Buenas Practicas

Cuando planea construir una infraestructura de Active Directory, es bueno conocer

algunos trucos para evitar problemas de seguridad y configuración:

Renombrar administrador de dominio: el primer usuario que se usa para iniciar un

ataque es administrador, por lo que su primer paso es cambiar el nombre de
administrador de dominio predeterminado; use un nombre completamente diferente de
los estándares, como AdminContosoAD

Contraseña segura para el administrador de dominio : ¡Seguridad, seguridad,

seguridad! El administrador del dominio debe tener una contraseña segura y las
credenciales deben estar reservadas.

Credenciales dedicadas para TI: una de las primeras reglas es separar las
credenciales predeterminadas de la administración para evitar la escalada de
seguridad en caso de un ataque externo.

Asigne el permiso correcto: si tiene administradores múltiples en su infraestructura,

es fundamental asignar el permiso correcto y las credenciales individuales para cada
usuario. Nadie debe estar sobre los administradores de dominio para evitar la
posibilidad de cambiar el esquema de AD o modificar el modelo de bosque.

Configurar GPO: configuración de la directiva de grupo por usuarios y computadora,

esto permite una granularidad perfecta. Recuerde evitar demasiado GPO pero
también consolidar muchas configuraciones en un solo GPO. ¡No uses la GPO de la
política de dominio predeterminada!

Contraseña segura para los usuarios: no solo el administrador de dominio, todos

los usuarios deben seguir la complejidad de la contraseña. Si usa Windows 10, una
idea es configurar Windows Hello for Business para simplificar el método de
autenticación, sin reducir la seguridad.

Habilitar la papelera de reciclaje: la Papelera de reciclaje se introdujo en Windows

Server 2008 R2 y es la manera perfecta de restaurar un elemento en pocos segundos,
sin ejecutar una restauración de AD.

Al menos dos controladores de dominio: no importa si su infraestructura no es una

empresa, debe tener dos controladores de dominio para evitar fallas críticas.
Eliminar elementos obsoletos: no olvide limpiar su infraestructura de los usuarios y
las computadoras donde no estén más presentes o sean necesarios. Esto evita
problemas o problemas de seguridad.

Un controlador de dominio no es una ordenador: ¡No instale nada dentro de un

controlador de dominio! Sin software, sin aplicaciones de terceros, sin roles, ¡nada! Un
DC debe estar limpio!

Regla de convención de nombres: defina una convención de nombres antes de

construir su infraestructura, sobre usuarios, clientes, servidores, dispositivos y
recursos (grupos, recursos compartidos, más). Esto te ayudará a simplificar la gestión
y la escalabilidad.

Parchee sus controladores de dominio: los atacantes son rápidos para explotar

vulnerabilidades conocidas, esto significa que siempre debe mantener actualizada su
máquina. Planifique el horario adecuado para instalar las actualizaciones de
Windows..

Auditoría: implemente una solución de auditoría para saber quién realiza los cambios.
Esto no es un requisito de GDPR pero también es una forma de prevenir problemas
de seguridad.