Saltar al contenido
Inicio / Directivas de Grupo / Windows Server 2012: Prevenir la promoción, despromoción o clonación de controladores de dominio

Windows Server 2012: Prevenir la promoción, despromoción o clonación de controladores de dominio

Evitar_dcpromo_ad_1.pngEn algunas ocasiones seguro que deseamos controlar que servidores se promocionan o despromocionan en nuestra infraesctructa. Ya no es solo por una cuestión de inventario, costes de licencias o eficiencia de en  la gestión de los recursos de TI, sino por seguridad. Debemos tener en cuenta que al promocionar una servidor a controlador de dominio, automáticamente tiene una copia exacta del directorio activo (replicación multimaestro). Esto es un gran problema, si tenemos algún técnico malicioso el cual instala a nuestras espaldas una máquina virtual en su equipo y promociona un controlador de dominio sobre el cual puede realizar ciertas configuraciones offline. Esto es un grave riesgo de seguridad para la organización, pero no es el único problema al que podemos estar expuestos, sino que algún otro técnico despromocione un controlador de dominio sin autorización de la empresa.

 
De ahí siempre la importancia de determinadas acciones de seguridad antes de implementar nuestra infraestructura, e incluso con el tiempo se debe ir revisando cada cierto tiempo las configuraciones iniciales. Yo soy de los que piensa que  "SI ALGO FUNCIONA, PUEDE HACERLO MEJOR" y no por no tocar funcionará siempre. Creo firmemente en la mejora continua, en estar siempre pendiente de cualquier configuración de mejora (siempre con las medidas de seguridad oportunas por supuesto). Y no creo que la frase "SI NO FALLA PORQUE CAMBIARLO!!!" sea la más adecuada
 

?Comentado esto a modo de introducción quería mostrar como en Windows Server 2012 podemos evitar mediante una GPO que algún usuario con derechos administrativos en el dominio, pueda realizar alguna de las siguientes tareas en los servidores:

  • Promocionar
  • Despromocionar
  • Clonar

Ahora en Windows Server 2012 todo estos procesos se gestionan desde un servicio: Servidor de roles de DS. Lo que haremos es deshabilitarlo evitando así su ejecución automática, además podemos editar que grupo de usuarios pueden tener acceso a este servicio, por lo que sería otro nivel de segregación de delegación de tareas. De esta forma podemos también definir quien si puede agregar, quitar o clonar controladores de dominio con los permisos adecuados para iniciar este servicio.

Evitar_dcpromo_ad_2.jpg
Una vez creada la GPO debemos revisar la delegacion de permisos sobre la GPO, evitando así que cualquier técnico tenga acceso a editarla y cambiar su comportamiento.  Para delegar las tareas de administración sobre la GPO únicamente debemos seleccionarla y en el panel de la derecha ir a la pestaña delegación y configurar los permisos necesarios. Deberíais tener en cuenta que los técnicos no todos deben ser administradores del dominio (ni mucho menos), únicamente usuarios del dominio y pertenecer a los grupos necesarios para acceder al servidor(es) y realizar las tareas que explicitamente se le han delegado

Evitar_dcpromo_ad_3.jpg

La GPO debe estar configurada como exigida (forzada) de tal forma que otra(s) GPO(s) de otro administrador no invalide la nuestra

Evitar_dcpromo_ad_4.jpg

Una vez revisada la delegación de permisos sobre la GPO, debemos vincularla a nivel de dominio (como recomendación)

Evitar_dcpromo_ad_5.jpg

Como véis es bastante sencillo el poder evitar que algún técnico trate de realizar alguna tarea no autorizada, o que nos veamos con 4 DC’s cuando deberíamos tener 5 🙂

Por último comentaros que esto mismo podemos hacerlo en las versiones anteriores a Windows Server 2012,  más bien co nel mismos resultado pero la confinguración no era tan trivial. Aqui os dejo algunos ejemplos de como evitar estas manipulaciones en los DC’s:

  1. Limitar los usuarios del grupo Admins. del Dominio
  2. Utilizar IPSec entre los controladores de dominio evitando así replicación con otros servidores
  3. Modificar los permisos sobre el fichero dcpromo.exe evitando que cualquier administrador pueda tener acceso
  4. En la OU de Controladores de Dominio modificar los permisos mediante la delegación de permisos

Como véis ahora es mucho más sencillo y tenemos más control de manera centralizada. De todas formas siempre es bueno que no todos los técnicos pertenezcan al grupo de Admins. del Dominio o similares.

Espero que os sea de utilidad!!!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¡Comparte!