Seguridad en Active Directory
Páginas: 13 (3200 palabras)
Publicado: 16 de abril de 2013
Consejos inteligentes para asegurar a Active Directory
¿Active Directory no le deja dormir? Se puede entender fácilmente el motivo. Es quizá el sistema distribuido más grande y más importante en su empresa. Junto con la recuperación de desastres, la seguridad de Active Directory® es prioritario en la lista de temas que le quitan el sueño a un administrador.
Sin embargo, se puede hacer muchopara mejorar su seguridad de Active Directory y quizás usted ya tomó algunas medidas. A continuación aparece una lista de consejos útiles para que su instalación de Active Directory sea más segura. Primero abordo la seguridad administrativa, después las contraseñas y la seguridad de grupo, para terminar con algunos consejos para la seguridad del controlador de dominios.
1. Documente lo que tieneEl primer paso es documentar su configuración de Active Directory. No es un trabajo muy emocionante, pero no puede decidir hacia dónde se debe dirigir si no sabe dónde está ahora. Un buen comienzo es con las estructuras de alto nivel, como la configuración de bosques o dominios, la estructura de la unidad organizativa (OU), la seguridad del directorio de alto nivel y las relaciones de confianzaexistentes. Documente la topología de su sitio enumerando los sitios, las configuraciones de cada sitio, los vínculos del sitio y sus configuraciones, la lista de subredes y sus configuraciones, así como cualquier objeto de conexión creado manualmente y sus configuraciones. Documente sus Objetos de Política de Grupo (GPOs) con una herramienta de Política de Grupo, como la Consola de Administraciónde Política de Grupo (GPMC), disponible desde las descargas de Microsoft (En Inglés) e incluida en Windows Server™ 2003 R2. La documentación que elabore debe incluir las políticas de contraseña y auditoría, sin olvidar anotar a qué están vinculados los GPOs y quién tiene derechos sobre ellos. Asegúrese de tener una lista de todos los cambios que ha hecho al esquema de Active Directory, depreferencia en la forma de un archivo de Formato de Intercambio de Directorio Ligero (LDIF). Hay una secuencia de comandos GPMC incluida en la descarga para ayudarle a empezar, localizada en el directorio %programfiles%\gpmc\scripts, llamada GetReportsForAllGPOs.wsf.
Cuando elabore esto, también enumere sus controladores de dominio y sus nombres, sus versiones de sistema operativo y el software paraexplorar virus y sus versiones. Registre los métodos de respaldo que utiliza y con qué frecuencia se ejecutan, además de cuánto tiempo guarda los respaldos. Si utiliza respaldos en discos, registre dónde guarda de manera segura los archivos respaldados. Si emplea Windows® DNS, utilice DNSCMD y DNSLINT para documentar su configuración. Anote si está integrado con Active Directory, si utiliza divisionesde las aplicaciones y cómo están configuradas.
2. Controle su administración
La seguridad de Active Directory empieza en la parte superior; su modelo de administración. Controlar su administración es la acción fundamental para asegurar su bosque y quizá también es la más difícil. Todos desean tener una parte de Active Directory, pero un modelo de bosque bien asegurado no lo puede permitir. Sila instalación de su empresa es similar a la mayoría, su diseño lógico de Active Directory ya está establecido, por lo que debe trabajar dentro de sus restricciones. De lo contrario, tiene la oportunidad de crear Active Directory desde el principio.
El bosque es la única frontera de seguridad real dentro de Active Directory. Los dominios se deben utilizar para facilitar la infraestructura desoporte informático y réplica de su empresa, mientras que las unidades organizativas se deben usar para delegar la administración dentro de un dominio. Si tiene restricciones de seguridad estrictas entre dos partes de su compañía, considere implementar otro bosque. Consulte "Consideraciones de bosques múltiples en Windows 2000 y Windows Server 2003" (En Inglés) para algunas recomendaciones. Si es...
¿Active Directory no le deja dormir? Se puede entender fácilmente el motivo. Es quizá el sistema distribuido más grande y más importante en su empresa. Junto con la recuperación de desastres, la seguridad de Active Directory® es prioritario en la lista de temas que le quitan el sueño a un administrador.
Sin embargo, se puede hacer muchopara mejorar su seguridad de Active Directory y quizás usted ya tomó algunas medidas. A continuación aparece una lista de consejos útiles para que su instalación de Active Directory sea más segura. Primero abordo la seguridad administrativa, después las contraseñas y la seguridad de grupo, para terminar con algunos consejos para la seguridad del controlador de dominios.
1. Documente lo que tieneEl primer paso es documentar su configuración de Active Directory. No es un trabajo muy emocionante, pero no puede decidir hacia dónde se debe dirigir si no sabe dónde está ahora. Un buen comienzo es con las estructuras de alto nivel, como la configuración de bosques o dominios, la estructura de la unidad organizativa (OU), la seguridad del directorio de alto nivel y las relaciones de confianzaexistentes. Documente la topología de su sitio enumerando los sitios, las configuraciones de cada sitio, los vínculos del sitio y sus configuraciones, la lista de subredes y sus configuraciones, así como cualquier objeto de conexión creado manualmente y sus configuraciones. Documente sus Objetos de Política de Grupo (GPOs) con una herramienta de Política de Grupo, como la Consola de Administraciónde Política de Grupo (GPMC), disponible desde las descargas de Microsoft (En Inglés) e incluida en Windows Server™ 2003 R2. La documentación que elabore debe incluir las políticas de contraseña y auditoría, sin olvidar anotar a qué están vinculados los GPOs y quién tiene derechos sobre ellos. Asegúrese de tener una lista de todos los cambios que ha hecho al esquema de Active Directory, depreferencia en la forma de un archivo de Formato de Intercambio de Directorio Ligero (LDIF). Hay una secuencia de comandos GPMC incluida en la descarga para ayudarle a empezar, localizada en el directorio %programfiles%\gpmc\scripts, llamada GetReportsForAllGPOs.wsf.
Cuando elabore esto, también enumere sus controladores de dominio y sus nombres, sus versiones de sistema operativo y el software paraexplorar virus y sus versiones. Registre los métodos de respaldo que utiliza y con qué frecuencia se ejecutan, además de cuánto tiempo guarda los respaldos. Si utiliza respaldos en discos, registre dónde guarda de manera segura los archivos respaldados. Si emplea Windows® DNS, utilice DNSCMD y DNSLINT para documentar su configuración. Anote si está integrado con Active Directory, si utiliza divisionesde las aplicaciones y cómo están configuradas.
2. Controle su administración
La seguridad de Active Directory empieza en la parte superior; su modelo de administración. Controlar su administración es la acción fundamental para asegurar su bosque y quizá también es la más difícil. Todos desean tener una parte de Active Directory, pero un modelo de bosque bien asegurado no lo puede permitir. Sila instalación de su empresa es similar a la mayoría, su diseño lógico de Active Directory ya está establecido, por lo que debe trabajar dentro de sus restricciones. De lo contrario, tiene la oportunidad de crear Active Directory desde el principio.
El bosque es la única frontera de seguridad real dentro de Active Directory. Los dominios se deben utilizar para facilitar la infraestructura desoporte informático y réplica de su empresa, mientras que las unidades organizativas se deben usar para delegar la administración dentro de un dominio. Si tiene restricciones de seguridad estrictas entre dos partes de su compañía, considere implementar otro bosque. Consulte "Consideraciones de bosques múltiples en Windows 2000 y Windows Server 2003" (En Inglés) para algunas recomendaciones. Si es...
Leer documento completo
Regístrate para leer el documento completo.