Las relaciones de confianza (trusts) y las políticas en Active Directory van de la mano para ayudar al dominio y a los árboles a comunicarse entre sí y mantener la “seguridad” dentro de la red. Colocan las reglas de cómo los dominios dentro de un bosque pueden interactuar entre ellos mismos y cómo un bosque externo puede interactuar con un bosque interno además de las reglas o políticas generales de dominio que se deben seguir.
Descripción general de las relaciones de confianza de un dominio
Las relaciones de confianza (trusts) son un mecanismo establecido para que los usuarios de la red obtengan acceso a otros recursos del dominio. En su mayor parte, las relaciones de confianza describen la forma en que los dominios dentro de un bosque se comunican entre ellos; en algunos entornos, dichas relaciones pueden extenderse a dominios externos e incluso a bosques.
Hay dos tipos de relaciones que determinan cómo se comunican los dominios:
Direccional: la dirección de la confianza fluye de un dominio a otro donde ambos se tiene confianza, es decir, que la relación es directa.
Transitiva: la relación de confianza se expande más allá de solo dos dominios para incluir otros dominios de confianza, es decir, este tipo de relación se establece para ampliar la relación con otros.
Descripción general de las políticas de dominio
Las políticas son una parte muy importante de Active Directory, dictan cómo funciona el servidor y qué reglas seguirá y qué no seguirá. Puede pensar en políticas de dominio como grupos de dominio, excepto que, en lugar de permisos, contienen reglas y, en lugar de aplicarse solo a un grupo de usuarios, las políticas se aplican a un dominio en su conjunto. Simplemente actúan como un libro de reglas para Active Directory que un administrador de dominio puede modificar y alterar según lo considere necesario para mantener la red funcionando sin problemas y de forma segura.
Junto con la lista muy larga de políticas de dominio predeterminadas, los administradores de dominio pueden optar por agregar sus propias políticas que no estén ya en el controlador de dominio, por ejemplo: si desea deshabilitar Windows Defender en todas las máquinas del dominio, puede crear una nueva política de grupo para deshabilitar Windows Defender.
Las opciones para las políticas de dominio son casi infinitas y son un factor importante para los atacantes al enumerar una red de Active Directory. Resumiré solo algunas de las muchas políticas que son predeterminadas o que puedes crear en un entorno de Active Directory:
Deshabilitar Windows Defender: deshabilita Windows Defender en todas las máquinas del dominio.
Firmar digitalmente la comunicación (siempre): puede deshabilitar o habilitar la firma SMB en el controlador de dominio.
Hasta aquí esta tercera parte. No olvides pasarte por mi canal de Youtube y demás publicaciones que seguiré hablando de Active Directory. ¡Hasta pronto!