5 Tips de Seguridad Para un Controlador de Dominio

febrero 7, 2012 No Comments

 

Un controlador de dominio (DC) es solo eso, un controlador. Ellos controlan la autenticación, posible autorización, algo de contabilidad, y generalmente mantienen el ciclo de vida de la seguridad de las identidades para todo en la compañía que usa cualquier parte de Windows.

 

Existen ciertas consideraciones especiales de seguridad para los controladores de dominio. A continuación les recomiendo 5 tips para fortalecer el ambiente alrededor de tu controlador de dominio.

 

1. Limita el Acceso Físico. Este es el mayor factor de mitigación que puedes darle a tu paquete de seguridad de tu DC. Lo más sobresaliente en todo esto es, que tu controlador de dominio es la autoridad central de seguridad para todo en la red, y como tu bien sabes, existen muchas maneras de obtener información desde el mismo disco duro si tienes acceso local o físico a una computadora.

 

Los algoritmos criptográficos ofrecen todo lo que un hacker necesita para hacerse pasar como un usuario verdadero, legítimo y autenticado en la red, y son muy fáciles de obtener si tienes el disco del controlador de dominio a la mano. Sin mencionar las posibilidades de que accediendo a esos algoritmos, puedan modificar scripts de acceso, instalar programas maliciosos, etc.

 

Si tienes controladores de dominio físicos (no virtuales), entonces antes de hacer cualquier cosa, compra una jaula, lo metes en ella y ponle un buen candado. Nunca lo pongas sobre el escritorio del administrador, y nunca lo pongas en algún centro de datos en donde no esté bajo llave. Recuerda que este contiene la llave de acceso a TODA la tesorería de TODA la empresa, por eso guárdalo SIEMPRE bajo llave.

 

2. Diseña Correctamente Desde el Inicio. Un diseño apropiado de la topología del Active Directory contendrá amenazas que incluso si un DC es comprometido, el bosque entero de la red no tendrá que ser reconstruido. Asegúrate que el bosque y dominios reflejen las localidades físicas y reales que tienen en las diferentes ciudades y países.

 

Haz que tus unidades organizacionales (OUs) concuerden con el tipo de máquinas y personas que existen en la compañía, y deja que los grupos de seguridad representen la jerarquía del organigrama organizacional. Para hacer más claro esto, por ejemplo, en caso de que el bosque para Europa sea comprometido, no tendrás que reconstruir el de Asia.

 

3. Virtualiza tus Controladores de Dominio. Utilizando máquinas virtuales (VMs) como tus controladores de dominio, puedes entonces encriptar los discos en donde tus discos duros virtuales residen utilizando BitLocker o algún otro producto de encriptación de discos. Luego asegúrate de que los equipos que están corriendo los VMs no se encuentren dentro del dominio.

 

4. Siempre Sigue las Mejores Prácticas Confiables de Seguridad. Conoce tus límites, como dicen los expertos en seguridad. Busca guías que te puedan dirigir y aconsejar sobre qué es lo mejor que debes hacer en caso de algún evento. Pon mucha atención especialmente a la parte de autenticación. Investiga que es lo mejor para prevenir los ataques de acceso aleatorios.

 

5. Asegura la Contraseña del Modo de Recuperación de los Servicios del Directorio (DSRM, Directory Services Restore Mode). El DSRM es un modo especial para reparar el Active Directory fuera de línea cuando algo malo ocurre. La contraseña del DSRM es una puerta trasera especial que proporciona acceso administrativo al directorio. Esta se utiliza en modo texto y fuera de línea.

 

Protege de sobremanera esta contraseña, ya que esta permite a las amenazas del exterior que puedan destruir el bosque completo. Si tienes Windows Server 2008 con Service Pack 2, tienes una utilería que sincroniza la contraseña del DSRM con la del administrador del dominio. Para hacer uso de este utilería utiliza este comando:

 

Ntdsutil “set dsrm password” “sync from domain account <DomainAdminAccount>” q q

 

Para finalizar, si un controlador de dominio es robado o si ha estado expuesto donde no haya seguridad física, no puedes volver a confiar en ese equipo. Pero desafortunadamente, debido a que el controlador de domino contiene todo el secreto y el valor de las identidades de TI, lo mejor (y más doloroso) sería simplemente destruir ese bosque y reconstruirlo. Lo que hace el primer tip de esta publicación el más importante y la mejor practica que existe para estos casos.

 

Otros links:

Como Borrar Un Archivo Que No Se Deja Borrar en Windows 7

Integrando la Seguridad de un Switch con el Control de Acceso a Red (NAC)

Como Ejecutar Un Plan de Recuperación de Desastres (DRP)

 

Sistemas y Calidad Total

 

 

Tags: , , , , , , , , , , , , , , , , , , , , , , , Tecnología de Información

Los 7 Principios de Gestión de la Calidad

Tweet A continuación se describen brevemente los 7 Principios de Gestión de la Calidad que debemos de tener en mente...

Como Evaluar Software

Tweet Antes de comenzar con este artículo, quisiera pedirles una disculpa a todos mis lectores por haberme desaparecido por...

Como Implementar un Análisis Modal de Fallos y Efectos (AMFE) y Planes de Control

Tweet Ya tiene más de un mes que no publicaba nada, he estado en algunos otros proyectos los cuales...

Como Mantener el Buen Desempeño del Sistema de Gestión de Calidad

Tweet Cuando un Sistema de Gestión de Calidad (SGC) dentro de una empresa no esta funcionando como realmente se...

5 Tips de Seguridad Para un Controlador de Dominio

Tweet   Un controlador de dominio (DC) es solo eso, un controlador. Ellos controlan la autenticación, posible autorización, algo...

Preparación de Listas de Verificación o Cuestionarios de Auditoria (Checklist de Auditoria de Calidad)

Tweet La actividad final de pre-auditoria debe completarse antes de que la auditoria interna sea emprendida con el fin...

Como Borrar Un Archivo Que No Se Deja Borrar en Windows 7

Tweet Algunas vez te ha sucedido que intentas borrar algún archivo o carpeta y te manda un mensaje diciendo...

La Pregunta Más Importante Que Un Gerente Puede Hacer

Tweet Hablando un poco de Calidad Laboral, cuando fue la última vez que les preguntaste a los individuos del...

Integrando la Seguridad de un Switch con el Control de Acceso a Red (NAC)

Tweet El acceso autenticado asegura que un usuario tenga que introducir sus datos de acceso o credenciales, para poder...

Cero No Conformidades en Auditoria Externa de ISO 9001… Un Gran Logro!

Tweet   En esta publicación no hablare de algún tema en especifico, solamente quisiera compartirles un gran logro que...

Acordando El Programa de Auditoria de ISO 9001

Tweet Me han preguntado en varias ocasiones como es que programo mis auditorias, y en esta breve publicación les...

Actividades de una Auditoria Interna de ISO 9001

Tweet Para llevar a cabo una buena auditoria interna de ISO 9001, la preparación es de suma importancia. Esta...

Como Ejecutar Un Plan de Recuperación de Desastres (DRP)

Tweet El término «Recuperación de Desastres» nos trae a la mente una destrucción catastrófica, pero en realidad, una simple...

Escogiendo la Mejor Herramienta Para Migrar a Windows 7

Tweet Los profesionales de T.I. minimizan mucho los problemas asociados con la migración a Windows 7 gracias a algunas...

Es Bueno Hablar de Más en una Auditoria Interna de ISO 9001?

Tweet Como auditores de ISO 9001, todos sabemos que algunas veces no es bueno dar más respuestas fuera de...