Bosques
Un bosque de Active Directory (AD) es una colección de dominios que comparten un esquema, una configuración y relaciones de confianza en común. Proporciona una estructura jerárquica para gestionar y organizar recursos, lo que permite la administración centralizada y la autenticación segura en varios dominios dentro de una organización.
Gestionar los bosques
Para agregar un bosque:
-
En Tenable Identity Exposure, haga clic en Sistema > Gestión de bosques.
-
Haga clic en Agregar un bosque a la derecha.
Aparece el panel “Agregar un bosque”.
-
En el cuadro Nombre, escriba el nombre del bosque.
- En la sección Cuenta, indique lo siguiente para la cuenta de servicio que Tenable Identity Exposure usa:
- Nombre de usuario: escriba el nombre de la cuenta de servicio. Formato: nombre principal de usuario, como “[email protected]” (se recomienda para la compatibilidad con Autenticación de Kerberos); o NetBIOS, como “NombreDominioNetBIOS\NombreCuentaSam”.
- Contraseña: escriba la contraseña de la cuenta de servicio.
-
Haga clic en Agregar.
Un mensaje confirma la adición de un nuevo bosque.
Para editar un bosque:
-
En Tenable Identity Exposure, haga clic en Sistema > Gestión de bosques.
-
En la lista de bosques, pase el cursor por el bosque que quiere modificar y haga clic en el ícono
a la derecha.Aparece el panel Editar un bosque.
-
Haga las modificaciones que considere necesarias.
-
Haga clic en Editar.
Un mensaje confirma que Tenable Identity Exposure actualizó el bosque.
Proteger cuentas de servicio
Para proteger las cuentas de servicio con el fin de mantener la seguridad, Tenable recomienda configurar correctamente los atributos de Control de cuentas de usuario (UAC) para evitar la delegación, exigir la autenticación previa, usar un cifrado más seguro, aplicar requisitos y vencimiento de contraseñas y permitir cambios de contraseñas autorizados. Estas medidas mitigan el riesgo de acceso no autorizado y posibles vulneraciones de seguridad, lo que garantiza la integridad de los sistemas y los datos de una organización.
Para modificar las opciones mediante un editor de políticas de Windows:
Puede modificar las opciones de control de cuentas de usuario mediante el Editor de directivas de seguridad local o el Editor de directivas de grupo local de Windows con los privilegios administrativos adecuados.
-
En el editor, vaya a Directivas locales -> Opciones de seguridad para buscar y configurar las siguientes opciones (pueden variar según la versión de Windows):
-
“Acceso a redes: no permitir el almacenamiento de contraseñas y credenciales para la autenticación de red”: establezca esta opción en Habilitado.
-
“Cuentas: No requerir la preautenticación de Kerberos”: establezca esta opción en Deshabilitado.
-
“Seguridad de red: Configurar los tipos de cifrado permitidos para Kerberos”: asegúrese de que la opción “Usar tipos de cifrado DES de Kerberos para esta cuenta“ no esté seleccionada.
-
“Cuentas: Vigencia máxima de la contraseña”: establezca el período de vencimiento de la contraseña (por ejemplo, 30, 60 o 90 días para que PasswordNeverExpires = FALSE).
-
“Cuentas: limitar el uso de cuentas locales con contraseña en blanco sólo para iniciar sesión en la consola”: establezca esta opción en Deshabilitado.
-
“Inicio de sesión interactivo: número de inicios de sesión anteriores que se almacenarán en caché (si un controlador de dominio no está disponible)”: establezca el valor deseado, como “10”, para permitir que los usuarios cambien las contraseñas.
-
Para modificar la configuración mediante PowerShell:
-
En una máquina que hospeda AD, abra PowerShell con los privilegios administrativos adecuados y ejecute el siguiente comando:
CopiarSet-ADAccountControl -Identity <AD_ACCOUNT> -AccountNotDelegated $true -UseDESKeyOnly $false -DoesNotRequirePreAuth $false -PasswordNeverExpires $false -PasswordNotRequired $false -CannotChangePassword $false
Donde <AD_ACCOUNT> es el nombre de la cuenta de Active Directory que quiere modificar.