El 98% de las amenazas a la seguridad comienzan con Active Directory.
Active Directory tiene literalmente las llaves de su reino. Si los principios de seguridad correctos no están configurados y está dando permisos excesivos a sus usuarios, se está dejando expuesto a potenciales amenazas de seguridad.
Dentro de Active Directory, hay numerosos protocolos de seguridad a elegir para implementar una política de mínimo privilegio donde sólo está concediendo acceso administrativo a aquellos que realmente lo necesitan.
En este blog, repasaremos qué son exactamente los grupos de seguridad en Active Directory, la diferencia entre grupos de distribución y grupos de seguridad, para qué se pueden utilizar los grupos de seguridad y cómo crear uno exactamente.
¿Qué son los grupos de Active Directory?
Active Directory, en general, es un programa que clasifica a los usuarios en varios grupos. Es una plataforma centralizada que la mayoría de las empresas utilizan para gestionar sus cuentas informáticas y conceder acceso a datos sensibles.
Un grupo de Active Directory es un grupo de usuarios al que se le ha dado acceso a determinados recursos. Hay dos formas en las que se puede dar a los grupos este tipo de acceso; a través de un Identificador Único Global (GUID) o de un Identificador de Seguridad (SID).
Los SIDs se utilizan sobre todo cuando se quiere dar acceso a usuarios específicos, mientras que los GUIDs se utilizan cuando se agrupan usuarios que necesitan todos acceder a los mismos recursos.
Los grupos pueden ser creados en base a usuarios individuales que necesitan acceso a ciertos recursos, o pueden ser creados en base a grupos globales (como un departamento), o miembros de un determinado dominio.
Los dos tipos de grupos de Active Directory
Los grupos de Active Directory se dividen en dos categorías – Grupos de Seguridad de Active Directory y Grupos de Distribución de Active Directory.
El tipo real de grupo que necesita dependerá de la función requerida del grupo. Los grupos de distribución son más sencillos en el sentido de que se utilizarían si sólo se requieren notificaciones unidireccionales desde el controlador central. Los grupos de seguridad son más complejos y se aplican cuando se desea permitir a los usuarios acceder a los datos y modificarlos.
Los equipos de seguridad deben prestar mucha más atención a los grupos de seguridad para garantizar que los permisos no se descontrolen y que se mitiguen los riesgos para la seguridad de sus datos.
¿Por qué debería utilizar los grupos de seguridad de Active Directory?
Los grupos de seguridad son vitales cuando se trata de mantener los derechos de acceso adecuados a sus datos más sensibles. La capacidad de agrupar a los usuarios en potes para asignar niveles de permisos es increíblemente útil para mantener una política de mínimos privilegios.
Por ejemplo, puede utilizar los grupos de seguridad de Active Directory para asignar permisos de alto nivel a los miembros de la junta directiva para que puedan presentar información financiera y KPI para sus colegas. También puede utilizar los grupos de seguridad para asignar permisos de nivel inferior a los nuevos miembros.
Los grupos de seguridad de Active Directory también se pueden modificar a través del portal de AD, donde se pueden mover los usuarios o eliminarlos por completo.
Cómo crear un grupo de seguridad en Active Directory
Los siguientes pasos se aplican a Windows 10 y a Windows Server 2016. Ten en cuenta que vas a necesitar ser miembro del grupo de Administradores de Dominio, o tener los permisos correctos ya aplicados, para poder crear nuevos grupos tú mismo.
- Abre la Consola de Usuarios y Equipos de Active Directory.
- Seleccione el contenedor en el que desea almacenar su grupo («Usuarios», por ejemplo).
- Haga clic en «Acción» – «Nuevo» – «Grupo»
- Nombre su grupo utilizando el cuadro de texto Nombre del grupo e introduzca una descripción.
- Dependiendo de la infraestructura de su bosque de Active Directory, elija el ámbito de Grupo correcto: Global o Universal.
- Haga clic en «Seguridad» como el tipo de Grupo y, a continuación, haga clic en «Aceptar» para crear su grupo de seguridad.
Cómo mejorar la seguridad de sus grupos de seguridad de Active Directory
Muchas empresas deben lidiar con los que se unen, se van y se mueven dentro de su entorno. A medida que los usuarios cambian de rol, abandonan la empresa o comienzan un nuevo rol, sus permisos requeridos serán diferentes.
Desgraciadamente, muchas empresas no se comunican con suficiente eficacia con los equipos de TI y de seguridad para garantizar que los permisos y los miembros de los grupos de seguridad se mantienen adecuadamente. En el peor de los casos, esto podría conducir potencialmente a que las amenazas internas pongan sus manos en sus datos más sensibles.
La Plataforma de Seguridad de Datos de Lepide le dará la capacidad de generar instantáneamente una lista de usuarios que han sido considerados como poseedores de «permisos excesivos», o generar alertas en tiempo real cuando los permisos son cambiados, para que pueda tomar las medidas necesarias para mantener su política de mínimo privilegio.
Para ver la solución en acción, programe una demostración con uno de nuestros ingenieros hoy mismo.