Gestión de grupos privilegiados en Active Directory – 2xsoftware

La gestión de grupos privilegiados es una de las tareas más importantes de un administrador de Active Directory. Los grupos de AD privilegiados tienen un conjunto de privilegios que les permiten realizar casi cualquier acción en Active Directory y equipos unidos a un dominio. Los usuarios, que no están autorizados o se agregan inadvertidamente a un grupo privilegiado, pueden representar un alto riesgo para su infraestructura de AD, lo que lleva a la fuga de información y al compromiso de recursos confidenciales.

Una cantidad de grupos de seguridad se crean automáticamente en los contenedores Usuarios e Integrados cuando instala un nuevo dominio de Active Directory. Hay una serie de grupos privilegiados entre ellos:

  • Administradores de empresas
  • Administradores de esquema
  • Administradores de dominio
  • Administradores

También hay una serie de otros grupos predefinidos que le permiten realizar tareas administrativas específicas en todo el dominio:

  • Operadores de cuenta
  • Operadores de servidor
  • Operadores de respaldo
  • Operadores de impresión
  • Editores de certificados
  • DnsAdmins

Puede usar la consola del complemento Usuarios y equipos de Active Directory (dsa.msc) para ver los usuarios privilegiados que se agregaron a estos grupos privilegiados en Active Directory.

Por ejemplo, necesitamos obtener una lista de usuarios privilegiados con permisos de administrador de dominio. Busque este grupo, abra sus propiedades y vaya a la miembros pestaña. Verá una lista de usuarios que se han agregado a este grupo privilegiado.

De acuerdo con las pautas de seguridad de mejores prácticas de Microsoft, se debe agregar una cantidad mínima de cuentas a los grupos privilegiados. También se recomienda que cree cuentas separadas para realizar tareas de administración de dominio, en lugar de usar cuentas de usuario regulares que los administradores usan para realizar tareas informáticas diarias en sus computadoras.

Por ejemplo, para el usuario brian jacksonpuede crear una cuenta separada adm_jacksonb y agréguelo al grupo Administradores de dominio. Esta cuenta solo debe usarse para conectarse de forma remota a los controladores de dominio y realizar tareas de administración de AD.

Nota. Al usar PSO y Política de contraseñas detallada, se recomienda que asigne políticas de contraseñas más estrictas a grupos y usuarios privilegiados.

Debido a que los grupos AD privilegiados pueden contener otros grupos anidados, no siempre es conveniente ver su membresía en la consola ADUC. Puede usar el siguiente script de PowerShell para obtener una lista de cuentas que se agregan a ciertos grupos privilegiados. Usaremos el cmdlet Get-ADGroupMember, que es parte del módulo Active Directory de PowerShell, para obtener la membresía de los grupos.

$priv_groups="Domain Admins",'Enterprise Admins', 'Administrators'

$priv_accounts =@()

foreach ($group in $priv_groups)

{

$priv_accounts+= Get-ADGroupMember -Identity $group -Recursive | Select-Object distinguishedName, samaccountname, name, @{Label="Privileged Group Name";Expression={$group}}

}

$priv_accounts | Out-GridView

grupos privilegiados de anuncios

El script ha devuelto una tabla con una lista de cuentas de usuario privilegiadas.

Tenga en cuenta que todos los grupos privilegiados tienen SID/RID conocidos:

  • Administradores de empresas: S-1-5-21--519
  • Administradores de esquema: S-1-5-21--518
  • Administradores de dominio: S-1-5-21--512
  • Administradores — S-1-5-32-544

Puede obtener los SID de estos grupos en su dominio y usarlos en lugar de los nombres de grupo especificados en la variable $priv_groups. Todavía puede controlar la membresía de grupos privilegiados incluso si se les cambia el nombre.

En la versión de AD introducida en Windows Server 2016, puede usar una función adicional de Active Directory llamada «Administración de acceso privilegiado de Active Directory». Le permite agregar temporalmente un usuario a un grupo privilegiado.

Asegúrese de que su versión del bosque de Active Directory sea al menos 2016:

(Get-ADForest).ForestMode

Compruebe si esta función de AD está habilitada:

Get-ADOptionalFeature -filter "name -eq 'privileged access management feature'"

Para agregar temporalmente un usuario a un grupo privilegiado, ejecute:

$User="j.brion"

$Group="DNSAdmins"

$ttl = New-TimeSpan -Minutes 5

Add-ADGroupMember -Identity $Group -Members $User -MemberTimeToLive $ttl

El usuario puede realizar su tarea administrativa y se elimina automáticamente de DNSAdmins después de 5 minutos.

Valora este artculo post

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *