Diez buenas prácticas de seguridad para las cuentas de servicio en Active Directory
Table of Contents
Microsoft Active Directory es, sin duda, uno de los recursos más atacados que puedes tener en tu entorno local. El motivo es que almacena las “llaves del reino”. Todo lo relacionado con la identidad, tanto en entornos locales como en entornos híbridos unidos a la nube, depende de Active Directory. Y dentro de este entorno, hay ciertos tipos de cuenta que atraen especialmente la atención de los atacantes.
Los usuarios de Windows disponen de distintos privilegios y roles. Sin embargo, a menudo es necesario restringir ciertas funciones a cuentas especializadas conocidas como cuentas de servicio. Estas cuentas de Active Directory tienen un acceso más privilegiado a la infraestructura del sistema operativo y gestionan la instalación de aplicaciones y servicios esenciales, lo que las convierte en objetivos prioritarios para los atacantes.
Por ello, hay dos cosas importantes que debes tener en cuenta: que las cuentas estén protegidas y que su ámbito funcional esté claramente definido. ¿Cómo conseguimos esto? Vamos a desglosar los tres tipos de cuentas de servicio de Active Directory y profundizar en las diez buenas prácticas que deberías seguir.
¿Qué son las cuentas de servicio?
Las cuentas de servicio en Active Directory son cuentas especializadas que, a diferencia de las cuentas de usuario normales, no están destinadas a iniciar sesión en servidores o equipos cliente. En su lugar, se utilizan para ejecutar servicios en servidores Windows y para funciones específicas relacionadas con aplicaciones.
En Active Directory, los permisos se asignan a cuentas de usuario y de equipo. Una cuenta de servicio cumple un papel fundamental: proporcionar un objeto con permisos propios que permita a las aplicaciones autenticarse dentro del dominio de Active Directory.
Como estas cuentas suelen requerir privilegios elevados para que las aplicaciones funcionen, se convierten en un objetivo habitual para los atacantes. Si un atacante compromete una cuenta de servicio, es muy probable que obtenga acceso con privilegios muy amplios dentro del entorno.
Tipos de cuentas de servicio
Antes de gestionar y proteger las cuentas de servicio en Active Directory, es importante familiarizarse con cada tipo.
- Cuentas de usuario locales: incluyen cuentas como System (administración local con múltiples privilegios), Local Service (acceso a servicios de red sin credenciales) y Network Service (acceso más amplio y con credenciales a servicios de red).
- Cuentas de usuario de dominio: se gestionan desde Active Directory y son utilizadas por distintos servicios. Puede existir una cuenta por servicio o una cuenta compartida por varios servicios. Deben cambiar su contraseña periódicamente y sus privilegios están limitados a las necesidades del servicio correspondiente.
- Cuentas de servicio administradas (MSA, Managed Service Accounts): están sujetas a las reglas de Active Directory y cada cuenta solo puede asociarse a un equipo. Sin embargo, puede emplearse para ejecutar varios servicios. Las contraseñas se gestionan y rotan automáticamente.
- Cuentas de servicio administradas de grupo (gMSA, Group Managed Service Accounts): similares a las MSA, pero diseñadas para su uso a mayor escala, ya sea en múltiples servidores o en varios servicios. Son una solución más escalable y igualmente segura.
Las cuentas de servicio administradas suelen ser las más seguras. Se benefician del control granular de permisos que ofrece Active Directory, aplicando eficazmente el control de acceso basado en roles (RBAC) y automatizando tareas de mantenimiento como los cambios de contraseña o la ejecución de tareas programadas en PowerShell.
Además, las contraseñas de MSA superan a las de las cuentas de dominio o locales: pueden alcanzar los 120 caracteres complejos, mientras que las de dominio tienen un mínimo de 15 y las locales entre 1 y 14. Algunas cuentas locales incluso pueden no requerir contraseña.
Las MSA pueden ser independientes (desde Windows Server 2008) o de grupo. Las cuentas locales, como indica su nombre, están limitadas al equipo en el que se crean. ¿Necesitas acceder a un servicio basado en dominio? Lo más adecuado es usar cuentas de dominio o MSA. Las cuentas locales no son identificables desde sistemas externos, por lo que su utilidad fuera de ese equipo es muy limitada.
Como las cuentas de servicio suelen disponer de privilegios elevados y una amplia variedad de permisos, deben protegerse con el máximo rigor. Veamos algunas prácticas recomendadas para proteger las cuentas de servicio de Active Directory, junto con consejos para asegurar estos objetivos prioritarios para los atacantes.
Las diez mejores prácticas para proteger las cuentas de servicio de Active Directory
Las opiniones sobre seguridad y control pueden variar. Sin embargo, hay un conjunto de principios que la mayoría de profesionales considera útiles al gestionar cuentas de servicio. Estos principios ayudan a reforzar la seguridad y a simplificar su administración diaria.
1. Concede privilegios con moderación
Una de las primeras cosas que debes considerar respecto de las cuentas de servicio es aplicar el principio de mínimo privilegio. Igual que cualquier otra cuenta de usuario, las cuentas de servicio solo deberían disponer de los permisos estrictamente necesarios para la tarea que deben realizar. Asignar privilegios demasiado elevados, como añadirlas a los grupos de administradores del dominio o administradores de empresa, es altamente arriesgado. Si un atacante compromete una de estas cuentas, tendrá todo lo necesario para hacerse con el control del dominio y mantener persistencia en el entorno.
En lugar de asignar permisos de grupo potencialmente peligrosos, como “Domain Admins”, aplica únicamente los permisos granulares que la cuenta necesite. Así, en caso de compromiso, el impacto será mucho menor.
Las cuentas de servicio existen para ejecutar tareas concretas. Nuestra labor debe consistir en eliminar barreras y permitir que esas tareas se ejecuten con los permisos mínimos necesarios. Igual que un empleado solo puede acceder a los recursos remotos necesarios para desempeñar su trabajo, las cuentas de servicio deberían limitarse a las capas esenciales del sistema operativo, del sistema de archivos, de la red o del servicio correspondiente. Esto está directamente relacionado con la autenticación y la autorización. Afortunadamente, Active Directory ofrece herramientas para elevar o reducir privilegios según cada caso. Rara vez querremos conceder a usuarios remotos control total sobre un sistema, ya que esto abre la puerta a abusos o errores involuntarios.
2. Utiliza Managed Service Accounts (MSA) y Group Managed Service Accounts (gMSA)
Las cuentas de servicio especializadas, incluidas las cuentas de servicio administradas (MSA) y las cuentas de servicio administradas de grupo (gMSA), son una opción mucho mejor que utilizar cuentas de usuario tradicionales. Estas ofrecen ventajas adicionales de seguridad. Con las MSA y gMSA puedes disponer de cambios automáticos de contraseña, que se rotan sin necesidad de gestionarlos manualmente.
Desde el punto de vista de la seguridad, estas cuentas están mejor diseñadas desde el principio, ya que no pueden utilizarse para inicios de sesión interactivos ni para funciones que no estén relacionadas con los servicios.
3. Realiza auditorías periódicas
SLas cuentas de servicio son uno de los objetos más importantes que monitorizar en Active Directory, ya que son unas de las más atacadas por los ciberdelincuentes. Supervisar las cuentas de servicio y su uso ayuda a detectar comportamientos sospechosos, como, por ejemplo, que una cuenta de servicio se utilice para acceso RDP, o que se invoque en servidores donde no debería usarse o incluso desde un puesto de trabajo.
Las auditorías contribuyen directamente a los puntos mencionados anteriormente. Es esencial inspeccionar periódicamente todas las cuentas de servicio y los registros de actividad. Queremos saber qué están haciendo los usuarios, qué permisos tienen y si alguno de esos permisos incumple las directrices de seguridad establecidas. Las auditorías pueden así descubrir actividades sospechosas o detectar vulnerabilidades, ya sean activas o pasivas.
Active Directory incluye auditoría integrada que permite registrar eventos de inicio de sesión, cambios de cuenta y otros tipos de actividad. Sin embargo, estos registros no son fáciles de interpretar sin algún tipo de herramienta de terceros que ayude a agregarlos y proporcionar visibilidad sobre lo que está ocurriendo. Las herramientas de terceros pueden configurarse para alertar sobre comportamientos sospechosos o eventos que puedan indicar que alguien está intentando comprometer el entorno.
¿Buscas una herramienta avanzada de auditoría? Specops Password Auditor es de solo lectura y no almacena datos de Active Directory ni realiza cambios en el entorno. Ofrece un informe exportable y fácil de interpretar con información detallada sobre vulnerabilidades relacionadas con contraseñas que podrían servir como punto de entrada para atacantes. Descárgala gratis aquí.
4. Aplica políticas de contraseñas sólidas
La contraseña es, probablemente, el factor más importante de la postura de seguridad de una cuenta. Establecer políticas de contraseña sólidas es fundamental para asegurar que las cuentas de servicio tengan contraseñas difíciles de comprometer. Las MSA y gMSA se encargan automáticamente de la gestión de contraseñas. Sin embargo, aplicar políticas estrictas de contraseñas en todo el entorno, incluidas las cuentas de usuario, ayuda a mejorar la seguridad general en el entorno de Active Directory Domain Services (AD DS).
Considera utilizar políticas de contraseña que incluyan lo siguiente:
- Contraseñas largas y complejas, con al menos 16 caracteres y una combinación de letras, números y caracteres especiales. Las frases de paso (passphrases) también son una excelente opción, ya que son fáciles de recordar y siguen siendo seguras.
- Rotación regular de contraseñas y evitar contraseñas codificadas o reutilizadas.
- Uso de gestores de contraseñas para almacenar y administrar las credenciales de cuentas de servicio gestionadas manualmente.
A continuación, se muestra una política de contraseñas típica que solo exige 7 caracteres. Este tipo de políticas permiten que los usuarios creen contraseñas relativamente débiles. Descubre cómo Specops Password Policy puede ayudarte a aplicar políticas de contraseña seguras en toda tu organización.
5. Restringe el uso de cuentas de servicio y controla el acceso de proveedores
Las cuentas de servicio no deben utilizarse para inicios de sesión interactivos. Su propósito es exclusivo para los servicios o aplicaciones que lo requieran. Evita utilizar la misma cuenta de servicio para varios servicios distintos. Crear una cuenta de servicio única por servicio permite diferenciarlas claramente y reduce la superficie de ataque.
En algunos casos, proveedores externos podrían necesitar acceso a cuentas de servicio para tareas de soporte. En estos casos, es clave limitar a qué equipos puede acceder una cuenta de servicio. Un enfoque equilibrado consiste en crear cuentas específicas para proveedores, con acceso a un entorno intermedio, como una máquina virtual dedicada, desde la que puedan acceder únicamente a los sistemas necesarios.
6. Deshabilita las cuentas de servicio no utilizadas
La gestión del ciclo de vida de las cuentas de servicio es un aspecto crítico de la seguridad en Active Directory. Si una cuenta de servicio ya no se utiliza o ha dejado de ser necesaria, debe deshabilitarse cuanto antes. Mantener cuentas activas sin uso supone un riesgo significativo, especialmente porque muchas de ellas cuentan con permisos elevados que podrían ser aprovechados por un atacante. Por este motivo, los administradores deberían revisar periódicamente las cuentas existentes y limpiar aquellas que estén obsoletas o inactivas.
Ejecutar una consulta en PowerShell para identificar cuentas que no han iniciado sesión en un número determinado de días es una buena forma de detectar cuentas de servicio inactivas u obsoletas, además de otras cuentas en desuso. O, si prefieres un informe detallado sobre cuentas inactivas y otras vulnerabilidades, puedes hacer un análisis de solo lectura con Specops Password Auditor.
7. Separa los roles de las cuentas de servicio
Separar los roles de las cuentas de servicio es una forma eficaz de distinguir claramente los permisos entre los distintos objetos. Utiliza cuentas de servicio dedicadas exclusivamente a servicios de aplicaciones y crea cuentas independientes para servicios de red, bases de datos u otros tipos de servicios, cada una con permisos únicos. Esta metodología ayuda a reducir el riesgo de que una única cuenta se vea comprometida y limita los recursos a los que puede acceder.
8. Utiliza autenticación multifactor (MFA) siempre que sea posible
Una de las mejores formas de reforzar la autenticación es mediante autenticación multifactor (MFA). Aunque las cuentas de servicio no deberían usarse para inicios de sesión interactivos, puede haber excepciones. En esos casos, asegúrate de que la cuenta tenga MFA habilitado.
Además, implementar MFA en todas las cuentas de usuario es una excelente manera de mejorar la postura de seguridad del entorno de Active Directory. Al reforzar la seguridad de los usuarios, se reduce de forma significativa la probabilidad de compromiso de las cuentas de servicio.
Conoce más sobre Specops Secure Access, nuestra solución para:
9. Usa unidades organizativas (OU) dedicadas para cuentas de servicio
Mantener una buena organización de las cuentas de servicio facilita tanto su gestión como su seguridad. Crear una Unidad Organizativa (OU) específica en Active Directory para estas cuentas permite administrarlas de forma coherente y aplicar Directivas de Grupo de manera consistente en todo el entorno. Además, al estar centralizadas en la misma OU, se simplifica su supervisión y monitorización.
10. Revisa periódicamente las dependencias y los accesos de las cuentas de servicio
Los niveles de acceso necesarios hoy pueden no ser adecuados mañana. Por ello, es importante revisar periódicamente las dependencias y los accesos asociados a estas cuentas para confirmar que siguen siendo necesarios y apropiados.
Identifica qué aplicaciones, servicios o scripts utilizan cada cuenta y verifica que estén correctamente configuradas y protegidas. Esto reduce el riesgo de permisos excesivos o innecesarios y ayuda a prevenir accesos no autorizados.
Mantén las cuentas de servicio seguras
Las cuentas de servicio en Active Directory son unas de las más críticas y peligrosas si no se protegen adecuadamente. Por ello, los administradores deben asegurarse de que estas cuentas se gestionan y se protegen de forma correcta. Una estrategia adecuada de seguridad para las cuentas de servicio incluye la revisión periódica de permisos, la auditoría y monitorización de accesos, la aplicación de políticas de contraseña robustas, el uso de MFA y, siempre que sea posible, el empleo de cuentas MSA y gMSA. Aplica siempre el principio de mínimo privilegio y utiliza OUs y Directivas de Grupo dedicadas para una gestión coherente y segura.
Considera también contar con una herramienta como Specops Password Policy, que simplifica la gestión de políticas de contraseña granulares en Active Directory. Permite bloquear de forma continua más de 4.000 millones de contraseñas comprometidas, facilitar el cumplimiento normativo y reducir la carga de soporte al ofrecer a los usuarios finales una mejor experiencia de seguridad.
¿Quieres saber cómo Specops Password Policy puede integrarse en tu organización? Ponte en contacto con nosotros y pruébala gratis.
Última actualización el 13/01/2026