2. Verificar grupos anidados
* Evitar la elevación innecesaria de permisos.
* Las computadoras y usuarios del Active Directory no proveen suficiente visibilidad.
*problemas con formato en PowerShell.
5. Limpieza de permisos
* conocer quienes tienen acceso a información confidencial.
* que nivel de acceso.
* permisos de sub-carpetas.
* asignar permisos solo para los usuarios apropiados.
6.
7. Identificar atributos vacíos o duplicados
*Atributos en blanco pueden romper cadenas de procesos de Active Directory.
*Atributos como el ID deben ser únicos para los usuarios.
*Los duplicados pueden causar problemas en su dominio.
8. Aislar cuentas de admin y no-admin
*Restringir el acceso a:
-File servers.
-Domain controllers.
*Tener en cuanta los grupos anidados.
9.
10. Desmitificando la delegación
Tener un checklist antes de delegar.
* Clarificar derecho y permisos.
* Facilidad de revocar.
* Aplicaciones que necesitan permisos de administrador.
◦ -Asignar permisos como administrador para que abra la aplicación.
◦ - crear un script que permita la ejecución.
* Seguimiento y monitoreo de los cambios.
11. Deficiencias del asistente de delegación
* No existe una vista panorámica de delegación en todo el dominio de Active Directory
* No existe manera de “mantener un registro” de que delegaciones se realizaron.
12.
13.
14. Automatizar el aprovisionamiento de
usuarios
* Opciones que ofrecen las herramientas nativas.
◦ Power Shell
◦ No cuenta con un modulo de reportes.
*Checklist de aprovisionamiento de cuentas.
* Supervisar el aprovisionamiento de cuentas de usuario.
20. Remover usuarios inactivos
Beneficios:
* mejora la seguridad de su dominio.
- usuarios inactivos (cuentas de admin).
◦ -Equipos inactivos (Extracción de credenciales de dominio).
22. Beneficios de ADmanager plus
* Métodos libres de script para obtener información.
* Modelo de delegación no invasiva.
* Métodos avanzados de aprovisionamiento.
* Automatización y supervisión del desaprovisionamiento en Active Directory.
* Facilita la creación de reportes.
* Optimiza el error humano.
* Definir aprobadores.
* Administrar y controlar que hace y que no se hace.
23. * Reportes Exchange y office 365.
* Mejora la auditoria.
* Mejor administración desde cualquier lugar.
* Implementación de políticas muchos mas fácil.
* permite la automatización en la creación de usuarios, modificación, eliminación.
24. AD SelfServicePlus
Es una herramienta en focada a los usuarios finales para la restauración de su clave del dominio
y otros aplicativos relacionados al active directory. Según las estadísticas del producto reduce en
un 30 porciento los ticket de cambio de contraseñas.
25. Políticas De Adselfserviceplus
* Definen la interacción del usuario del usuario con Adselfserviceplus.
* es necesario establecerlos componentes de la política para garantizar la seguridad.
- funciones de autoservicio para el usuario.
- que usuarios recibirán las políticas.
-Autentificación de múltiples factores para la manipulación de las contraseñas.
29. Inscripción de usuarios en
Adselfserviceplus
* Los usuarios necesitan inscribirse para ser "conocidos” por el sistema.
* El acceso a la inscripción puede ser manual para el usuario.
- Enviar un solo correo electrónico.
- El usuario debe iniciar sesión con Adselfserviceplus.
*El acceso ala inscripción puede ser automatizado para los usuarios.
- Enviar correos electrónicos
- Single sign on habilitado..
* El acceso a la inscripción puede ser forzado antes de utilizar el computador.
-Inscripción forzada
-Single sign on habilitado.
32. Restablecimiento de contraseñas de
usuario final.
* Acceso para los usuarios locales.
-Gina/Mac
* Acceso Para los usuarios remotos.
* Portal de autoservicio, aplicaciones y dispositivos móviles.
-permite una comunicación mas con el usuario.
- permite al usuario restablecer su contraseña remotamente.
* Características incluidas.
-mensaje personalizado.
-El mensaje puede obtener hipervínculos
Herramientas administrativas :Gina/Mac
40. Beneficios de adselftserviceplus
* El usuario restablece sus credenciales.
* Auditoria en caso de ataque.
* El usuario puede actualizar su información.
* Mejora la seguridad de la organización.
* Mayor interactividad por parte del usuario final para el cambio de las contraseñas.
* Crea reportes de inicios de sesión exitosos y fallidos.
* Puedo asociar muchas plataformas con el cambio de la contraseña.
41. Ad Audit plus
audita todos los cambios ejecutados en el Active Directory. Con éste es posible obtener
informes de la totalidad de eventos del Active Directory y generar alertas vía correo electrónico
ante modificaciones significativas.
47. Por defecto las cuentas de usuario con
privilegios
*Local Administrador
- de Cada servidor y estación de trabajo
*Active Directory
- Administrador Uno por cada dominio
48. Concesión de privilegios a cuentas de
usuario
*Pertenencia a un grupo .
*Asignación de derechos de usuario.
*Delegación.
*Permisos de ACL(“lista de control de acceso”).
*ACLs servicio
49. Por defecto los grupos privilegiados
* Local
-Cada servidor y estación de trabajo
-Administradores de Operadores de copia de seguridad
50. Por defecto los grupos privilegiados
* Dominio
-Administradores de dominio
-Administradores de Administradores
-DHCP CERT editores
-DNSAdmins
-Grupo propietarios del creador de directivas
-Operadores de cuentas
-Operadores de copia de seguridad
51. Por defecto los grupos privilegiados
* grupos
-Administradores de esquema
-Administradores de empresa
53. Grupos privilegiados adicionales
Grupos personalizados
Generalmente creadas por IT para la gestión de Grupos se conceden privilegios a través de: - - --
- Pertenencia a un grupo
- Asignación de derechos de usuario
- Delegación
- Permisos de ACL
- ACL servicio
54. Seguimiento de grupos privilegiados
*Seguimiento de cambios en la pertenencia a grupos
-Establecer alertas para la notificación en tiempo real.
-Grupos de seguimiento que se agregan a las ACL.
-Archivo / Carpeta.
-Delegaciones AD.
-Delegaciones de GPO(“Directiva de grupo”).
55. Cuentas de servicio
*Relacionadas con servicios de Windows
* Cuenta de usuario local o de dominio
* Razones para el seguimiento y control
◦ Por lo general elevado concedido privilegios
◦ Las contraseñas no se cambian a menudo
◦ No sabe donde
56. Asegurar las cuentas de servicio
*No debe ser "Administrador"
*No debería haber ninguna cuenta "humana"
*Configurar con contraseña larga y compleja
*Configuración de la cuenta de usuario
*No permitir que la cuenta cambie la contraseña
*Restringe qué cuentas de equipos pueden iniciar sesión en
57. Seguimiento de cuentas de servicio
*Acciones de seguimiento
- Inicio de sesión del monitor (S / F).
- Cambios de contraseña.
- Acciones AD.
- Establecer alertas para la notificación en tiempo real.
58. Beneficios:
* Monitoreo en tiempo real de violaciones de seguridad.
* Registro de cambio en eventos.
* Envía log de Violaciones de seguridad.
* Monitorea el estado del active directory.
* Monitorea aplicaciones externas como Exchange o Office 365.
* Alertas de seguridad en caso de ataques desde dominio.
* Saber cuando se modifica algo y quien lo hizo.
* si quiero sacar un informe de active directory tengo que sacarlo de Powershell
El producto lo hace automáticamente.
*Mejora la administración.
* Reconfiguración de políticas de seguridad en los usuarios.
75. Monitoreo de las sesiones del usuario
* Proporciona una auditoria completa desde el inicio de sesión hasta el cierre.
* Responder a las preguntas quien hizo que, cuando, y desde donde.
* Reconstruir cualquier incidente de seguridad, con la ayuda de la actividad del usuario en una
línea de tiempo.
* Detectar y analizar patrones de comportamiento de usuarios en tiempo real.
86. Reglas de correlación
* Incremente la eficiencia de las alertas automatizando las correlación de millones de eventos
recolectados por día.
* agregue la posibilidad de ejecutar scripts u otras acciones para mitigar las amenazas sin
ninguna intervención manual.
88. Generación de reportes compliance
* Reportes predefinidos para PCI DSS, FISMA, GLBA, HIPPA, ISO 27001, y MAS.
*Genere sus propios reportes de compliance basados en los requerimientos locales.
*obtenga los reportes en minutos y expórtelos en formatos como :HTML, PDF, o CSV.
*Programe sus reportes para ser ejecutados periódicamente y enviados a diferentes
administradores o auditores.