LAS NUEVE MEJORES

PRÁCTICAS DE SEGURIDAD
DE ACTIVE DIRECTORY
Estudio detallado de una
amenaza interna y las mejores
estrategias de defensa
 Introducción
"¿Quiere decir que este fue un trabajo interno?"

Es un momento clásico en la historia policial

clásica: Una persona descubre evidencia
de que alguien con acceso a información
privilegiada estuvo involucrado, y los
personajes intercambian miradas sorprendidas
y recelosas mientras uno de ellos dice: "¿Quiere
decir que este fue un trabajo interno?".

Lamentablemente, las miradas y las preguntas

como esas se están volviendo demasiado
comunes en las investigaciones sobre
filtraciones de datos. Al descubrir que alguien
obtuvo acceso a datos en la red de manera
ilegítima, los administradores del área de TI
creen en un principio (eso espero, en realidad)
que la amenaza provino del exterior. Pero,
como demuestran las filtraciones de datos
recientes que acaparan los titulares, una falla
en la seguridad interna, ya sea accidental o
maliciosa, es a menudo la que permite que
el ataque sea exitoso, a pesar de la sólida
seguridad externa.

Microsoft Active Directory (AD) es un blanco

excelente para los atacantes debido a su
importancia en la autenticación y autorización
de todos los usuarios. En este libro electrónico
se explora cómo se desarrolla una típica
amenaza interna y se detallan las nueve
mejores prácticas de seguridad críticas que
minimizan el riesgo de la amenaza interna
a la disponibilidad, confidencialidad e
integridad de AD.

2
Ataques internos y su impacto
LOS ACTORES PRINCIPALES EN ATAQUES INTERNOS
Muchas empresas creen que acciones internas inadecuadas, ya sea accidentales o maliciosas,
pueden ser la causa de tantos daños, así como los ataques iniciados de forma externa. No solo los
centros de atención con exempleados y actuales empleados insatisfechos o poco capacitados,
sino también los proveedores de servicios y los socios empresariales
desempeñan un papel creciente en la comisión o facilitación de los delitos
cibernéticos. Además, el robo de credenciales de todos estos tipos de
personas con información privilegiada es cada vez más común.
El costo promedio total de una
infracción de datos en los EE. UU.
Los ataques internos toman muchas de las mismas formas que otros
delitos, entre los que se incluyen los siguientes:

• Espionaje económico transfronterizo. es de $7,35 millones.

• Conspiraciones bien planificadas para robar secretos comerciales.

• Usuarios autorizados que copiaron datos de tarjetas de crédito, y los

vendieron en el mercado negro.

EL COSTO DE LOS ATAQUES INTERNOS

Sin importar la razón detrás de un ataque interno, el costo para la empresa puede ser muy alto.
Además del tiempo y del dinero necesarios para restaurar la seguridad en los sistemas y notificar a
las víctimas, el costo total incluye aspectos negativos, como la pérdida de información confidencial,
las consecuencias derivadas de la imposibilidad de satisfacer las normas de cumplimiento, como
GDPR, daños a la reputación de la empresa que pueden originar la pérdida de clientes y la
interrupción de sistemas críticos, como Active Directory.

¿A qué monto asciende esto? De acuerdo con el Ponemon Institute, el costo promedio total de una
filtración de datos en los EE. UU. es de USD 7,35 millones, mientras que el promedio mundial es
de USD 3,62 millones. Sin embargo, más de la mitad de las empresas admiten con ingenuidad que
no tienen idea de qué tan alta o baja es la estimación de sus pérdidas potenciales en caso de un
ataque interno.

3
 Active Directory:
Las joyas de la corona
POR QUÉ AD ES UN BLANCO EXCELENTE
Porque Active Directory es el principal directorio de autenticación
y autorización para más del 90 % de las empresas del mundo y
500 millones de cuentas activas, lo que lo convierte en un blanco común
para los ataques cibernéticos. De hecho, más de 95 millones de cuentas
de AD reciben ataques cibernéticos a diario, según Microsoft.

El fortalecimiento de la seguridad externa no es garantía de seguridad

de AD porque las amenazas más grandes a la seguridad de AD
son internas, y más de la mitad del mal uso interno incluye abuso
de privilegios. Esta situación se extiende al mal uso accidental o
malicioso de los permisos de AD, las cuentas elevadas y los grupos
con información confidencial que pueden debilitar los protocolos de
seguridad y derivar en un acceso no autorizado a datos confidenciales
basados en Windows.

CÓMO LA CRECIENTE POPULARIDAD DE OFFICE 365

HACE QUE LA AMENAZA INTERNA SEA INCLUSO
MÁS ALARMANTE
A medida que la adopción de Microsoft Office 365 continúa
creciendo, la complejidad de la seguridad de AD aumenta. Hay más
de 10.000 millones de autenticaciones de AAD anuales, y 10 millones
de estas son intentos de ataques cibernéticos. Bajo la lupa de Office
365 se encuentra Azure AD (AAD). Azure AD, usado por todas las
aplicaciones de Office 365 para autenticar usuarios, funciona como
el sistema nervioso central que hace posible a Office 365. Pero, cada
instancia de Office 365 requiere de un propietario de AAD separado,
incluso otro entorno del área de TI debe administrar y brindar seguridad.

Para abordar este problema, más del 75 % de los clientes con más
de 500 empleados que usan Office 365 sincronizan sus AD en las
instalaciones con Azure AD para permitir una autenticación única,

4
lo que crea un entorno de AD híbrido. Específicamente, al usar
Azure AD Connect, las empresas integran los dos directorios, lo que
mantiene a ambos entornos sincronizados y les da a los usuarios la
capacidad de iniciar sesión sin problemas en Office 365 mediante el
uso de sus credenciales en las instalaciones. Dado que se trata de una
sincronización de una sola vía hacia AAD, es importante recordar que el
entorno local de AD determina el contenido de AAD. Por lo tanto, su AD
local se convierte en el punto central para regir los controles de acceso,
crear controles de compensaciones de seguridad y determinar cómo se
otorga el acceso a AAD y las aplicaciones asociadas.

En resumen, el acceso que se obtiene mediante el AD local puede

tener repercusiones no solo dentro de AAD,también puede alcanzar
las aplicaciones basadas en la Web que aprovechan AAD. Por lo tanto,
debe colocar los controles de seguridad dentro del AD local;estos se
reflejarán en su instancia de AAD y mantendrán la seguridad de todo el
origen de AD.

QUÉ SIGNIFICA UNA INFRACCIÓN DE AD PARA

LA EMPRESA
Si una empresa tiene un entorno local o híbrido, sin Active Directory, pi
erde múltiples recursos críticos para la empresa: Exchange, colaboración,
comunicaciones en tiempo real, SharePoint, bases de datos de SQL
Server, servidores web y más.

El acceso no autorizado a AD es como tener una tarjeta de acceso

robada: una vez que los atacantes están dentro del edificio, pueden
tomar el ascensor, recorrer las oficinas, abrir los escritorios y revisar Active Directory es un blanco principal
los cajones. Con tantas cuentas que se atacan de manera incesante
desde adentro y afuera, la amenaza interna al entorno de AD local e para los atacantes debido a su
híbrido es clara y está presente. importancia en la autenticación y la
autorización de todos los usuarios.

5
 Los desafíos de
proteger AD
AD fue creado para ser seguro, pero la seguridad se quiebra cuando
el acceso elevado se encuentra en las manos incorrectas. Incluso en
entornos de AD híbridos, donde Microsoft promete un acuerdo de nivel
de servicio del 99,9 % con respaldo financiero para Office 365, el control
de cambios, la gestión de accesos y la seguridad general de los datos
aún son responsabilidad del cliente.

Considere los cuatro desafíos principales a los que se enfrentan los

administradores del área de TI:

LIMITACIONES DE LA AUDITORÍA NATIVA

Con la auditoría de AD sola, puede ser difícil detectar las amenazas
internas y evitar las infracciones. Entre las limitaciones, se incluyen:

• Los detalles del evento contienen un contexto limitado y no se

capturan algunas acciones que las personas con información
privilegiada explotan (como el cambio en la configuración de GPO
y la pertenencia a un grupo anidado).

• No hay una vista completa de todos los cambios en los orígenes del
registro nativo. Por ejemplo, los DC y los servidores tienen múltiples
registros nativos. Por lo tanto, la búsqueda de un evento específico
consume mucho tiempo y puede generar errores.

• No hay alertas proactivas sobre eventos sospechosos.

• No hay ninguna capacidad de generación de informes para

satisfacer los grupos de seguridad internos o los requisitos de
cumplimiento externo.

• No hay forma de evitar cambios no deseados en los objetos

más críticos.

6
La auditoría de Native Azure AD tiene sus propios desafíos, entre otros:

• No hay forma de monitorear las políticas de auditoría para saber si cambian o si otros Monitorear los registros
administradores las inhabilitan. de eventos de AD y Azure
• Los datos de auditoría son muy precarios y carecen de nombres descriptivos fáciles de AD es un comienzo, pero
usar, y el formato cambia constantemente. De hecho, no hay un formato normalizado 5W
(quién, qué, cuándo, dónde, estación de trabajo/origen) para todos los eventos.
muchas amenazas internas se
• Los datos de auditoría se conservan por un tiempo limitado antes de que se
aprovechan de los eventos
pierdan definitivamente. que no se registran.
Las herramientas tradicionales para la información de la seguridad y la administración de
eventos (SIEM) están sujetas a limitaciones de la auditoría de registros nativos. Por ejemplo,
el registro de auditoría nativo indica que se modificó un objeto de política grupal (GPO), pero
no registra qué configuración se cambió o sus valores antes y después del cambio, por lo tanto,
la solución SIEM no puede informar estos detalles críticos.

LIMITACIONES DE LA ADMINISTRACIÓN DE PERMISOS

La seguridad de AD y AD híbrido constituye la búsqueda constante de un equilibrio entre el
otorgamiento a los usuarios de los derechos que necesitan para realizar su trabajo y mantenerlo,
incluso los administradores de dominio, fuera de los grupos de seguridad que pueden obtener
acceso a bases de datos confidenciales, carpetas y archivos que contienen datos confidenciales,
como registros de Recursos Humanos, información sobre tarjetas de crédito o registros médicos.

Pero, AD y Azure AD no permiten que las empresas apliquen un modelo verdadero de privilegios
mínimos, por lo que los usuarios a menudo tienen mayores privilegios y más acceso de los que
necesitan para realizar sus trabajos. Por ejemplo, si un administrador quisiera delegar la habilidad
en AD para que el empleado de la mesa de ayuda JSmith mueva los objetos de usuario desde
la unidad organizativa (OU) de planificación hasta la OU de ingeniería, el administrador tendría
que otorgarle a JSmith el derecho de eliminar cualquier objeto de usuario desde la OU de
planificación y escribir a ella. Eso abarca muchos más permisos que los que JSmith necesita (y que
el administrador realmente quisiera otorgar) para ejecutar el movimiento e incrementa de manera
considerable la exposición de la empresa a los riesgos.

Además, la fidelidad de los datos y los estándares de nombramiento de la empresa en AD

son difíciles de aplicar, lo que se suma a los desafíos de la auditoría de activos y la revisión
de derechos.

7
 FALTA DE CAPACIDADES DE AUTOMATIZACIÓN NATIVA
La seguridad exige que se evalúen y remedien continuamente los controles de acceso, pero AD
y AAD no proporcionan ninguna forma de automatizar estos procesos. Ofrecen solo una visibilidad
limitada de quién tiene acceso a qué, cómo recibieron el acceso, quién tiene permisos elevados,
y qué objetos y sistemas son vulnerables a las amenazas de seguridad.

De manera similar, la prevención de los tiempos de inactividad prolongados y la pérdida de datos

en AD requiere pruebas y revisiones continuas de los procesos de recuperación ante desastres,
pero AD no brinda de forma nativa una manera automatizada de probar e implementar un
escenario completo de recuperación ante desastres de AD en todos los controladores de dominio
(DC). Además, cuando se detectan acciones o accesos no autorizados a AD o Azure AD, no hay
manera de prevenirlos ni de remediarlos de manera automática, y tampoco de autolimpiar las
credenciales obsoletas.

La seguridad exige que se evalúen y remedien

continuamente los controles de acceso, pero ni AD ni Azure
AD proporcionan una forma de automatizar estos procesos.

Sin controles de cambios automatizados e integrados en AD y Azure AD, las empresas están
sujetas a accesos no autorizados y accidentales, e interrupciones costosas.

FACTORES HUMANOS Y EMPRESARIALES

Cuando los empleados se transfieren entre unidades empresariales, la mayoría de las empresas
no actualiza correctamente sus permisos, por lo que los usuarios retienen todos los permisos
acumulados de roles anteriores, incluso los derechos que ya no necesitan para hacer su trabajo.

Además, por confianza y conveniencia de la empresa, es común que cada uno de los empleados,
los contratistas y los socios empresariales sepa y comparta las credenciales privilegiadas de AD de
los otros, lo que aumenta el riesgo de mal uso interno, ya sea accidental o malintencionado.

8
Observe cómo se
desarrolla un ataque
Considere esta historia ficticia en la que se describe cómo una amenaza
interna a causa de controles débiles de seguridad puede afectar a AD.

Un minorista de productos médicos llamado Acme acaba de adquirir uno

de sus competidores y ahora el departamento de TI de Acme necesita
integrar los sistemas centrales de las dos empresas. Acme contrata
al contratista JSmith en un contrato de cuatro semanas para ayudar a
consolidar Active Directory. El administrador de AD en Acme, agrega
a JSmith al grupo de administradores del dominio.

El día viernes de la segunda semana de JSmith, Acme rescinde el

contrato, pero nadie le informa al área de TI que elimine a JSmith del
grupo de administradores hasta el lunes siguiente. Este error en el
proceso de seguridad deja a JSmith con un fin de semana completo para
hacer un uso incorrecto de sus privilegios elevados persistentes, y lo
aprovecha al máximo. Esto es lo que ocurre paso por paso:

PASO 1. CREACIÓN DE UNA CUENTA FALSA

Descontento porque Acme rescindió el contrato de manera prematura,
JSmith busca maneras para compensar los ingresos que pensaba recibir.
A través de un amigo, se entera de que existe un sitio de mercado negro
donde puede hacer dinero fácil vendiendo datos de tarjetas de crédito,
y Acme tiene muchos.

JSmith inicia sesión en la red de Acme desde su casa utilizando las

credenciales de administrador aún activas y crea una nueva cuenta de
administrador, en caso de que Acme elimine su cuenta de administrador
original o restablezca su contraseña. Para no llamar la atención, otorga el
nombre corpsvcbk1 a la cuenta nueva, respetando las convenciones de
asignación de nombres de Acme para cuentas de servicio de respaldo.

9
PASO 2. OBTENCIÓN DE PRIVILEGIOS DE
ADMINISTRADOR DEL DOMINIO
JSmith sabe que el sistema de monitoreo genérico de Acme está
configurado para monitorear los cambios directos que se realizan en
el grupo de administradores del dominio, por lo que no puede agregar
corpsvcbk1 a ese grupo a fin de obtener los privilegios que necesita para
robar datos confidenciales. En cambio, agrega corpsvcbk1 a un grupo
que es miembro del grupo de administradores del dominio, que le otorga
los mismos privilegios sin generar alertas.
PASO 3. ROBO DE LOS DATOS
Con la nueva cuenta de administrador, JSmith localiza el servidor SQL
(SQL1) donde Acme almacena los datos de tarjetas de crédito. Modifica
el GPO que evita que los administradores inicien sesión en ciertas bases
de datos y servidores de archivos, luego inicia sesión de manera local en
SQL1. Agrega su cuenta corpsvcbk1 al grupo de administradores locales
en SQL1 y le asigna el rol de administrador del sistema en SQL Server.
Al echar un vistazo, encuentra la base de datos no cifrada de tarjetas de
crédito y exporta todos los registros a través de la conexión remota a su
equipo portátil.
Los controles de seguridad y las políticas
de seguridad comunes de Acme no son
suficientes para evitar diversos ataques
internos contra Active Directory.
10
Más tarde, localiza el servidor de archivos (FSRV1) donde Acme almacena
información de identificación personal (PII) e inicia sesión en el servidor
de manera local. Nuevamente cubre su rastro, agrega su cuenta de
administrador a un grupo anidado que es miembro del grupo integrado
de administradores en FSRV1. En la carpeta Cuentas por cobrar
encuentra el archivo con PII. Para obtener acceso al archivo, agrega su
cuenta de administrador al grupo Cuentas por cobrar; eso evita que su
cuenta se muestre en la lista de control de acceso, pero sin embargo, le
da plenos derechos al archivo. Abre el archivo, se asegura de que es el
deseado y lo copia a una unidad de red asignada en su equipo portátil.
PASO 4. CONFIGURACIÓN DEL ESPIONAJE
Después, JSmith modifica una clave de registro que disminuye el
LmCompatibilityLevel y la seguridad de las sesiones lo suficiente como
para que él instale software malicioso (malware) que espíe cómo las
credenciales de acceso SQL1 y FSRV1 se pasan las credenciales entre sí.
Eso le permitirá descifrar credenciales adicionales en el futuro a medida
que los administradores realicen la autenticación; de ese modo, incluso
si Acme elimina su cuenta falsa corpsvcbk1, puede continuar robando
más datos de tarjetas de crédito.
PASO 5. LIMPIEZA
JSmith elimina su cuenta corpsvcbk1 de los grupos de administradores,
limpia los registros para borrar la evidencia de su ataque y decide
mantener el software malicioso (malware) en la red para futuras hazañas.
Los controles de seguridad y las políticas de seguridad de Acme no
son suficientes para evitar el ataque interno contra Active Directory.
Las tácticas de JSmith garantizan que le llevará mucho tiempo a Acme
detectar la filtración de datos; para ese momento es probable que JSmith
haya recuperado el ingreso perdido y Acme esté en medio de una
recuperación de la filtración de datos.
Mejores prácticas
para la seguridad
de AD
No hay un enfoque contundente para
la seguridad de Active Directory, pero
las empresas pueden protegerse de las
amenazas internas a AD si siguen las
siguientes mejores prácticas clave:

1. REDUCIR EL ÁREA DE LA
SUPERFICIE DE ATAQUE
El primero paso para reducir los riesgos es
la limpieza. Comience por el entorno del
área de TI: Reduzca la cantidad de bosques
y dominios. Identifique y elimine los grupos
duplicados y otros grupos innecesarios.
Elimine el software innecesario instalado
en los controladores de dominio y en
servidores confidenciales.

Luego, reduzca las formas en las que se

podría explotar o utilizar incorrectamente
el entorno. Limite los permisos de todos los
usuarios, especialmente los usuarios
con privilegios, en estricta conformidad
con el principio de privilegios mínimos.
Asegúrese de establecer fechas de
expiración de cuentas cuando se creen
No hay un enfoque contundente para la seguridad de Active
cuentas para el personal temporario, Directory, pero las empresas pueden protegerse de las
como contratistas, meritorios y visitantes. amenazas internas a AD si siguen mejores prácticas clave.
Reduzca la delegación en las unidades
organizativas y evite que los controladores
de dominio tengan acceso a Internet.

11
 2. REFUERCE EL CONTROL DE ACCESO A SISTEMAS
CON INFORMACIÓN CONFIDENCIAL Y CREDENCIALES
Para minimizar aún más el riesgo de que sus datos más valiosos puedan
verse comprometidos, requiera autenticación de múltiples factores
en sistemas con información confidencial y asegúrese de que los
administradores usen cuadros de salto cuando se conecten mediante
cuentas con privilegios, y que inicien sesión solo en estaciones de
trabajo con control reforzado.

Administre sus cuentas con privilegios utilizando una solución de

depósito de contraseñas reforzada. Además, en lugar de otorgar
a alguien acceso de administrador permanente a servidores con
información confidencial, use la membresía de grupo temporaria con
fecha/hora de inicio y finalización automáticas.

3. VIGILE ATENTAMENTE LA MEMBRESÍA DE GRUPO

PRIVILEGIADA
Una vez que haya ordenado todo, deberá monitorear las acciones
de todas las personas. La vigilancia de la escalación de privilegios
debe estar al comienzo de la lista. Monitoree en tiempo real no solo
los cambios directos a grupos privilegiados en AD (se puede hacer
un seguimiento en registros de seguridad nativos), sino también las
adiciones de miembros anidados (que los servidores de Windows no
registran). Entre los grupos con privilegios que debe monitorear se
incluyen: Administradores, Operadores de impresión, Operadores de
configuración de red, Administradores DHCP, Operadores de respaldo,
Desarrolladores de confianza de bosques entrantes, Operadores de
cuentas, Editores de certificados, Propietarios del creador de política
grupal, Administradores de dominio, Controladoras de dominio,
Administradores de la empresa, Operadores de servidores, Servidores
RAS e IAS, Administradores de esquema.

Aún mejor, implemente una solución que pueda evitar que cualquiera
modifique los grupos de seguridad más críticos.

12
4. ALERTA DE ACTIVIDADES SOSPECHOSAS
Además de la escalación de privilegios, también debe buscar otras
señales de que hay atacantes activos en el entorno. Asegúrese de
alertar sobre los siguientes signos de acceso anormal o no autorizado:
• Inicios de sesión sospechosos en servidores con información
confidencial después del horario comercial normal.
• Cambios de contraseñas realizados por terceros en cuentas VIP
y cuentas con información confidencial.
• Inicios de sesión exitosos después de varios intentos fallidos.
• Asignación directa de derechos administrativos a cualquier usuario.
• Consultas de LDAP excesivas o anormales, que pueden ser un signo
de reconocimiento y recopilación de información.
• Cambios en la configuración de GPO en AD (no se pueden rastrear
los valores anteriores y posteriores de estas configuraciones
en registros nativos, lo que representa una amenaza de puerta
trasera a AD).
• Cambios en la configuración del registro HKLM\SYSTEM\
CurrentControlSet\Control\Lsa (esta es una táctica de puerta
trasera para reducir los valores utilizados por el protocolo de
autenticación NTLM).
5. REVISE CONTINUAMENTE LOS CONTROLES DE
ACCESO, LAS AMENAZAS Y LAS VULNERABILIDADES
EN LOS SISTEMAS AD Y WINDOWS.
Recuerde que la seguridad no es un evento de configuración único,
sino un proceso constante. Debe comprender sus permisos de AD,
ya que cambian con el tiempo. En particular, asegúrese de revisar
periódicamente la membresía de grupos privilegiados en AD y en
sistemas locales con información confidencial, las cuentas basadas en
AD que se ejecutan como servicios, y los permisos de base de datos de
SQL Server y los permisos NTFS en servidores de archivos AD y SQL.
13
También informe periódicamente sobre cuentas inactivas y desactivadas,
y límpielas antes de que puedan ser explotadas.
Por último, aunque no menos importante, informe con frecuencia sobre
los sistemas que no tienen los parches de seguridad más recientes de
Microsoft y remedie esta vulnerabilidad.
6. AUTOMATICE, APLIQUE Y REMEDIE LAS POLÍTICAS
DE SEGURIDAD
Cuando se trata de seguridad, la automatización es su mejor amiga.
Complemente las herramientas nativas con soluciones que puedan
detectar y prevenir automáticamente intrusiones no autorizadas a cuentas
y grupos privilegiados y VIP, y que eviten la elusión de los controles
impidiendo el acceso basado en reglas a recursos confidenciales.
Cuando se trata de seguridad,
la automatización es su
mejor amiga.
También automatice la corrección de problemas. En particular, implemente
políticas de autocorrección que remedien automáticamente las brechas
de cumplimiento y cree reglas que automaticen la reversión de cambios no
autorizados en usuarios o grupos con información confidencial.
Evite la creación no autorizada de cuentas al definir una lista blanca
de credenciales autorizadas que tienen permiso para realizar esta
tarea. Si alguien que no está en la lista aprobada crea una cuenta de
usuario, el evento debe desencadenar una alerta y posiblemente incluso
deshabilitar la cuenta del creador, la cuenta creada o ambos.
Además, evite los cambios no autorizados a configuraciones de GPO y grupos empresariales
importantes mediante el uso de una lista blanca de usuarios autorizados. Con una lista blanca,
incluso si las personas con información privilegiada obtienen derechos de administrador por parte
de credenciales comprometidas, se negarán los intentos de cambios a las membresías en grupos
privilegiados, como Administradores de dominio y Administradores empresariales. La lista blanca
también se aplica para hacer cambios en configuraciones de GPO confidenciales, como deshabilitar
o negar el inicio de sesión a servidores importantes y debilitar la autenticación de NTLM.

7. CENTRALICE LA INFORMACIÓN DE INCIDENTES DE SEGURIDAD DE

MÚLTIPLES ORÍGENES DE DATOS.
Mejore su capacidad para detectar ataques rápidamente y realizar un análisis forense exhaustivo
al recopilar no solo registros nativos, sino también otra información crítica de auditoría que no está
registrada y consolidarla para proporcionar información contextual sobre usuarios, recursos, tiempo
transcurrido y la información de titularidad que necesita, para investigar todas las etapas de un
evento, desde el inicio hasta el cierre de sesión. Idealmente, desea una vista de 360 ​​grados de
todas las actividades relacionadas entre usuarios y recursos.

8. PLANIFIQUE, PRUEBE E IMPLEMENTE SU PROCESO DE CONTINUIDAD

EMPRESARIAL DE AD.
Haga un respaldo de los controladores de dominio, las bases de datos y otros sistemas con
frecuencia, y almacene los respaldos de forma segura.

Ponga a prueba el plan de continuidad de la empresa de forma permanente, incluidas todas las
etapas del plan de recuperación ante desastres. Asegúrese de incorporar la recuperación en su
proceso de respuesta ante incidentes de seguridad y valide que el proceso de recuperación ante
desastres cumple con los objetivos de tiempo de recuperación después de un desastre o infracción.

9. AUTOMATICE LA LIMPIEZA DE OBJETOS DE AD

Cree reglas que detecten automáticamente objetos en AD que infrinjan la política y límpielos. Por
ejemplo, detecte automáticamente cuentas de usuarios y equipos que no han iniciado sesión en
90 días, deshabilite las cuentas y muévalas a un contenedor desactivado, y luego elimínelas en tres
días, si no se reclamaron.

Implemente un proceso automatizado para desaprovisionar usuarios, en el que se incluya la

deshabilitación o la eliminación de cuentas, la eliminación de cuentas de todos los grupos y las listas
de distribución, la eliminación de acceso VPN remoto y la notificación de manera automática a los
departamentos de Administración de Instalaciones, Seguridad y Recursos Humanos.

14
 Conclusión
La amenaza interna a AD es real, generalizada y costosa. Un empleado
disgustado o avaro, especialmente uno con una cuenta administrativa,
o un atacante que comprometa esta cuenta puede explotar las
vulnerabilidades técnicas y los factores humanos para lanzar infracciones
de datos desde adentro hacia afuera.

Monitorear los registros de eventos de AD y Azure AD es un comienzo,

pero muchas amenazas internas se aprovechan de los eventos que no
se registran. Además, la lista de cosas que debe buscar para detectar
acciones sospechosas es larga, y no existe una forma nativa de
automatizar la detección o la corrección.

El hecho es que los usuarios necesitan acceso a los recursos para hacer
su trabajo y, a veces, necesitan permisos de acceso privilegiado. La clave
de la seguridad de AD es equilibrar la necesidad de optimizar el acceso
de los usuarios, para maximizar la productividad frente a la necesidad
de proteger los datos y los sistemas con información confidencial contra
el abuso de privilegios accidental e intencional. Al seguir las mejores
prácticas de Active Directory descritas aquí, puede mejorar la seguridad
y minimizar las amenazas internas.

La protección de AD requiere equilibrar la necesidad

de optimizar el acceso de los usuarios para maximizar la
productividad frente a la necesidad de proteger los datos
y los sistemas sensibles contra el abuso de privilegios
accidental e intencional.

15
ACERCA DE QUEST
En Quest, nuestro propósito es resolver problemas complejos con
soluciones simples. Logramos este propósito con una filosofía enfocada
en productos excelentes, un servicio grandioso y el objetivo general
de ser una empresa con la que hacer negocios resulte simple. Nuestra
visión es ofrecer una tecnología que elimine la necesidad de elegir entre
la eficiencia y la eficacia, lo que significa que usted y su empresa pueden
dedicar menos tiempo a la administración del área de TI y más tiempo a
la innovación empresarial.
Si tiene alguna pregunta sobre el posible uso de este material,
comuníquese con:
Quest Software Inc.
Attn: LEGAL Dept
4 Polaris Way
Aliso Viejo, CA 92656
Visite nuestro sitio web (https://www.quest.com/mx-es) para obtener
información sobre nuestras oficinas regionales e internacionales.
Ebook-InsiderThreats-US-GM-es_XL-WL-30924
16
© 2017 Quest Software Inc. TODOS LOS DERECHOS RESERVADOS.
Esta guía contiene información de propiedad protegida por derechos de autor. El software
que se describe en esta guía se proporciona con licencia de software o acuerdo de no
divulgación. Este software se puede usar o copiar de conformidad con los términos del
acuerdo correspondiente. Ninguna parte de esta guía se puede reproducir o transmitir de
ninguna manera o medio, electrónico o mecánico, incluso la grabación o la fotocopia, para
otro propósito que no sea el de uso personal del comprador, sin el consentimiento por
escrito de Quest Software Inc.
La información presentada en este documento se proporciona en relación con
los productos de Quest Software. Con este documento no se garantiza ninguna
licencia, expresa o implícita, por doctrina de los propios actos o de algún otro
modo, a ningún derecho de propiedad intelectual o en relación con la venta de los
productos de Quest Software. EXCEPTO LO ESTABLECIDO EN LOS TÉRMINOS
Y CONDICIONES ESPECIFICADOS EN EL ACUERDO DE LICENCIA PARA ESTE
PRODUCTO, QUEST SOFTWARE NO GARANTIZA RESPONSABILIDAD ALGUNA Y
RENUNCIA A CUALQUIER GARANTÍA EXPRESA, IMPLÍCITA O REGLAMENTARIA
RELACIONADA CON SUS PRODUCTOS, INCLUIDAS, ENTRE OTRAS, LA GARANTÍA
IMPLÍCITA DE COMERCIABILIDAD, ADECUACIÓN PARA ALGÚN FIN EN PARTICULAR
O NO INFRACCIÓN. EN NINGÚN CASO QUEST SOFTWARE SE HARÁ RESPONSABLE
POR DAÑOS DIRECTOS, INDIRECTOS, DE CARÁCTER CONSECUENTE, PUNITIVOS,
ESPECIALES NI INCIDENTALES (INCLUIDOS, ENTRE OTROS, DAÑOS POR PÉRDIDA DE
GANANCIAS, INTERRUPCIÓN DEL NEGOCIO O PÉRDIDA DE LA INFORMACIÓN) QUE
SURGIERAN POR EL USO O LA INCAPACIDAD DE USAR ESTE DOCUMENTO, INCLUSO
SI QUEST SOFTWARE LE HUBIERA ADVERTIDO SOBRE LA POSIBILIDAD DE TALES
DAÑOS. Quest Software no efectúa declaraciones ni garantías con respecto a la precisión
o a la integridad de los contenidos de este documento y se reserva el derecho de
realizar modificaciones a las especificaciones y descripciones del producto en cualquier
momento sin previo aviso. Quest Software no se compromete a actualizar la información
que figura en este documento.
Patentes
Quest Software se enorgullece de nuestra tecnología avanzada. Pueden aplicarse
patentes y patentes pendientes a este producto. Para obtener la información más
actualizada sobre las patentes correspondientes para este producto, visite nuestro sitio
web en www.quest.com/legal.
Marcas comerciales
Quest y el logotipo de Quest son marcas comerciales y marcas comerciales registradas
de Quest Software Inc. Para obtener una lista completa de las marcas de Quest, visite
www.quest.com/legal/trademark-information.aspx. Todas las demás marcas comerciales
son propiedad de sus respectivos dueños.