Mes: junio 2006

Límites Administrativos

Ya que se necesita segmentar los servicios y los datos, deben definirse los diferentes niveles de administración que son requeridos. Como añadido a los administradores, que pueden llevar a cabo servicios únicos en la organización, la guía de seguridad de Windows Server 2003 recomienda considerar varios tipos de administradores:



Administradores de servicios


Responsables de la configuración y entrega del servicio de directorio. Por ejemplo, estos administradores mantienen los controladores de dominio, el control de los ajustes de configuración de directorio extenso, y asegurarse de la disponibilidad del servicio. Debe considerarse el que los Administradores de Active Directory sean los Administradores de servicios.


La configuración del servicio de AD es con frecuencia determinado por valores de atributo. Estos valores corresponden a los ajustes de sus respectivos objetos, que están almacenados en el directorio.  Consecuentemente, los administradores de servicios en AD son también administradores de datos. Una organización puede necesitar otros grupos de administradores de servicios para el diseño de AD. Algunas posibilidades incluyen:



  • Un grupo de administración del dominio que es el principal responsable de los servicios de directorio. El administrador del bosque elegirá el  grupo para administrar cada dominio, ya que el acceso de alto nivel se concede al administrador de dominio, estos administradores deben disponer individualmente de gran confianza. Los administradores de dominio controlan el dominio a través del grupo de Administradores de Dominio y otros grupos de built-in.

  • Grupos de administradores que administran el DNS. El grupo de administradores de DNS completa el diseño de DNS y administra su infraestructura, haciéndolo mediante el grupo de Administradores de DNS.

  • Grupos de administradores que administran OUs. El administrador para una OU designado, como grupo o individualmente, como responsable para cada OU, administra los datos almacenados en la OU asignada. Estos grupos pueden controlar como se delega la administración y como se aplican las políticas a los objetos dentro de sus OUs. También pueden crear nuevos subárboles y delegar su administración para aquéllos que son responsables.

  • Grupos de administradores que administran la infraestructura de servidores. El grupo que es responsable de administrar los servidores, WINS, DHCP y DNS. En algunos casos el grupo que maneja la administración del dominio administrará la infraestructura DNS, ya que AD se integra con DNS y se almacena y gestiona desde los Controladores de Dominio.

Administradores de datos


Los administradores de datos de AD gestionan los datos almacenados en AD o en los equipos que están unidos a AD. Estos administradores no tienen control sobre la configuración o entrega del servicio de directorio. Son miembros de un grupo de seguridad creado en la organización. Algunas veces los grupos de seguridad predeterminados de Windows no son apropiados para todas las situaciones posibles. Por tanto, las organizaciones pueden desarrollar sus propios grupos de seguridad más aptos y mejores para su entorno. Algunas tareas diarias de un administrador de datos incluyen:



  • Controlar un subconjunto de objetos en el directorio. A través del control de acceso de nivel de atributos heredado se les puede conceder el control a secciones muy específicas del directorio, pero no sobre la configuración del servicio en sí mismo.

  • Administrar los equipos miembros en el directorio y los datos que almacenan. (En muchos casos los valores de atributo de los objetos almacenados en el directorio determinan la configuración del servicio de directorio)

  • Se cree, razonablemente, que estos administradores se concentrarán en lo que les concierne a ellos mismos y con los mejores intereses de la propia organización. No debe permitirse la unión al bosque o dominio si los propietarios del bosque o dominio a unir poseen razones para actuar maliciosamente en contra de la organización.

  • Se cree, razonablemente, que estos administradores realizarán las mejores practicas y restringirán el acceso físico a los controladores de dominio.

  • Entender y aceptar los riesgos para la organización que supone la posibilidad de: que un administrador granuja aprovechando sus privilegios en la red, use cualquier aplicación, API, herramienta, editor de disco, depurador, robe SIDs desde el historial de SIDs dentro de su dominio.  O que un administrador sea coaccionado, impelido o amenazado a realizar acciones que supongan una brecha en la seguridad de cualquier equipo de la red.

Límites de seguridad

La ayuda de los límites de seguridad definen la autonomía o aislamiento de distintos grupos dentro de una organización. Es difícil equilibrar los sacrificios entre una seguridad adecuada (basada en cómo las organizaciones establecen sus límites) y la necesidad de mantener un nivel consistente de funcionalidad básica. Para alcanzar con éxito este equilibrio, se debe sopesar las amenazas contra las implicaciones de seguridad de delegar la administración de permisos y otras opciones que implican a la arquitectura del entorno de la red.


El bosque es el verdadero límite de seguridad en un entorno de red. La guía de seguridad de Windows Server 2003 recomienda la creación de bosques separados para guardar seguro el entorno de compromisos potenciales desde otros administradores de otros dominios. Este enfoque también ayuda a asegurar que si se compromete a uno de los bosques, no sea automáticamente comprometida la organización entera.


Un dominio es un límite administrado de Active Directory, no de seguridad. Con una aorganización de buenas intenciones individuales, un límite de dominio proporcionará administración autónoma de servicios y datos dentro de cada dominio de la organización. Desafortunadamente, respecto a la seguridad, aislar no es tan simple de llevar a cabo. Un dominio, por ejemplo, no estará totalmente aislado contra ataques de un administrador de dominio pícaro. Este nivel de separación solamente puede llevarse a cabo a nivel de bosque.


Dentro del dominio, la Unidad Organizativa (OU) proporciona otro nivel de límite administrado. Las OU’s proporcionan una vía flexible para agrupar recursos relacionados y delegar su administración al personal apropiado sin proporcionarles privilegios de administración al dominio entero. Como los dominios, las OU’s no son un límite de seguridad verdadero. Aunque pueden asignarse permisos a una OU, todas las que están en el mismo dominio autentican recursos contra los recursos de dominio y del bosque. Aún así, un buen diseño en la jerarquía de OU’s beneficiará el desarrollo, despliegue y administración de medidas de seguridad efectivas.


Se puede considerar la necesidad de dividir el control administrativo de servicios y datos dentro del diseño actual de Active Directory. Un diseño efectivo de Active Directory requiere que se entienda completamente las necesidades de la organización en la autonomía y aislamiento de servicios como para la autonomía y aislamiento de datos.

Hablemos de fortificación con Active Directory

Como sabemos, AD habilita a las aplicaciones a encontrar, usar y gestionar los propios recursos del directorio en un entorno distribuido. Para obtener información detallada en cuestión de diseño de AD necesitaríamos de un libro entero, pero aún así la guía de MS discute estos conceptos con el fin de establecer un contexto que sirva para seguirla, ya que se ha de entender el uso de las GPOs para una administración segura de dominios, controladores de dominio y funciones de servidor específicas. La guía no ofrece una orientación específica para asegurar el directorio de AD, pero si nos indica mediante un vínculo donde podemos encontrar un documento «Best Practice Guide for Securing Active Directory Installations»
http://www.microsoft.com/downloads/details.aspx?FamilyID=4e734065-3f18-488a-be1e-f03390ec5f91&DisplayLang=en
que al fin y al cabo es otra guía práctica.


Si creamos una infrestructura de AD debemos considerar encarecidamente los límites de seguridad del entorno. Valorando adecuadamente la implementación y la delegación, obtendremos un diseño más seguro y que en caso de grandes cambios del propio entorno sólo sería necesario restructurar el diseño inicial.


Cuando hablamos de límites de AD nos referimos a los que definen el bosque, el dominio, la topología de sitios y la delegación de permisos, que son normal y automáticamente establecidos cuando se instala AD. Sin embargo hay que asegurarse que límites de permisos incorporamos a las políticas y requerimientos organizativos. La delegación de permisos administrativos pueden ser bastante flexibles para acomodarse a las necesidades de distintos tipos de organización. Por ejemplo, para el mantenimiento de un balance adecuado entre seguridad y funcionalidad administrativa podemos dividir los límites de la delegación de permisos entre: límites de seguridad y límites administrativos.