Anexo D: protección de cuentas de administrador integradas en Active Directory

Anexo D: protección de cuentas de administrador integradas en Active Directory

En cada dominio de Active Directory, se crea una cuenta Administrador como parte de la creación del dominio. De forma predeterminada, esta cuenta pertenece a los grupos Administradores y Administradores de dominio del dominio. Si el dominio es el dominio raíz del bosque, la cuenta también pertenece al grupo Administradores de empresa.

El uso de la cuenta Administrador de un dominio solo debe reservarse para las actividades iniciales de compilación y, eventualmente, para escenarios de recuperación ante desastres. Para asegurarse de que se puede usar una cuenta Administrador a fin de realizar reparaciones en caso de que no se pueda usar ninguna otra cuenta, no debe cambiar la pertenencia predeterminada de la cuenta Administrador en ningún dominio del bosque. En su lugar, debe proteger la cuenta Administrador en cada dominio del bosque, tal como se describe en la sección siguiente y se detalla en las instrucciones paso a paso que se indican a continuación.

Note

En esta guía se solía recomendar deshabilitar la cuenta. Esta recomendación se quitó, ya que las notas del producto del bosque hacen uso de la cuenta de administrador predeterminada. El motivo es que esta es la única cuenta que permite iniciar sesión sin un servidor de catálogo global.

Controles para cuentas predefinidas de administrador

En la cuenta Administrador predeterminada de cada dominio del bosque, debe configurar las opciones siguientes:

  • Habilitación de la marca La cuenta es importante y no se puede delegar en la cuenta.

  • Habilitación de la marca La tarjeta inteligente es necesaria para un inicio de sesión interactivo en la cuenta.

  • Configuración de GPO para restringir el uso de la cuenta Administrador en los sistemas unidos a un dominio:

    • En uno o varios GPO que cree y vincule a unidades organizativas de servidor miembro y estación de trabajo en cada dominio, agregue la cuenta Administrador de cada dominio a los derechos de usuario siguientes en Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignaciones de derechos de usuario:

      • Denegar el acceso desde la red a este equipo

      • Denegación del inicio de sesión como trabajo por lotes

      • Denegar el inicio de sesión como servicio

      • Denegar inicio de sesión a través de Servicios de Escritorio remoto

Note

Al agregar cuentas a esta configuración, debe especificar si va a configurar cuentas de administrador locales o cuentas de administrador de dominios. Por ejemplo, para añadir la cuenta Administrador del dominio TAILSPINTOYS a estos derechos de denegación, tiene que escribir la cuenta como TAILSPINTOYS\Administrator o buscar la cuenta Administrador del dominio TAILSPINTOYS. Si escribe "Administrador" en esta configuración de derechos de usuario en el Editor de objetos de directiva de grupo, restringirá la cuenta Administrador local en cada uno de los equipos a los que se aplique el GPO.

Se recomienda restringir las cuentas de administrador locales en servidores miembro y estaciones de trabajo de la misma manera que se hace con las cuentas de administrador basadas en dominio. Por lo tanto, lo normal será agregar la cuenta Administrador para cada dominio del bosque y la cuenta Administrador de los equipos locales a esta configuración de derechos de usuario. En la captura de pantalla siguiente se muestra un ejemplo de configuración de estos derechos de usuario para impedir que las cuentas de administrador locales y la cuenta Administrador de un dominio realicen inicios de sesión que no deberían ser necesarios para estas cuentas.

Captura de pantalla que resalta la asignación de derechos de usuario.

  • Configurar GPO para restringir cuentas de administrador en controladores de dominio

    • En cada dominio del bosque, se debe modificar el GPO de controladores de dominio predeterminados o una directiva vinculada a la unidad organizativa de controladores de dominio para agregar la cuenta Administrador de cada dominio a los siguientes derechos de usuario en Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignaciones de derechos de usuario:

      • Denegar el acceso desde la red a este equipo

      • Denegación del inicio de sesión como trabajo por lotes

      • Denegar el inicio de sesión como servicio

      • Denegar inicio de sesión a través de Servicios de Escritorio remoto

Note

Esta configuración garantizará que la cuenta Administrador del dominio predeterminada no se pueda usar para conectarse a un controlador de dominio, aunque la cuenta puede iniciar sesión localmente en controladores de dominio. Como esta cuenta solo debe usarse en escenarios de recuperación ante desastres, se prevé que estará disponible el acceso físico a un controlador de dominio como mínimo, o que se puedan usar otras cuentas con permisos para acceder a los controladores de dominio de forma remota.

  • Configuración de la auditoría de cuentas de administrador

    Cuando la cuenta Administrador de cada dominio sea segura, deberá configurar la auditoría para llevar un control del uso o los cambios en la cuenta. Si se inicia sesión en la cuenta, se restablece su contraseña o se realizan otras modificaciones, se deben enviar alertas a los usuarios o equipos responsables de la administración de Active Directory, y también a los equipos de respuesta a incidentes de su organización.

Instrucciones paso a paso para proteger las cuentas predefinidas de administrador en Active Directory

  1. En administrador del servidor, seleccione Herramientas y seleccione Usuarios y equipos de Active Directory.

  2. Para evitar ataques que aprovechan la delegación para usar las credenciales de la cuenta en otros sistemas, realice los pasos siguientes:

    1. Seleccione la cuenta de administrador con el botón derecho y seleccione Propiedades.

    2. Seleccione la pestaña Cuenta .

    3. En Opciones de cuenta, seleccione Cuenta confidencial y no se puede delegar la marca como se indica en la captura de pantalla siguiente y seleccione Aceptar.

      Captura de pantalla que muestra la casilla La cuenta es confidencial y no se puede delegar.

  3. Para habilitar La tarjeta inteligente es necesaria para un inicio de sesión interactivo en la cuenta, siga estos pasos:

    1. Seleccione la cuenta de administrador con el botón derecho y seleccione Propiedades.

    2. Seleccione la pestaña Cuenta .

    3. En Opciones de cuenta , seleccione la tarjeta inteligente necesaria para la marca de inicio de sesión interactiva , como se indica en la captura de pantalla siguiente y seleccione Aceptar.

      Captura de pantalla que muestra Tarjeta inteligente necesaria para inicio de sesión interactivo.

Configuración de GPO para restringir cuentas de administrador en controladores de dominio

Warning

Este GPO nunca debe vincularse en el nivel de dominio porque puede hacer que la cuenta predefinida de administrador no se pueda usar, incluso en escenarios de recuperación ante desastres.

  1. En el Administrador del servidor, seleccione Herramientas y seleccione Administración de directivas de grupo.

  2. En el árbol de consola, expanda <Bosque>\Dominios\<Dominio> y, después, Objetos de directivas de grupo (donde <Bosque> es el nombre del bosque y <Dominio> es el nombre del dominio donde quiere crear la directiva de grupo).

  3. En el árbol de la consola, seleccione con el botón derecho Objetos de directiva de grupo y seleccione Nuevo.

  4. En el cuadro de diálogo Nuevo GPO , escriba <Nombre> de GPO y seleccione Aceptar (donde <GPO Name> es el nombre de este GPO).

  5. En el panel de detalles, seleccione <nombre> de GPO con el botón derecho y seleccione Editar.

  6. Vaya a Configuración de equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales y seleccione Asignación de derechos de usuario.

  7. Configure los derechos de usuario para evitar que la cuenta Administrador acceda a los servidores miembros y las estaciones de trabajo a través de la red realizando los siguientes pasos:

    1. Seleccione dos veces Denegar el acceso desde la red a este equipo y seleccione Definir esta configuración de directiva.

    2. Seleccione Añadir usuario o grupo y elija Examinar.

    3. Escriba Administrador, seleccione Comprobar nombres y seleccione Aceptar. Compruebe que la cuenta se muestra con el formato <Nombre_de_dominio>\Nombre_de_usuario como se indica en la captura de pantalla siguiente.

      Captura de pantalla que muestra el formato Nombre_de_dominio\Nombre_de_usuario.

    4. Seleccione Aceptar y vuelva a aceptar .

  8. Configure los derechos de usuario para evitar que la cuenta Administrador inicie sesión como un trabajo por lotes realizando los siguientes pasos:

    1. Seleccione dos veces Denegar el inicio de sesión como trabajo por lotes y elija la opción Definir esta configuración de directiva.

    2. Seleccione Añadir usuario o grupo y elija Examinar.

    3. Escriba Administrador, seleccione Comprobar nombres y seleccione Aceptar. Compruebe que la cuenta se muestra con el formato <Nombre_de_dominio>\Nombre_de_usuario como se indica en la captura de pantalla siguiente.

      Captura de pantalla que muestra cómo comprobar que ha configurado los derechos de usuario para impedir que la cuenta de administrador inicie sesión como trabajo por lotes.

    4. Seleccione Aceptar y vuelva a aceptar .

  9. Configure los derechos de usuario para evitar que la cuenta Administrador inicie sesión como servicio realizando los siguientes pasos:

    1. Seleccione dos veces Denegar el inicio de sesión como servicio y elija la opción Definir esta configuración de directiva.

    2. Seleccione Añadir usuario o grupo y elija Examinar.

    3. Escriba Administrador, seleccione Comprobar nombres y seleccione Aceptar. Compruebe que la cuenta se muestra con el formato <Nombre_de_dominio>\Nombre_de_usuario como se indica en la captura de pantalla siguiente.

      Captura de pantalla que muestra cómo comprobar que ha configurado los derechos de usuario para impedir que la cuenta de administrador inicie sesión como servicio.

    4. Seleccione Aceptar y vuelva a aceptar .

  10. Configure los derechos de usuario para evitar que la cuenta Administrador acceda a los servidores miembros y las estaciones de trabajo a través de los Servicios de Escritorio remoto realizando los siguientes pasos:

    1. Seleccione dos veces Denegar el inicio de sesión a través de Servicios de Escritorio remoto y luego elija Definir esta configuración de directiva.

    2. Seleccione Añadir usuario o grupo y elija Examinar.

    3. Escriba Administrador, seleccione Comprobar nombres y seleccione Aceptar. Compruebe que la cuenta se muestra con el formato <Nombre_de_dominio>\Nombre_de_usuario como se indica en la captura de pantalla siguiente.

      Captura de pantalla que muestra cómo comprobar que ha configurado los derechos de usuario para impedir que la cuenta de BA acceda a estaciones de trabajo y servidores miembro a través de Servicios de Escritorio remoto.

    4. Seleccione Aceptar y vuelva a aceptar .

  11. Para salir del Editor de administración de directivas de grupo, seleccione Campo y luego elija Salir.

  12. En Administración de directivas de grupo, vincule el GPO con las unidades organizativas del servidor miembro y de la estación de trabajo a través de los pasos siguientes:

    1. Vaya a <Bosque>\Dominios\<Dominio> (donde <Bosque> es el nombre del bosque y <Dominio> es el nombre del dominio en el que desea establecer la directiva de grupo).

    2. Seleccione con el botón derecho la unidad organizativa a la que se aplicará el GPO y seleccione Vincular un GPO existente.

    3. Seleccione el GPO que creó y seleccione Aceptar.

    4. Cree vínculos al resto de unidades organizativas que contengan estaciones de trabajo.

    5. Cree vínculos al resto de unidades organizativas que contengan servidores miembro.

Important

Al agregar la cuenta Administrador a esta configuración, especifique si va a configurar una cuenta Administrador local o una cuenta Administrador de dominio mediante la forma de etiquetar las cuentas. Por ejemplo, para agregar la cuenta Administrador del dominio TAILSPINTOYS a estos derechos de denegación, debe ir a dicha cuenta, que aparecería como TAILSPINTOYS\Administrator. Si escribe "Administrador" en esta configuración de derechos de usuario en el Editor de objetos de directiva de grupo, restringirá la cuenta Administrador local en cada uno de los equipos a los que se aplique el GPO, como se ha descrito anteriormente.

Pasos de comprobación

Los pasos de comprobación descritos aquí son específicos para Windows 8 y Windows Server 2012.

Comprobar la opción de cuenta "La tarjeta inteligente es necesaria para un inicio de sesión interactivo"
  1. Desde cualquier servidor miembro o estación de trabajo afectado por los cambios del GPO, intente iniciar sesión de forma interactiva en el dominio mediante la cuenta predefinida de administrador del dominio. Después de iniciar sesión, aparecerá un cuadro de diálogo donde se le indicará que necesita una tarjeta inteligente para iniciar sesión.
Comprobar la configuración del GPO "Denegar el acceso desde la red a este equipo"

Intente acceder a un servidor miembro o a una estación de trabajo a través de la red afectados por los cambios del GPO por medio de un servidor miembro o estación de trabajo que no hayan sido afectados por los cambios del GPO. Para comprobar la configuración del GPO, intente asignar la unidad del sistema mediante el comando NET USE mediante los pasos siguientes:

  1. Inicie sesión en el dominio con la cuenta Administrador integrada del dominio.

  2. Haga clic con el botón derecho en la sugerencia Inicio y elija Windows PowerShell (administrador).

  3. Cuando se le pida que apruebe la elevación, seleccione .

  4. En la ventana de PowerShell, escriba net use \\Nombre> del< servidor\c$, donde <Nombre> del servidor es el nombre del servidor miembro o estación de trabajo al que intenta acceder a través de la red.

  5. Recibirá un mensaje indicando que al usuario no se le ha concedido el tipo de inicio de sesión solicitado.

Comprobar la configuración de GPO "Denegar el inicio de sesión como trabajo por lotes"

Desde cualquier estación de trabajo o servidor miembro afectado por los cambios del GPO, inicie sesión localmente.

Creación de un archivo por lotes

  1. Seleccione la sugerencia Start y escriba Bloc de notas.

  2. En la lista de resultados, seleccione Bloc de notas.

  3. En el Bloc de notas, escriba dir c:.

  4. Seleccione Archivo y Seleccione Guardar como.

  5. En el campo Nombre de archivo, escriba <Filename>.bat (donde <Filename> es el nombre del nuevo archivo por lotes).

Programación de una tarea

  1. Seleccione la sugerencia Inicio , escriba programador de tareas y seleccione Programador de tareas.

  2. En Programador de tareas, seleccione Acción y seleccione Crear tarea.

  3. En el cuadro de diálogo Crear tarea , escriba <Nombre> de tarea (donde <Nombre> de tarea es el nombre de la nueva tarea).

  4. Seleccione la pestaña Acciones y seleccione Nuevo.

  5. En Acción:, seleccione Iniciar un programa.

  6. En Program/script:, seleccione Examinar, busque y seleccione el archivo por lotes creado en la sección "Crear un archivo por lotes" y seleccione Abrir.

  7. Selecciona Aceptar.

  8. Seleccione la pestaña General .

  9. En Opciones de seguridad , seleccione Cambiar usuario o grupo.

  10. Escriba el nombre de la cuenta de administrador en el nivel de dominio, seleccione Comprobar nombres y seleccione Aceptar.

  11. Seleccione Ejecutar tanto si el usuario ha iniciado sesión como si no y No almacenar la contraseña. La tarea solo tendrá acceso a los recursos del equipo local.

  12. Selecciona Aceptar.

  13. Debe aparecer un cuadro de diálogo, solicitando credenciales de cuenta de usuario para ejecutar la tarea.

  14. Después de escribir las credenciales, seleccione Aceptar.

  15. Se abrirá un cuadro de diálogo donde se le indicará que, para realizar la tarea, se necesita una cuenta con derechos de inicio de sesión como trabajo por lotes.

Comprobar la configuración de GPO "Denegar el inicio de sesión como servicio"

  1. Desde cualquier estación de trabajo o servidor miembro afectado por los cambios del GPO, inicie sesión localmente.

  2. Seleccione la sugerencia Inicio , escriba servicios y seleccione Servicios.

  3. Busque y seleccione Imprimir Spooler.

  4. Seleccione la pestaña Iniciar sesión .

  5. En Iniciar sesión como, seleccione Esta cuenta.

  6. Seleccione Examinar, escriba el nombre de la cuenta de administrador en el nivel de dominio, seleccione Comprobar nombres y seleccione Aceptar.

  7. En Contraseña: y Confirmar contraseña:, escriba la contraseña de la cuenta de administrador y seleccione Aceptar.

  8. Seleccione Aceptar tres veces más.

  9. Seleccione con el botón derecho el servicio Administración de trabajos de impresión y elija Reiniciar.

  10. Cuando se reinicie el servicio, aparecerá un cuadro de diálogo donde se le informará de que no se ha podido ejecutar el servicio Administración de trabajos de impresión.

Reversión de los cambios al servicio de Administrador de trabajos de impresión

  1. Desde cualquier estación de trabajo o servidor miembro afectado por los cambios del GPO, inicie sesión localmente.

  2. Seleccione la sugerencia Inicio , escriba servicios y seleccione Servicios.

  3. Busque y seleccione Imprimir Spooler.

  4. Seleccione la pestaña Iniciar sesión .

  5. En Iniciar sesión como:, seleccione la cuenta de Sistema local y seleccione Aceptar.

Comprobar la configuración de GPO "Denegar el inicio de sesión a través de Servicios de Escritorio remoto"

  1. Seleccione Iniciar y, a continuación, escriba conexión a Escritorio remoto y seleccione Conexión a Escritorio remoto.

  2. En el campo Equipo , escriba el nombre del equipo al que desea conectarse y seleccione Conectar. (también puede escribir la dirección IP en lugar del nombre de equipo).

  3. Cuando se le solicite, indique las credenciales del nombre de la cuenta Administrador correspondiente al dominio.

  4. Se denegará la Conexión a Escritorio remoto.

  • Last updated on