El clúster de búsqueda guía anssi active directory suele partir de una expectativa equivocada: no existe un único PDF de ANSSI que, por sí solo, baste para "poner Active Directory en conformidad". En un entorno AD moderno, la base útil es un conjunto de guías complementarias. El documento principal es la guía de ANSSI publicada el 18 de octubre de 2023 sobre la administración segura de sistemas de información basados en Active Directory. Pero debe leerse junto con la guía de ANSSI de 2021 sobre administración segura de sistemas de información, la guía de 2022 sobre registro de eventos Windows en un entorno Active Directory y la guía de diciembre de 2023 sobre remediación de Tier 0 cuando la cuestión ya no es endurecer, sino recuperar el control tras una intrusión.
Esa distinción cambia la forma de trabajar. La guía AD 2023 no cubre todo. Indica de forma explícita que los temas cloud y Microsoft Entra ID quedan fuera de su perímetro, y remite a la guía general de administración segura para lo relativo a los puestos de administración: acceso a Internet, endurecimiento, cifrado y límites de uso. Buscar una "guía ANSSI Active Directory" solo tiene valor si antes se entiende qué documento debe orientar qué decisión antes de traducirlo a controles técnicos.
Nota importante: las publicaciones de ANSSI citadas aquí son guías técnicas. Sirven como referencia metodológica y arquitectónica, pero no constituyen por sí solas una obligación legal automática ni una especie de "certificación ANSSI de Active Directory". Si el proyecto también se enmarca en NIS2, ISO 27001 u otro programa de cumplimiento, hay que separar el texto regulatorio de las medidas técnicas elegidas para responder a él.
Qué cubre la Guía ANSSI Active Directory
La guía ANSSI de 2023 sobre la administración segura de SI basados en AD aborda el problema central que muchos equipos siguen infravalorando: en un entorno construido alrededor de Active Directory, la compromisión del directorio no llega solo por un "mal parámetro de AD". A menudo surge de una combinación de prácticas de administración débiles, segmentación lógica insuficiente y rutas de control que permanecen abiertas desde otros componentes del sistema de información.
Por eso, el texto se parece menos a una checklist y más a un modelo de confianza. Explica cómo razonar en zonas de confianza, cómo identificar el Tier 0, cómo reducir las rutas de control hacia el directorio, por qué el uso de NTLM y Kerberos afecta directamente a la segmentación y por qué la detección debe tratarse como una parte normal de la arquitectura de AD, no como una capa añadida al final del proyecto.
Esta guía no debe leerse como un sustituto del resto de documentos de ANSSI. Los complementa. Tampoco pretende cubrir todos los temas cloud, la gobernanza jurídica ni el detalle del endurecimiento de las estaciones de administración. Precisamente por eso, un lector técnico que quiera "aplicar ANSSI a AD" tiene que partir de un conjunto de documentos y no de una única publicación.
Qué documentos ANSSI son de referencia hoy
La siguiente tabla es la forma más útil de leer el corpus de ANSSI en la práctica:
| Documento | Fecha | Papel real en un proyecto AD |
|---|---|---|
| Recomendaciones para la administración segura de SI basados en AD | 18 de octubre de 2023 | Documento principal para la segmentación lógica, Tier 0, rutas de control en AD, exposición de secretos de autenticación y principios de detección en entornos basados en AD. |
| Recomendaciones relativas a la administración segura de los SI | 11 de mayo de 2021 | Base metodológica para la arquitectura de administración: cuentas dedicadas, puestos de administración, acceso a Internet, red de administración, bastiones y separación de usos. |
| Asegurar el registro en un entorno Microsoft Active Directory | 28 de enero de 2022 | Guía operativa para el registro Windows y AD: política de auditoría, recogida centralizada, WEF/WEC, selección de eventos, Sysmon y segmentación de los servidores de recogida. |
| Ciberataques y remediación: remediación del Tier 0 de Active Directory | versión 1.0, diciembre de 2023 | Referencia para cuando el objetivo ya no es solo endurecer, sino recuperar el control de un AD comprometido, eliminar rutas de persistencia y reconstruir la confianza en el núcleo de confianza. |
| Recomendaciones de seguridad relativas a Active Directory | 29 de agosto de 2014 | Referencia histórica hoy obsoleta. Sigue siendo útil para entender la evolución del tema, pero ya no debe tratarse como la base principal de un AD actual. |
El punto importante es simple: la guía AD de 2014 es hoy obsoleta dentro del corpus público de ANSSI. La base útil actual es, por tanto, la guía de 2023, complementada según el caso por las guías de 2021, 2022 y 2023 de remediación.
Los principios ANSSI que estructuran un Active Directory endurecido
La lógica de ANSSI no es "endurecer GPO una por una". Empieza con una cuestión más estructural: qué recursos comparten un nivel parecido de confianza, sensibilidad y exposición, y cómo impedir que una compromisión local ascienda hasta el directorio o el Tier 0.
En ese modelo, la segmentación no es un diagrama de red abstracto. Es una combinación de medidas:
- identificar los recursos más sensibles;
- analizar las rutas de ataque y las rutas de control hacia esos recursos;
- clasificar los activos por niveles o Tiers;
- aplicar prácticas de administración coherentes con esa clasificación;
- reducir la exposición de cada Tier;
- endurecer los sistemas y el software utilizados para administrar;
- registrar y detectar de una manera coherente con esa arquitectura.
Esto importa porque el perímetro de riesgo no se limita a los controladores de dominio. La guía AD 2023 señala expresamente que otras piezas del sistema de información pueden convertirse en rutas de control hacia el directorio: virtualización, almacenamiento, backup, herramientas de administración, relaciones de confianza, cuentas integradas, contenedores de configuración o cualquier sistema capaz de recuperar o reutilizar secretos de autenticación.
En la práctica, un AD "endurecido" en el sentido de ANSSI no es solo un directorio con buenos parámetros. Es un entorno donde las relaciones de confianza son explícitas, los privilegios están separados y se puede demostrar que un administrador o una estación de trabajo de un nivel inferior no dispone de una ruta sencilla hacia el núcleo de confianza.
Segmentación, zonas de confianza y administración dedicada
La palabra clave aquí es zona de confianza. En la guía AD 2023, ANSSI utiliza ese concepto para estructurar la segmentación del SI. La idea no es aislarlo todo de la misma forma, sino agrupar lógicamente los recursos que comparten un nivel similar de sensibilidad y exposición, y después impedir que una compromisión dentro de una zona se propague libremente hacia las zonas más críticas.
En la práctica, eso obliga a tratar la administración como una actividad separada. La guía ANSSI de 2021 sobre administración segura de SI es muy clara en varios puntos:
- las cuentas administrativas deben reservarse exclusivamente a acciones de administración;
- no deben usarse para tareas de oficina ni para abrir sesiones en puestos no reservados a la administración;
- las cuentas administrativas built-in no deben ser la base operativa habitual;
- deben priorizarse cuentas administrativas individuales para conservar la trazabilidad y la segregación de funciones;
- el puesto de administración debe tratarse como un activo sensible;
- el acceso a Internet y al correo electrónico conectado a Internet no debe estar disponible desde ese entorno.
Si las cuentas privilegiadas siguen iniciando sesión en puestos de oficina normales, si los secretos de administración siguen pasando por sistemas multipropósito o si los saltos de administración siguen atravesando entornos menos confiables, entonces la arquitectura ya contradice el modelo de ANSSI, aunque las GPO y las ACL parezcan limpias.
Un bastión puede formar parte de la respuesta, pero ANSSI lo trata como un caso arquitectónico, no como un control mágico. Los puestos de administración dedicados solo tienen valor si el uso diario es coherente con ellos: nada de navegación web, nada de correo, nada de software innecesario y nada de mezclar ofimática con administración.
Si se quiere traducir esos principios en controles concretos, el enfoque correcto no es empezar por las herramientas. Hay que verificar primero quién administra qué, desde qué máquina, con qué cuenta, por qué ruta de red y hacia qué zona de confianza. Una checklist como Auditar la seguridad de Active Directory: checklist práctica se vuelve útil en ese punto porque convierte los principios de ANSSI en verificaciones observables.
Tier 0, cuentas privilegiadas y rutas de administración
La guía AD 2023 retoma la lógica histórica de los Tiers y deja claro que Tier 0 representa el núcleo de confianza de la organización. Los recursos de ese nivel permiten, de forma directa o indirecta, asignar privilegios sobre otros Tiers y, por tanto, controlar el directorio.
El error clásico consiste en reducir Tier 0 únicamente a los controladores de dominio. ANSSI va más lejos. Tanto en la lógica de segmentación como en la de remediación, también hay que examinar los objetos privilegiados, las relaciones de confianza, los contenedores de sistema y de configuración, las cuentas integradas, los secretos de autenticación y las máquinas en las que esos secretos pueden quedar expuestos. La guía de remediación de Tier 0 insiste además en un punto muy práctico: los puestos de administración seguros y las máquinas que pueden contener secretos de cuentas privilegiadas forman parte del problema, porque un atacante que mantenga persistencia en esas máquinas puede recuperar con frecuencia una vía de retorno hacia el núcleo de confianza.
Otro punto técnico importante es que, en remediación, ANSSI recuerda que el límite de seguridad es el bosque y no el dominio. Por tanto, los objetivos técnicos no pueden considerarse alcanzados hasta que se hayan ejecutado en todos los dominios de un bosque comprometido, y en paralelo, para evitar que un dominio ya remediado vuelva a comprometerse desde otro que aún no ha sido tratado.
Esa visión obliga a salir de una auditoría demasiado centrada en cada objeto por separado. En un entorno AD real, hay que analizar:
- grupos y cuentas privilegiadas que siguen activos;
- delegaciones demasiado amplias;
- rutas de control no documentadas;
- secretos privilegiados presentes fuera de Tier 0;
- dependencias técnicas con backup, virtualización, PKI u otros sistemas capaces de recuperar control sobre AD;
- cuentas antiguas o sobreprivilegiadas que ya no tienen una justificación clara.
Esa lectura conecta directamente con temas como Cuentas Obsoletas y Sobreprivilegiadas en AD, Ataques ADCS: ESC1 a ESC8 hacia Domain Admin o Delegacion Kerberos: no restringida, restringida y RBCD. El punto de ANSSI no es acumular alertas. Es reducir, documentar y después vigilar las rutas reales que permitirían a un atacante recuperar el control del directorio.
Registro y capacidad de detección en un entorno AD
Otro error frecuente consiste en tratar la detección como una capa SIEM independiente del proyecto de Active Directory. La guía ANSSI de 2022 sobre registro en entornos Microsoft Active Directory demuestra lo contrario: el registro útil es una cuestión arquitectónica.
El documento cubre la política de auditoría de Windows, el almacenamiento local y la rotación de logs, la recogida centralizada de eventos, la selección de logs útiles, el uso de Sysmon para telemetría ampliada y una recogida basada en Windows Event Forwarding (WEF) y Windows Event Collector (WEC). El mensaje no es "actívelo todo". El mensaje es: elija los logs que sostienen de verdad la detección y la investigación, centralícelos dentro de un perímetro coherente y segmente también los servidores de recogida.
La guía es además claramente operativa. No se limita a afirmar que el registro es importante; entra en los mecanismos Windows y en el diseño de la recogida. También señala un límite importante: su perímetro supone sistemas que se conectan con regularidad. Los sistemas aislados o con conectividad muy limitada requieren, por tanto, mecanismos de registro y recuperación adaptados.
En un entorno AD endurecido según la lógica ANSSI, la detección debe responder a preguntas concretas:
- qué acciones administrativas privilegiadas tuvieron lugar;
- desde qué puestos y con qué cuentas;
- qué cambios afectaron a objetos privilegiados, GPO o rutas de control;
- qué secretos pueden seguir moviéndose fuera de los entornos confiables;
- qué eventos críticos llegan realmente a la capa de recogida;
- cuánta profundidad de investigación está disponible si un incidente afecta a Tier 0.
El objetivo no es reemplazar todo el ecosistema de detección. Es establecer una línea base de registro suficiente para vigilar la administración, la autenticación, los cambios estructurales del directorio y la salud de los activos críticos. Ahí es donde temas como Firma LDAP deshabilitada: como los enlaces no firmados exponen Active Directory o Kerberoasting: Riesgo en Cuentas de Servicio se vuelven útiles: muestran el tipo de exposición que debería aparecer o bien en controles preventivos o bien en la capacidad de detección.
Cómo aplicar estas recomendaciones en un AD real
La buena metodología no consiste en convertir una guía de ANSSI en mil tareas atómicas. En un directorio real, es mejor avanzar en siete pasos estructurados.
1. Fijar el corpus de referencia
Defina qué guía sirve para qué decisión. La guía AD 2023 para segmentación y Tier 0. La guía de Administración 2021 para cuentas, puestos y redes de administración. La guía de Registro 2022 para la recogida y la retención. La guía de remediación Tier 0 de 2023 para escenarios posteriores a una compromisión.
2. Cartografiar zonas de confianza y Tiers
Liste los recursos que controlan el directorio o pueden influir en él: controladores de dominio, PKI, backup, hipervisores, herramientas de administración, cuentas privilegiadas, GPO críticas, relaciones de confianza y estaciones de administración. Una comparativa como Comparativa de herramientas de auditoría AD resulta útil si necesita objetivar esas rutas de control a escala.
3. Documentar las rutas de administración
¿Un administrador de Tier 0 se conecta desde un puesto dedicado? ¿Desde qué red? ¿Con qué cuenta individual? ¿Siguen mezclándose los usos de oficina y administración? ¿Las cuentas privilegiadas están realmente confinadas a su perímetro, o sus secretos siguen apareciendo en sistemas de menor confianza?
4. Revisar los protocolos y mecanismos que rompen la segmentación
La guía AD 2023 dedica un capítulo completo a los riesgos de NTLM y Kerberos para la segmentación. Por eso hay que revisar los mecanismos que permiten reutilizar secretos, difundir credenciales a gran escala o delegar en exceso. Aquí tiene sentido cruzar sus controles con temas como Delegacion Kerberos: no restringida, restringida y RBCD, Cumplimiento AD & Azure: NIS2, ISO 27001, CIS o las exposiciones ADCS si su PKI participa en rutas de control.
5. Construir un registro sostenible
Active los logs útiles, centralícelos, proteja los colectores y mantenga bajo control la sincronización horaria. No intente verlo todo el primer día. Primero haga visibles la administración privilegiada, los cambios críticos y las actividades que afectan al núcleo de confianza.
6. Construir un backlog de remediación estructurado
No todas las desviaciones tienen el mismo peso. Una cuenta privilegiada antigua que sigue activa, una delegación excesiva sobre un objeto privilegiado, una estación de administración no dedicada, una relación de confianza mal controlada o una recogida de eventos rota no tienen el mismo impacto. El backlog correcto no se ordena por tipo de tecnología, sino por impacto sobre la segmentación y el Tier 0.
7. Saber cuándo salir del endurecimiento y entrar en remediación
Si ya detecta rutas de compromisión activas, persistencia sobre activos privilegiados o una pérdida de confianza en el núcleo de confianza, necesita otro marco. En ese momento, la guía de remediación de Tier 0 es más adecuada que una checklist de hardening normal.
Validación tras el endurecimiento
Un entorno AD no está "alineado con ANSSI" solo porque exista un dossier documental. Hay que poder responder a preguntas de validación precisas.
Sobre la segmentación
- ¿Todavía se puede alcanzar Tier 0 desde un puesto, cuenta o herramienta de un nivel inferior?
- ¿Los sistemas de backup, virtualización, PKI o administración de terceros abren una ruta de control hacia el directorio?
- ¿Se han revisado las relaciones de confianza y las delegaciones con una lógica de confianza y no solo de funcionalidad?
Sobre la administración
- ¿Las cuentas privilegiadas son individuales y están reservadas únicamente a usos administrativos?
- ¿Los puestos de administración son dedicados, están controlados y no tienen acceso a Internet ni a correo conectado a Internet?
- ¿Los secretos de cuentas privilegiadas pueden seguir quedando en memoria en máquinas que no forman parte del núcleo de confianza?
Sobre la detección
- ¿Los logs críticos están activados y centralizados?
- ¿Los servidores de recogida están segmentados y vigilados también ellos?
- ¿Es realmente posible investigar una modificación de un objeto privilegiado, una acción administrativa anómala o una sospecha de compromisión de Tier 0 con los datos disponibles?
Sobre la doctrina
- ¿Los equipos saben qué guía de ANSSI usar para cada tema?
- ¿La guía de 2014 ha sido retirada de verdad del corpus de referencia?
- ¿Los requisitos de NIS2 o ISO se tratan como temas adyacentes, sin hacer que la guía AD diga lo que no dice?
Cómo ayuda EtcSec a verificar estas brechas
EtcSec no está para convertir una guía técnica en una chapa de marketing. El valor de una auditoría especializada está en otro lugar: hacer visibles las brechas que los textos de ANSSI describen, pero que los equipos a menudo tienen dificultades para objetivar a escala de un entorno real.
En la práctica, una auditoría alineada con ese enfoque debería ayudarle a:
- cartografiar las rutas de control hacia Tier 0 y hacia los objetos privilegiados;
- inventariar cuentas privilegiadas, derechos delegados y exposiciones que ya no tienen una justificación clara;
- resaltar dónde la segmentación lógica queda contradicha por los usos reales;
- verificar si el registro y la recogida sostienen de verdad la detección y la investigación;
- priorizar las remediaciones que reducen el riesgo de volver a perder el control del directorio.
En esa lógica, EtcSec ayuda a validar brechas técnicas. No sustituye decisiones de arquitectura, gobernanza interna ni el trabajo de remediación post-incidente cuando el núcleo de confianza ya se ha perdido.
Referencias primarias
- ANSSI - Recommandations pour l'administration sécurisée des SI reposant sur AD (18 de octubre de 2023)
- ANSSI - Recommandations relatives à l'administration sécurisée des SI (11 de mayo de 2021)
- ANSSI - Sécuriser la journalisation dans un environnement Microsoft Active Directory (28 de enero de 2022)
- ANSSI - Cyberattaques et remédiation : la remédiation du Tier 0 Active Directory (versión 1.0, diciembre de 2023)
- ANSSI - Recommandations de sécurité relatives à Active Directory (29 de agosto de 2014, obsoleta)
- Microsoft Learn - Use Windows Event Forwarding to help with intrusion detection
- Microsoft Learn - Sysmon Overview
Continue Reading
Auditoría recurrente de Active Directory: por qué las auditorías anuales se vuelven obsoletas y cómo monitorizar la postura de forma continua
Shadow Credentials: abuso de msDS-KeyCredentialLink en Active Directory
