Las 10 mejores prácticas para las cuentas de servicio de Active Directory

Con Windows Active Directory, se puede configurar una gama de diferentes tipos de cuentas con los permisos, accesos y roles necesarios. Entre ellas se encuentran las cuentas de servicio, que están destinadas a utilizarse cuando se instalan aplicaciones o servicios en el sistema operativo. Entre los tipos más comunes de cuentas de servicio de Active Directory se encuentran las cuentas de usuario locales incorporadas, las cuentas de usuario de dominio, las cuentas de servicio gestionadas y las cuentas virtuales. Estas cuentas tienen privilegios más amplios y mayor acceso a la infraestructura que otras cuentas, lo que las hace vulnerables a la explotación de la seguridad.

tipos de cuentas de servicio de Active Directory

En este artículo, expondré las mejores prácticas para mantener seguras las cuentas de servicio, así como explicaré por qué la última y más importante práctica recomendada para las cuentas de servicio es asegurarse de tener una solución como Access Rights Manager para proporcionar información crítica sobre los permisos de AD.

Salte adelante:

  1. Mantenga el acceso limitado
  2. Cree cuentas de servicio desde cero
  3. No ponga cuentas de servicio en grupos construidosen grupos privilegiados
  4. No permita el acceso de las cuentas de servicio a objetos importantes
  5. Elimine los derechos innecesarios
  6. Configure el acceso mediante la función «Log On To»
  7. Limite los plazos
  8. Controlar la contraseña configuración
  9. Habilitar la auditoría
  10. Implementar el software de gestión de derechos de acceso

Cómo funcionan las cuentas de servicio de Active Directory

Cada tipo de cuenta de servicio de Active Directory tiene sus propios fines de funcionamiento.

  • Las cuentas de usuario locales incorporadas incluyen la cuenta de Sistema (para la administración del sistema local), la cuenta de Servicio local que accede a los servicios de red sin credenciales y la cuenta de Servicio de red que accede a los recursos de red utilizando las credenciales del equipo.
  • Las cuentas de usuario de dominio están destinadas a ser utilizadas por los servicios y son gestionadas de forma centralizada por Active Directory. Es posible crear una cuenta de usuario para un solo servicio o compartirla entre varios servicios. Sin embargo, con las cuentas de usuario de dominio, sólo se pueden conceder los privilegios requeridos por el servicio, y es necesario restablecer las contraseñas con regularidad.
  • Las cuentas de servicio gestionadas de Active Directory son similares a las cuentas de usuario de dominio, pero la contraseña se restablece de forma regular y automática. Con las cuentas de servicios gestionados de Active Directory, sólo puede asignar una cuenta de usuario por equipo, y cada cuenta puede utilizarse con varios servicios en el equipo. Alternativamente, puede crear cuentas separadas para cada servicio.

Las ventajas de una cuenta de servicio gestionada incluyen una mayor seguridad y facilidad de mantenimiento. Además, estas cuentas pueden ejecutar servicios en un ordenador con la posibilidad de conectarse a servicios de red como un usuario principal específico. Sin embargo, es importante auditar regularmente estas cuentas, además de seguir las mejores prácticas de las cuentas de servicio de Active Directory para garantizar la seguridad.

Mejores prácticas de las cuentas de servicio de Active Directory

  1. Mantenga el acceso limitado. Asegúrese de que sólo asigna a las cuentas de servicio de AD los privilegios mínimos que requieren para las tareas que necesitan llevar a cabo, y no les dé más acceso del necesario. En muchos casos, puede eliminar la funcionalidad para el acceso remoto, el inicio de sesión del servicio de terminal, el acceso a Internet y los derechos de control remoto.
  2. Cree cuentas de servicio desde cero. No cree cuentas de servicio en Active Directory copiando las antiguas, ya que podría estar copiando accidentalmente de una cuenta de servicio con privilegios muy superiores a los que necesita. Esto podría dar lugar a problemas de seguridad y a un uso indebido de la cuenta si le da a alguien una cuenta con acceso a recursos o información a la que no debería tener acceso.
  3. No ponga cuentas de servicio en grupos con privilegios incorporados. Poner cuentas de servicio en grupos con privilegios incorporados puede ser arriesgado, porque cada persona del grupo tendrá acceso a las credenciales de la cuenta de servicio. Si hay un mal uso de la cuenta, puede ser difícil averiguar quién es el infractor. Si necesita una cuenta de servicio para un grupo privilegiado, cree un nuevo grupo con los mismos privilegios y permita el acceso sólo a la cuenta de servicio.
  4. No permita el acceso de la cuenta de servicio a objetos importantes. Utilice una lista de control de acceso para proteger los archivos, las carpetas, los grupos o los objetos del registro sensibles del uso indebido de las cuentas de servicio de AD. Para desautorizar el acceso, vaya a un objeto y abra la ventana «Propiedades» para acceder a los permisos de seguridad, añada una cuenta a la lista «Entrada de permisos» y establezca el estado en «Denegar». Esto impedirá que la cuenta de servicio acceda al objeto. Si necesita dar a alguien un acceso específico al objeto, puede añadirlo y volver a cambiarlo a «Denegar» más tarde, cuando haya terminado su tarea.
  5. Elimine los derechos innecesarios. Negar los derechos de los usuarios no esenciales es útil para mantener fuertes las medidas de seguridad. Esto incluye «denegar el acceso a este equipo desde la red», «denegar el inicio de sesión localmente» y «denegar el inicio de sesión como trabajo por lotes».
  6. Establezca el acceso mediante la función «Iniciar sesión en». Cuando se crea una cuenta de servicio en Active Directory, se puede permitir que sólo inicie sesión en determinados equipos para proteger los datos confidenciales. Abra Usuarios y equipos de Active Directory y, a continuación, «Propiedades». En la pestaña «Cuenta», haga clic en el botón «Iniciar sesión en» y añada los equipos a la lista de dispositivos permitidos en los que la cuenta de servicio puede iniciar sesión.
  7. Limite los plazos. Puede añadir seguridad adicional configurando las cuentas de servicio de AD para que se les permita iniciar sesión sólo a determinadas horas del día.
  8. Controlar la configuración de la contraseña. Puede configurar una cuenta de servicio para que el usuario no pueda cambiar su propia contraseña. También puedes configurarla para que la cuenta no pueda ser delegada a otra persona. Esto asegura que el administrador controla la contraseña, y nadie más que los usuarios autorizados tiene acceso a la cuenta.
  9. Habilitar la auditoría. Asegúrese de habilitar la auditoría para todas las cuentas de servicio y objetos relacionados. Una vez habilitada la auditoría, compruebe regularmente los registros para ver quién utiliza las cuentas, cuándo y con qué fines. La auditoría es una de las más importantes de las mejores prácticas: ayuda a garantizar la seguridad, verifica los procesos internos y las medidas de cumplimiento que se están siguiendo, y puede descubrir cualquier problema o infracción antes de que pase demasiado tiempo.
  10. Implemente software de gestión de derechos de acceso. La gestión cuidadosa de sus cuentas de servicio de Active Directory es crucial para prevenir el mal uso de amplios accesos y privilegios. Una herramienta de gestión de derechos de acceso puede ser beneficiosa para garantizar que las cuentas de usuario se configuran y gestionan con los permisos y accesos adecuados.

Recomiendo SolarWinds® Access Rights Manager (ARM), que se ha creado para automatizar el proceso de gestión de cuentas y reducir el tiempo que necesita para el aprovisionamiento. El software también incluye herramientas detalladas de auditoría y supervisión del cumplimiento para ayudarle a satisfacer los estrictos requisitos de cumplimiento de la seguridad, incluidas las normativas de cumplimiento específicas del sector y de las políticas, como GDPR, PCI DSS e HIPAA.

Access-Rights-Manager

Las herramientas de auditoría de ARM son sencillas y fáciles de usar, y le permiten crear rápidamente informes listos para el auditor y la administración sobre el uso de las cuentas, así como sobre el comportamiento para mostrar el cumplimiento de los procesos de seguridad importantes.

Otra solución que merece la pena comprobar es Passportal. Se trata de una solución de gestión de contraseñas creada para los MSP que también puede ser utilizada por grandes corporaciones y empresas de todo tipo.

Con Passportal, se obtiene acceso a una plataforma centralizada basada en la nube para la gestión de contraseñas. Puede almacenar tantas contraseñas como necesite, buscarlas y cambiarlas a voluntad, y configurar la instalación para que se ajuste a sus necesidades.

Así que si necesita una forma de gestionar sus credenciales de Active Directory -o las de sus clientes- Passportal es una solución completa. También está diseñado para ser seguro, por lo que no tiene que preocuparse de que sus contraseñas y otros datos clave caigan en manos equivocadas.

Leave a Reply

Deja una respuesta

Tu dirección de correo electrónico no será publicada.