Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosMejores prácticas
Mejores prácticas de seguridad de Active Directory

Mejores prácticas de seguridad de Active Directory

Proteger Active Directory (AD) es un enfoque crítico para los equipos de seguridad debido a su papel central en numerosas funciones vulnerables, incluyendo autenticación, autorización y acceso a la red. Cada vez que usuarios, aplicaciones, servicios y dispositivos IoT acceden a sistemas empresariales, dependen de Active Directory.

En un incidente de seguridad reciente, la plataforma de Identity Management Okta sufrió una intrusión en su sistema de soporte al cliente, exponiendo datos sensibles como los nombres y direcciones de correo electrónico de todos los usuarios. Este evento suscita preocupaciones sobre posibles vulnerabilidades de seguridad que podrían ser explotadas para manipular o comprometer la autenticación de usuarios y los controles de acceso. Las organizaciones que dependen de Okta para la integración fluida con Active Directory podrían enfrentar desafíos para mantener la seguridad de su entorno de AD, ya que las credenciales comprometidas o los mecanismos de autenticación podrían ser aprovechados potencialmente para acceder a recursos de AD.

Los adversarios explotan las debilidades en la seguridad de AD no solo para obtener acceso a una red, sino también para escalar sus privilegios, moverse lateralmente entre endpoints y otros sistemas, desplegar cargas útiles de malware y más.

Para frustrar a los atacantes en cada paso, utilice la siguiente lista de verificación de las mejores prácticas de seguridad de Active Directory.

Asegure sus controladores de dominio

Un controlador de dominio (DC) es un servidor que autentica a los usuarios verificando sus credenciales contra los datos almacenados, y también autoriza (o deniega) solicitudes de acceso a diversos recursos de TI. Esa funcionalidad convierte a los DCs en un objetivo primario para los ciberdelincuentes.

Las mejores prácticas para asegurar los controladores de dominio de Active Directory incluyen lo siguiente:

Despliegue

  • Tenga al menos dos controladores de dominio en cada dominio de Active Directory para tolerancia a fallos y alta disponibilidad.
  • Considere implementar DCs de solo lectura en sucursales u otras ubicaciones con conectividad limitada al centro de datos principal para mejorar la seguridad y el rendimiento.
  • Coloque los controladores de dominio en diferentes ubicaciones físicas para asegurarse de que no todos se vean afectados por un único punto de fallo, como un corte de energía o un desastre natural.

Control de acceso y tráfico

  • Restrinja el acceso físico a los DC utilizando medidas como salas de servidores cerradas con llave y sistemas de control de acceso.
  • Utilice la segmentación de red para aislar los DCs de otras partes de la red y limitar el acceso solo a sistemas y administradores autorizados.
  • Implemente firewalls para restringir el tráfico entrante y saliente a los DCs, permitiendo solo la comunicación necesaria entre los DCs y otros recursos de la red.
  • Aísle los DCs de internet configurando cortafuegos y enrutadores para bloquear el tráfico saliente de los DCs hacia internet. Si se requiere acceso a internet para un controlador de dominio, utilice un servidor proxy para controlar el acceso; configure el servidor proxy para permitir solo el tráfico necesario y bloquear todo el tráfico no deseado, e implemente filtrado DNS para prevenir la comunicación con dominios maliciosos conocidos.

Configuración y actualizaciones

  • Estandarice la configuración de DC. Por ejemplo, utilice la automatización de compilación a través de herramientas de implementación como System Center Configuration Manager.
  • No instale roles de servidor adicionales ni software en los DCs, ya que eso puede llevar a una contienda de recursos, inestabilidad y degradación del rendimiento. Si se requiere software adicional o roles de servidor, despliegue servidores miembros o servidores de aplicaciones separados para ejecutar aplicaciones o alojar servicios adicionales.
  • Actualice regularmente los DCs con los últimos parches de seguridad y actualizaciones para protegerse contra vulnerabilidades de seguridad.
  • Actualice regularmente los sistemas operativos de sus DCs. Sin embargo, planifique y pruebe a fondo el proceso de actualización en un entorno no productivo para identificar y mitigar posibles problemas.

Monitoreo y recuperación

  • Utilice herramientas de monitoreo para rastrear el rendimiento de los DCs y asegurarse de que funcionen de manera óptima.
  • Realice copias de seguridad de los datos en los controladores de dominio regularmente para permitir la recuperación en caso de una falla de hardware u otro problema.

Establezca una política de contraseñas robusta

Active Directory le permite definir políticas de contraseñas de granularidad fina utilizando factores como la longitud de la contraseña y los requisitos de complejidad. Siga las siguientes NIST password guidelines:

  • Las contraseñas deben contener al menos ocho caracteres cuando las establece una persona y seis caracteres cuando las establece un sistema o servicio automatizado.
  • Usar una contraseña fuerte es más efectivo que actualizar constantemente contraseñas débiles.
  • Evite requisitos de complejidad que no sean amigables para el usuario, ya que pueden llevar a los usuarios a crear contraseñas débiles o almacenar sus contraseñas de manera no segura (como en una nota adhesiva en su escritorio). En su lugar, anime a los usuarios a elegir frases de contraseña largas que sean fáciles de recordar.
  • Monitoree los restablecimientos de contraseña administrativos. Una actividad inusual de restablecimiento de contraseñas puede indicar un compromiso de la cuenta de administrador.
  • Calibre la configuración de bloqueo de su cuenta, aplicando ajustes más estrictos a las cuentas que tienen acceso a datos valiosos y aplicaciones críticas. De esa manera, un atacante que intente comprometer una cuenta de administrador será bloqueado después de solo unos pocos intentos fallidos, pero un usuario regular que escriba mal su contraseña varias veces no será bloqueado y necesitará restablecer su contraseña antes de poder volver al trabajo.
  • Considere invertir en un gestor de contraseñas que facilite a los usuarios tener contraseñas fuertes y únicas sin aumentar la carga de trabajo de su servicio de asistencia técnica debido a bloqueos de cuenta frecuentes.

Utilice una contraseña de administrador local diferente en cada máquina

Con demasiada frecuencia, las organizaciones crean una ID de usuario administrador local genérica con la misma contraseña en todas las máquinas, lo que permite a un actor malicioso que compromete una máquina comprometer también las demás. Con las herramientas adecuadas puedes establecer fácilmente una contraseña de administrador local diferente en cada dispositivo.

En particular, Local Administrator Password Solution (LAPS) genera y administra automáticamente contraseñas únicas y complejas para cuentas de administrador local. Estas contraseñas se almacenan de forma segura en Active Directory y solo pueden ser recuperadas por usuarios o sistemas autorizados. LAPS ofrece los siguientes beneficios adicionales:

  • LAPS admite la rotación automática de contraseñas de administrador local en intervalos regulares, reduciendo la vida útil de una contraseña comprometida.
  • Los administradores pueden delegar permisos para recuperar contraseñas de administrador local basándose en los roles y responsabilidades de los usuarios.
  • LAPS se integra perfectamente con Active Directory, aprovechando sus características de seguridad y controles de acceso para gestionar el almacenamiento y recuperación de contraseñas de administrador local.
  • LAPS mantiene un registro de auditoría de las actividades de recuperación de contraseñas para facilitar investigaciones y responsabilidad.
  • LAPS se puede configurar y gestionar a través de Group Policy, lo que proporciona un enfoque centralizado y escalable para implementar y administrar contraseñas de administrador local en toda la organización.

Controlar los derechos de acceso

Los grupos de seguridad son la manera recomendada de controlar el acceso a los recursos. En lugar de asignar derechos de acceso directamente a las cuentas de usuario una por una, se asignan permisos a los grupos de seguridad y luego se hace a cada usuario miembro de los grupos apropiados. Siga estas mejores prácticas:

  • Siga rigurosamente un modelo de mínimo privilegio, otorgando a cada usuario solo los permisos mínimos necesarios para completar sus tareas.
  • Cree cuentas de invitado con privilegios mínimos.
  • Asegúrese de que los propietarios de los datos revisen regularmente la membresía del grupo de seguridad para garantizar que solo los usuarios correctos sean miembros de cada grupo.
  • Establezca un modelo de delegación de AD siguiendo las mejores prácticas.
  • Supervise de cerca los cambios en la membresía de los grupos de seguridad, especialmente aquellos que tienen permisos para acceder, modificar o eliminar datos sensibles.
  • Monitoree las modificaciones sospechosas a las cuentas de AD.
  • Deshabilite inmediatamente las cuentas de los empleados que abandonan la organización.
  • Monitoree las cuentas inactivas y desactívelas si es necesario.

Preste especial atención a las cuentas privilegiadas

Naturalmente, los atacantes están particularmente interesados en obtener acceso a cuentas que tienen privilegios administrativos o acceso a datos sensibles, como registros de clientes o propiedad intelectual. Por lo tanto, es crítico estar especialmente vigilantes con estas poderosas cuentas. Las mejores prácticas incluyen lo siguiente:

  • Restrinja estrictamente la membresía en Domain Admins y otros grupos privilegiados de acuerdo con el principio de menor privilegio.
  • Capacite a los administradores para usar sus cuentas administrativas solo cuando sea absolutamente necesario para reducir el riesgo de robo de credenciales.
  • Idealmente, implemente una solución de Privileged Access Management (PAM). Si eso no es posible, mantenga solo la cuenta predeterminada en grupos como Domain Admins y coloque otras cuentas en ese grupo solo temporalmente, hasta que hayan completado su trabajo.
  • Revise regularmente el uso de cuentas privilegiadas para asegurarse de que solo se utilicen para fines autorizados y que el acceso se otorgue basándose en la necesidad de saber.
  • Implemente políticas de contraseñas fuertes y prácticas de gestión para cuentas privilegiadas, incluyendo cambios regulares de contraseña y el uso de contraseñas complejas.
  • Exija que los usuarios privilegiados utilicen una estación de trabajo de administrador segura (SAW) para realizar tareas administrativas. Las SAWs mejoran la seguridad a través de características como la autenticación robusta, el cifrado y el monitoreo. Restrinja el acceso a las SAWs solo al personal autorizado con responsabilidades administrativas e implemente controles de acceso fuertes para prevenir el uso no autorizado. Aísle física y lógicamente las SAWs de las estaciones de trabajo de usuarios estándar y de las redes para reducir el riesgo de infección por malware y acceso no autorizado.

Monitoree Active Directory en busca de señales de compromiso

Active Directory es un lugar con mucha actividad. Para detectar attacks, es esencial saber qué buscar en todos los datos de eventos. Aquí están las cinco cosas principales a monitorear:

Cambios en la cuenta de usuario

Esté atento a modificaciones inusuales en una cuenta de usuario de AD. Considere invertir en una herramienta que pueda ayudarle a responder las siguientes preguntas:

  • ¿Qué cambios se realizaron en qué cuentas de usuario?
  • ¿Quién realizó cada cambio?
  • ¿Cuándo ocurrió el cambio?
  • ¿Desde dónde se realizó el cambio?

Reinicios de contraseña por administradores

Los administradores siempre deben seguir las mejores prácticas establecidas al restablecer las credenciales de usuario. Una herramienta de monitoreo robusta ayuda a responder preguntas como:

  • ¿Qué cuentas de usuario han tenido sus contraseñas restablecidas?
  • ¿Quién restableció cada contraseña?
  • ¿Cuándo ocurrió el restablecimiento?
  • ¿Dónde restableció la contraseña el administrador?

Cambios en la membresía del grupo de seguridad

Los cambios inesperados en la membresía de grupos de seguridad pueden indicar actividad maliciosa, como la escalada de privilegios u otras amenazas internas. Necesitas saber:

  • ¿Quién fue agregado o eliminado?
  • ¿Quién hizo el cambio?
  • ¿Cuándo ocurrió el cambio?
  • ¿Dónde se realizó el cambio del grupo de seguridad?

Intentos de inicio de sesión de un solo usuario desde múltiples endpoints

Los intentos de un solo usuario de iniciar sesión desde diferentes endpoints a menudo son una señal de que alguien ha tomado control de su cuenta o está intentando hacerlo. Es vital marcar e investigar esta actividad para averiguar:

  • ¿Qué cuenta intentó iniciar sesión desde múltiples endpoints?
  • ¿Cuáles eran esos endpoints?
  • ¿Cuántos intentos se realizaron desde cada punto final?
  • ¿Cuándo comenzó la actividad sospechosa?

Cambios en Group Policy

Un cambio inadecuado en la Directiva de Grupo puede aumentar dramáticamente el riesgo de una violación o de otro incidente de seguridad. Utilizar una herramienta para monitorear esta actividad facilitará responder a preguntas urgentes como:

  • ¿Qué cambios se han realizado en la Directiva de Grupo?
  • ¿Quién realizó cada cambio?
  • ¿Cuándo se realizó cada cambio?

Deshabilite SMBv1 y restrinja NTLM

Los dispositivos que ejecutan Microsoft Windows utilizan principalmente el protocolo de comunicaciones SMB (Server Message Block). Sin embargo, las investigaciones muestran que SMB se está utilizando para intrusiones mediante la ejecución de código remoto, por lo que se recomienda deshabilitar SMBv1 y usar solo las versiones más recientes de SMB.

De manera similar, NTLM es un protocolo de autenticación antiguo que los atacantes utilizan para el robo de credenciales. Si es posible, reemplace completamente NTLM con el protocolo Kerberos más reciente. Como mínimo, elimine el uso de NTLMv1.

Proteger LSASS

LSASS (Local Security Authority Subsystem Service) es un proceso de Windows que se encarga de múltiples tareas relacionadas con la seguridad: verificar las credenciales de usuario durante el inicio de sesión; hacer cumplir políticas de complejidad, caducidad y bloqueo de contraseñas; gestionar tokens de seguridad que otorgan acceso a recursos; e implementar el protocolo de autenticación Kerberos. Las mejores prácticas para proteger LSASS incluyen lo siguiente:

  • Aplique regularmente actualizaciones de seguridad y parches al sistema operativo para abordar vulnerabilidades que podrían ser explotadas para comprometer LSASS.
  • Implemente soluciones antivirus y antimalware de renombre en todos los sistemas para detectar y prevenir que el software malicioso ataque LSASS.
  • Habilite Windows Credential Guard, una característica de seguridad en Windows que ayuda a proteger LSASS y las credenciales contra el robo por parte de malware.

Ejecute solo sistemas operativos compatibles y manténgalos actualizados

Es importante utilizar solo sistemas operativos compatibles que reciban actualizaciones y parches de seguridad regulares para reducir el riesgo de vulnerabilidades de seguridad y asegurar el acceso a asistencia técnica y orientación para problemas relacionados con la seguridad.

Además, asegúrese de que todos los sistemas operativos en su entorno estén regularmente actualizados con los últimos parches de seguridad y actualizaciones proporcionados por el proveedor.

Limpieza de Active Directory

Las mejores prácticas de seguridad de Active Directory para la limpieza incluyen lo siguiente:

  • Identifique y elimine cualquier cuenta de usuario y cuenta de computadora obsoletas o sin usar de Active Directory para evitar que los adversarios las utilicen y eviten la detección.
  • Establezca procesos para asegurar que la cuenta de un usuario sea deshabilitada prontamente cuando deje la organización.
  • Elimine cualquier grupo de seguridad innecesario para frustrar intentos de escalada de privilegios.
  • Documente los procesos de limpieza y establezca horarios regulares para revisar y mantener Active Directory para garantizar la seguridad y eficiencia continuas.

Auditar Active Directory

A continuación se presentan algunas de las mejores prácticas para auditar Active Directory:

  • Asegúrese de que la auditoría esté habilitada en Active Directory para rastrear cambios y accesos a objetos del directorio. Esto se puede hacer a través de la configuración de Directiva de grupo o directamente en la consola de Usuarios y Computadoras de Active Directory.
  • Configure las políticas de auditoría basadas en los requisitos específicos de seguridad y cumplimiento de su organización. En particular, audite los cambios en cuentas de usuario, membresías de grupos, permisos y objetos críticos de Group Policy.
  • Revise regularmente los registros de auditoría generados por Active Directory para identificar cualquier cambio sospechoso u otra actividad inusual. Investigue de manera rápida cualquier amenaza potencial a la seguridad.
  • Considere implementar una solución de monitoreo en tiempo real que proporcionará alertas inmediatas para eventos de seguridad críticos y respuesta automática a amenazas anticipadas de AD.
  • Considere el uso de herramientas automatizadas para generar informes de auditoría regulares, lo que puede ayudar en el seguimiento del cumplimiento, demostrar la diligencia debida e identificar tendencias o patrones en la actividad del directorio.

Realice la gestión de parches

Establezca un proceso para recibir y desplegar rápidamente parches de seguridad para Active Directory y otros sistemas críticos. Priorice la implementación de parches basándose en la gravedad de la vulnerabilidad y el impacto potencial en la organización.

Pruebe los parches en un entorno no productivo antes de implementarlos en producción para asegurarse de que no causen problemas de compatibilidad o estabilidad.

Realice escaneo de vulnerabilidades y pruebas de penetración

Realice escaneos de vulnerabilidad regulares de Active Directory y otros sistemas críticos para identificar posibles debilidades de seguridad. Priorice las vulnerabilidades basándose en la gravedad y el impacto potencial en su organización. Remedie las vulnerabilidades aplicando parches de seguridad, implementando controles de seguridad o tomando otras medidas. Considere el uso de herramientas automatizadas para realizar el escaneo de vulnerabilidades y agilizar el proceso, reduciendo el riesgo de error humano.

Realice también pruebas de penetración regulares para identificar posibles vulnerabilidades y evaluar la efectividad de sus controles de seguridad.

Bloquee las cuentas de servicio

Las cuentas de servicio se utilizan para ejecutar servicios, tareas programadas y aplicaciones. Para reducir los riesgos de seguridad, asigne a cada cuenta de servicio los permisos mínimos necesarios para realizar sus funciones específicas. Además, aplique políticas de contraseña fuertes que incluyan requisitos de complejidad y restricciones en la reutilización de contraseñas, y exija cambios regulares de contraseña.

Las cuentas de servicio deben configurarse para no permitir el inicio de sesión interactivo. No deben utilizarse para sesiones interactivas o inicios de sesión en consola, ya que están destinadas para ejecutar servicios y tareas en segundo plano.

Utilice cuentas de servicio administradas (MSAs) siempre que sea posible

Las cuentas de servicio administrado (MSAs) generan y administran automáticamente contraseñas fuertes y complejas, eliminando la necesidad de gestión manual de contraseñas y reduciendo el riesgo de problemas de seguridad relacionados con las contraseñas. La contraseña es administrada y rotada automáticamente por los controladores de dominio. Las MSAs pueden implementarse y gestionarse fácilmente mediante comandos de PowerShell o Política de Grupo, lo que las convierte en una solución escalable y eficiente.

Implemente la autenticación multifactor (MFA)

La MFA incrementa la seguridad al requerir que los usuarios se autentiquen utilizando dos o más métodos diferentes, como un código de un token de hardware o software o mensaje SMS, biometría y notificaciones push a dispositivos móviles. Considere factores como la facilidad de uso, escalabilidad y compatibilidad con su infraestructura existente, incluyendo Active Directory.

Defina políticas de MFA basadas en roles de usuario, grupos o requisitos de seguridad específicos. Por ejemplo, es posible que desee aplicar MFA para todas las cuentas privilegiadas, solicitudes de acceso remoto o aplicaciones específicas.

Secure DNS

  • Asegure DNS utilizando zonas DNS integradas en Active Directory. Esto proporciona una seguridad mejorada a través de listas de control de acceso (ACLs) y actualizaciones dinámicas seguras.
  • Implemente las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) para agregar una capa adicional de seguridad al DNS. DNSSEC ayuda a proteger contra ataques de suplantación de DNS y envenenamiento de caché mediante la firma digital de los datos de DNS.
  • Configure los servidores DNS para restringir las transferencias de zona solo a servidores autorizados. Limitar las transferencias de zona ayuda a prevenir el acceso no autorizado a los datos de la zona DNS.
  • Utilice soluciones de filtrado y protección DNS para bloquear dominios maliciosos y prevenir el acceso a sitios web conocidos por ser maliciosos. Esto puede ayudar a proteger contra malware, phishing y otras amenazas de seguridad.
  • Despliegue un firewall DNS para filtrar y bloquear el tráfico DNS malicioso. Los firewalls DNS pueden ayudar a proteger contra ataques basados en DNS y mitigar el riesgo de exfiltración de datos.
  • Keep DNS servers up to date with the latest security patches and updates to fix vulnerabilities and guard against known exploits.

Force RDP to use TLS encryption

Remote Desktop Protocol (RDP) is a popular protocol used to remotely access Windows-based systems. By default, RDP uses encryption to secure communications between the client and the server. However, it is recommended to enforce the use of Transport Layer Security (TLS) encryption for RDP to enhance security. Install and configure an SSL/TLS certificate on the Remote Desktop Gateway server. This certificate will be used to encrypt communications between the client and the server.

Implement a backup and disaster recovery plan for Active Directory

A disaster or outage that affects AD can have serious consequences for the organization's operations. Implementing a disaster recovery plan for AD can help ensure business continuity in the event of a disaster. Be sure to include backup and recovery procedures, failover and failback procedures, communication and notification procedures. testing of backup and recovery procedures, and offsite storage of backup data.

Other AD best practices related to backup and recovery include the following:

  • Back up Active Directory on a regular schedule. Windows Server includes a built-in backup feature that can be used to back up Active Directory. You can use the "Windows Server Backup" tool to perform system state backups, which include AD data. However, third-party backup solutions specifically designed for Active Directory offer additional features and flexibility.
  • In particular, ensure that you back up the domain controllers holding the FSMO roles, as these are critical for AD operations.
  • Ensure that backup data is securely stored. This includes protecting backup media from physical damage, encrypting backup data and restricting access to backup files to authorized personnel.
  • Document the backup procedures for Active Directory, including the backup schedule, retention requirements and any specific considerations for your environment.

Enable Windows Firewall on all systems

Enable Windows Firewall on all systems to help protect against unauthorized access and network-based threats.

  • Use Group Policy to centrally manage and enforce Windows Firewall settings across all systems in your network.
  • Create firewall rules to allow or block specific types of traffic based on your organization's security policies. For example, you can create rules to allow inbound and outbound traffic for specific applications, services or ports, while blocking unnecessary or potentially risky traffic.
  • Use the Windows Firewall with Advanced Security console to configure advanced settings such as connection security rules, authentication exemptions, and custom firewall rules that provide granular control over network traffic.

Deploy antivirus and antimalware tools and keep them updated

Choose reliable antivirus and antimalware software that is compatible with Active Directory and meets the security needs of your organization.

Install the antivirus and antimalware software on a server within the Active Directory environment. Ensure that the software is configured to scan and protect all the systems and devices connected to the Active Directory network.

Set up automatic updates for the antivirus and antimalware software to ensure that it is always up to date with the latest virus definitions and security patches.

Secure network communication

  • Configure Active Directory to use SSL/TLS for LDAP communication to encrypt data transmitted between clients and domain controllers.
  • Use Internet Protocol Security (IPsec) to secure network traffic between domain controllers, ensuring that data is encrypted and authenticated.
  • Enable Server Message Block (SMB) signing to ensure that data transferred over the network is signed and validated, preventing tampering and unauthorized access.
  • Configure Active Directory to use Kerberos authentication, which provides secure mutual authentication between clients and domain controllers.

Implement VPNs

Implement virtual private networks (VPNs) for your intranet based on the needs of your organization, including the number of remote users, types of applications accessed and the level of security required. When selecting a VPN solution, also think about ease of maintenance, security features and scalability. Install and configure VPN client software on remote users' devices and ensure that they can securely connect to the VPN servers within the intranet.

Isolate legacy systems and applications

Physically or logically segregate legacy systems and applications from the rest of the network to limit security risks. Create separate organizational units (OUs) in AD for legacy systems and applications so you can easily apply Group Policy settings and access controls tailored to their requirements.

Decommission legacy systems and applications

Evaluate the usage, business impact and security risks of legacy systems and applications and develop a plan to decommission them if possible. Notify users and stakeholders about the details, including timelines, alternative solutions and potential impacts on their workflows. Be sure to archive any data that is no longer needed but must be retained for compliance or historical purposes.

Conclusion

The Active Directory security best practices laid out here are essential to strengthening your security posture. Careful management of activities across the entire network that affect AD security will enable you to reduce your attack surface area and to promptly detect and respond to threats.

Netwrix Active Directory Security Solution

Proactively identify and mitigate your security gaps- with end to end security solution

Get a Demo

Compartir en

Recursos Relacionados

Profundiza con nuestros recursos relacionados

Centro de Recursos
eBook

Facilitando la prevención de pérdida de datos con Netwrix Solutions

Prevención de Pérdida de Datos
eBook

Desplegando software en Windows: Doloroso pero no tiene que serlo

Endpoint Management