Una auditoria recurrente de Active Directory debería significar algo más que volver a ejecutar la misma lista de control una vez al año. Active Directory es un plano de control vivo: la pertenencia a grupos privilegiados cambia, las ACL derivan, las GPO se modifican, las plantillas de certificados evolucionan y la cobertura de registro se degrada con el tiempo. Una revisión puntual anual todavía puede ser útil, pero no dice si el directorio siguió siendo seguro durante la semana siguiente. Un modelo mejor es una auditoria recurrente de Active Directory: volver a medir los mismos controles de alto valor con una cadencia fija, investigar rápido la nueva deriva y usar cada nueva ejecución para verificar la remediación en lugar de esperar al siguiente ciclo de consultoría.
Esto importa porque el directorio está diseñado para cambiar. Microsoft documenta eventos específicos para los cambios de pertenencia a grupos de seguridad, para las modificaciones de objetos del directorio y para los cambios de directiva de dominio. La guía de ANSSI de 2023 para entornos que dependen de Microsoft Active Directory se centra en la administración segura y la segmentación, mientras que la guía de ANSSI sobre registro en Active Directory cubre la recopilación y la supervisión. En conjunto, ambas encajan mejor con un modelo de revisión recurrente que con un informe puntual que termina archivado. En la práctica, las organizaciones que mantienen un AD más sano son las que vuelven a revisar las mismas familias de controles y tratan la deriva de postura como un problema operativo, no como una compra anual.
Qué cubre realmente una auditoria recurrente de Active Directory
Una auditoria recurrente de Active Directory no es lo mismo que un SIEM, y tampoco es lo mismo que un pentest. Se sitúa entre la revisión puntual y la detección completamente guiada por eventos. El objetivo es reevaluar el estado estructural de seguridad del directorio con una frecuencia que encaje con la velocidad real a la que cambia el entorno.
En Active Directory, eso significa volver a comprobar al menos cuatro capas:
- identidades privilegiadas y pertenencia a grupos;
- delegaciones de derechos y rutas ACL peligrosas;
- parámetros de seguridad del dominio y de los controladores de dominio;
- controles de supervisión y recuperación que determinan si podrá detectar o soportar el siguiente incidente.
Ese alcance es más amplio que una revisión limitada de hardening y más estrecho que una telemetría continua de endpoints. Se trata de volver a medir de forma repetida la superficie de ataque que sigue generando rutas de compromiso reales en entornos AD: derechos de replicación, delegación Kerberos, postura LDAP débil, reutilización de contraseñas de administrador local, cuentas privilegiadas obsoletas, rutas de abuso de certificados y puntos ciegos en la política de auditoría.
Por qué las auditorías puntuales de AD se desactualizan rápido
Esto no es lenguaje de marketing. Es una consecuencia de cómo funcionan Windows y AD.
Microsoft documenta que la administración de grupos de seguridad produce eventos de auditoría dedicados cuando se añaden o se eliminan miembros. La misma documentación de auditoría también describe eventos de modificación de objetos del directorio y eventos de cambio de directiva de dominio. Eso basta para mostrar por qué un PDF exportado una vez al año no puede representar durante mucho tiempo el estado del directorio: los objetos que definen privilegio y exposición están hechos para cambiar.
Algunos de los puntos de deriva más importantes son operativos, no teóricos:
- un usuario se añade a un grupo sensible para un proyecto y nunca se elimina;
- una cuenta de servicio recibe un nuevo SPN o una entrada de delegación demasiado amplia;
- una GPO o una directiva predeterminada se edita para resolver un problema a corto plazo y nunca se revierte;
- la aplicación de LDAP signing o channel binding queda más débil de lo previsto porque un cliente heredado bloqueó el despliegue;
- la cobertura de LAPS cae porque los nuevos servidores aterrizan fuera de la OU gestionada o porque una imagen nueva se desplegó sin la directiva correcta;
- las plantillas de AD CS o las ACL de la PKI cambian durante trabajos de certificados;
- cuentas administrativas antiguas siguen habilitadas porque nadie repitió la revisión de cuentas privilegiadas después de la auditoría inicial.
Por eso el argumento contra las revisiones exclusivamente anuales es simple: una auditoría puntual captura el directorio el día de la recogida. No dice si los mismos controles de alto valor siguen aguantando después de cambios de personal, proyectos, migraciones, adquisiciones, trabajos de PKI, cambios de GPO o concesiones de privilegios de emergencia.
Las familias de controles que merece la pena volver a revisar en cada ciclo
Un buen flujo recurrente no vuelve a revisar todo con la misma urgencia. Vuelve a revisar los controles que envejecen peor.
1. Grupos privilegiados y cuentas admin obsoletas
Si la pertenencia privilegiada es una de las formas más comunes en las que deriva la postura de seguridad, debería ser una de las primeras cosas que vuelva a medirse. Microsoft recomienda habilitar auditoría de éxito para la administración de grupos de seguridad precisamente para ver creación, cambios, eliminaciones de grupos y nuevos miembros. Esto importa porque el riesgo real rara vez es "Domain Admins siempre estuvo abierto para todos". Con más frecuencia es "la pertenencia cambió, nadie lo vio y la excepción se convirtió en norma".
La revisión recurrente aquí debería responder:
- quién mantiene hoy una pertenencia privilegiada directa o indirecta;
- qué cuentas privilegiadas están obsoletas o casi no se usan;
- si las cuentas administrativas integradas se utilizan para trabajo cotidiano;
- si los usuarios privilegiados siguen fuera de controles de protección adicionales como Protected Users o patrones de autenticación más fuertes.
Ese es el punto en el que Cuentas obsoletas y sobreprivilegiadas en AD deja de ser un tema teórico y pasa a ser operativo.
2. ACL peligrosas, derechos de replicación y rutas de control
Un directorio puede parecer sano a nivel de grupos y aun así exponer rutas de toma de control a través de ACL. Los derechos de replicación, WriteDACL, WriteOwner, GenericAll, los derechos de autoagregarse a grupos y los cambios en AdminSDHolder son el tipo de problemas que no deberían esperar hasta la revisión del año siguiente.
Microsoft documenta el mecanismo AdminSDHolder porque los objetos protegidos heredan ese modelo de descriptor de seguridad. Eso lo convierte exactamente en el tipo de objeto del plano de control que merece una revisión repetida. Si un derecho peligroso aparece sobre un objeto sensible y permanece allí durante meses, el hecho de que una vez tuviera una auditoría limpia deja de importar.
La revisión recurrente aquí debería centrarse en:
- principales con capacidad de DCSync y derechos de replicación fuera del alcance esperado de los DC;
- derechos de escritura peligrosos sobre usuarios, grupos, OU, GPO y equipos sensibles;
- desviaciones en AdminSDHolder y otros cambios de ACL favorables a la persistencia;
- rutas de escalada relacionadas con certificados cuando existe AD CS.
Por eso Abuso de ACL y DCSync: rutas silenciosas hacia Domain Admin no debería tratarse como un simple entregable puntual.
3. Delegación Kerberos, Shadow Credentials y abuso de certificados
Algunas exposiciones de AD apenas hacen ruido hasta que alguien las explota. La delegación Kerberos, msDS-KeyCredentialLink, los mapeos de certificados y los derechos sobre plantillas de certificados son ejemplos clásicos. Si solo los revisa durante una evaluación anual, en la práctica está aceptando mucho tiempo de exposición para la siguiente mala configuración.
Estos controles merecen validación recurrente porque son sensibles al cambio:
- delegación no restringida, restringida y resource-based constrained delegation;
- exposición a Shadow Credentials a través de
msDS-KeyCredentialLink; - weak certificate mapping o plantillas de AD CS arriesgadas;
- nuevas cadenas de abuso de certificados introducidas por deriva de configuración en plantillas o en la CA.
Ya existen análisis específicos en Ataques de delegación Kerberos: de delegación no restringida a RBCD, Shadow Credentials: abuso de msDS-KeyCredentialLink en Active Directory, Weak Certificate Mapping en AD CS: por qué importa la vinculación fuerte y Ataques de plantillas AD CS: de ESC1 a ESC8 hacia Domain Admin.
4. Postura de los controladores de dominio y cobertura de logging
Un flujo recurrente también tiene que volver a comprobar si el entorno sigue pudiendo observar el siguiente incidente. Microsoft documenta WEF como una forma de reenviar eventos seleccionados a un colector y deja claro que WEF es pasivo: no crea los eventos por usted. Si la generación de eventos, las categorías de auditoría, el tamaño de los logs o el logging de PowerShell se salen de la política, la visibilidad se degrada aunque la auditoría anterior fuese correcta cuando se ejecutó.
Eso significa que la revisión recurrente debería incluir:
- la cobertura de la política de auditoría en los controladores de dominio;
- las decisiones de tamaño y retención del Security log;
- la cobertura del logging de PowerShell;
- la aplicación de LDAP signing y channel binding;
- los requisitos de SMB signing en los DC;
- la cobertura de WEF u otra recogida centralizada para los eventos de los que realmente depende.
Ese es el puente práctico entre Supervisión de seguridad AD: los Event IDs que sí importan y un flujo de auditoría que siga siendo útil después del primer informe.
5. Higiene de contraseñas de admin local y deriva de despliegue en puestos y servidores
Algunas detecciones no son hallazgos "rotos para siempre". Vuelven a aparecer porque la infraestructura cambia más rápido que el despliegue del estándar previsto. Windows LAPS es un buen ejemplo. Microsoft documenta Windows LAPS como una funcionalidad de Windows que administra y respalda automáticamente la contraseña de una cuenta de administrador local. Pero que exista la función no significa que todo su parque esté cubierto hoy.
La revisión recurrente debería verificar por tanto:
- si LAPS está realmente desplegado con suficiente cobertura;
- si los sistemas nuevos entran dentro del alcance gestionado;
- si la exposición de contraseñas locales privilegiadas sigue siendo demasiado amplia;
- si sistemas no gestionados están reintroduciendo riesgo de movimiento lateral tipo pass-the-hash.
Ese es el modelo operativo que describe Windows LAPS no implementado: por qué siguen importando las contraseñas locales compartidas.
Una cadencia práctica que funciona mejor que una foto anual
No existe una frecuencia universal válida para todas las organizaciones. La cadencia correcta depende de la velocidad de cambio, del modelo de administración y de si AD CS, varios bosques o la identidad híbrida añaden complejidad. En la práctica, un ritmo por niveles funciona mejor que una única revisión anual.
| Cadencia | Objetivo | Qué volver a medir |
|---|---|---|
| Semanal | Detectar pronto deriva de privilegios y cambios de directiva | pertenencias privilegiadas, cuentas privilegiadas recién creadas, creación reciente de objetos, cambios recientes de SIDHistory, cambios en directivas predeterminadas, cambios de ACL de alto riesgo |
| Mensual | Revalidar la exposición estructural | principales con capacidad de DCSync, delegación, LDAP/SMB signing, cobertura LAPS, cuentas obsoletas, higiene de cuentas de servicio, configuración de logging |
| Trimestral | Revisar rutas de ataque a nivel de arquitectura | exposición de AD CS, relaciones de confianza, AdminSDHolder, machine account quota, estructura de OU y GPO, hipótesis de tiering y rutas de administración |
| Después de cada cambio mayor | Verificar la calidad de la remediación y del despliegue | fusiones, trabajos de PKI, rediseño de GPO, nuevas herramientas administrativas, nueva baseline de servidores, cambios de tiering, limpieza de roles privilegiados |
La idea no es crear más reuniones. La idea es acortar el tiempo entre el cambio, la medición y la verificación.
Cómo convertir esto en monitorización continua de postura con EtcSec
Aquí es donde el modelo se vuelve más útil que un entregable anual de consultoría.
El catálogo AD publicado actualmente por ETC Collector enumera 340 detecciones repartidas en 14 categorías, con cobertura que incluye cuentas privilegiadas, Kerberos, permisos, GPO, trusts, supervisión y cumplimiento, además de controles ADCS y rutas de ataque en Pro. Eso importa porque un flujo recurrente solo funciona si el mismo conjunto de detectores puede volver a ejecutarse de forma consistente sin convertir cada revisión en un nuevo proyecto de consultoría.
Más importante aún: el modelo de despliegue encaja con el flujo:
- el colector audita AD en modo solo lectura por LDAP/LDAPS y SMB para SYSVOL;
- no se realiza ninguna modificación en el directorio;
- no hace falta desplegar agentes en los controladores de dominio;
- en modo daemon, el colector funciona como un servicio persistente, consulta la plataforma SaaS cada 30 segundos para recibir órdenes, ejecuta las auditorías localmente y devuelve los resultados de forma remota;
- la API expone el estado de la última auditoría y admite relanzamientos síncronos o asíncronos, que es exactamente lo que necesita un flujo recurrente.
Esto hace que el producto encaje mejor con un modelo de postura continua que con un PDF anual. El objetivo no es la "detección en tiempo real" en sentido SIEM. El objetivo es que las mismas familias de controles puedan volver a medirse una y otra vez con poca fricción, y que la remediación pueda verificarse relanzando la auditoría en lugar de esperar al siguiente ciclo presupuestario.
Los controles de EtcSec que más importan en un flujo recurrente
Un flujo recurrente solo es creíble si se traduce en comprobaciones concretas. A partir del catálogo actual de vulnerabilidades de ETC, los siguientes hallazgos son especialmente adecuados para una revisión repetida de postura:
| Área de revisión | Hallazgos de EtcSec para volver a medir con frecuencia | Por qué envejecen mal |
|---|---|---|
| Deriva de privilegios | PRIVILEGED_ACCOUNT_STALE, PRIVILEGED_GROUP_MEMBER_CHANGES, RECENT_PRIVILEGED_CREATION, ADMIN_NATIVE_RECENT_LOGON, GROUP_EVERYONE_IN_PRIVILEGED, GROUP_AUTHENTICATED_USERS_PRIVILEGED | las pertenencias y las excepciones se acumulan en silencio |
| ACL y rutas de replicación | DCSYNC_CAPABLE, ACL_GENERICALL, ACL_WRITEDACL, ACL_WRITEOWNER, ADMIN_SD_HOLDER_MODIFIED, ADMINSDHOLDER_BACKDOOR | un solo derecho delegado puede sobrevivir mucho más que el cambio que lo creó |
| Kerberos y abuso de credenciales | UNCONSTRAINED_DELEGATION, CONSTRAINED_DELEGATION, RBCD_ABUSE, SHADOW_CREDENTIALS, KERBEROASTING_RISK, ASREP_ROASTING_RISK | estos parámetros cambian durante despliegues de servicios, migraciones y excepciones administrativas |
| Postura LDAP y relay | LDAP_SIGNING_DISABLED, LDAP_CHANNEL_BINDING_DISABLED, SMB_SIGNING_DISABLED, NTLM_RELAY_OPPORTUNITY | los trabajos de compatibilidad suelen debilitar estos controles con el tiempo |
| LAPS e higiene de endpoints | LAPS_NOT_DEPLOYED, LAPS_DOMAIN_COVERAGE_LOW, LAPS_PASSWORD_READABLE, COMPUTER_NO_LAPS | los sistemas y OU nuevos suelen quedar fuera de la baseline prevista |
| Preparación de la supervisión | AUDIT_POLICY_WEAK, POWERSHELL_LOGGING_DISABLED, AUDIT_LOGON_EVENTS_DISABLED, AUDIT_ACCOUNT_MGMT_DISABLED, AUDIT_POLICY_CHANGE_DISABLED, SECURITY_LOG_SIZE_SMALL, DC_AUDIT_POLICY_INCOMPLETE | la calidad del logging deriva a medida que evolucionan las GPO y los equipos de servidores introducen excepciones |
| AD CS y rutas de certificados (Pro) | ESC1-ESC11, ADCS_WEAK_PERMISSIONS, ESC6_EDITF_ATTRIBUTESUBJECTALTNAME2, PATH_CERTIFICATE_ESC | los servicios de certificados cambian durante trabajos sobre plantillas, PKI y emisión |
Esa lista es la que convierte una auditoría en un flujo. En lugar de pagar cada año para volver a descubrir las mismas familias de controles, el equipo puede seguir revalidando primero las que tienen más probabilidad de derivar.
Remediacion y validacion despues de cada ciclo de correccion
La revisión recurrente solo funciona si cada corrección termina con una verificación. Si no, el flujo acaba reduciéndose a un seguimiento de tickets sin nueva medición.
Después de cada ventana de cambio, el equipo debería ejecutar una secuencia operativa simple:
- relanzar la misma auditoría inmediatamente después del cambio;
- comprobar que el hallazgo objetivo ha desaparecido del siguiente informe;
- revisar si el riesgo se ha desplazado a otra familia de controles, por ejemplo de una pertenencia privilegiada a una ACL peligrosa;
- validar que la corrección no ha debilitado la supervisión, por ejemplo al tocar GPO, registro o aplicación efectiva;
- registrar la excepción aceptada y fijar la fecha de la siguiente medición.
Después de cada ventana de cambio, también debería poder responder preguntas básicas:
- si el hallazgo objetivo ha desaparecido de la siguiente auditoría;
- si el riesgo simplemente se ha movido a otro lugar, por ejemplo de un problema de pertenencia a grupos a un problema de ACL;
- si la remediación ha debilitado la supervisión, por ejemplo cambiando GPO que afectan al registro o a la aplicación efectiva de directivas;
- si una excepción supuestamente aislada ha creado una nueva ruta a través de delegación, derechos de replicación o configuración de certificados;
- si la puntuación de seguridad ha mejorado por la razón correcta, es decir, menos hallazgos significativos y no simplemente menos objetos escaneados.
Aquí es donde un flujo recurrente supera a una evaluación anual. No hace falta esperar meses para validar si una limpieza de privilegios, un despliegue de LAPS, un proyecto de LDAP signing o un hardening de AD CS realmente se han mantenido.
Dónde sigue teniendo sentido el modelo anual de consultoría
Esto no significa que las revisiones externas puntuales hayan perdido valor. Siguen siendo útiles para revisiones profundas de arquitectura, respuesta a incidentes, validación red team y hitos de gobierno. Pero no sustituyen a la medición recurrente del propio directorio.
Un modelo maduro suele parecerse a esto:
- una revisión externa profunda cuando la arquitectura, los límites de confianza o el contexto de incidente lo justifican;
- medición recurrente de postura impulsada por el colector para los controles que más derivan entre medias;
- seguimiento específico cuando aparecen nuevos hallazgos o la remediación se atasca.
Eso cuenta una historia mejor que comprar una auditoría cara, archivar el informe y esperar que el directorio se mantenga en el mismo estado mientras los administradores, los proyectos y los cambios urgentes siguen remodelándolo.
Cómo EtcSec distingue entre un informe y un flujo operativo
EtcSec es más útil cuando se usa para convertir la revisión de seguridad AD en un ritmo operativo:
- volver a ejecutar el mismo conjunto de detectores;
- sacar a la luz rápidamente nueva deriva de privilegios;
- verificar los cambios de hardening tras cada despliegue;
- mantener ADCS, Kerberos, ACL y postura de supervisión en el mismo bucle de revisión;
- gestionar el proceso desde el SaaS manteniendo la recogida dentro de la red del cliente.
Esa es la diferencia importante. Una auditoria recurrente de Active Directory no significa simplemente "auditar más a menudo". Significa pasar de una garantía ocasional a una monitorización continua de postura basada en mediciones repetidas y de baja fricción.
Referencias primarias
- Microsoft Learn - Audit Security Group Management
- Microsoft Learn - Event 5136: A directory service object was modified
- Microsoft Learn - Event 4739: Domain Policy was changed
- Microsoft Learn - LDAP signing for Active Directory Domain Services on Windows Server
- Microsoft Learn - Windows LAPS overview
- Microsoft Learn - AdminSDHolder (MS-ADTS)
- Microsoft Learn - Use Windows Event Forwarding to help with intrusion detection
- ANSSI - Recommandations pour l'administration sécurisée des SI reposant sur AD
- ANSSI - Sécuriser la journalisation dans un environnement Microsoft Active Directory
