Buenas Prácticas para Securizar nuestros Domain Controllers (2 de 2)
Hola,
Seguimos hoy con esta segunda entrada de la serie en la que detallaré otras 5 buenas practicas que debemos seguir para garantizar un nivel de seguridad aceptable de nuestros controladores de dominio y por lo tanto de nuestro Active Directory.
Primero que todo me gustaría dirigiros a la lectura de primer artículo de la serie el cual podéis acceder en el siguiente link antes de continuar con la lectura de este.
Una vez hecha está breve introducción pasamos a detallar las siguientes 5 medidas de seguridad las cual recomiendo su adopción.
6– Instala un software de antivirus en los controladores de dominio y configura las opciones del mismo siguiendo las best practices de Microsoft recogidas en el siguiente enlace. En este caso será de igual importancia instalar el software antivirus como configurar de manera pertinente las exclusiones, de lo contrario el rendimiento de nuestro controladores de dominio se puede ver seriamente afectado
7– El cifra el disco de los controladores de dominio usando bitlocker o cualquier otra tecnología de cifrado de datos, de lo contrario la base de datos de nuestro directorio activo y otros archivos sensibles podría ser comprometidos si un atacante obtiene acceso al disco físico del controlador de dominio o al disco duro virtual si este corre sobre un hypervisor.
8– Despliega siempre más de un controlador de dominio en cada dominio de directorio activo y asegúrate de que los mimos se ejecutan sobre distinto hardware. En el caso donde los controladores de dominio corran en físico será muy asegurar este requerimiento, sin embargo también debemos ser capaces de garantizarle cuando los controladores de dominio se ejecuten en un entorno de virtualización definiendo reglas de antiafinidad en el cluster con el objectivo de asegurar que todos nuestros dcs no se encuentran en ejecución en el mismo nodo.
9– Es de vital importancia realizar backup de nuestro directorio activo y probar que somos capaces de realizar una recuperación completa en un entorno controlado al menos una vez por año, igualmente es importante mencionar que la estrategia de backup debe estar basado en Windows server backup haciendo backup del system state, aunque si bien es cierto que posteriormente podemos exportar los backups del system state a cinta u otra localización este siempre debe ser el primer mecanismo de backup al ser el 100% soportado y recomendado por Microsoft. Igualmente recomendaremos habilitar la papelera de reciclaje de directorio activo y realizar backup de gpos mediante script para poder recuperar fácil y rápidamente objetos y políticas.
10– Despliega Read only domain controllers en las localizaciones donde los controladores de dominio no están en una infraestructura totalmente securizada y pueden ser comprometidos, idealmente desplegaremos read only domain controllers en cualquier sucurla fuera de los los datacenter y permitiremos la replicación de password unicamente de los usuarios y máquinas que normalmente autentican contra ese RODC.
Espero que os resulte de utilidad.
Un saludo