Auditoría de Active Directory

Aspectos importantes a considerar y cómo lograrlo

Microsoft Active Directory es en lamayoría de las empresas en centro de autenticación de usuarios y de las múltiples aplicaciones que se integran a él para lograr un esquema de autenticación unificado (SSO – Single Sign On).

Es por eso que es de gran importancia realizar procesos de auditoría que permitan garantizar que no existen riesgos de potenciales ataques o configuraciones que pudieran dejar la puerta abierta a que algo no autorizado pueda ocurrir. 

A continuación quiero compartirte algunos aspectos importantes a auditar en un Active Directory y cómo lograrlo con el uso de una herramienta que facilite la implementación de controles y reportes.

Arquitectura y Conceptos sobre Active Directory

Es importante aclarar unos elementos esenciales de la arquitectura de Active Directory, por lo que el siguiente diagrama facilita identificar cómo funciona un entorno de autenticación, en donde:

  • Un Active Directory se implementa en un servidor que realiza un rol llamado Controlador de Dominio.
  • Se recomienda por efecto de alta disponibilidad tener un mínimo de 2 controladores de dominio.
  • Internamente entre los controladores de dominio se realiza un proceso de replicación de la base de datos del directorio, facilitando que cada controlador de dominio posea una copia completa y actualizada del directorio.
  • La estructura del Active Directory puede ser distribuida, facilitando la creación de dominios y subdominios como parte del mismo esquema del directorio.

Cosas que se deben de auditar en un Active Directory

Ahora que has identificado que muchas cosas dependen de Active Directory ya al interior de la configuración existen muchas cosas que se deben de controlar para garantizar que mantenemos un nivel de seguridad adecuado a las necesidades de la organización. 

Entre algunos aspectos que se deben de controlar en un Active Directory son:

Recordando que el concepto de Objeto hace referencia a una cuenta de usuario, un grupo o incluso una Politica de Seguridad, también reconocido como Group Policy Objects (GPO).

ManageEngine ADAudit Plus

Una de las mejores y fáciles herramientas con las que he trabajado es ADAudit Plus de ManageEngine, lo más importante es que entre las diferentes ediciones que poseen ofrecen una con licenciamiento gratuito!, las ediciones la Estandard y Profesional entre algunas características que poseen son:

Si deseas conocer el detalle completo de las características y el precio: ManageEngine ADAudit Plus

Utilizando ADAudit Plus

Si deseas conocer cómo funciona ADAudit Plus puedes ingresar al PORTAL DEMO o si gustas podrías de un solo descargar la VERSION GRATUITA la cual inicia como versión Estandard y luego queda en su edición gratis, donde las limitaciones es que sólo podrías controlar 25 estaciones de trabajo, pero puedes auditar todos tus usuarios del dominio y auditar File Servers.

Al momento de ingresar a la consola tenemos un Dashboard que de primera mano muestra muchos indicadores importantes como:

  • Top de usuarios que han fallado en su autenticación
  • Cantidad de equipos que se han creado o modificado
  • Total de intentos de inicios de sesión
  • Administrador o técnico que ha creado usuarios u objetos en el AD
  • Al lado derecho una sección de alarmas detectadas por comportamiento extraño en el manejo de las cuentas.

 

Había indicado que basta con instalar esta herramienta en un servidor que forme parte del dominio y automáticamente ADAudit Plus reconoce los controladores de dominio y comenza la recolección de los datos!! sin mayor configuración a realizar.

La sección de REPORTES está llena de muchos reportes pre diseñados que puedes solo ir a ejecutar para analizar la información recolectada, también estos reportes podrías dejarlos programados para que la herramienta te los mande automáticamente por correo electrónico.

La funcionalidad de FILE AUDIT es para iniciar a auditar lo que los usuarios realizan sobre las carpetas compartidas en el servidor de archivos, para reconocer aspectos como:

  • Qué usuario modifico los archivos
  • Qué usuario eliminó los archivos
  • Que usuario ha creado o modificado carpetas
  • Quien cambio permisos
  • etc…etc

Realizar esta configuración si requiere la implementación de una GPO que el mismo producto crea, pero se deben de aplicar y configurar unos permisos a nivel de las carpetas para que estos eventos comiencen a ser generados y registrados.

Finalmente en la sección de ALERTAS encontrarás muchos eventos que ADAudit Plus reconoce como actividades no usuales que podría representar una amenaza a la seguridad de la organización.

Espero esta información y reseña sea de utilidad!

Lo mejor es cuando compartimos

Facebook
Twitter
LinkedIn

Leave a Reply

Your email address will not be published. Required fields are marked *