Gestión de contraseñas en infraestructuras de Windows

En la mayoría de los entornos de TI, los servidores y sistemas de Windows son un componente significativo de la infraestructura. Las cuentas locales, de dominio y de servicios constituyen el acceso principal a la infraestructura de Windows. Por tanto, una brecha de seguridad en alguna de estas cuentas altamente privilegiadas es la peor situación para cualquier organización, lo cual se puede mitigar con Password Manager Pro de ManageEngine.

Cuentas de administrador local: Estas son potentes cuentas en servidores miembros y clientes que otorgan control absoluto sobre sus hosts. Si las contraseñas del administrador local son débiles, no se cambian o se usan repetidamente en varias cuentas, los usuarios maliciosos podrían obtener acceso no autorizado a estaciones de trabajo. En el peor de los casos, un atacante con acceso a una cuenta de administrador local podría navegar ampliamente a través de la red e incluso elevar sus privilegios a los de administrador del dominio.

Cuentas de administrador del dominio: Estas son cuentas que tienen el control más amplio sobre cada objeto en el dominio. Suministran privilegios administrativos sobre todas las estaciones de trabajo, servidores y controladores de dominios. Solo unos pocos administradores de confianza deberían usar cuentas de administrador del sitio, y deberían utilizarlas solo para iniciar sesión en sistemas de controladores del dominio que están protegidos. Esta es la razón por la que los sistemas de Windows son vulnerables a ataques de pass-the-hash.

La función de inicio de sesión única en Windows permite a los usuarios ingresar las credenciales una vez sin tener que ingresar de nuevo la contraseña. De hecho, Windows toma los detalles de inicio de sesión dentro del sistema en forma de hashes de contraseña. Si un atacante se las arregla para acceder al sistema donde el administrador del dominio inició sesión en el pasado utilizando sus credenciales de administrador de dominio, el atacante podría fácilmente obtener el hash y perpetrar una transacción no autorizada.

Como mejor práctica, las cuentas de administrador del dominio no deberían usarse para iniciar sesión en ningún sistema distinto a los controladores de dominios. Si hay una necesidad imperante de hacerlo, el acceso de la contraseña debería ser mediante un flujo de trabajo para un único uso, después de lo cual se debe restablecer. Incluso si las cuentas de administrador de dominio se usan prudentemente en sistemas confiables, deberían cambiarse periódicamente.

Cuentas de servicio: Estas son cuentas muy potentes usadas por programas del sistema para ejecutar servicios o procesos de software de aplicaciones. Estas cuentas con frecuencia tienen privilegios altos o incluso excesivos. Las contraseñas de cuentas de servicios se establecen generalmente como "nunca cambiar" debido a la dificultad de descubrir todos los servicios dependientes y propagar el cambio de la contraseña. Sin embargo, las cuentas de servicios estáticas hacen a la empresa un refugio para los atacantes.

Implementar controles adecuados y otras prácticas de seguridad estándar alrededor de estas cuentas privilegiadas puede ayudar a reducir las vulnerabilidades y controlar los ataques maliciosos.

Localice y gestione fácilmente las cuentas privilegiadas en su infraestructura de Windows.

Un procedimiento efectivo para la gestión de contraseñas en la infraestructura de Windows exige identificar y consolidar las distintas cuentas privilegiadas en la red. Las funciones de descubrimiento de Password Manager Pro ayudan a detectar las cuentas de administrador local y de administrador de dominio, y las coloca automáticamente en el inventario. Asimismo, ayuda a ubicar cuentas de servicios al identificar los distintos componentes de los servidores de Windows que están ejecutando cuentas de dominio y mapeando los servicios y tareas programadas a las respectivas cuentas.

Proteja sus credenciales de cuentas de Windows con restablecimientos de contraseñas periódicos.

Las mejores prácticas de seguridad demandan que las cuentas privilegiadas en la infraestructura de Windows se restablezcan periódicamente o después de cada uso (solicitud-liberación). Los cambios frecuentes de contraseñas para recursos Windows también garantizan el cumplimiento regulatorio para la empresa.

Gestión de contraseñas en Windows con Password Manager Pro

Realizar manualmente los restablecimientos de contraseñas para todos los sistemas es tedioso, haciendo conveniente la presencia de un sistema automatizado. Con Password Manager Pro, las contraseñas de administrador local y de dominio —incluidas las contraseñas de cuentas de servicios— se pueden rotar periódicamente mediante tareas de restablecimiento programadas. Para reforzar la seguridad, las contraseñas de las cuentas también se pueden someter a un flujo de trabajo para el control de acceso, que garantiza que las contraseñas se cambian instantáneamente, incluso después de un único uso por parte de un administrador autorizado.

Cuando se restablece la contraseña de una cuenta de servicios, Password Manager Pro automáticamente propaga el cambio en todos los servicios dependientes asociados con la cuenta para evitar que el servicio se detenga.

Logre una rutina de gestión completa con reinicios automatizados de servicios.

Cuando se restablece la contraseña de una cuenta de servicios, los servicios de Windows asociados usualmente requieren un reinicio para que los cambios surtan efecto. Password Manager Pro ayuda a automatizar este proceso de reinicio con scripts personalizados de ejecutables para garantizar que todas las aplicaciones y tareas que dependen de las cuentas de servicios, se actualizan adecuadamente.