La ciberseguridad no solo debe enfocarse en las amenazas externas, aquellas que provienen de terceros o actores ajenos a la compañía. En muchos casos las amenazas son internas; bien sea como acciones premeditadas, o como resultado de la negligencia o la falta de conocimiento.
Por ello mismo es esencial promover las buenas prácticas para la gestión de TI. Tener en cuenta estas pautas reducirá en gran medida las vulnerabilidades asociadas a la administración de Active Directory y evitará riesgos relacionados con la seguridad de la información.
Disponga correctamente de las cuentas obsoletas
Cuando un empleado deja la organización, su cuenta debe ser despojada de todos los privilegios y accesos, y posteriormente desaprovisionada. No hacer esta tarea de limpieza deja muchas puertas abiertas para que los atacantes puedan usar alguno de esos usuarios de personas que ya no están vinculadas a la empresa y hacer estragos en las sombras.
Esto no solo genera beneficios en la reducción de riesgos: también ahorra el costo de nuevas licencias de Microsoft 365. Esas licencias de usuarios que ya no están, se pueden asignar a los nuevos empleados. Identifique las cuentas inactivas y aplique una política de desaprovisionamiento para mantener su AD limpio.
Delegue tareas de mesa de ayuda especificando los límites
Es habitual que los administradores de TI deleguen ciertas tareas como la creación de usuarios o el restablecimiento de contraseñas a parte de su equipo de trabajo. Sin embargo, permitir estas labores sin las restricciones debidas, puede ser perjudicial. Cómo ya lo vemos, no se trata de confiar o no en alguien: un mínimo error en un nivel elevado de permisos puede ser devastador.
Se recomienda controlar muy bien los límites de los permisos para que quienes accedan únicamente puedan realizar las tareas que específicamente se les delegaron. Auditar lo que se ha hecho con los permisos, también es muy recomendable.
Asigne permisos de manera granular
Permitir acceso total en cualquier momento no es una manera de simplificar la gestión de permisos en Active Directory. Por el contrario, puede generar un sinnúmero de riesgos. Todo usuario que tenga más accesos de los que necesita, puede (incluso de manera involuntaria) generar pérdida de datos, dañar la integridad de la información y comprometer elementos confidenciales.
A través de una asignación granular de permisos, se garantiza que solo puedan acceder quienes realmente necesitan hacerlo, además se pueden configurar permisos temporales (just in time) para brindar accesos solo por un tiempo determinado. Es una opción útil para controlar quienes ingresan y determinar qué pueden hacer.
Controle las membresías de grupo
Por lo general, al momento de crear un usuario en AD, se asigna a determinados grupos. Estos grupos pueden ser subgrupos, anidados a otros grupos más grandes y con acceso a herramientas e información privilegiadas.
Para evitar que nuevos miembros puedan acceder a recursos privilegiados, se recomienda ejecutar informes para identificar las membresías grupales de cada usuario y revocar fácilmente los permisos inapropiados. Usar plantillas basadas en roles permitirá aprovisionar usuarios limitando su acceso a los grupos de manera predeterminada.
Utilice plantillas
Una de las tareas básicas de Active Directory, como lo es el aprovisionamiento de usuarios, requiere de tiempo y esfuerzo cuando se realiza de forma manual. No obstante, no es una labor de una sola vez.
Si el usuario cambió de departamento, o asumirá nuevos roles, es necesario revisar de nuevo sus permisos, sus accesos y licencias. Con tantas cosas que revisar, es fácil cometer errores. Utilizar plantillas para el aprovisionamiento de usuarios basadas en roles hará más fácil esta tarea, incluso cuando se trate de cambios, nuevos nombramientos o ascensos.
Gestión integral, simple y segura, al alcance
Con ADManager Plus, la solución para la administración unificada de Active Directory, Exchange y Microsoft 365 de ManageEngine, puede aplicar todas y cada una de estas buenas prácticas para la gestión de AD.
Funciones como la limpieza de Active Directory, la delegación de mesa de ayuda, la asignación de permisos granulares, el control de grupos y el aprovisionamiento por plantillas, son algunas de las múltiples funciones de ADManager Plus.
Solicite una demo personalizada de ADManager Plus o descargue la versión gratuita totalmente funcional por 30 días. Aplique estas buenas prácticas y binde su organización ante las amenazas a su ambiente de Active Directory.
