la contraseña del DSRM con la del administrador del dominio. Para hacer uso de este utilería utiliza este comando:
Ntdsutil “set dsrm password” “sync from domain account <DomainAdminAccount>” q q
Para finalizar, si un controlador de dominio es robado o si ha estado expuesto donde no haya seguridad física, no puedes volver a confiar en ese equipo. Pero desafortunadamente, debido a que el controlador de domino contiene todo el secreto y el valor de las identidades de TI, lo mejor (y más doloroso) sería simplemente destruir ese bosque y reconstruirlo. Lo que hace el primer tip de esta publicación el más importante y la mejor practica que existe para estos casos.
Otros links:
Como Borrar Un Archivo Que No Se Deja Borrar en Windows 7
Integrando la Seguridad de un Switch con el Control de Acceso a Red (NAC)
Como Ejecutar Un Plan de Recuperación de Desastres (DRP)
Tecnología de Información