Conceptos básicos

Qué es Active Directory?

Active Directory (AD) es un servicio de directorio desarrollado por Microsoft que se utiliza para gestionar identidades, recursos y permisos dentro de una red empresarial. Su función principal es permitir que los administradores centralicen la gestión de usuarios, equipos, servidores, políticas de seguridad y otros recursos de red.

Toda la información de un Active Directory (AD) se almacena principalmente en una base de datos llamada NTDS.dit, que se encuentra en los Controladores de Dominio (DC).

C:\Windows\NTDS\NTDS.dit

Este archivo es el corazón del AD: contiene todos los datos de los objetos del dominio (usuarios, contraseñas, grupos, equipos, OUs, etc.).

Componentes claves:

🔷 1. Controlador de Dominio (DC):

El Controlador de Dominio es el servidor que almacena y gestiona la base de datos de Active Directory (NTDS.dit). Se encarga de:

• Autenticar a usuarios y equipos.

• Aplicar políticas de grupo (GPO).

• Replicar cambios a otros DCs del dominio.

🔷 2. Dominio:

Un dominio es la unidad lógica principal de AD. Agrupa objetos (usuarios, grupos, equipos, etc.) que comparten una base de datos, una política de seguridad y relaciones de confianza.

Ejemplo de dominio: empresa.local

Características:

• Cada dominio tiene al menos un DC.

• Los dominios proporcionan aislamiento administrativo y límites de seguridad.

• Se accede a recursos a través del dominio con autenticación centralizada.

🔷 3. Árbol:

Un árbol es una colección de uno o más dominios que:

• Comparten un espacio de nombres contiguo (ej: empresa.local, ventas.empresa.local).

• Están conectados jerárquicamente.

• Tienen una relación de confianza implícita entre dominios padre e hijo.

Los árboles ayudan a organizar dominios relacionados por función, departamento o geografía.

🔷 4. Bosque:

Un bosque es el conjunto más grande de la estructura de AD. Puede contener varios árboles y dominios que:

• Comparten un esquema común (estructura de objetos).

• Comparten un catálogo global para facilitar búsquedas entre dominios.

• Tienen relaciones de confianza entre sí (aunque no siempre directas).

Un bosque actúa como la estructura superior que conecta y coordina varios dominios y árboles, permitiendo que trabajen juntos aunque tengan nombres distintos o estén en ubicaciones separadas.

🔷 5. Objetos de Active Directory:

Todo en AD se representa como un objeto. Algunos de los principales:

• 👤 Usuarios: cuentas personales o de servicio (con credenciales y permisos).

• 💻 Equipos: dispositivos unidos al dominio.

• 👥 Grupos: usados para asignar permisos a varios usuarios al mismo tiempo.

• 📁 Unidades Organizativas (OUs): contenedores lógicos para organizar objetos y aplicar políticas.

• 🔐 Controladores de Dominio (DCs): también son objetos dentro del dominio.

Cada objeto tiene atributos, como nombre, SID, contraseña (en usuarios), etc.

🔷 6. Group Policy Objects (GPO):

Las GPOs permiten aplicar configuraciones de forma centralizada a usuarios y equipos del dominio. Algunas cosas que puedes hacer con GPO:

• Forzar complejidad de contraseñas.

• Restringir acceso al panel de control o CMD.

• Aplicar scripts de inicio/cierre de sesión.

• Redirigir carpetas como Escritorio o Documentos.

• Configurar reglas de firewall o de Windows Update.

Las GPOs se pueden aplicar a:

• Dominios completos.

• OUs específicas.

• Equipos.

Autenticación en Active Directory:

La autenticación en AD es el proceso mediante el cual un usuario o equipo prueba su identidad para acceder a recursos del dominio. Este proceso se basa en protocolos de autenticación, que garantizan que solo los usuarios legítimos puedan iniciar sesión y acceder a los servicios.

En un entorno AD típico, esta autenticación está centralizada y controlada por los Controladores de Dominio (DCs), que validan las credenciales y emiten los permisos adecuados.

Active Directory utiliza principalmente tres métodos o protocolos de autenticación:

🔷 1. NTLM (NT LAN Manager):

Funcionamiento:

NTLM es un protocolo de autenticación basado en desafío-respuesta, utilizado cuando Kerberos no está disponible (por ejemplo, en redes antiguas o conexiones a recursos fuera del dominio).

Flujo de autenticación:

1. El cliente solicita autenticarse al servidor.

2. El servidor envía un desafío (nonce).

3. El cliente responde cifrando el desafío con su hash de la contraseña.

4. El servidor verifica la respuesta comparándola con la base de datos del DC.

Riesgos:

• Pass-the-Hash (PtH): Si un atacante obtiene el hash NTLM, puede autenticarse sin conocer la contraseña.

• Relay attacks: NTLM permite reenviar la autenticación hacia otro recurso (ej: con NTLMRelayx).

• Captura de hashes: Puede ser interceptado con herramientas como Responder.

Uso típico:

• Recursos antiguos (SMB, HTTP, LDAP sin Kerberos).

• Estaciones que no están en el dominio.

🔷 2. Kerberos:

Funcionamiento:

Kerberos es un sistema de autenticación basado en tickets. Usa criptografía simétrica y se basa en un Tercer Confidente Confiable (el KDC), que existe en los Controladores de Dominio.

Componentes principales:

• KDC: Servicio que emite tickets (TGT y TGS).

• krbtgt: Cuenta especial que firma los tickets.

• TGT (Ticket Granting Ticket): Permite al usuario solicitar otros tickets.

• TGS (Ticket Granting Service): Tickets para acceder a servicios específicos.

Flujo de autenticación:

1. El usuario envía su nombre al KDC.

2. El KDC responde con un TGT cifrado (si la contraseña es válida).

3. El TGT se usa para pedir tickets para servicios (TGS).

4. Los tickets permiten acceder a recursos sin volver a enviar credenciales.

Riesgos y ataques:

• Kerberoasting: Extraer TGS de servicios registrados con SPN y crackear offline.

• AS-REP Roasting: Si un usuario no requiere preautenticación, se puede extraer un hash desde el KDC directamente.

• Overpass-the-Hash: Inyectar hash NTLM para pedir un TGT (requiere mimikatz o Rubeus).

• Golden Ticket: Crear TGTs falsos tras comprometer la clave de krbtgt.

• Silver Ticket: Crear TGS falsos con hashes de servicio.

Uso típico:

• Autenticación por defecto entre usuarios y recursos dentro del dominio.

🔷 3. Autenticación LDAP/LDAPS:

Funcionamiento:

LDAP se usa para consultar y autenticar contra el Directorio Activo. Aunque es un protocolo de consulta, puede usarse para autenticación (bind).

• LDAP simple bind: Usuario + contraseña enviados tal cual (a veces sin cifrar).

• LDAP SASL bind: Encapsula NTLM o Kerberos, más seguro.

• LDAPS: LDAP sobre SSL/TLS. Cifra la conexión, evitando sniffing.

Flujo de autenticación:

1. El cliente establece conexión al puerto 389 (LDAP) o 636 (LDAPS).

2. Envía un bind con usuario y contraseña.

3. El servidor valida y permite (o no) el acceso.

Riesgos:

• LDAP sin cifrar puede exponer credenciales si se sniffa la red.

• Malos permisos de LDAP pueden permitir enumeración masiva de AD.

• LDAP también puede usarse para explotar vulnerabilidades como:

  • Conexiones de NTLMRelayx.

  • Abuso de delegación.

Uso típico:

• Herramientas administrativas, aplicaciones de empresa, servicios de directorio.

¿Por qué Active Directory es tan importante en el sector empresarial?

Active Directory (AD) no es solo un sistema de autenticación: es el corazón de la gestión de identidades y recursos en la mayoría de empresas que usan entornos Windows. Su control centralizado lo convierte en un pilar fundamental de la infraestructura IT.

A continuación, expondremos por qué AD no solo facilita la administración diaria, sino que también representa un punto crítico desde el punto de vista de la seguridad ofensiva:

🔷 1. Gestión centralizada de usuarios y dispositivos:

AD permite administrar miles de usuarios, equipos, grupos y permisos desde una consola única. Esto simplifica:

• La creación y eliminación de cuentas.

• El acceso a carpetas, aplicaciones y servicios.

• El cumplimiento de políticas internas.