Auditoría de Active Directory con PRTG

Active Directory (Active Directory) es un servicio de directorio creado por Microsoft para su uso en un entorno Windows Server. Proporciona funciones de autenticación y autorización, así como un marco para otros servicios relacionados. El directorio en sí es una base de datos LDAP que contiene objetos Active Directory en red.

La auditoría de Active Directory es el proceso de seguimiento y registro de eventos que ocurren en un entorno de Active Directory. Esto incluye acciones como inicios de sesión, cambios en las cuentas de usuario, acceso a archivos o recursos y actividades administrativas. La auditoría ayuda a las organizaciones a mantener la seguridad, el cumplimiento y la responsabilidad al proporcionar un registro detallado de quién hizo qué, cuándo y desde dónde dentro de la red. Los componentes típicos del proceso de auditoría son las políticas de auditoría, los registros de auditoría y los informes de auditoría.

Una de las muchas funciones que desempeña Active Directory es la de portero: controlar qué usuarios pueden utilizar los recursos de la red y su nivel de interacción con dichos recursos. Archivos compartidos, servidores de archivos, aplicaciones, acceso a Internet, impresoras: todos dependen de Active Directory para permitir o denegar el acceso. Por ello, es de vital importancia que los administradores de sistemas controlen cómo protege Active Directory estos recursos.

Microsoft ha incluido excelentes funciones de auditoría en Active Directory. El inicio y cierre de sesión, el acceso a objetos, los cambios de políticas, la gestión de cuentas y muchas otras actividades dejan registros detallados en el registro de eventos de seguridad de Windows. Desafortunadamente, incluso para una red pequeña, la auditoría de Active Directory puede crear un gran número de eventos de registro, por lo que es muy difícil hacer un seguimiento de los realmente importantes. Las herramientas de auditoría de Active Directory como PRTG le ayudan a realizar un seguimiento de estos eventos y le alertan si algo no funciona como debería.

Una auditoría de Active Directory (Active Directory) implica varios aspectos de seguridad críticos para garantizar la integridad, disponibilidad y confidencialidad del entorno de Active Directory. Estos son algunos de los aspectos de seguridad clave que suelen estar implicados en una auditoría de Active Directory

Gestión de cuentas de usuario

• Aprovisionamiento y desaprovisionamiento de cuentas: Asegúrese de que las cuentas de usuario se crean, modifican y desactivan de acuerdo con las políticas establecidas y de que las cuentas inactivas se desactivan rápidamente.
• Cuentas con privilegios: Audite el uso y la gestión de las cuentas con privilegios para garantizar que se utilizan de forma adecuada y que no tienen privilegios excesivos.

Políticas de contraseñas

• Requisitos de complejidad: Verificar que las políticas de contraseñas imponen requisitos de complejidad para evitar contraseñas débiles.
• Caducidad y rotación: Compruebe que las contraseñas están configuradas para caducar periódicamente y que se exige a los usuarios que las cambien con regularidad.
• Bloqueo de cuentas: Asegúrese de que existen políticas de bloqueo de cuentas para evitar ataques de fuerza bruta.

Objetos de directiva de grupo (GPO)

• Configuración de políticas: Revise los GPO para asegurarse de que están configurados de acuerdo con las mejores prácticas de seguridad y las políticas de la organización.
• Aplicación y alcance: Asegúrese de que los GPO se aplican correctamente y se asignan a los usuarios y equipos adecuados.

Controles de acceso

• Permisos y derechos: Audite los permisos de los objetos críticos de Active Directory (por ejemplo, unidades organizativas, cuentas de usuario) para garantizar que se establecen de acuerdo con el principio de mínimo privilegio.
• Control de acceso basado en roles (RBAC): Compruebe que el acceso se concede en función de las funciones y responsabilidades.

Auditoría y registro

• Registro de eventos: Asegúrese de que el registro está activado para las actividades críticas de Active Directory, como los eventos de inicio de sesión, los cambios en los objetos de Active Directory y las acciones administrativas.
• Revisión de registros: Revise y analice periódicamente los registros en busca de indicios de actividades sospechosas o no autorizadas.

Configuración de seguridad

• Configuración de seguridad básica: Verifique que el entorno de Active Directory cumple con las configuraciones de seguridad básicas.
• Gestión de parches: Asegúrese de que los servidores de Active Directory y los controladores de dominio se actualizan periódicamente con parches de seguridad.

Replicación y disponibilidad

• Estado de la replicación: Compruebe el estado y la configuración de la replicación de Active Directory para garantizar la coherencia de los datos en todos los controladores de dominio.
• Copias de seguridad y recuperación: Compruebe que se realizan copias de seguridad de Active Directory con regularidad y que se prueban los procedimientos de recuperación.

Cuentas de servicio

• Uso y gestión: Audite las cuentas de servicio para garantizar que se utilizan adecuadamente y que tienen los permisos mínimos necesarios.
• Gestión de contraseñas: Garantizar que las contraseñas de las cuentas de servicio se gestionan de forma segura, con cambios periódicos y almacenamiento adecuado.

Políticas de seguridad

• Cumplimiento: Garantizar que las políticas de Active Directory cumplen los requisitos de seguridad organizativos y normativos.
• Aplicación de políticas: Verificar que las políticas de seguridad se aplican de forma coherente en todo el entorno de Active Directory.

Seguridad física

• Seguridad de los controladores de dominio: Garantizar que el acceso físico a los controladores de dominio está restringido y monitoreado.

Respuesta a incidentes

• Monitoreo y alertas: Garantizar que existen mecanismos para detectar y responder a incidentes de seguridad en el entorno de Active Directory.
• Procedimientos de gestión de incidentes: Verificar que existen procedimientos claros para el manejo de incidentes de seguridad que involucren a Active Directory.

Cumplimiento e informes

• Requisitos normativos: Asegúrese de que las configuraciones y prácticas de Active Directory cumplan con los requisitos normativos y de cumplimiento pertinentes (por ejemplo, GDPR, HIPAA).
• Informes de auditoría: Generar y revisar informes para documentar el cumplimiento e identificar áreas de mejora.

No. PRTG es un software de monitoreo de red patentado que le permite vigilar toda su infraestructura de TI, incluyendo:

• Monitoreo SSL: PRTG determina el grado de protección de sus conexiones. Por lo tanto, puede saber si sus conexiones son fuertes, débiles o no están protegidas en absoluto.
• Monitoreo de ping: PRTG utiliza ping para comprobar la disponibilidad de todos sus dispositivos de red. Si el ping falla, se le notificará inmediatamente.
• Monitoreo QoS: ¿Su línea está entrecortada? ¿Se caen continuamente sus videollamadas? Si es así, entonces tiene un problema con la calidad de su servicio. PRTG le permite configurar un monitoreo de QoS fácil y efectivo y monitorear valores como latencia y jitter.
• Monitoreo del contador de rendimiento de Windows: Localice los cuellos de botella de la red, mejore el rendimiento de su sistema y sus aplicaciones y obtenga información sobre las aplicaciones que se ejecutan en un servidor IIS mediante los contadores de rendimiento de Windows.
• Monitoreo deservidores web: PRTG puede monitorear la disponibilidad de sus servidores web, incluyendo CPU, memoria, rendimiento del servidor web, tiempos de carga y más.
• Y mucho más

Si utilizas Microsoft Entra ID (antes Azure Active Directory) y quieres estar al tanto de lo que ocurre allí, también te tenemos cubierto.

Configure, por ejemplo, un sensor de costes de suscripción de Microsoft Azure para mantener sus costes de suscripción bajo control. O cree un sensor personalizado de PRTG para monitorear actividades que puedan representar un riesgo:

• Esté informado sobre inicios de sesión arriesgados, por ejemplo, desde un país inusual o sospechoso
• Reciba alertas sobre actividades de viaje imposibles, por ejemplo, si una cuenta inicia sesión desde Alemania y dos minutos más tarde desde Hong Kong
• Compruebe si hay cuentas de Active Directory que Microsoft considere que están expuestas a un riesgo
• Vigile los nuevos dispositivos registrados para la autenticación multifactor

Los “sensores” son los elementos básicos de monitoreo de PRTG. Un sensor, generalmente, monitora un valor medido dentro de su red; por ejemplo, el tráfico de un puerto del switch, la carga de la CPU de un servidor o el espacio libre de un disco duro. De media, se necesitan entre 5 y 10 sensores por dispositivo o un sensor por cada puerto del switch.