Fortalecimiento de la Autenticación en Active Directory: Pasos Clave para una Seguridad Robusta

Protección de Cuentas Privilegiadas: Grupo "Protected Users"

El grupo Protected Users en Active Directory proporciona protecciones adicionales para las cuentas de alta privilelegio, mitigando el robo de credenciales. Los miembros de este grupo tienen limitaciones específicas en los protocolos de autenticación que pueden usar.

Añadir un usuario al grupo Protected Users

1. Abra el Centro de Administración de Active Directory desde Herramientas Administrativas.
2. Navegue a su dominio y entre en el contenedor Users.
3. Localice y abra el grupo ProtectedUsers.
4. Vaya a la sección Miembros y haga clic en Agregar.
5. Busque y seleccione el usuario que desea proteger y haga clic en Aceptar.

Comprobación con PowerShell

Puede verificar qué usuarios son miembros de grupos administrativos privilegiados (y por tanto, candidatos a ser protegidos) con el siguiente comando:

Import-Module ActiveDirectory
Get-ADUser -LDAPFilter "(admincount=1)" | Select-Object Name, DistinguishedName

Configuración Avanzada de Kerberos: Silos y Directivas de Autenticación

Los silos y las directivas de autenticación permiten aplicar políticas de acceso y de vida útil de los tickets Kerberos a grupos específicos de usuarios y equipos, mejorando la seguridad y el control.

Habilitar Soporte para Kerberos Armoring (FAST)

Para utilizar silos, primero debe habilitar el soporte para Flexible Authentication Secure Tunneling (FAST) a través de una Directiva de Grupo (GPO).

1. Abra la consola de Administración de directivas de grupo.
2. Navegue a Bosque > Dominios > [Su Dominio] > Objetos de directivas de grupo.
3. Haga clic derecho en Default Domain Policy (o una GPO dedicada) y seleccione Editar.
4. En el editor, configure las siguientes dos directivas:

• Ruta: Configuración del equipo/Directivas/Plantillas administrativas/Sistema/KDC
  Directiva: KDC admite notificaciones, autenticación compuesta y protección de Kerberos
  Configuración: Habilitada y seleccionar "Siempre permitir notificaciones".
• Ruta: Configuración del equipo/Directivas/Plantillas administrativas/Sistema/Kerberos
  Directiva: El cliente Kerberos admite notificaciones, autenticación compuesta y protección de Kerberos
  Configuración: Habilitada.

Creación de la Directiva de Autenticación

1. En el Centro de Administración de Active Directory, navegue a la sección Autenticación.
2. Haga clic derecho en Authentication Policies y seleccione Nuevo > Directiva de autenticación.
3. Asigne un nombre descriptivo, por ejemplo, DirectivaAdminSeguros.
4. En la sección Silos, puede especificar una duración para el vale de concesión de vales (TGT), por ejemplo, 120 minutos.
5. Haga clic en Aceptar.

Creación del Silo de Directivas de Autenticación

1. En el Centro de Administración de Active Directory, vaya a Autenticación > Authentication Policy Silos.
2. Haga clic derecho y seleccione Nuevo > Silo de directivas de autenticación.
3. Asigne un nombre, por ejemplo, SiloAdminSeguros.
4. Marque la opción Exigir directivas del silo.
5. En la sección Directiva de autenticación, seleccione la opción "Utilizar una directiva de autenticación independiente para todos los principales" y agregue la directiva creada anteriormente (DirectivaAdminSeguros).
6. Agregue las cuentas de usuario y/o equipos que estarán sujetos a este silo.
7. Haga clic en Aceptar.

Comprobación con PowerShell

Utilice los siguientes cmdlets para verificar la configuración de las directivas y los silos:

# Listar todas las directivas de autenticación
Get-ADAuthenticationPolicy

# Listar todos los silos
Get-ADAuthenticationPolicySilo

# Ver detalles de una directiva específica
Get-ADAuthenticationPolicy -Identity DirectivaAdminSeguros -Properties * | select Enforce, UserTGTLifetimeMins

# Ver detalles de un silo específico
Get-ADAuthenticationPolicySilo -Identity SiloAdminSeguros -Properties * | Select Enforce, Members, ServiceAuthenticationPolicy

Seguridad Basada en Virtualización: Credential Guard y Remote Credential Guard

Estas características utilizan la seguridad basada en virtualización (VBS) para aislar y proteger las credenciales de los usuarios contra ataques como Pass-the-Hash.

Habilitación mediante Directiva de Grupo

1. Abra la consola de Administración de directivas de grupo y edite la GPO correspondiente (ej. Default Domain Policy).
2. Para habilitar Credential Guard, navegue a:
   Configuración del equipo/Directivas/Plantillas administrativas/Sistema/Device Guard
   y habilite la directiva Activar la seguridad basada en virtualización.
3. Para habilitar Remote Credential Guard, navegue a:
   Configuración del equipo/Directivas/Plantillas administrativas/Sistema/Delegación de credenciales
   y habilite la directiva Restringir delegación de credenciales a servidores remotos.

Desactivación de Protocolos de Red Heredados y Mitigaciones de Seguridad

Deshabilitar protocolos antiguos y configurar medidas de seguridad adicionales reduce significativamente la superficie de ataque en la red.

Deshabilitar LLMNR

LLMNR (Link-Local Multicast Name Resolution) es un protocolo vulnerable a ataques de suplantación. Se recomienda deshabilitarlo mediante GPO.

1. En el editor de directivas de grupo, navegue a:
   Configuración del Equipo/Directivas/Plantillas administrativas/Red/Cliente DNS
2. Habilite la directiva Desactivar resolución de nombres de multidifusión.

Mitigación de Ataques SMB Relay

Forzar la firma de paquetes SMB evita que un atacante pueda retransmitir las credenciales de un usuario a otro servidor.

1. En el editor de directivas de grupo, navegue a:
   Configuración de equipo/Directivas/Configuración de Windows/Configuración de seguridad/Directivas locales/Opciones de seguridad
2. Habilite las siguientes dos directivas:
   • Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre)
   • Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre)

Deshabilitar NetBIOS sobre TCP/IP

En un cliente (manualmente)

1. Acceda a las propiedades de la conexión de red (IPv4).
2. Haga clic en Opciones avanzadas y vaya a la pestaña WINS.
3. Marque la opción Deshabilitar NetBIOS sobre TCP/IP.

En el servidor (mediante script y GPO)

Para automatizar la desactivación en todo el dominio, puede usar un script de inicio.

1. Cree un archivo de PowerShell llamado disableNetbios.ps1 con el siguiente contenido:

$regkey = "HKLM:SYSTEM\CurrentControlSet\services\NetBT\Parameters\Interfaces"
Get-ChildItem $regkey | foreach { Set-ItemProperty -Path "$regkey\$($_.pschildname)" -Name NetbiosOptions -Value 2 -Verbose }

En el editor de la Default Domain Policy, navegue a:
Configuración del equipo/Directivas/Configuración de Windows/Scripts (inicio o apagado)/Inicio En la pestaña Scripts de PowerShell, agregue el script disableNetbios.ps1. Nota: Asegúrese de que los scripts de PowerShell se ejecuten antes que otros scripts.

Comprobación de NetBIOS con PowerShell

Ejecute este comando en un cliente para verificar el estado de NetBIOS en sus interfaces de red:

Get-NetIPInterface -AddressFamily IPv4 | Select-Object InterfaceAlias, NetbiosOptions

Deshabilitar mDNS (Multicast DNS)

De forma similar a LLMNR, mDNS puede ser un riesgo de seguridad. Puede deshabilitarlo creando una clave de registro a través de GPO.

1. En el editor de directivas de grupo, navegue a:
   Configuración del equipo/Preferencias/Configuración de Windows/Registro
2. Haga clic derecho, seleccione Nuevo > Elemento de Registro.
3. Configure las siguientes propiedades:
   • Subárbol: HKEY_LOCAL_MACHINE
   • Ruta de la clave: SYSTEM\CurrentControlSet\Services\Dnscache\Parameters
   • Nombre del valor: EnableMDNS
   • Tipo de valor: REG_DWORD
   • Información del valor: 0
   • Base: Hexadecimal
4. Haga clic en Aceptar para guardar la directiva.