Cerrar
MENU
mobile-logo
InicioDirectivas de GrupoWindows Server 2012: Prevenir la promoción, despromoción o clonación de controladores de dominio
Directivas de Grupo

Windows Server 2012: Prevenir la promoción, despromoción o clonación de controladores de dominio

0 Comentarios
0

Evitar_dcpromo_ad_1.pngEn algunas ocasiones seguro que deseamos controlar que servidores se promocionan o despromocionan en nuestra infraesctructa. Ya no es solo por una cuestión de inventario, costes de licencias o eficiencia de en  la gestión de los recursos de TI, sino por seguridad. Debemos tener en cuenta que al promocionar una servidor a controlador de dominio, automáticamente tiene una copia exacta del directorio activo (replicación multimaestro). Esto es un gran problema, si tenemos algún técnico malicioso el cual instala a nuestras espaldas una máquina virtual en su equipo y promociona un controlador de dominio sobre el cual puede realizar ciertas configuraciones offline. Esto es un grave riesgo de seguridad para la organización, pero no es el único problema al que podemos estar expuestos, sino que algún otro técnico despromocione un controlador de dominio sin autorización de la empresa.

 
De ahí siempre la importancia de determinadas acciones de seguridad antes de implementar nuestra infraestructura, e incluso con el tiempo se debe ir revisando cada cierto tiempo las configuraciones iniciales. Yo soy de los que piensa que  "SI ALGO FUNCIONA, PUEDE HACERLO MEJOR" y no por no tocar funcionará siempre. Creo firmemente en la mejora continua, en estar siempre pendiente de cualquier configuración de mejora (siempre con las medidas de seguridad oportunas por supuesto). Y no creo que la frase "SI NO FALLA PORQUE CAMBIARLO!!!" sea la más adecuada
 

?Comentado esto a modo de introducción quería mostrar como en Windows Server 2012 podemos evitar mediante una GPO que algún usuario con derechos administrativos en el dominio, pueda realizar alguna de las siguientes tareas en los servidores:

  • Promocionar
  • Despromocionar
  • Clonar

Ahora en Windows Server 2012 todo estos procesos se gestionan desde un servicio: Servidor de roles de DS. Lo que haremos es deshabilitarlo evitando así su ejecución automática, además podemos editar que grupo de usuarios pueden tener acceso a este servicio, por lo que sería otro nivel de segregación de delegación de tareas. De esta forma podemos también definir quien si puede agregar, quitar o clonar controladores de dominio con los permisos adecuados para iniciar este servicio.

Evitar_dcpromo_ad_2.jpg
Una vez creada la GPO debemos revisar la delegacion de permisos sobre la GPO, evitando así que cualquier técnico tenga acceso a editarla y cambiar su comportamiento.  Para delegar las tareas de administración sobre la GPO únicamente debemos seleccionarla y en el panel de la derecha ir a la pestaña delegación y configurar los permisos necesarios. Deberíais tener en cuenta que los técnicos no todos deben ser administradores del dominio (ni mucho menos), únicamente usuarios del dominio y pertenecer a los grupos necesarios para acceder al servidor(es) y realizar las tareas que explicitamente se le han delegado

Evitar_dcpromo_ad_3.jpg

La GPO debe estar configurada como exigida (forzada) de tal forma que otra(s) GPO(s) de otro administrador no invalide la nuestra

Evitar_dcpromo_ad_4.jpg

Una vez revisada la delegación de permisos sobre la GPO, debemos vincularla a nivel de dominio (como recomendación)

Evitar_dcpromo_ad_5.jpg

Como véis es bastante sencillo el poder evitar que algún técnico trate de realizar alguna tarea no autorizada, o que nos veamos con 4 DC’s cuando deberíamos tener 5 🙂

Por último comentaros que esto mismo podemos hacerlo en las versiones anteriores a Windows Server 2012,  más bien co nel mismos resultado pero la confinguración no era tan trivial. Aqui os dejo algunos ejemplos de como evitar estas manipulaciones en los DC’s:

  1. Limitar los usuarios del grupo Admins. del Dominio
  2. Utilizar IPSec entre los controladores de dominio evitando así replicación con otros servidores
  3. Modificar los permisos sobre el fichero dcpromo.exe evitando que cualquier administrador pueda tener acceso
  4. En la OU de Controladores de Dominio modificar los permisos mediante la delegación de permisos

Como véis ahora es mucho más sencillo y tenemos más control de manera centralizada. De todas formas siempre es bueno que no todos los técnicos pertenezcan al grupo de Admins. del Dominio o similares.

Espero que os sea de utilidad!!!

ETIQUETAS:
COMPARTE EN:
Habilitar Usuarios e
Lync Server 2013 Mon

sbuytrago@asirsl.com

ARTÍCULOS RELACIONADOS
  1. Bloquear la instalación de .NET Framework 4.6.1 and SkypefB/Lync Server en Windows Server 2012 R2
  2. Blogs muy recomendables
  3. Cómo crear una Directiva de Restricción de Software para bloquear CrytpoLocker
  4. Cómo unir un equipo a un dominio sin conexión y además configurarlo para DirectAccess
  5. GPO: Instalación de fuentes a todos los equipos del dominio de forma automatizada
  6. GPO: Asignación de Sitios a Zonas en IE (20-01-2014)
  7. GPO Windows Server 2012 R2: Prevenir que los usuarios utilicen SkyDrive
  8. GPO Windows Server 2012 R2: Iniciar sesión automáticamente con el último usuario interactivo después de un reinicio iniciado por el sistema
  9. GPO: Asignar un dominio predeterminado para iniciar sesión
  10. GPO: Error de actualización de directivas de grupo remota
NO HAY COMENTARIOS

DEJA UN COMENTARIO

Este sitio web utiliza cookies. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información en nuestra política de cookies. ACEPTAR

Aviso de cookies
Share This