United States - English
Inicio
Library
Entrenamiento
Descarga
Soporte
Comunidad
IT Managers
Foros
Personas que lo han encontrado útil: 1 de 1 Valorar este tema

Guía de planeamiento de la seguridad de las cuentas de administrador

Capítulo 2: Cómo mejorar la seguridad de las cuentas de administrador

Actualizado: 25/5/2005

En este capítulo se describe por qué es importante proteger al máximo las cuentas de administrador y se proporciona una descripción general de los grupos y cuentas de usuarios administrativos que puede utilizar para iniciar la sesión en un equipo o dominio. También se describen los principios básicos que deben aplicarse cuando se planea la protección de las cuentas de administrador.

En esta página

Por qué es importante mejorar la seguridad de las cuentas de administrador
Descripción general de las cuentas y los grupos administrativos
Principios para mejorar la seguridad de las cuentas de administrador

Por qué es importante mejorar la seguridad de las cuentas de administrador

Es esencial que las cuentas de administrador sean tan seguras como sea posible para garantizar la protección total de los activos de la red de la organización. Deberá proteger todos los equipos que pueda utilizar un administrador (controladores de dominio, servidores y las estaciones de trabajo que éste utilice). El grupo de TI de su empresa debe garantizar la seguridad de los controladores de dominio y servidores de entidad emisora de certificados, pues se consideran activos de máxima confianza. También deberán protegerse los equipos de escritorio y móviles de los administradores como activos de confianza, pues los administradores los utilizan para administrar de forma remota el bosque, el dominio y la infraestructura.

Los servidores miembro que se conectan con frecuencia a controladores de dominio requieren privilegios elevados para conectarse y proporcionar servicios. Como es habitual que esto signifique la existencia de credenciales elevadas en el servidor (normalmente derechos de administrador de dominio), si se compromete la seguridad de alguno de estos servidores, se comprometerá la de todo el dominio. Por ejemplo, un atacante podría asumir el control de un solo servidor miembro y utilizarlo como un punto desde el cual atacar a todo el dominio.

Garantizar la seguridad de las cuentas de administrador de dominio es aún más importante cuando se utilizan confianzas de entorno seguro entre bosques o dominios. Las organizaciones deben poder asumir que pueden utilizar cuentas de dominio en todos los dominios de confianza y que se aplican los mismos estándares elevados de protección de las cuentas de administrador a todos los dominios. Por ejemplo, supongamos que tuviera un dominio raíz llamado Prueba.com y dos subdominios, PruebaA.com y PruebaB.com. Si a los administradores de PruebaB.com se les otorgara explícitamente privilegios administrativos en PruebaA.com o si fueran miembros del grupo Administradores de organización en todo el bosque, sería inútil proteger las cuentas de administrador en PruebaA.com. El motivo es que, si las cuentas de administrador de PruebaB.com no son seguras, los intrusos que logren entrar en el dominio poco seguro PruebaB.com podrían obtener acceso administrativo al dominio seguro PruebaA.com.

Por qué no debe iniciar una sesión en su equipo como administrador

Si normalmente inicia la sesión en su equipo como administrador para llevar a cabo las tareas comunes basadas en aplicaciones, hará que el equipo sea vulnerable ante software malintencionado y otros riesgos para la seguridad pues el software malintencionado se ejecutará con los mismos privilegios que se utilizaron para iniciar la sesión. Si visita un sitio de Internet o abre un archivo adjunto a un mensaje de correo, puede dañar el equipo ya que podría descargarse y ejecutarse en su equipo código malintencionado.

Si inicia la sesión como administrador en un equipo local, el código malintencionado podría, entre otras acciones, formatear la unidad de disco duro, eliminar archivos y crear una nueva cuenta de usuario con privilegios administrativos. Si inicia la sesión como miembro del grupo Administradores de dominio, el grupo Administradores de organización o el grupo Administradores de esquema en el servicio de directorio Active Directory®, el código malintencionado podría crear una nueva cuenta de usuario de dominio con acceso administrativo y poner en peligro los datos de dominio, configuración o esquema.

En un equipo local, deber agregar su cuenta de usuario de dominio sólo al grupo Usuarios (y no al grupo Administradores) para llevar a cabo tareas rutinarias como ejecutar programas o visitar sitios de Internet. Cuando sea necesario llevar a cabo tareas administrativas en un equipo local o en Active Directory, utilice el comando Ejecutar como para iniciar un programa con credenciales administrativas.

El comando Ejecutar como permite llevar a cabo tareas administrativas sin poner en peligro los datos de Active Directory o su equipo. Para obtener más información acerca de cómo utilizar el comando Ejecutar como, consulte la sección Utilizar el servicio de inicio de sesión secundario del capítulo 3 de esta guía, "Directrices para mejorar la seguridad de las cuentas de administrador".

Nota: para obtener más información acerca del uso de Ejecutar como en Microsoft® Windows® 2000, Windows XP y Windows Server™ 2003, consulte los artículos de Knowledge Base 294676, 305780, 325859 y 325362. Puede encontrar estos artículos por su número en el sitio Web Búsqueda de Knowledge Base (KB) de soporte técnico en http://support.microsoft.com/default.aspx?scid=fh;en-us;KBHOWTO  

Descripción general de las cuentas y los grupos administrativos

Existen varios grupos y cuentas de usuario administrativo cuyas credenciales pueden utilizarse para iniciar la sesión en un equipo o dominio. Entre las cuentas administrativas del dominio de Active Directory se incluyen las siguientes:

  • La cuenta Administrador, que se crea con la instalación de Active Directory en el primer controlador del dominio. Es la cuenta con más privilegios. La persona encargada de instalar Active Directory en el equipo crea la contraseña de esta cuenta durante la instalación. Si el dominio es el primero creado en un bosque, se convierte automáticamente en el dominio raíz del bosque y, por lo tanto, contiene el grupo Administradores de organización. La cuenta de administrador para este dominio raíz de bosque es miembro del grupo Administradores de organización de forma predeterminada y como tal tiene privilegios administrativos para todo el bosque. De forma predeterminada, la primera cuenta de administrador creada en cada dominio es también el Agente de recuperación de datos (DRA) para el Sistema de cifrado de archivos (EFS) en cada dominio.

  • Las cuentas que cree posteriormente y a las que asigne directamente privilegios administrativos o coloque en un grupo con privilegios administrativos.

  • Las cuentas que utilizan certificados del Agente de recuperación de datos para EFS, certificados de un Agente de inscripción o certificados de Agente de recuperación de claves. Las cuentas que utilizan estos certificados de agente tienen muchos privilegios y también deben protegerse. Por ejemplo, si alguien consigue un certificado de Agente de inscripción puede inscribirse para un certificado y generar una tarjeta inteligente en nombre de otro usuario de la organización. La tarjeta inteligente resultante podría utilizarse para iniciar sesión en la red y suplantar al usuario real. Debido a las enormes capacidades de estas cuentas de certificado de agente, se recomienda que las organizaciones mantengan una directiva de seguridad estricta sobre quién tiene una de esas cuentas.

El número de grupos administrativos en un dominio Active Directory varía según los servicios instalados. Entre los grupos utilizados específicamente para la administración de Active Directory se incluyen:

  • Grupos administrativos que ya existen en el contenedor Builtin; por ejemplo, operadores de cuentas y operadores de servidores. Tenga en cuenta que los grupos del contenedor Builtin no se pueden cambiar de ubicación.

  • Grupos administrativos que ya existen en el contenedor Usuarios; por ejemplo, Administradores de dominio y Propietarios del creador de directivas de grupo.

  • Los grupos que se creen posteriormente y se incluyan en un grupo con privilegios administrativos o a la que se asignen directamente estos privilegios.

Las cuentas y los grupos administrativos predeterminados de un entorno de dominio son:

  • Administradores de organización (existen sólo en los dominios raíz del bosque)

  • Administradores de dominio (existen en todos los dominios)

  • Administradores de esquema (existen sólo en los dominios raíz del bosque)

  • Propietarios del creador de directivas de grupo (existen sólo en los dominios raíz del bosque)

  • Grupo Administradores

  • Cuenta de administrador

  • Cuenta de administrador del modo de restauración de SD (disponible sólo en Modo de restauración de servicios de directorio. Esta cuenta es local para el controlador de dominio y no es una cuenta de todo el dominio. La contraseña para esta cuenta se establece al instalar Active Directory en el equipo).

Para obtener una descripción completa de cada uno de estas cuentas y grupos administrativos, consulte los temas "Grupos predeterminados: Active Directory" y "Cuentas de usuarios y equipos" en el Centro de ayuda y soporte técnico de Windows Server 2003.

Tipos de cuenta de administrador

Existen básicamente tres categorías de cuentas de administrador para iniciar la sesión en un equipo o dominio. Cada categoría tiene privilegios y capacidades exclusivas.

  • Cuentas de administrador local. Esta categoría incluye la cuenta de administrador integrada que crea y utiliza Windows Server 2003 la primera vez que se instala en un equipo. Esta categoría también incluye cualquier otra cuenta de usuario que posteriormente cree y agregue al grupo Administradores local integrado. Los miembros de este grupo tienen acceso completo sin restricciones al equipo local.

  • Cuentas de administrador de dominio. Esta categoría incluye la cuenta de administrador de dominio integrada que crea y utiliza Active Directory la primera vez que se instala. Esta categoría también incluye cualquier otra cuenta de usuario que posteriormente cree y agregue al grupo Administradores local integrado o al grupo Administradores de dominio. Los miembros de estos grupos tienen acceso completo sin restricciones al dominio y, si no se protegen adecuadamente, a todo el bosque.

  • Cuentas de administrador de bosque. Esta categoría incluye la cuenta de administrador de dominio integrada del primer dominio creado en el bosque, que se denomina dominio raíz del bosque, porque la cuenta de administrador del dominio raíz del bosque se agrega automáticamente al grupo Administradores de organización al instalar Active Directory. Esta categoría también incluye cualquier otra cuenta de usuario que posteriormente cree y agregue al grupo Administradores de organización. Los miembros del grupo Administradores de organización tienen acceso completo sin restricciones a todo el bosque. Los administradores de organización también pueden instalar entidades emisoras de certificados, que pueden utilizarse para suplantar a cualquier usuario del bosque.

Principios para mejorar la seguridad de las cuentas de administrador

Al planear cómo proteger mejor sus cuentas administrativas, debe:

  • Aplicar el principio de privilegios mínimos

  • Seguir las directrices de prácticas recomendadas para mejorar la seguridad de las cuentas de administrador

Principio de privilegios mínimos

La mayoría de cursos y documentos relacionados con la seguridad proponen la implementación de un principio de privilegios mínimos; no obstante, las organizaciones siguen esta recomendación en contadas ocasiones. El principio es simple y el efecto de aplicarlo correctamente aumenta considerablemente la seguridad y reduce los riesgos. El principio especifica que todos los usuarios deben iniciar la sesión con una cuenta de usuario que sólo tenga los permisos mínimos necesarios para llevar a cabo la tarea actual. Ésta es una forma de protección contra código malintencionado, entre otros ataques. Este principio es válido para los equipos y para los usuarios de dichos equipos.

Un motivo por el que este principio funciona tan bien es que le obliga a hacer ciertas averiguaciones internas. Por ejemplo, deberá determinar los privilegios de acceso que realmente necesita un equipo o usuario y, a continuación, implementarlos. Para muchas organizaciones, esta tarea podría parecer inicialmente una ingente cantidad de trabajo; sin embargo, es un paso esencial para proteger correctamente el entorno de red.

Debe otorgar a todos los usuarios administradores de dominio sus privilegios de dominio según el concepto de privilegios mínimos. Por ejemplo, si un administrador inicia la sesión con una cuenta con privilegios e inintencionadamente ejecuta un programa de virus, el virus tendrá acceso administrativo al equipo local y a todo el dominio. Si el administrador hubiera iniciado la sesión con una cuenta sin privilegios (no administrativa), el virus sólo afectaría al equipo local pues se ejecuta como usuario del equipo local.

Otro ejemplo: las cuentas a las que se otorgan derechos de administrador de nivel de dominio no deben tener derechos elevados en otro bosque, aunque exista una relación de confianza entre los bosques. Esta táctica evita daños mayores si un atacante consigue poner en peligro un bosque administrado. Las organizaciones deben auditar periódicamente su red para protegerla de la elevación de privilegios no autorizada.

Prácticas recomendadas para mejorar la seguridad de las cuentas de administrador

Entre las directrices de prácticas recomendadas que debe seguir para mejorar la seguridad de las cuentas administrativas en Windows Server 2003 se incluyen:

  • Separar las funciones Administrador de dominio y Administrador de organización.

  • Separar las cuentas de usuario y administrador.

  • Utilizar el servicio de inicio de sesión secundario.

  • Ejecutar una sesión independiente de Servicios de Terminal Server para administración.

  • Cambiar el nombre de la cuenta Administrador predeterminada.

  • Crear una cuenta Administrador señuelo.

  • Crear una cuenta de administrador secundaria y deshabilitar la cuenta Administrador integrada.

  • Habilitar el bloqueo de la cuenta para inicios de sesión de administrador remotos.

  • Crear una contraseña de administrador segura.

  • Detectar automáticamente contraseñas poco seguras.

  • Utilizar credenciales administrativas sólo en equipos de confianza.

  • Auditar las cuentas y contraseñas periódicamente.

  • Prohibir la delegación de cuentas.

  • Controlar el proceso de inicio de sesión administrativa.

Para obtener más información acerca de estas directrices de prácticas recomendadas, consulte el capítulo 3, "Directrices para mejorar la seguridad de las cuentas de administrador" de esta guía.


  • Guía de planeamiento de la seguridad de las cuentas de administrador


¿Le ha resultado útil?
(Caracteres restantes: 1500)